Поделиться
Александр Бургардт: Многие компании не знают, как нужно защищать персональные данные
Сегодня предприятия и организации сталкиваются с необходимостью проводить мероприятия по обеспечению безопасности персональных данных. Согласно федеральному закону №152, с января будущего года все компании, работающие с персональными данными, должны защитить соответствующие информационные системы и провести их аттестацию. Корпорация "Галактика" создала центр компетенции по защите персональных данных, который оказывает заказчикам комплекс услуг. О деятельности новой структуры CNews рассказал руководитель аналитического центра "Галактики", куратор центра компетенции Александр Бургардт.CNews: Основное направление деятельности "Галактики" – разработка программных решений для управления и учета. Насколько вашей компании близка тема обеспечения безопасности информационных систем?
Александр Бургардт: А здесь нет никаких противоречий - эти две темы тесно связаны. Выполняя проекты на крупных предприятиях, мы, как правило, решаем комплекс задач по обеспечению безопасности информационных систем. Это касается нефтегазовой отрасли, ТЭК, крупных предприятий оборонно-промышленного комплекса, других отраслей. Комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных – составная часть технологической платформы системы "Галактика ERP".
У нас накоплен опыт и есть экспертизы в этой области. Корпорация "Галактика" предлагает сертифицированные решения для создания систем защиты информационных систем персональных данных 2,3 и 4 классов на базе комплексной системы управления предприятием "Галактика ERP". На сайте ФСТЭК в "Государственном реестре сертифицированных средств защиты информации" указано, что комплекс средств защиты информации от несанкционированного доступа пользователей к базе данных (ГАМР.00009-01), встроенный в систему "Галактика ERP" версия 8.1 (по 4 уровню НДВ и по 5 классу СВТ) - может использоваться для защиты информации в ИСПДн до 2 класса включительно.
CNews: Почему вы решили открыть центр компетенции?
Александр Бургардт: После выхода федерального закона №152, на нас, можно сказать, обрушился поток обращений наших пользователей по вопросам соответствия встроенных средств защиты данных требованиям ФСТЭК. Оно и понятно: действие закона распространяется практически на все организации и компании, вне зависимости от вида их деятельности и формы юридического лица. При этом предусмотрены достаточно жесткие меры ответственности для предприятий в случае нарушения законодательства.
В соответствии с определением понятия "персональные данные" даже списки сотрудников являются таковыми и должны быть защищены техническими и организационными методами. Очевидно, что необходимо проводить комплекс мероприятий, но вопросы о том, что именно делать и как делать, для многих предприятий остаются открытыми. Именно поэтому мы и создали Центр компетенции по аттестации информационных систем предприятия на соответствие руководящим документам ФСТЭК по защите персональных данных.
Наряду с корпорацией "Галактика", участниками центра компетенции являются межрегиональная общественная организация "Ассоциация защиты информации" (АЗИ), ассоциация производителей товаров и услуг в области безопасности ЕВРААС. Кроме того, к работе центра мы привлекаем также и региональные компании, работающие в сфере безопасности.
CNews: Что должны делать предприятия, чтобы привести свои информационные системы персональных данных в соответствие с требованиями законодательства?
Александр Бургардт: Федеральный закон №152 вступает в силу с 1 января будущего года. Я хотел бы отметить, что фактическая защищенность персональных данных и реализация требований регуляторов - это вовсе не одно и то же. А государственные органы, регулирующие вопросы использования и защиты персональных данных, - это Министерство связи и массовых коммуникаций РФ, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ, Федеральная служба по техническому и экспортному контролю РФ, Федеральная служба безопасности РФ. С ними не особо поспоришь. Предприятия и организации с одной стороны, стремятся в сжатые сроки привести информационные системы персональных данных в соответствие с требованиями закона. С другой стороны, они озабочены минимизацией затрат на эти работы.
Александр Бургардт: Фактическая защищенность персональных данных и реализация требований регуляторов - это вовсе не одно и то же
Вполне понятно, что ключевой момент минимизации расходов на защиту персональных данных – это корректная классификация и очерчивание границ информационной системы персональных данных. Предприятия могут оперировать различными категориями персональных данных - всего их 4. Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.
Поделиться
Короткая ссылка
