четверг, 2 апреля 2009 г.

Повышение осведомленности в вопросах ИБ, как один из ключевых аспектов обеспечения защиты персональных данных

  В последнее время разве что не ленивый не обсуждает тему защиты персональных данных. Не смотря на это, количество вопросов по приведению в соответствие информационных систем обработки персональных данных (ИСПДн) не уменьшается. Практически каждый пункт Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" вызывает бурные обсуждения у специалистов. Даже взять тот факт, что данный закон регламентирует ОБЯЗАННОСТИ оператора персональных данных (ПДн) и ПРАВА субъектов ПДн, уже говорит о его односторонней направленности. Вдобавок ко всему, вышедшее Постановление Правительства РФ от 15.09.2008 N687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" не только не сняло вопросы, а наоборот, усугубило ситуацию. Складывается впечатление, что данное постановление просто попытка юристов сгладить некорректный перевод словосочетания "автоматизированная обработка" (вместо корректного перевода "автоматическая обработка") Конвенции Совета Европы "О защите личности в связи АВТОМАТИЧЕСКОЙ обработкой персональных данных" (оригинал).
   Ну да ладно, это все лирика и как говорится, Законы исполняются, если их нельзя обойти. Есть закон, есть соответствующие подзаконные акты, значит необходимо их исполнять.
  Основной вопрос, на который хотелось бы ответить, заключается в следующем: Как влияет уровень компетенции сотрудников организации в вопросах информационной безопасности на степень защищенности персональных данных, которые обрабатываются оператором? Первое, что приходит на ум, это второй вопрос, а есть ли отличия данного влияния от влияния на уровень защищенности любого другого вида конфиденциальной информации организации (например, коммерческой или служебной тайны)?
  Первый вопрос можно разбить на 2 части:
  1. Влияние на защищенность личных персональных данных субъекта (сотрудника компании). Т.е., насколько субъекту важен факт хорошей защищенности его ПДн? И осознает ли он тот факт, что в результате его не компетентности, его случайных ошибок и преднамеренных действий данные сведения могут стать достоянием недобросовестных лиц;
  2. Влияние на защищенность всех персональных данных, циркулирующих в ИСПДн. Здесь уже повышение уровня компетенции сотрудников должно стать обязательным условием того, что из-за случайных ошибок сотрудников персональные данные не утратят одно из основных своих свойств – конфиденциальность.
  Что касается второго вопроса, то с большой долей уверенности можно утверждать, что принципиальных отличий нет, т.к. персональные данные также относятся к категории информации ограниченного доступа, т.е. являются конфиденциальной информацией, ограничение доступа и уровень защищенности которой регулируется государством.
  Соответственно, все свое сообщение я буду базировать на этом факте.

  Согласно статистики, порядка 75% инцидентов безопасности происходит из-за, так называемого, злополучного человеческого фактора (остальные 25% связаны с проблемами электропитания, внешними атаками и вирусами). При этом более 55% инцидентов происходят из-за ошибок персонала, большая часть которых не умышленные. Все инциденты безопасности, связанные с сотрудниками компании, можно отнести к категории инсайдерских инцидентов. Также статистика говорит о том, что более чем в 26% инцидентов инсайдеры действовали с другим аккаунтом или использовали другой компьютер с открытым аккаунтом, либо манипулировали людьми, чтобы получить доступ к необходимой информации или системе. Это говорит о том, что рядовые пользователи невольно могут стать соучастниками достаточно крупных инцидентов безопасности. Для них проблема усугубляется тем, что все обвинения будут адресованы именно им, т.к. именно под их учетными записями произошли те, либо иные инциденты. Система не различает физические и физиологические характеристики субъекта, который получает доступ к ней, а авторизует по корректно введенному логину и паролю.
  Также, пользователи могут стать виновниками инцидентов не из-за злого умысла, а из-за не знания элементарных правил в области ИТ и ИБ, из-за не знания ответственности, которую они понесут за те, либо иные действия и/или бездействия.
  Несомненно то, что если правильно донести до пользователя тот факт, что наличие слабого пароля и/или запись пароля на стикет может привести к утечке конфиденциальной информации (из-за того, что злоумышленник воспользуется данной учетной записью) и возникновению серьезных инцидентов безопасности, то пользователь будет гораздо внимательнее обращаться со своими учетными данными.
  Что касается парольной защиты, то здесь не обязательно злоумышленнику его воровать, а достаточно подобрать пароль. Может возникнуть резонное возражение, что в большинстве компаний учетная запись блокируется после третьей не правильной попытки ввода пароля. Все верно, но как показывает опыт наиболее распространенными паролями являются пароли типа 123456 или 111111 и т.п. Соответственно, если организация насчитывает сотни и более сотрудников, то вероятность встретить именно эти комбинации цифр, как минимум у нескольких из них, очень велика. Также, данная комбинация цифр является стандартной при сбросе пароля пользователя администратором безопасности в случае, если, например, пароль пользователя перестал действовать или он его забыл. Как правило, сброшенный пароль меняется не сразу, а течение нескольких дней.
  Даже если учесть только указанный факт, то сразу становится понятно, насколько велика вероятность возникновения инцидента безопасности.
  Решение данной проблемы – обучение и повышение осведомленности сотрудников в области ИБ.
  Периодическое обучение и повышение осведомленности является хорошей практикой во многих компаниях во всем мире. Одним из обязательных требований Национальных и Международных стандартов по ИБ (СТО БР ИББС, ГОСТ27001, ISO/IEC27001 и т.п.) является внедрение в компании системы регулярного обучения и повышения осведомленности сотрудников в области ИБ. Отчеты компаний CSI/FBI говорят о том, что обучение пользователей является наиболее важным аспектом обеспечения ИБ для любой организации. Также наличие подготовленных специалистов в области ИБ и ЗИ является обязательным условием получения лицензий ФСТЭК и ФСБ (в частности, для выполнения требований по обеспечению безопасности ПДн оператором).
  К наиболее распространенным методам и элементам повышения осведомленности сотрудников относятся следующие:
  – корпоративная система дистанционного обучения и тестирования,
  – тестирование с помощью, например, методов социальной инженерии,
  – ленты новостей,
  – экранные заставки,
  – специализированные тематические плакаты,
  – анимационные ролики,
  – офисные (в частности, канцелярские) принадлежности,
  – настольные памятки.

