Защита персональных данных — рекомендации экспертов Aladdin для ростовcкого бизнеса

Вступление в силу Федерального закона «О персональных данных» породило массу вопросов среди читателей TechnoDrive. Ведь уже через 2,5 месяца каждое предприятие должно надежно защитить всю персональную информацию сертифицированными средствами. Но как это сделать максимально эффективно, — и по-возможности доступно?.. На эти вопросы в сегодняшнем выпуске отвечает директор по маркетингу компании Aladdin Software Security R.D. Шахноза Салманова.

— Шахноза, какие решения Aladdin вы порекомендуете для защиты CRM малых и средних фирм?

— В соответствие требованиям закона ФЗ-152 «О персональных данных» всем предприятиям, вне зависимости от их размера, необходимо привести конфиденциальные данные, обрабатываемые в автоматизированных системах, в рамки нескольких подсистем: управление доступом, регистрация и учет, криптографическая защита и т.д. Для решения этих задач компания Aladdin уже более 10 лет выпускает высокотехнологичные продукты, объединенные в линейки eToken и Secret Disk.

Так, линейка ключей eToken — единственное на сегодняшний день средство аутентификации и хранения ключевой информации, рекомендуемое ФСТЭК для использования в информационных системах операторов персональных данных. Применение сертифицированных ключей eToken позволит обеспечить выполнение требований ФСТЭК в подсистемах управления доступом. Каждый электронный ключ eToken обладает уникальным идентификатором, записанным в защищенной памяти микросхемы и напечатанным на корпусе устройства. После проведения процедуры инициализации ключа это позволяет однозначно идентифицировать корпоративного пользователя или частных клиентов.

Применение двухфакторной аутентификации на базе смарт-карт технологий отвечает требованиям по реализации проверки подлинности субъектов доступа и контроля доступа к защищаемым ресурсам. Кроме того, продукты eToken обеспечивают надежное хранение сертификатов и ключевой информации при работе со всеми распространенными криптопровайдерами, — в том числе разработанными компаниями «КРИПТО-ПРО», «Инфотекс», «Сигнал-КОМ», МО ПНИЭИ и «ЛИССИ».

Инновационный подход, надежность и высокий уровень защиты, обеспечиваемые продуктами Aladdin, нашли новое развитие в версии Secret Disk 4.

Данный продукт сертифицирован ФСТЭК России и является оптимальным решением для защиты критически важных данных, хранящихся на стационарных компьютерах или ноутбуках руководителей организаций, финансовых директоров, бухгалтеров и других пользователей, работающих с персональными данными, а также информацией, относящейся к категории коммерческой тайны.

Secret Disk 4 обеспечивает шифрование системного раздела и строгую аутентификацию пользователя с помощью аппаратного USB-ключа eToken или смарт-карты до загрузки операционной системы. Также Secret Disk 4 позволяет зашифровать любые разделы жестких дисков, тома на динамических дисках, съемные носители (USB-диски, Flash-диски, ZIP, магнитооптические диски, дискеты, карты памяти для мобильных устройств и т.п.) и создавать виртуальные зашифрованные диски в виде файлов-контейнеров, в том числе на сетевых хранилищах данных (NAS).

Вся информация, защищаемая Secret Disk 4, хранится на дисках в зашифрованном виде и не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями, любопытными коллегами, администраторами или хакерами, подключившимися к компьютеру по сети. Она также не может быть использована посторонними при ремонте или краже компьютера, при утере съемного защищенного диска.

— Какие из предложенных решений наиболее экономичны — и при этом соответствуют требованиям ФСТЭК?

— Оба предложенных решения входят в реестр средств, рекомендуемых ФСТЭК для построения информационных систем, обрабатывающих персональные данные.

Построение эффективной, но неразорительной схемы защиты ПДн, невозможно рассматривать только с точки зрения использования «недорогих» технических средств безопасности. Необходимо разумно сочетать реализацию правовых, организационных и технических мер, стараться использовать возможности уже имеющихся в ИСПДн средств безопасности, применять настройки безопасности операционных систем и прикладного ПО.

Выбирать нужно только сертифицированные или имеющие перспективы сертификации в системах ФСТЭК и ФСБ средства защиты информации. Для снижения стоимости работ по приведению своей ИС к соответствию требованиям ФЗ-152 нужно очень четко определить границы ИСПДн и правильно классифицировать ее. Ведь именно от класса ИСПДн зависит набор механизмов защиты данных и цена, которую заплатит компания за то, чтобы соответствовать требованиям законодательства.

— Есть ли дополнительные пути для снижения ИТ-инвестиций в подобных проектах?

— Многие эксперты рынка информационной безопасности рекомендуют операторам персональных данных принять дополнительные меры, позволяющие снизить требования к сегментам сети, где расположены ИСПДн. К таким мерам можно отнести, например, обезличивание персональных данных (использование номера счета, номера договора и т. п.), сокращение числа рабочих мест, на которых обрабатываются персональные данные, организация терминального доступа к ИСПДн и т.д. Их применение позволит оптимизировать затраты и надежно защитить конфиденциальные данные.

— Спасибо!