Книги по разным темам Pages:     | 1 | 2 | 3 | Персональные данные в россИИ С08 Association for Banking Information Security Standards RESEARCH PAPER Персональные данные в российских комПаниях введение 3 ключевые выводы 4 методология исследования и Портрет ресПондента 5 обработка Персональных данных в российских комПаниях 8 Законодательное регулирование Защиты Персональных данных 13 Заключение 19 о комПании PERIMETRIX 20 о Проекте банкир.ру 20 о Проекте INFORMATION SECURITY 21 о сообществе ABISS 21 RESEARCH P APER 2 Персональные данные в российских комПаниях ВВедение Персональные данные (ПД) клиентов, партнеров и так и называется: ФЗ О персональных данных. За сотрудников являются важнейшим активом любой первые два года своего существования закон не современной компании и в то же время ее серьез- сумел заработать на практике, однако в последнее ной проблемой. Утечка персональных данных не время стали наблюдаться активные попытки его выгодна ни компании (она испытывает масштабные возвращения к жизни.

репутационные потери), ни владельцам этой информации (они испытывают как минимум беспокойство, Настоящее исследование призвано выявить текуа нередко становятся и жертвами различных афер). щий уровень защищенности персональных данных в российских компаниях, а также отношение игроПерсональные данные остро нуждаются в специа- ков рынка к законодательному регулированию. В лизированной защите от инсайдеров, хакеров и ха- рамках исследования будут также приведены пролатных сотрудников. Эта задача является социально гнозы развития ситуации в течение нескольких важной, и бывший президент РФ Владимир Путин ближайших лет и рекомендации для операторов издал для ее решения федеральный закон, который персональных данных.

RESEARCH P APER 3 Персональные данные в российских комПаниях ключеВые ВыВоды Защита персональных данных является серьезной проблемой для российских организаций.

52,0% компаний-респондентов обрабатывают более 10 тыс. записей о персональных данных, а 15,3% - более 1 млн. записей.

В большинстве случаев (57,6%) доступ к массивам персональных данных имеют сотрудники службы безопасности и персонал ИТ-подразделений компаний. Риски утечки персональных данных через ИТ-персонал являются наиболее высокими. Кроме того, в 21,9% случаев компании испытывают риски утечек через топ-менеджеров или руководителей ведущих подразделений.

Только 64,3% компаний имеют монопольный доступ к обрабатываемым персональным данным, остальные допускают к информации дочерние или материнские структуры либо партнеров.

Для 13,1% операторов это зарубежные фирмы.

Основная трудность в реализации положений Федерального закона О персональных данных заключается в неясном характере этих положений (34,7%). Следом располагаются классические проблемы информационной безопасности: бюджетные ограничения (20,6%) и отсутствие квалифицированных кадров (19,0%).

Практически две трети (65,3%) специалистов предполагают, что требование обязательного разглашения сведений об утечках персональных данных должно быть включено в федеральный закон.

RESEARCH P APER Персональные данные в российских комПаниях Методология исследоВания Данное исследование проводилось в форме Распределение компаний-респондентов по разонлайн-анкетирования ИТ- и ИБ-специалистов. В меру (см. рис. 1) оказалось достаточно равномерпериод проведения исследования (с 7 июля по ным - в нем присутствуют компании малого биз7 сентября) было опрошено 389 респондентов, неса, предприятия среднего размера и крупные представляющих компании различных размеров и корпорации, имеющие более 10 тыс. сотрудников.

отраслей. Перед ответами на основные вопросы исследования респондентам предлагалось рассказать о компаниях, в которых они работают.

6,8% 3,4% 15,3% 10,2% 35,6% 28,8% рис. 1 Количество сотрудников RESEARCH P APER Персональные данные в российских комПаниях Отраслевое распределение (см. рис. 2), напро- другой - именно финансовые и телеком-компании тив, является очень специфичным. Практически всегда являлись пионерами внедрения информатри четверти (72,5%) респондентов представляют ционных технологий, а также решений по инфорвсего лишь два вертикальных рынка: финансовую мационной безопасности. В этом свете совсем не и телекоммуникационную отрасли. С одной сто- удивителен тот факт, что представители именно тароны, предприятия этих отраслей обрабатывают ких компаний приняли наиболее активное участие максимальное количество персональных данных, с в исследовании.

рис. 2 Сфера деятельности Из получившегося отраслевого распределения ных данных именно в этих типах организаций. И, вологично сделать два основных вывода. Во-первых, вторых, оно дает информацию об общих трендах очевидное смещение в сторону финансовых и теле- развития отрасли, поскольку финансовая и телекоммуникационных компаний позволяет получить коммуникационная сферы являются ее основными четкое представление о защищенности персональ- драйверами.

