Спецпроекты

Михаил Емельянников: Для защиты персональных данных нужны российские решения

Безопасность Стратегия безопасности Техническая защита Пользователю
На рынке средств защиты персональных данных не видно серьезных перемен. Нормативная база в этой области на сегодняшний день достаточно обширна, однако на практике ситуация оставляет желать лучшего. Об особенностях рынка, основных проблемах и требованиях к средствам защиты персональных данных, а также о соответствующих им решениях CNews рассказал Михаил Емельянников, руководитель дирекции по развитию компании "Информзащита".

CNews: В чем особенность сегодняшнего рынка средств защиты персональных данных? Какие тенденции вы можете назвать главенствующими? Что изменилось за последний год?

Михаил Емельянников: Особенность рынка одна – никаких специальных средств защиты персональных данных на сегодняшний день не существует. И за год ничего не изменилось. Причины просты. Во-первых, закон о персональных данных не начал по-настоящему работать. А пока этого не произойдет, разработчики не будут серьезно вкладываться в создание специализированных средств. Во-вторых, регуляторы не требуют никаких новых, специфических механизмов обеспечения безопасности персональных данных.

Требования к функциональности средств защиты давно используются в нормативных и методических документах ФСТЭК и ФСБ, применительно к персональным данным просто конкретизированы механизмы, необходимые для нейтрализации угроз в зависимости от класса информационной системы и особенностей ее функционирования (распределенность, подключение к интернету, возможность разграничения прав и др.).

Речь может идти только о выборе продуктов, имеющих функциональность, полностью отвечающую требованиям нормативно-методических документов по защите персональных данных. Компания "Информзащита", одна из первых в стране начавшая практические работы по обеспечению безопасности персональных данных, готовит технологическое решение, обеспечивающее соответствие требованиям регуляторов в зависимости от класса, но это именно технология, упрощающая конфигурирование механизмов безопасности существующих средств для серверов и рабочих станций в информационных системах персональных данных различных классов.

CNews: Какие основные проблемы в области защиты персональных данных вы можете отметить?

Михаил Емельянников: Самая серьезная проблема – высокая сложность и, соответственно, стоимость работ по приведению системы безопасности в соответствие с требованиями регуляторов. Нейтрализация угроз для ИСПДн первого и второго классов требует применения практически всего спектра средств безопасности, причем – сертифицированных. Встраивать их в гетерогенные распределенные информационные системы с большим количеством приложений, в основном – зарубежного производства, крайне сложно и очень дорого.

Следующий момент – проблема понимания требований. На наш взгляд, нельзя серьезно рассчитывать на то, что оператор, не имеющий квалифицированных специалистов в области ИБ, сможет самостоятельно построить модель актуальных угроз безопасности и спроектировать систему защиты, обеспечивающую нейтрализацию этих угроз. Операторов в нашей стране, по разным оценкам, несколько миллионов, и каждый должен принять меры, как сказано в законе, для "защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". При этом моделирование угроз и проектирование подсистемы безопасности ИСПДн является обязательной составной частью работ.

CNews: Что, на ваш взгляд, является главной угрозой для персональных данных?

Михаил Емельянников: Главная угроза – безусловно, инсайдер, авторизованный пользователь системы, который из корыстных или иных побуждений может скопировать персональные данные и передать третьим лицам, модифицировать или вообще уничтожить их.


Михаил Емельянников: Конкретный функционал антивирусных средств описывают нормативно-методические документы ФСТЭК

Вторая по значимости проблема – использование вредоносного кода с целью хищения персональных данных, имеющих коммерческую ценность: номеров платежных карт, идентификационных данных пользователей и т.п. При этом вредоносная программа может быть занесена в ИСПДн как снаружи, через межсетевые экраны, так и изнутри самими пользователями системы, применяющими съемные носители информации, например, флеш-диски. Результат действия подобного зловредного ПО – это искажение или утечка конфиденциальных данных, в том числе и персональных. Именно такие "выборочные" утечки являются серьезнейшей проблемой во всем мире. Торговля в интернете идентификационными данными пластиковых карт давно стала обычным бизнесом, и недооценивать последствия таких краж ни в коем случае нельзя.

CNews: Какими законодательными нормативами сейчас регулируется безопасность персональных данных? Насколько эти нормативы действенны?

Михаил Емельянников: С целью реализации требований ст.19 федерального закона "О персональных данных" постановлением правительства РФ 2007 г. № 781 утверждено "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", в развитие которого приняты нормативные документы ФСБ и ФСТЭК, обязательные для выполнения всеми операторами персональных данных. В них есть отсылки к другим документам регуляторов. Таким образом, нормативная база на сегодняшний день весьма обширна. Действенность системы может быть оценена только в рамках государственного контроля и надзора, предусмотренного законом. Пока он активно не ведется, говорить о действенности сложно – базы по-прежнему продаются и незаконно публикуются, и улучшений ситуации не видно.

CNews: Какие требования к средствам ИБ, и в частности к антивирусным продуктам, предъявляет закон о персональных данных?

Михаил Емельянников: Закон вообще не предъявляет требований к средствам ИБ. Он лишь определяет, что оператор персональных данных обязан принять меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. На реализацию части этих требований, таких, как препятствование распространению, модификации и уничтожению, и направлен функционал антивирусных средств. Упомянутое выше постановление правительства № 781 требует, чтобы все средства защиты, в том числе – и антивирусные, прошли процедуры оценки соответствия, т.е. были сертифицированы. А конкретный функционал антивирусных средств описывают нормативно-методические документы ФСТЭК.

Событие месяца

Вручены награды CNews AWARDS 2019: люди, технологии, проекты

Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS