VI Международная студенческая научная конференция Студенческий научный форум - 2014

Согласно проведенным исследованиям защита информации является неотъемлемой частью политики современного предприятия. На сегодняшний день всё большее число организаций используют базы данных клиентов, а сотрудники имеют полный доступ к их персональным данным. С развитием информационных технологий и распространением Интернета специалисты по защите персональных данных сталкиваются с возрастающим объемом утечек персональных данных со стороны злоумышленников и инсайдеров. Поэтому защита персональных данных в организациях становиться не только законодательной обязанностью, но и насущной потребностью.

Изучив различные определения, можно констатировать, что под защитой персональных данных понимается совокупность технических и организационных мероприятий, которые направленны на защиту сведений о субъекте персональных данных. Обязанность по защите персональных данных возлагаются на государственные и частные организации, деятельность которых связанна с поиском, сбором, обработкой или хранением, персональных данных. Персональные данные – это любая информация, которая относится к частному лицу, в соответствии с законодательством.

Организации, собирающие персональные данные, обязаны защищать собранные сведения от модификации и разглашения. За соблюдением нормативных требований следит особый регулятор «Роскомнадзор» – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ведущая реестр операторов персональных данных.

Различные Федеральные законы и подзаконные акты ФСТЭК и ФСБ требуют от операторов построения современной системы защиты с использованием антивирусных решений, межсетевых экранов, систем предотвращения вторжений, управления идентификацией пользователей и контроля доступа, шифрования, защиты от утечек, системы управления событиями безопасности и других защитных механизмов.

Анализируя различные информационные системы, можно прийти к выводу, что защитить персональных данных можно только в тех информационных системах, где злоумышленник не может вмешаться в работу ее базовых элементов – сетевых устройств, операционных систем и приложений и СУБД. Одним из средств предотвращения утечек информации, в том числе персональных данных, является защита от вирусов. Вредоносные программы часто организуют скрытые каналы утечки и занимаются воровством информации. В некоторых антивирусных решениях класса Internet Security уже встроены персональные межсетевые экраны, фиксирующие атаки по сетевым протоколам и попытки сетевых червей проникнуть на защищаемую машину.

От массовых атак должны быть защищены не только каждое рабочее место, но и сети целиком. Для этого используют системы блокировки неиспользуемых сетевых протоколов и сервисов. Средства организации виртуальных частных сетей – VPN, часто добавляют к функциональности межсетевых экранов. Сканеры уязвимостей, которые проверяют информационную систему на наличие различных «брешей» в операционных системах и программном обеспечении, также относят к общим средствам защиты. Как правило, это отдельные программы или устройства, которые тестируют систему путем посылки специальных запросов, имитирующих атаку на протокол или приложение. MaxPatrol, семейство продуктов IBM ISS, Symantec и McAfee являются наиболее популярными продуктами этого класса. На данный момент получают распространение пассивные сканеры, контролирующих сетевой трафик, выявляя в нем наличие тех или иных признаков уязвимости. Для проведения внутреннего аудита защиты также можно использовать сканеры уязвимостей.

Набор средств для защиты конфиденциальных данных от утечек находится сейчас в стадии формирования. Существует несколько классов таких продуктов: системы контроля над периферийными устройствами, системы защиты от утечек и средства шифрования, причем каждый из производитель позиционирует, что именно его продукт защищает от утечек лучше. Скорее всего, для полной безопасности имеет смысл сочетать все эти типы продуктов, но пока таких комплексных решений на рынке нет. Эти продукты для предотвращения утечек конфиденциальной информации можно использовать не только для защиты персональных данных, но и для предотвращения разглашения любых критических сведений для работы предприятия. С помощью этих средств можно не только формально удовлетворить требования законодательства по защите персональных данных, но и также решить задачи по защите других видов информации.

Таким образом, следует помнить, что для выполнения требований действующего законодательства по защите персональных данных надо пользоваться сертифицированными средствами защиты и при их установке следует проверить наличие сертификата ФСТЭК и ФСБ.

Список литературы

1. Марков А.С., Никулин М.Ю., Цирлов В.Л. Сертификация средств защиты персональных данных: революция или эволюция? - «Защита информации. Инсайд». - 2008.- №5.

2. Сухинин Б.М. Проблемные вопросы защиты персональных данных – Тез.докладов XI Международной конференции РусКрипто'2009. – Москва, 2-5 апреля 2009 г.

3. Левиев Д.О. Практический опыт защиты персональных данных в кредитно-финансовых организациях – Тезисы докладов V Международной специализированная выставка-конференция Infosecurity Russia 2008, - Москва, 7–9 октября 2008 г.