RESEARCH P APER Персональные данные в российских комПаниях рис. 3 Должность респондента рис. 4 Ответственность респондента в области информационной безопасности Профессиональное распределение респондентов что все участники опроса так или иначе задействопоказано на рис. 3 и 4. В рамках исследования были ваны в процессах обработки и защиты персональных учтены ответы только сотрудников департаментов данных. Отметим, что подавляющее большинство реинформационных технологий и информационной спондентов (84,6%) участвуют в процессах принятия безопасности различных организаций. Это означает, решений в области информационной безопасности.

RESEARCH P APER Персональные данные в российских комПаниях обработка персональных данных В российских коМпаниях Все вопросы, которые задавались респондентам го ряда факторов. Первым фактором этого списка в рамках исследования, можно разделить на две является масштаб проблемы - то есть количество основные части. В первой части участникам опро- обрабатываемых записей персональных данных.

са предлагалось рассказать об использовании ПД С ростом количества персональных записей рав своих компаниях, а вторая часть была посвящена стут и риски компании, которые с этими записями влиянию различных нормативных актов на степень связаны. Как следствие, чем больше записей оббезопасности персональных данных. В обоих слу- рабатывает компания - тем большую ответственчаях респондентам задавались лишь косвенные и ность она несет за их защиту.

максимально конкретные вопросы, поскольку прямые и комплексные формулировки (Насколько защищены ПД в вашей организации, Как влияет Из ответов на следующий вопрос (см. рис. 5) федеральный закон на защищенность ПД и т.д.) следует, что более чем половина респондентов не дают представления об истинном положении (52,0%) преодолели психологическую отметку вещей и побуждают специалистов давать не всег- в 10 тыс. записей персональных данных. Утечку да объективную оценку. Проблема в том, что каж- такого объема информации уже нельзя назвать дый конкретный специалист имеет собственное локальным инцидентом, поскольку она затрагимнение о безопасности, и сравнивать эти мнения вает количество людей, сравнимое с населением друг с другом по дифференцированным критери- небольшого города. Всем пострадавшим в резульям технически невозможно. тате утечки такого масштаба крайне трудно предоставить адекватную защиту, а значит - реальные Внимание каждой компании к проблеме защиты последствия инцидента практически невозможно персональных данных напрямую зависит от цело- проконтролировать.

15,3% 2,8% 5,1% 12,9% 15,9% 19,5% 13,9% 14,7% рис. 5 Количество записей ПД в российских компаниях RESEARCH P APER Персональные данные в российских комПаниях В особую группу риска попадают организации, об- Полученное распределение показывает, что прирабатывающие огромные объемы персональных мерно половина отечественных специалистов данных, которые измеряются миллионами запи- работает в компаниях, которые уязвимы перед сей. Таких предприятий в России тоже хватает - их утечками персональных данных. Другими словами, представляют более 15% участников опроса. И защита этих персональных данных является весьма если компания, хранящая сведения десятков ты- масштабной проблемой, которая пронизывает все сяч людей, еще как-то может полагаться на авось, сферы отечественного бизнеса.

не заботясь об адекватной защите, то для крупных компаний такой подход абсолютно неприемлем. Первые четыре сценария являются внутренними Когда становится известным об утечке миллион- угрозами информационной безопасности. Таким ного масштаба, различные медиаагентства быстро образом, риски утечек персональных данных натиражируют новость и распространяют подробно- прямую зависят от количества людей, имеющих дости инцидента. Репутация небрежной компании на- ступ к массивам этой информации (см. рис. 6).

чинает резко падать вниз, что неизбежно приводит к мгновенному падению стоимости акций и долго- В идеале доступ к персональным данным должны срочным потерям в будущем. иметь только сотрудники службы безопасности. На практике такая ситуация встречается очень редко Каким образом могут лутекать персональные дан- (5,1%) - в большинстве случаев доступ к инфорные По данным мировой статистики по инциден- мации (57,6%) имеет и ИТ-персонал организации.

там, около 90% всех происходящих утечек так или Таким образом, риски возможной утечки информаиначе связаны с действиями персонала. В данном ции значительно увеличиваются, поскольку численслучае речь идет не только о спланированном ин- ность персонала ИТ-департамента заметно выше, а сайде (то есть краже информации), хотя и эта про- истории про лобиженных сисадминов давно переблема является достаточно серьезной. Кроме ин- стали быть основой для анекдотов и переместились сайда, существует масса других сценариев утечки, во вполне реальную плоскость.

