#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Системы защиты от утечекМаркетологи уже неоднократно предпринимали попытки связать защиту персональных данных с внедрением систем класса DLP. Очередная статья, на эту тему, появилась на сайте Открытые системы.

Системы класса DLP действительно, на сегодняшний день, наиболее эффективный инструмент для защиты конфиденциальной информации, персональные данные не исключение. Сложность использования таких систем в России заключается в нескольких вещах:

1) позиционирование систем DLP на российском рынке 2) полнейшее выпадение этих систем из российской нормативной базы.

В первом случае, заказчики, которые устанавливают системы защиты от внутренних угроз НИКОГДА не называют их таковыми. Понятно, что при заявлении об использовании таких систем возникают вопросы со стороны ФСБ, со всеми вытекающими отсюда последствиями. В частности, если вы используете системы такого класса, то использовать можно, лишь сертифицированные средства, которые не всегда самые лучшие (Infowatch, no offence).

Во втором случае, если посмотреть в законе ФЗ-152 «О персональных данных» (также как и в руководящих документах), то оснований для использования таких систем DLP мы не найдем. Может быть, отчасти это связанно с пресловутым позиционированием… Единственный пункт, к которому можно привязать DLP это Статья 19 закона «О персональных данных»:

«Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий»

И все.

Конечно, в банковском стандарте СТО БР ИББС, есть намек на «желательность» использования систем защиты от утечек, но стандарт ПОКА необязателен, и ПОКА не связан с проблематикой персональных данных.

Компаний в России, которые реально озабочены утечками персональных данных, очень и очень мало, и силы сейчас бросаются только на выполнение обязательных требований закона и подзаконных актов, где DLP нет. Зачем в условиях жесткой экономии денежных средств внедрять для защиты персональных данных, что-то необязательно? С целью защититься от внутренних угроз – это одно дело, но пытаться через DLP выполнить требования 152-го закона… нелепо.

Автор статьи: Царев Евгений

9 комментариев

    > полнейшее выпадение этих систем из российской нормативной базы

    Просто не фиг было аббревиатуру эту тащить — сами же себя и раскорячили между типов СЗИ буквой зю — сами пусть и пожинают.

    Вопрос применения в подсистеме регистрации и учета не рассматривали? 😉 Ну подумаешь еще некоторые «лишние» функции 😆

    Другой вопрос с сертификацией как СЗИ DLP-систем.

    swan:

    С сертификацией особых проблем нет… нужно просто все грамотно оформить… даже советы раздавал…
    1. напишите ТУ на ваши изделия
    2. согласуйте эти ТУ с ФСТЭК
    2. подготовьте производство
    3. сертифицируйте на соответствие ТУ + НДВ + по схеме производство
    5. разработайте Профиль защиты для DLP систем
    6. разработайте Задания по безопасности для своих изделий
    7. сертифицируйте на соответствие ЗБ + НДВ
    8. Под занавес — разработайте проект РД для подобных систем…

    swan: «ЗБ + НДВ», почему именно 3Б?

    swan:

    Это связано с легализацией в современных условиях…
    Есть несколько вариантов в условиях отсутствия РД по DLP…
    Самых честных пути 3
    1. — По Тех. Условиям, которые надо разработать и обязательно согласовать.
    2. — Разработать самим проект РД для DLP и «протащить» его и сертифицировать на соответствие этому РД.
    3. — Чтобы РД не разрабатывать можно разработать Профиль защиты, «протащить» его и готовить Задания по безопасности соответствующие этому Профилю, после чего и сертифицировать на соответствие ЗБ.

    Другое дело что на каждом пути есть особенности… но это уже долгий разговор…

    А.:

    Необходимость использования DLP вытекает из пп.»Б» п.11 постановления 781.

    Виктор:

    Давно замечаю неплохие идеи присутствует в последнх постах

    Материал на отлично. Но есть и минус! Мой модем 56kb/sec. Блог грузилась почти 50 секунд.

    Долгo иcкал эту тeму, благодарю 🙂

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.