  Все это направлено на то, чтобы ненавязчиво доносить до человека основные правила ИБ, а также понимание ответственности за те, либо иные действия и бездействия, приведшие к возникновению инцидента.
  Одним из основных и эффективных методов повышения осведомленности является проведение дистанционного обучения и тестирования сотрудников.
  Дистанционные технологии могут использовать 2 вида коммуникаций:
  1. Асинхронные коммуникации (электронная почта, форумы, доски объявлений, т.е. коммуникации при которых обмен сообщениями происходит в произвольное время);
  2. Синхронные коммуникации (видео, аудио конференции, чаты, т.е. коммуникации при которых обмен сообщениями происходит в режиме реального времени).
  Наиболее эффективными и сложными являются синхронные коммуникации, к которым относятся следующие технологии:
  1. чат (текстовые конференции);
  2. мгновенный обмен сообщениями;
  3. совместное использование приложений;
  4. аудиоконференции;
  5. видеоконференции и видеотрансляции (односторонние и двусторонние);
  6. веб-конференции (онлайн-семинары, вебинары);
  7. виртуальный класс. 

  Об этих технологиях я уже писал в одном из своих сообщений.

   Соответственно, чем не навязчивее, красочнее (возможно эмоциональнее), проще и доходчивее до пользователя будут доноситься основные правила ИБ, тем эффективнее будет проходить процесс повышения осведомленности. Обучение и повышение осведомленности персонала позволит решить большое количество проблем безопасности организации.

2 комментария:

  1. Похоже чем ближе 1-е января 2010 года, тем все больший интерес появляется к защите персональных данных. :) Игорь, как думаешь, будут ли понятные разъяснения со стороны государства, что делать бизнесу для того, чтобы избежать проблем? Или все ограничится кулуарным советом спрятаться под зонтик лицензиата? :)

    ОтветитьУдалить
  2. Саша, привет. Я как раз только сегодня вернулся с конференции Рускрипто-2009 и даже на ней была секция по защите ПДн :). У меня складывается такое впечатление, что со стороны государства каких-либо внятных разъяснений ждать не стоит. Чиновники уже сделали все что могли и усложнили жизнь не только нам, но и себе :(. Ведь в первую очередь проверки Роскомнадзора будут направлены на госструктуры, т.к. именно там в автоматизированных системах крутятся ПДн десятков и сотен тысяч граждан. Именно оттуда эти данные кочуют на CD на савеловский р-к, горбушку и т.п. Все это относится и к телекомам. Наверно единственное, что сейчас может сделать государство, это отодвинуть сроки начала действия фискальных мер для операторов ПДн. Что касается бизнеса, то я полностью согласен с Алексеем Лукацким, что крайне не желательно регистрироваться на сайте Роскомнадзора в качестве оператора, т.к. плановые проверки будут осуществляться именно этих компаний. Что касается ребят из ФСТЭК и ФСБ, то они просто так не придут, т.к. еще никто не отменял ФЗ №134 от 14.07.2001 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» (http://www.consultant.ru/online/base/?req=doc;base=LAW;n=65012). Естественно, полностью игнорировать ситуацию нельзя, а планомерно и без истерик приводить в соответствие с ФЗ 152 свои ИСПДн.
    Кстати, на секции по защите ПДн Рускрипто-2009 народ пытался разобраться со следующей ситуацией. Если субъект ПДн отправляет электронное письмо со своем резюме в какую-либо компанию (например, для устройства на работу) и данное письмо попало в информационную систему компании, то данный субъект может подать жалобу в Роскомнадзор, что компания осуществляет незаконную обработку его ПДн. Получается, что это достаточно сильный инструмент шантажа и влияния на конкурентов и обидчиков.

    ОтветитьУдалить