Итак, для тех, кто в курсе дела. Совсем скоро грянет 1 июля – срок приведения в соответствие с требованиями Российского законодательства так называемых ИСПДн – информационных систем персональных данных, к коим относится великое множество ЭВМ и баз данных, начиная с простенькой 1С-ки и заканчивая всеобъемлющими регистрами и реестрами населения, которому все с того же 1 июля следует оказывать услуги в электронной форме.
Проблема защиты персональных данных с момента вступления в силу закона №152-ФЗ обросла массой многостраничных околонаучных теорий, которые и подменили защиту собственно данных защитой операторов ИСПДн от контролирующих органов или регуляторов. Предприимчивые люди уже сколотили себе состояния, продавая незадачливым руководителям организаций стандартные и тиражируемые в Интернете пакеты документов со страшными названиями: матрица доступа, контролируемая зона, модель угроз, акт классификации и т.п. Указанные пакеты могут быть использованы для прикрытия одного места на момент проверки, однако вовсе не защищают от колосальных штрафов в случае проверки по жалобе обиженного (бывшего) работника.
А украденные персональные данные продолжают продаваться из-под полы на черных рынках, нанося ущерб деловой репутации организаций и угрожая жизни и здоровью граждан. И так будет продолжаться долго, до тех пор, пока все владельцы компьютерных баз данных не поймут простую вещь – информация крадется путем копирования на маленькие съемные носители, объем которых позволяет хранить данные о миллионах субъектов. При этом с исходными данными внешне ничего не происходит, что позволяет успешно заметать следы и чувствовать безнаказанность.
Чтобы вы не делали – заключали договор с поставщиками или заказывали печати на ruspechati.ru – будьте бдительны! А тем, кто хочет реально защищать данные, следует жестко контролировать три канала утечки данных:
- доступ к USB портам и CD-ROM,
- вывод документов на печать и их размножение,
- доступ к Интернет и электронной почте.
Ну и конечно, чаще разговаривайте с доверенными лицами, чтоб быть в курсе событий, ибо самый простой метод социальной инженерии, направленный против вашей организации, основывается на простых обещаниях заплатить 3-5-10 тысяч рублей за “пустяковую” услугу.