С каждым годом уровень профессионализма специалистов IT-сферы увеличивается в разы, благодаря новым методам работы и обучениям. Работа с персональными данными тоже требует постоянного обучения, чтобы специалист не допускал ошибок при построении системы защиты.
Частые ошибки при построении системы защиты ПДн
То, какие ошибки совершает специалист, зависит не только от его квалификации и знаний. На организацию подобной работы влияет специфика сферы деятельности, ошибки программ и прочие, не зависящие от человека факторы.
Сами ошибки могут быть разными по сложности исправления и источнику возникновения. Приведем примеры нескольких из них.
Ошибка №1
Неверное число информационных систем, которые обрабатывают персональные данные пользователей.
При определении информационных систем, с помощью которых обрабатывают персональные данные, обычно выделяют только видимые, к примеру, информационные системы бухгалтерии. Проблема в том, что их может быть на порядок больше. В потоке нередко теряется система контроля управления доступом (СКУД), где высока вероятность обработки биометрических данных.
Как решить
Аудит всех имеющихся информационных систем поможет не упускать из виду любые системы, которые обрабатывают персональные данные. С помощью аудита пользователь фиксирует факт обработки информации в конкретных системах.
Обратите внимание
Не забывайте про контроль за системами видеонаблюдения. В некоторых случаях они тоже являются ИСПДн.
Ошибка №2
Средства защиты информации правильно подобраны, но неправильно настроены
Даже самые надежные и рекомендуемые средства защиты данных не будут хорошо работать, если настроить их неверно. К примеру, наделение некомпетентных сотрудников правами администраторов системы обернется не одним лишь удобством для системного администратора, но и нарушением работы системы.
Сотрудник может даже не знать, что он случайно отключил какую-то важную функцию системы. Это зачатую происходит неосознанно: межсетевой экран мешает пользователю получить доступ в Интернет. Всплывающее окно мотивирует сотрудника отключить защиту данных и пропустить угрозу.
Как решить
Квалифицированный администратор не допустит такой ошибки. Поэтому прежде чем отдавать права на работу со средством защиты информации сотрудникам, надо обучить их всем «подводным камням» такого доступа и обеспечивать функционирование информационной системы в соответствии с производственной необходимостью.
Ошибка №3
Пренебрежение организационными мерами
Некоторые организации готовы тратить большие деньги на системы защиты, но напрочь забывают об организационной части. Документы, соглашения и любые обучения и прочие моменты, которые напрямую влияют на процесс работы.
Как решить
Сотрудники должны четко понимать, зачем руководство приобретает СЗИ и почему это важно. Позаботьтесь о документах и обучениях для сотрудников. Кроме того, организованная работа поможет получить от средства защиты максимум пользы.
Ошибка №4
Неподходящее средство защиты информации
Информации в Интернете нельзя верить всегда. И вот почему.
Система защиты персональных данных: особенности, классификация уровней защиты
ЧитатьПользователь находит пример, где описан процесс построения технической системы защиты данных в информационной системе, схожей с той, в которой работает он сам. Доверившись этой информации. Он оставляет заявку на покупку конкретных СЗИ, без согласования с системными администраторами.
Итог может быть разным:
- СЗИ идеально подойдет по информационную систему и обезопасить обработку персональных данных;
- СЗИ подойдет, но его функционал не справится со всеми актуальными угрозами безопасности персональных данных;
- часть купленных СЗИ окажутся избыточными;
- СЗИ не защищает систему от угроз и не соответствует требованиям законодательства.
Первый вариант в подобных ситуациях встречается крайне редко. Внедрение СЗИ данных превращается в лотерею.
Как решить
Лучший способ избежать негативных последствий от советов и Интернете – провести обследование своей информационной системы и подобрать решение на основе полученных результатов.
Сертификация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
ЧитатьНормативные документы ФСТЭК России позволят определить актуальные угрозы безопасности и необходимый уровень защищенности персональных данных.
Таких ситуаций и ошибок много и практически все из них решаются с помощью аудита системы. Так вы точно будете в курсе, какие проблем есть в конкретной информационной системе и какую СЗИ выбрать.
Закажите аудит информационной системы в ГЭНДАЛЬФ
Квалифицированные специалисты оценят вашу систему и помогут подобрать подходящее СЗИ.
Оставить заявку