26 июля 2006 г. Правительство РФ приняло Федеральный закон №152 «О защите персональных данных». Все организации, обрабатывающие сведения, относящиеся к персональным данным, не позднее 1 января 2010 г. должны защитить свои информационные системы по обработке персональных данных и получить документы, подтверждающие их соответствие требованиям закона.

«Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» (Федеральный закон РФ №156, статья 3).

«Персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных)» (Федеральный закон РФ №160).


                Защита информации - это понятие охватывает очень большую область.  Главная мысль, защита данных - это не просто какая либо программа или устройство. Это на самом деле целый комплекс программно - аппаратных  и организационно - административных мер по предотвращению потери информации, то есть ее защите. Важно понимать, что это не только загадочные брандмауэры, шифрование и пароли, но еще и меры по ее надежному и удобному для конечного пользователя использованию и хранению. Обычно вопрос по защите поднимается в компании, когда уже появился весьма печальный опыт, связанный с потерей информации по различным причинам. Чаще всего причина это банальный аппаратный сбой оборудования.

                Даже очень дорогие и сложные комплексы мер могут быть полностью скомпрометированы неверными настройками и несоблюдением правил работы.

                Что обычно подлежит защите? «Кто владеет информацией, тот владеет миром» - это не пустые слова. Вывод прост, защите подлежат вся электронная информация и структура компании, которая используется для работы с ней.

                Давайте рассмотрим несколько ситуаций, типичных, к сожалению, для подавляющего большинства российских компаний.

При работе с важными электронными документами возможен случай непреднамеренного сохранения одного документа под именем и поверх другого. Из-за этого менеджер не смог вовремя отправить  ранее подготовленное предложение новому Заказчику и компания не получила этот заказ. Тут поможет обычное автоматическое резервное копирование на отдельный носитель с историей сохранения от одной до двух недель, как защита от человеческого фактора. Ряд служебных инструкций по работе с электронными документами и курсы повышения квалификации для сотрудников по работе с офисными программами поможет избежать повторения подобного. Думаете этого достаточно? Идем дальше.

В результате аппаратного сбоя из-за скачка напряжения сети электропитания здания вышел из строя сервер с файлами всех сотрудников и носителем с резервными копиями. Сервер не был подключен к источнику бесперебойного питания. «Сгорел» жесткий диск. Стоимость восстановления информации в специальных лабораториях очень высока и пока будет идти этот процесс, работа в офисе стоит. А достаточно было бы источника бесперебойного питания с защитой от бросков напряжения.

Утром, придя в офис, сотрудники обнаружили, что все компьютеры работают очень медленно. Ситуация за весь день менялась от совсем «тормозим» до «как обычно». Приглашенный или штатный специалист ИТ нашел к вечеру причину столь странного поведения компьютеров. Это был вирус, а точнее робот рассылки спама. В результате счет за использование канала Интернет в этом месяц будет несколько выше, чем предполагалось. Из-за чего это могло произойти? Неверно настроенный маршрутизатор(брандмауэр), посредством которого всех компьютеры подключались к сети Интернет, позволил злоумышленнику обойти свою защиту и добраться до слабо защищенных компьютеров. Отсутствие антивируса и обновлений безопасности операционных систем позволило через ошибки в коде ряда программ внедрить спам-робота. Его работа и вызвала повышение трафика и замедление работы компьютеров. Все компьютеры подвергаются трудоемкой и долгой процедуре лечения. Это опять простои в работе. Достаточно своевременно продлить лицензию на антивирус, установить регламент обновлений операционных систем и программ, и грамотно настроить сетевой экран для исключения подобных ситуаций.

Ну, вот теперь можно вздохнуть свободнее. Не тут-то было. Компания теряет один крупный заказ за другим, вдобавок уходит часть клиентов к конкурентам. Называется это просто – инсайдер. Сотрудник, который «сливает» информацию по важным сделкам и клиентской базе. Возможно, ему просто мало платят за его труд, а возможно он нанят конкурентом специально для этих целей и получает зарплату не только у Вас. Найти подобного человека довольно сложно, ведь стоит только ему узнать, что ищут и он «ляжет на дно». Методы решения этой задачи мы позволим себе не раскрывать. Скажу только, что это трудоемкий, сложный и долгий процесс. Универсальных методов защиты не существует, только комплексные решения, которые постоянно будут требовать все новых вложений финансовых средств. Однако есть возможность при разумных затратах добиться и этого результата.

Можно написать очень большую книгу, как компании теряют  ту или иную информацию. По очевидным причинам подобные сведения не подлежат огласке и остаются «за кадром». Все же, какие есть методы предотвращения? Опишем самые известные.

                Вот часть способов  защиты данных:

- резервное копирование;
- дублирование в режиме реального времени при помощи аппаратных средств;
- дублирование в режиме реального времени при помощи программных средств;
- дублирование по расписанию для снижения нагрузки на оборудование в рабочее время и для офф-лайн хранилищ;
- кластеризация, как способ увеличения надежности сервисов, так и распределения нагрузки;
- антивирусная защита;
- системы обнаружения вторжения и атак из сети Интернет;
- системы предотвращения взлома каналообразующего оборудования;
- шифрование данных (относится и к резервному копированию);
- ограничение прав доступа сотрудников к информации до оптимального уровня;
- системы протоколирования действий пользователей при работе с конфиденциальной информацией;
- применение средств  авторизации в сети компании с помощью аппаратных ключей и паролей;
- шифрование каналов передачи данных внутри и вне компании;
- системы мониторинга за окружающей инфраструктурой (электропитание, системы вентиляции, кондиционирования, охрана периметра и т.д.);
- системы мониторинга  и оповещения для превентивных мер по предотвращению аварийных ситуаций;
- системы видеонаблюдения и системы контроля доступа в помещения компании;
- системы бесперебойного и аварийного электропитания;
- системы автоматического пожаротушения;
- системы предотвращения несанкционированного доступа к серверному и сетевому оборудованию (шкафы-сейфы с защитой от огня и контролем температуры);
- сверхзащищенные серверные комнаты для монтажа в любом офисе Заказчика без изменения структуры здания ;
- дублирующие центры обработки данных вне  территории офиса Заказчика.

На основании анализа инфраструктуры мы подберем оптимальный вариант по уровню защиты и затратам на внедрение и дальнейшее обслуживание.  Нам это интересно и мы готовы взяться за это дело.