Логин

Пароль или логин неверны

Введите ваш E-Mail, который вы задавали при регистрации, и мы вышлем вам новый пароль.



 При помощи аккаунта в соцсетях


Журнал «ПАРТНЕР»

Журнал «ПАРТНЕР»
Общество >> Полезная информация
«Партнер» №5 (248) 2018г.

Защита личных данных на предприятии. Технические аспекты

 

В этом материале мы постараемся ответить на наиболее важные вопросы по техническим аспектам выполнения требований постановления о защите персональных данных DS-GVO. Ситуацию осложняет то, что настоящее постановление находится на стыке бурно развивающейся и юридически достаточно слабо отрегулированной IT-области и права частных лиц на защиту своих данных.

 

Необходимость изменений касается не только договоров с клиентами или с партнерами, обновления информации на веб-сайте, ограничения доступа персонала к данным, но и модернизации комплекса IT-оборудования фирм. Если понимать буквально написанное в законе, то фирмы должны обзавестись IT-инфраструктурой, которая обеспечит необходимый уровень защиты и контроля информации.

 

Что необходимо предпринять тем, кто только задумался над построением собственной структуры защиты и сохранения информации?

 

Во-первых, надо провести анализ персональных данных, которыми оперирует фирма. Интерес представляет любая информация, которая позволяет идентифицировать физическое лицо или самостоятельного предпринимателя:

  1. Данные, связанные с сотрудниками. Это может быть любая информация от фамилии до веса или роста, номера счета и т.п., не исключая аудиозаписей телефонных переговоров и видеозаписей с камер наблюдения.
  2. Данные, связанные с клиентами. Это может быть имя, пол, адрес проживания, номер расчетного счета, телефон, e-mail и пр.
  3. Данные партнеров. Это могут быть данные как непосредственно самого партнера, так и его клиентов.
  4. Данные, требующие дополнительной защиты. Например, платежные данные или результаты обследований, поставленный диагноз и др.

 

К задачам, которые стоят перед предприятием в части технико-организационных мероприятий, относятся:

  1. Защита данных от несанкционированного доступа.
  2. Хранение в зашифрованном виде, защита от удаления, изменения или копирования.
  3. Удаление данных по истечении срока хранения или по требованию обладателя данных.
  4. Выявление утечек или несанкционированного доступа к данным, а также мониторинг попыток несанкционированного доступа.
  5. Безопасный обмен информацией (VPN, защищенный электронный документооборот).

Рассмотрим подробнее каждый из этих пунктов.

 

Защита данных от несанкционированного доступа

 

Построение защиты можно начать с поиска гипотетического врага. Он может быть как снаружи, так и внутри. Если вы оцениваете как наиболее вероятную попытку несанкционированного доступа снаружи (например, это хакер в другой стране), то больше внимания стоит уделить сетевому экрану (Firewall), подобрать оборудование и программное обеспечение (ПО), исходя из наиболее вероятных типов атак, держать программное обеспечение в актуальном состоянии.

 

Если ваш враг внутри (например, сотрудник, работающий на конкурентов), то следует больше внимания уделить внутренней инфраструктуре, разграничению прав доступа к файлам, папкам, сканерам и принтерам, наладить двухфакторную аутентификацию посредством аппаратных ключей eToken, внедрять биометрические сканеры и т.п.

 

Нередки комбинированные варианты, например, когда сотрудник приносит свой персональный ноутбук, который заражен вредоносным ПО, и подключает его к компьютерной сети организации. Через данный ПК злоумышленники могут похитить персональные данные. Поэтому многие организации жестко пресекают подключение любого стороннего оборудования в свои сети, что является простым, но крайне эффективным вариантом защиты.

 

Это лишь несколько примеров, комбинаций и вариантов несанкционированного доступа, которых множество. Методы предотвращения существенно зависят от специфики ведения бизнеса, объема и типа охраняемой информации. Даже недорогие, но правильно подобранные средства защиты будут более действенны, чем дорогостоящие, но не подходящие или неправильно настроенные.

 

Хранение в зашифрованном виде, защита от удаления, изменения или копирования

 

Одним из путей безопасного хранения информации является шифрование данных. Это может быть программа, установленная на ПК, сервере или встроенная в сетевое хранилище (NAS), шифрующая с помощью специального алгоритма все необходимые данные. При этом можно обеспечить безопасное хранение не только на конкретном ПК и его диске, но и на передаваемом внешнем носителе, таком как флэш-накопитель, компакт-диск, дискета. Стойкость шифра должна соответствовать специфике бизнеса.

 

Злоумышленник, получив информацию или физический носитель с ней (флэш-накопитель или жесткий диск), не может ею воспользоваться без процедуры дешифровки. Процедура дешифровки может быть санкционирована как паролем, так и многими другими средствами аутентификации, какими являются, например, электронный ключ, биометрические данные и т.д.

 

Сегодня шифрование информации является эффективным способом ее защиты, работа с ней не создает дополнительных сложностей для сотрудников. При запросе на чтение или запись программа расшифровывает или зашифровывает только необходимые участки хранилища, что позволяет обеспечить работу пользователей без задержек.

 

Если с обеспечением шифрования более или менее ясно, то как быть с защитой от удаления и изменения? Контроль за информацией на рабочих станциях (компьютерах) сотрудников является непростой задачей. Одним из возможных решений может быть централизованное хранение защищаемых данных с разграничением прав доступа к документам. Существует множество решений, позволяющих не только организовать безопасную работу с документами в фирме, но и регистрировать любые операции по изменению, копированию и удалению.