большая часть из которых связана с банальной халатностью сотрудников либо с бездействием служ- Впрочем, ИТ-персонал является далеко не единбы безопасности. Аналитический центр Perimetrix ственной угрозой безопасности персональных выделяет пять наиболее стандартных сценариев данных. Достаточно часто (21,9%) доступ к этой утечки персональных данных: информации предоставляется топ-менеджерам, действия которых всегда отличаются повышенным Х Кража или потеря носителей (ноутбуков) с пер- уровнем халатности. Но на практике отсутствие досональными данными; ступа к любым корпоративным сведениям вызывает Х Web-утечка: случайная публикация персональ- негодование со стороны руководителей. И, избегая ных данных в общедоступных местах (Интерне- конфликтных ситуаций, ИТ- и ИБ-специалисты нете или интранете); редко предоставляют начальникам полный доступ.

Х Спланированный инсайд: умышленная кража Кроме того, определенные опасения вызывают соинформации сотрудником, имеющим легаль- трудники аналитических служб, имеющие доступ к ный доступ к ней; персональным данным в 18,5% случаев. Тогда как Х Бумажная утечка: печать и распространение для данной категории работников, в большинстве персональных данных на бумажных носителях; случаев, вполне достаточно было бы обезличенных Х Внешний взлом корпоративной сети. статистических выборок.

RESEARCH P APER Персональные данные в российских комПаниях 57,6% 21,9% 18,5% 15,4% 10,3% 5,1% 8,5% рис. 6 Кто имеет доступ к массивам ПД1 Отдельного внимания заслуживают службы тех- нальных данных. Они могут посмотреть конкретные нической поддержки и контактные центры. Эти записи персональных данных по запросу, но не подразделения, как правило, комплектуются не обладают правами для действий с базами конфиденсамыми квалифицированными сотрудниками и об- циальных сведений. Это означает, что угроза утечки ладают высоким уровнем текучки кадров. При этом из контактного центра все же существует, однако не операторы контактных центров практически всегда является слишком опасной - украсть большое коимеют доступ к персональным данным, которые не- личество информации посредством единичных заобходимы им для обслуживания клиентов. просов весьма проблематично (хотя и такие случаи известны). В данном случае уместнее говорить не об Исследование показало, что сотрудники техниче- угрозе утечек персональных сведений, а о возможской поддержки и call-центров сравнительно редко ной слежке за конкретными людьми и предоставле(10,3% случаев) получают доступ к массивам персо- нии информации о них за определенную плату.

1 Сумма долей больше 100%, поскольку респонденты могли выбрать несколько вариантов ответа RESEARCH P APER Персональные данные в российских комПаниях Защищенность персональных данных (см. рис. 7) ние этого факта отнюдь не равноценно качественпрактически идентична защищенности информа- ной системе безопасности. В большинстве совреции, которая составляет коммерческую тайну. Из менных предприятий защищенность персональных этого тезиса можно сделать два вывода: с одной данных и защищенность сведений, которые составстороны, российские компании осознают важность ляют коммерческую тайну, находятся на одинаково защиты персональных данных, с другой - осозна- низком уровне.

рис. 7 Защищенность ПД в сравнении с защищенностью сведений, составляющих коммерческую тайну Действительно, по данным другого исследования В последнее время все большую актуальность стали Perimetrix (Инсайдерские угрозы 2008), два наибо- приобретать так называемые партнерские утечки лее действенных класса систем защиты - решения персональных данных, которые допускаются тредля шифрования данных в местах хранения и ком- тьими компаниями. По данным Ponemon Institute, плексные продукты по защите от утечек - имеют до- практически 40% мировых инцидентов возникавольно низкое проникновение на российском рынке ют в результате ошибочных действий партнеров, (36% и 24% соответственно). Все остальные системы аутсорсеров и, что особенно интересно, логистибезопасности занимаются защитой исключительно ческих вендоров. Последние компании довольно от внешних вторжений и потому не могут ничего по- часто теряют носители с приватными данными во делать с более опасными внутренними угрозами. время транспортировки.

RESEARCH P APER Персональные данные в российских комПаниях В нашей стране культура аутсорсинга пока еще ни с кем и никогда, а еще 24,7% - разделяют индалека от западной, и потому российская ситуа- формацию только с дочерними и материнскими ция с партнерскими утечками (см. рис. 8) не так структурами. И только 11,1% респондентов иссложна. Две трети (64,3%) отечественных компа- пытывают риски партнерских утечек по полной ний не делятся своими персональными данными программе.

Pages:     | 1 | 2 | 3 |    Книги по разным темам