Вы находитесь в разделе Типовых решений систем безопасности
На россиян заведут досьеВ России состояние баз данных, охватывающих большие сферы деятельности общества, далеко от идеала. Сегодня на лотках с компакт-дисками на перекрестках столицы и компьютерных рынках все чаще можно встретить диски с телефонными базами МГТС, мобильных операторов, данные налоговых органов, Пенсионного Фонда, ГАИ и многие другие. И это все при том, что торговля базами данных с конфиденциальной информацией совершенно незаконна. Фактическая защищенность баз данных в России не ниже, чем в США: наши предприятия используют те же самые системы и средства безопасности. Но чем обширнее база данных и чем больше важной информации она содержит, тем большее количество людей отвечает за ее наполнение и поддержку и, соответственно, тем выше вероятность того, что эта база окажется в свободной продаже. Например, в рамках дальнейшей автоматизации сбора налоговой отчетности в электронном виде определенно будет производиться регулярная консолидация этих данных. И, оказавшись на рынке, такая база представит уже значительную угрозу сохранению коммерческой тайны коммерческих и государственных организаций, а также частных лиц. Так в Госдуме рассматривается правительственный законопроект О персональных данных. При этом в единую базу войдет информация, сбор которой раньше считался нарушающим конституционные права граждан. Это отпечатки пальцев, ДНК, отпечаток сетчатки глаза и другие биометрические данные, информация о расовом и этническом происхождении, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, сексуальных наклонностях и судимости. Единый государственный регистр населения (ЕГРН), содержащий персональные данные обо всем населении страны, в настоящее время тестируется в 9 регионах России. Это Москва, Московская область, Санкт-Петербург, Нижегородская область, Ямало-Ненецкий Автономный округ, Калининградская область, Ханты-Мансийский автономный округ, Ярославская область, Новгородская область. Сам ЕГРН разрабатывается с 2003 года Мининформсвязи РФ в рамках ФЦП «Электронная Россия», и содержит идентификаторы персональных данных и первичные идентификационные данные обо всем населении страны. Согласно Концепции ЕГРН, это 6 параметров: фамилия, имя, отчество, дата и место рождения, пол, - этот регистр должен стать основой для Системы персонального учета населения (СПУН). Последняя призвана стать системой взаимодействия государства и граждан при учете и обмене персональными данными. Предполагается, что основными пользователями СПУН станут: органы ЗАГС, паспортные столы жилищных организаций, сельские административные образования, органы статистики, органы социального обеспечения, налоговые органы, районные и городские администрации, государственная автоматизированная система Выборы. Но кто еще станет обладателем этой информации, если сохранится текущее положение дел с безопасностью, остается только гадать. Несмотря на запрет сбора подобных сведений, прописанный в главном законе страны, из него существует ряд исключений. И законодатели воспользовались этими исключениями. Так, сбор информации законен, если гражданин, о котором ее собирают, дал свое письменное согласие. Или если эти данные необходимы для защиты жизни и здоровья субъекта. Или если эти данные требуются в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью. А обработка данных о судимости, по замыслу авторов закона, может осуществляться органами государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка. То, что собранная информация будет полностью защищена, никто гарантировать не может. Депутаты обещают принятие дополнительных меры защиты персональных данных, но сами же говорят, что украсть можно все. Более того, если база данных создается совместно несколькими ведомствами или информация передается из одного ведомства в другое (например, информационные базы данных федеральной налоговой системы и пенсионного фонда), то ответственного на стыках, по результатам взаимодействия, найти практически невозможно. Так, очень показателен пример появления в продаже в ноябре 2004 г. то ли базы Налоговой Инспекции по подоходному налогу, толи базы Пенсионного Фонда. В них помимо информации о доходах были: паспортные данные и домашний адрес получателя дохода, юридический адрес и телефон компании-работодателя. Все эти сведения позволяли определить место работы любого лица Московского региона, проследить его финансовую историю, получить полный список сотрудников предприятия и акционеров, являющихся физическими лицами, а также определить объем полученных дивидендов. Вдобавок, база содержала сведения о купле-продаже и строительству недвижимости. Оба ведомства (Пенсионный Фонд и Министерство по налогам) провели внутреннее расследование, но так и не выяснили источник утечки. Каждая из этих структур возложила ответственность на другую. В прессе появлялась информация, что к расследованию подключится ФСБ, однако этого либо не произошло, либо не дало никаких результатов. Можно не сомневаться, что при отсутствии реального наказания за кражу информационных баз они тут же окажутся на пиратских лотках. Интересно, что против нынешней редакции закона О персональных данных выступили даже органы охраны правопорядка, где считают, что при нынешней ситуации никто не сможет гарантировать сохранность собранных государством данных. Но мнение ФСБ в правительстве не учли. Директор департамента правового обеспечения Мининформсвязи (органа, занимающегося составлением единой базы) Михаил Якушев в одном из своих выступлений заверил, что будут приняты дополнительные меры ответственности за разглашение персональных данных. Речь идет о поправках в КОАП, ужесточающих административную ответственность (речь идет о штрафах). Уголовная ответственность за разглашение персональных данных и попадание в продажу на рынки, скорее всего, вводиться не будет. А очень бы хотелось, чтобы именно руководители организаций несли персональную ответственность вплоть до увольнения за раскрытие доверенной им коммерческой или государственной тайны. По мнению аналитиков Компании Информзащита для обеспечения безопасности информации основное внимание следует уделять не повышению ответственности сотрудников организаций, а защищенности самих баз данных. Это, в свою очередь, требует государственного определения критериев (стандартов) безопасности, разработки концепции информационной безопасности, методической, организационно-распорядительной документации. Стоит ли России идти по пути создания своих собственных стандартов – вопрос сложный. С одной стороны, Инструкции с большой буквы, выпущенные компетентными органами, будут выполняться строже, чем общие рекомендации. С другой стороны, особенно в ходе неотвратимого вступления России в ВТО, хотелось бы, чтобы внутренние Российские стандарты соответствовали общемировым требованиям. Чтобы, выполнив эти требования и получив сертификат соответствия, организация могла не только отчитаться о проделанной работе, но и завоевать доверие западных партнеров тем, что к защите информации и бизнес процессам в целом в организации подходят достаточно ответственно. Кроме того, специалисты Информзащиты отмечают необходимость проведения регулярного аудита организаций. Ведь не секрет, что порой в нас играет национальная черта сделать что-то для галочки. Регулярный аудит того, как выполняются предписанные меры защиты, в сочетании с персональной ответственностью за любую провинность в защите данных, могут дать результаты. Главное тут - не переусердствовать и не сделать так, чтобы меры по защите информации мешали нормальной работе с ней. Читайте далее: Американские учреждения оцениваются уровнем f по безопасности Ibutton интегрированы в систему защиты информации Оптимальный вариант транспортной среды Анализ рынка безопасности ,март 2005 года, безопасность загородной недвижимости стоит дорого Защита банка 7. портрет участника рынка безопасности 2007 года Конкуренция в южнокорейском экспорте Перспективы азиатского рынка безопасности в 2003 году 11 - 15 февраля 2008 года 18 - 24 февраля 2008 года 17 - 23 марта 2008 года 21 - 27 апреля 2008 года ,рынок безопасности, 28 - 30 апреля 2008 года ,рынок it, 01 - 04 мая 2008 года ,рынок безопасности,
|