Защита персональных данных в организациях малого и среднего бизнеса

важнейших средств создания гибкого, мобильного сектора экономики с высоким потенциалом развития и самоорганизации, но и как социально и политически стабилизирующий фактор
О.Е. Никонова, Академия управления «ТИСБИ»

Сегмент SMB из-за кризиса сдал позиции – количество предприятий и их оборот заметно уменьшились.
По данным Росстата на 2009 год в РФ зарегистрировано
1 млн. 348 тыс. малых предприятий.
Общий годовой оборот SMB-сегмента составляет
18 трлн. 685 млрд. рублей

электронная коммерция
Строительство и недвижимость
Автосервис и автотрейдинг
Инвестиции и финансы
Консалтинг и аудит
Издательство и печать

ЧЕМ ЗАНЯТ МАЛЫЙ БИЗНЕС Основной спектр деятельности компаний SMB-сегмента

SMB-предприятия в основном работают в сфере обслуживания населения, поэтому их деятельность постоянно связана с обработкой персональных данных клиентов

размер информационных систем
Ограниченный состав необходимых прикладных систем
Ориентирование на применение «коробочных» IT-решений
Широкое использование Интернета и открытых сетей
Осторожность к решениям, отдача от которых не очевидна
Настороженность со стороны крупных IT-интеграторов
Необходимость полноценного обеспечения защиты ПДн

ХАРАКТЕРНЫЕ ЧЕРТЫ БИЗНЕСА Что надо учитывать при работе в SMB-сегменте

SMB отличается крупного бизнеса тем, что у этих компаний зачастую нет ни IT-департаментов, ни выделенного штатного сотрудника, занимающегося ИБ

и медицинское страхование
Базы данных о клиентах по профилю SMB-компании
Характеристика типовой ИСПДн
количество рабочих станций – от 1 до 10 единиц
количество серверов – от 1 до 2 единиц
количество субъектов ПДн – от 100 до 1 000 (+ до 50 000 клиентов)
режим обработки – многопользовательский с разными правами
тип ПДн – идентификационные и дополнительные сведения
выход в ССОП и Интернет – имеется
взаимодействие с другими ИС – имеется, в т.ч. удаленные АРМ
уже используемые средства защиты – AVP, МЭ

Несмотря на малые размеры ИС, категория обрабатываемых ПДн может быть достаточно высокой

ХАРАКТЕРНЫЕ ЧЕРТЫ ИС Типовой портрет ИСПДн предприятия SMB-сегмента

обработкой его данных. При противоправных действиях с такой информацией и в том, и в другом случае ему может быть причинен ущерб.
Да и Закон ориентируется на защиту интересов субъекта, а не на размер бизнеса оператора ПДн.

Защита ПДн, независимо от размера бизнеса оператора ПДн,
должна быть адекватна имеющимся угрозам

технического обслуживания и сопровождения
Минимальная необходимость конфигурирования и управления
Простота эксплуатации и незаметность для пользователя
Дешевизна внедрения и эксплуатации

ОСОБЕННОСТИ СИСТЕМЫ ЗАЩИТЫ ПДн Что хочет видеть SMB-сегмент от системы защиты ПДн

Чем проще и дешевле система защиты ПДн, тем лучше для пользователей SMB-предприятия

защите ПДн
Оценка соответствия ИСПДн (декларация, аттестация)
Технический аспект
Сегментирование ИСПДн и снижение класса отдельных сегментов
Использование механизмов защиты ОС и СУБД
Переход на технологии терминального доступа (Citrix, RDP, Sun Ray)
Переход на Web-технологии (тонкий клиент)

Даже если ИСПДн имеет высокий класс, всегда остаются пути снижения затрат на защиту ПДн

КАК СТРОИТЬ ЗАЩИТУ ПДн Что предложить SMB-сегменту

данные не обрабатываются и не хранятся
изоляция терминальных сессии по данным
Снижение требований к рабочему месту
простая модель угроз ПДн
ПДн не обрабатываются и не хранятся
невозможность передать на сервер (в ЦОД) вредоносный код
параллельная работа с открытыми и конфиденциальными данными
из функции ИБ – защита канала и защита от клавиатурных шпионов
Экономия на защите ИСПДн
снижение стоимости аудита
только защита канала и целостности (защита от снифинга клавиатуры)
экономия на СЗИ, AVP, IPS
снижение стоимости аттестации

ИСПДн с архитектурой терминального доступа – реально снижает затраты на защиту ПДн

КАК СТРОИТЬ ЗАЩИТУ ПДн Терминальный доступ

клиента обработка персональных данных не ведется!

Управление СЗИ
Техническое обслуживание
Анализ защищенности