С 1 января 2010 года информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона «О персональных данных». Это новое направление для российских ИТ‑специалистов, поэтому интересен опыт зарубежных коллег. О задачах в области защиты персональной информации мы беседуем с Рональдом Лусом, директором по технологиям и операциям в компании Grubb & Ellis Management Services (GEMS).

– Рональд, на что вы посоветуете обратить особое внимание при решении задачи защиты персональных данных?

— В США законов федерального уровня, регулирующих область персональных данных, совсем немного, в основном регулирование происходит на уровне законодательства отдельных штатов. Но в целом политики защиты персональных данных вырабатываются компаниями на основе собственных стандартов.

В первую очередь необходимо разработать общие принципы политики безопасности. Надо оценить все существующие группы рисков и выбрать системы с учетом приемлемого для вас уровня надежности. Утечка корпоративных данных может нанести компании катастрофический урон, похоронить ее репутацию и тем самым причинить огромный финансовый ущерб. Если ваша компания обладает высоким уровнем риска — как, например, банковские структуры, страховые компании — ей, вероятно, требуются сложные, комплексные, дорогоcтоящие решения. Если риски не столь велики, можно ограничиться более легкими решениями.

Но в любом случае стоит помнить, что дело не в конкретных инструментах или решениях, а в том, как вы их применяете. Ведь по‑разному можно применять даже типовые решения, и отдача от них будет различаться в разы. Подчеркну еще раз: не существует какого-то чудодейственного софта, который сам выстроит вокруг персональных данных броню, не подвластную ни сторонним злоумышленникам, ни нечистым на руку инсайдерам. Самое главное — правильно разработать политики безопасности с учетом всех рисков и особенностей деятельности компании и выстроить внутри нее правильные коммуникации. Причем самой сложной задачей, как показывает опыт, является не разработка политик безопасности, а контроль их соблюдения и регулярный пересмотр.

— По данным мировой статистики об инцидентах в сфере ИБ, люди в ней — самое слабое звено: около 90% всех утечек связано с действиями персонала. Какой комплекс организационных мер должен сопровождать внедрение средств технической защиты персональных данных?

— Действительно, больше всего утечек приходится на инсайдеров. Опыт показывает, что множество неприятных историй случается, когда сотрудники уходят из компании. Нужно сразу, в день увольнения, обрубать сотруднику доступ ко всем информационным ресурсам компании, чтобы у него не было ни искушения, ни возможности что‑либо украсть. Поэтому политики безопасности должны четко описывать порядок блокировки прав доступа увольняемого сотрудника. Это требует слаженного взаимодействия сотрудников ИТ‑подразделения и кадровой службы. Обеспечить такое взаимодействие — одна из основных задач. Надо выстроить этот процесс так, чтобы минимизировать возможности злоумышленников для некорректных действий.

Еще одна серьезная проблема — обнародование паролей самими пользователями. Многие сотрудники вывешивают листочек с паролем так, что его удобно в любой момент увидеть, причем каждому желающему. Эта категория нарушений безопасности относится к ошибкам «инженерной психологии». В политике безопасности должно быть четко записано и доведено до всех: так поступать недопустимо! Выполнение этого очень простого правила способно предотвратить значительное количество утечек.

Но мало разработать правила, надо еще постоянно решать массу организационных задач, чтобы добиться выполнения этих правил. В компании должна существовать четкая, понятная всем политика в области безопасности, которая регулярно доводится до каждого сотрудника.

— Комплекс запретительных мер, входящих в политику безопасности, в общем-то, ясен. Сложнее с другим: как побудить сотрудников быть лояльными?

— В США практически во всех компаниях сотрудники обязаны подписывать соглашение о неразглашении конфиденциальной информации. Причем действие его распространяется и на некоторый отрезок времени после увольнения сотрудника из компании. Если удается доказать, что ущерб был нанесен уволенным сотрудником (например, какие‑то данные были им удалены или проданы конкурентам), на него можно подавать в суд. Как показывает жизнь, угроза юридического преследования замечательно стимулирует лояльность.

— Вопрос о том, как измерить финансовый результат работы DLP-систем, волнует и бизнес, и ИТ. Какие рекомендации вы могли бы дать своим российским коллегам?

— Для каждой организации должен быть определен свой уровень защиты, в соответствии с моделью угроз и уровнем допустимого риска. Она создается для компании строго индивидуально, каждому риску приписываются веса, в зависимости от их влияния на бизнес. Далее надо убедительно продемонстрировать эту модель совету директоров. Делайте акцент на угрозах для репутации компании: ведь она очень дорого стоит и сложно восстанавливается при утере.