 

Одним из эффективных способов защиты может стать создание резервных копий данных. Применение технологии RAID для зеркального копирования информации на несколько жестких дисков позволяет обезопасить данные от аппаратных проблем. Например, в случае выхода из строя диска достаточно его заменить на новый, и вся информация будет безболезненно восстановлена. Источник бесперебойного питания предотвратит внезапное отключение оборудование при записи или чтении данных, что обезопасит их от повреждения и потери. Использование специализированных программных продуктов для создания резервных копий поможет организовать автоматическое резервное копирование данных на внешние носители, что позволит быстро восстановить их после атаки хакеров, аппаратного сбоя, несанкционированного удаления или изменения.

 

Выявление утечек или несанкционированного доступа к данным

 

Методы защиты от несанкционированного доступа к данным можно условно разделить на два вида: защита на уровне сети и на уровне ПК, сервера, NAS. Для пресечения атак в сети широко используются системы IPS (Intrusion Prevention System – система предотвращения вторжений). Система анализирует весь передаваемый трафик в сети, ищет и пресекает атаки, распространение вредоносного ПО, фиксирует попытки вторжения, уведомляет о случившемся ответственный персонал.

 

На рынке существует широкий ассортимент систем предотвращения вторжений: от программ, интегрированных в роутер, до отдельных программно-аппаратных комплексов.

 

Программные продукты для ПК, сервера, NAS также могут предотвращать или фиксировать любые несанкционированные операции, уведомлять о всех критических событиях, применять необходимые меры, в том числе изоляцию всех данных до разбирательства в случившемся.

 

Безопасный обмен информацией

 

Почти у каждого предприятия или предпринимателя есть деловые партнеры. Ежедневно происходит многократный обмен информацией. Например, распечатав электронную почтовую марку для отправки пакета покупателю, немногие задумываются о том, что передали его персональные данные сторонней организации.

 

При обмене данными необходимо также пресекать доступ к информации посторонних, применяя средства защиты. Например, в случае заполнения веб-форм на веб-сайтах необходимо удостовериться в том, что соединение осуществляется по протоколу HTTPS, а сертификат сайта действителен. Эта простая мера предотвратит как перехват информации, так и подлог сайта со стороны злоумышленников.

 

Не стоит забывать и о необходимости фиксации такого действия как занесение в соответствующий журнал организации. Используя системы защищенного документооборота, можно упростить взаимодействие между партнерами и не только безопасно обмениваться данными, но и автоматически вести полный реестр документов. В случае если обмен данными значительный, имеет смысл организовать защищенный канал связи между организациями, используя технологии VPN (Virtual Private Network); наладить с помощью VPN внутренний обмен файлами, вывод данных на печать, всё это – с применением шифрования. Также эта технология будет полезна в случае организации удаленных рабочих мест с соблюдением правил защиты данных, в том числе голосовых переговоров.

 

О методах защиты данных написано множество книг, ведущим университетам требуется несколько лет, чтобы подготовить специалистов в этой области. Поэтому важно понимать, что построение систем безопасности всё-таки лучше доверить профессионалам, особенно в тех случаях, когда информация представляет собой ценность и для третьих лиц. Только специалист, опираясь на опыт и специфику вашего бизнеса, сможет подобрать наиболее эффективные средства для обеспечения безопасности и сохранности данных. Правильно выбранные меры, соответствующие ситуации в фирме, позволят не только выполнить требования закона, но и уберечь бизнес от репутационных издержек и финансовых потерь.

 

Подготовка к исполнению DSGVO

 Консультирование, аудит IT-инфраструктуры,

подбор индивидуальных решений по защите информации,

выявление и анализ каналов утечки данных, устранение уязвимостей.

Тел. +49 (211) 7495 1685 (Дюссельдорф)

http://www.perao.ru ( по-русски)

http://www.perao.de (Deutsch)

info@perao.de

 

Алексей Виноградов, технический директор фирмы Perao

Александр Михайлик, исполнительный директор фирмы Perao


Читайте также:

  1. DSGVO. Организация защиты личных данныхЖурнал «Партнёр», № 6 / 2018. Авторы адвокат Р. Пусеп, юрист Ю.Джуваго
  2. Защита персональных данных коснется всех компаний с мая 2018. Журнал «Партнёр», № 4 / 2018. Интервью с адвокатом Р. Пусепом
  3. Защита личных данных физических лиц. Журнал «Партнёр», № 3 / 2018. Автор Ю. Джуваго
  4. Защита данных и безопасность бизнеса. Раздел «Вопрос-ответ» на интернет-портале журнала «Партнёр»




<< Назад | №5 (248) 2018г. | Прочтено: 726 | Автор: Михайлик А. |

Поделиться:




Комментарии (0)
  • Редакция не несет ответственности за содержание блогов и за используемые в блогах картинки и фотографии.
    Мнение редакции не всегда совпадает с мнением автора.


    Оставить комментарий могут только зарегистрированные пользователи портала.

    Войти >>

Удалить комментарий?


Внимание: Все ответы на этот комментарий, будут также удалены!

Топ 20

ALDI и LIDL

Прочтено: 6141
Автор: Мучник С.

Термомикс и компания

Прочтено: 5902
Автор: Мучник С.

Алименты в Германии. Вопросы и ответы

Прочтено: 5355
Автор: Кримханд В.

О дополнительных выплатах Claims Conference

Прочтено: 5052
Автор: Редакция журнала

Больше денег на счету получателя пособия

Прочтено: 4081
Автор: Миронов М.

Берегись автомобиля

Прочтено: 3417
Автор: Kapp H.

Российская пенсия и социальные пособия

Прочтено: 3389
Автор: Рогнер Ю.

Изменения для получателей Grundsicherung

Прочтено: 2625
Автор: Редакция журнала

Изменения в немецком законодательстве в 2018 году

Прочтено: 2603
Автор: Редакция журнала

Введение минимальной зарплаты

Прочтено: 2159
Автор: Мармер Э.