DeviceLock для соответствия ФЗ № 152 «О персональных данных»

Требования закона

DeviceLock от «Смарт Лайн Инк»

Возможности DeviceLock для защиты персональных данных

 

Защита персональных данных (ПД) должна осуществляться в соответствии с Федеральным законом Российской Федерации от 26.07.2006 № 152 «О персональных данных», постановлениями Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Федеральный закон (ФЗ) № 152 «О персональных данных» вступил в силу в конце февраля 2007 года, а ранее созданные информационные системы должны были быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.

Согласно указанному ФЗ все юридические и физические лица, хранящие или обрабатывающие персональные данные других граждан, обязаны обеспечить конфиденциальность этой информации, в противном случае они понесут ответственность.

Федеральный закон № 152 определяет основополагающие требования к безопасности персональных данных, а в качестве дополнения к нему выступает Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Даже после краткого ознакомления с требованиями закона и приказа становится очевидно, что для обеспечения соответствия им потребуется принятие ряда организационно-административных мер и внедрение определенных технических решений в сфере ИТ-безопасности.

Под персональными данными закон определяет очень широкий спектр сведений: фамилия, имя, отчество, место и дата рождения, адрес регистрации, образование, профессия, доходы, истории болезни и т.д. По сути, любые сведения о жизни гражданина определены законом в качестве персональных данных.

Контроль и надзор за обработкой ПД осуществляет Федеральная служба по надзору в сфере связи, которая находится в ведении Министерства информационных технологий и связи Российской Федерации.

Требования закона

Согласно ФЗ № 152, оператор или иное получившее доступ к персональным данным лицом должно не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Таким образом, критические требования к защите от утечек и несанкционированного доступа вплетены в саму структуру закона уже на уровне определений.

Задача обеспечения конфиденциальности ПД ставится в тексте закона в нескольких местах, в частности оператор ПД «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Таким образом, закон предписывает обеспечить защиту персональных данных от целого ряда угроз ИТ-безопасности. При этом требования ст. 19 выходят за рамки конфиденциальности и затрагивают еще и целостность персональных данных.

Очевидно, что в законе речь о непредоставлении доступа к ПД сотрудникам компаний — операторов ПД не идет, если таковой доступ связан с исполнением ими своих должностных обязанностей. А вот ситуация, когда в силу несанкционированной утечки персональные данные попадают в сторонние руки, явно может характеризоваться как неправомерный или случайный доступ. Более того, намеренное копирование обрабатываемых ПД целиком или полностью на внешние носители с целью продолжения их обработки вне офиса, если при этом не применяются средства шифрования данных либо в месте обработки не может быть обеспечено соблюдение требований закона (например, в домашних условиях), также является нарушением закона.

DeviceLock от «Смарт Лайн Инк»

Продукт DeviceLock разработан российской компанией ЗАО «Смарт Лайн Инк» и предназначен для корпоративных пользователей. DeviceLock позволяет контролировать весь спектр потенциально опасных устройств, таких как USB-порты, дисководы, CD/DVD-приводы, а также FireWire, инфракрасные, параллельные и последовательные порты, Wi-Fi и Bluetooth-адаптеры, ленточные накопители, КПК, любые внутренние и внешние сменные накопители и жесткие диски.

Ключевой особенностью продукта является не только контроль за передачей данных в соответствии с заданными политиками, но еще и полное событийное протоколирование (детальный аудит действий пользователей с устройствами и данными) и теневое копирование всей исходящей информации.

Когда речь заходит о контроле над карманными компьютерами, смартфонами и различными коммуникаторами, то DeviceLock не просто поддерживает теневое копирование всех данных, передаваемых на мобильное устройство, но и позволяет реализовать гибкие политики безопасности и проследить за их исполнением. Например, продукт может разрешить синхронизировать контакты и календарь, но запретить копирование файлов или синхронизацию электронной почты с вложениями. Это крайне полезная функциональность, особенно в свете постоянного роста популярности мобильных устройств.

Отдельно стоит выделить возможности DeviceLock по гранулированному контролю доступа пользователей к принтерам. DeviceLock обеспечивает событийное протоколирование и оставляет теневые копии распечатываемых документов, которые впоследствии можно проанализировать и просмотреть в графическом формате.

Благодаря дополнительному компоненту — DeviceLock Content Securuty Server — DeviceLock предоставляет широчайшие возможности для анализа скопированных пользователями данных, предлагая быстрый поиск по содержимому сохраненных в централизованной базе данных аудита файлов, которые были скопированы либо распечатаны пользователями, и журналам аудита.

Возможности DeviceLock для защиты персональных данных

Продукт DeviceLock осуществляет контроль за передвижением данных через локальные порты рабочей станции, беспроводные сети и съемные носители на основе гибких политик.

Каждый раз решение о том, чтобы разрешить или запретить доступ к внешнему устройству, принимается автоматически в строгом соответствии с заданными службой безопасности политиками и для определенного пользователя. Таким образом, настройки и политики DeviceLock легко подвержены аудиту, а сам продукт не создает дополнительных рисков информационной безопасности.

Использование DeviceLock в корпоративной среде позволяет обеспечить соответствие двум основным требованиям ФЗ «О персональных данных» и Постановления Правительства РФ № 781:

  • согласно п. 2 постановления, безопасность персональных данных должна включать «организационные меры и средства защиты информации (в том числе шифровальные средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам…)». Очевидно, здесь подразумевается и защита от утечки персональных данных по каналам связи и через локальные коммуникации рабочих станций. DeviceLock позволяет минимизировать риски утечки через сменные носители, мобильные устройства и беспроводные сети, что является неотъемлемым требованием при обеспечении безопасности персональных данных. Кроме того, интеграция DeviceLock с внешними криптографическими продуктами позволяет гарантировать, что в случае санкционированного копирования данных на внешние носители будет обеспечено их шифрование, а значит, предотвращен несанкционированный доступ к ПД;
  • согласно п. 11а постановления, организация обязана своевременно обнаруживать факты «несанкционированного доступа к персональным данным». Другими словами, каждая организация обязана иметь механизмы и средства выявления утечки, так как утечка является неавторизованным разглашением персональных данных, следствием чего неминуемо является несанкционированный доступ к этим сведениям со стороны неуполномоченных лиц. На помощь приходят DeviceLock и DeviceLock Search Server, обеспечивающие, с одной стороны, теневое копирование данных, экспортируемых с ПК на сменные носители и мобильные устройства, а с другой — возможность быстрого и эффективного анализа собранной информации, включая поиск внутри сохраненных в базе данных теневого копирования документов, благодаря чему можно легко определить, где, когда и каким способом произошла утечка.

 

В начало В начало

КомпьютерПресс 2'2010

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует