Закон про персональні дані викликав бурхливі обговорення в суспільстві, як серед різних категорій фахівців: юристів, політиків, банкірів, ІТ-СПЕЦИАЛІСТОВ, так і серед звичайних громадян. Навряд чи хтось може поставити під сумнів необхідність ухвалення подібного закону, проте всі тонкощі його виконання ще не кінця зрозумілі, так само як і заходи, які необхідно прийняти представникам бізнесу, щоб захистити себе від проблем з наглядовими органами після настання 1 січня 2010 року. Цей закон поширює свої вимоги на всіх юридичних і фізичних осіб, діяльність яких припускає обробку персональних даних. Інтернет-сфера в даному випадку не є виключенням. Вживання заходів по захисту персональних даних користувачів Інтернету в контрольованих державою структурах вже йде повним ходом. Одним з таких мерів за останній час стало блокування виведення персональної інформації про адміністраторів доменів сервісом WHOIS. Проте основна відповідальність лежить, звичайно ж, на власниках самих web-ресурсов. Розглянемо основні категорії Web-ресурсов, діяльність яких припускає роботу з персональними даними. Интернет-магазиныИнтернет-магазин є, мабуть, одним з найпоширеніших типів Web-ресурсов російської частини Інтернету. Відносна простота реалізації, як технічною, так і з погляду бізнес-процесів, зробила даний вид бізнесу вельми привабливим для широкого круга підприємців. Насправді, адже немає необхідності орендувати торгове приміщення, склади і нести інші витрати, досить просто мати деякий канал постачання товарів і "користуватися" їм у міру надходження замовлень з Інтернету. Все це привело до того, що кількість інтернет-магазинів останніми роками росте величезними темпами. Наскільки такий сервіс буде якісним для споживача - це окрема тема, нас цікавить насамперед питання безпеки. В більшості випадків підприємець не готовий витрачати великі гроші на розробку якісного продукту або на покупку готового рішення, тим більше, якщо це для нього новий вигляд бізнесу і вся специфіка майбутньої діяльності ще не зовсім зрозуміла. В результаті безліч подібних застосувань створюються під замовлення, знайомими замовника, або найденимі по оголошенню фрілансерамі, рідше - web-студиями. Чи замислюється підприємець про те, наскільки дане рішення буде безпечне? Чи в змозі він оцінити рівень кваліфікації розробників з тим, щоб максимально понизити можливі ризики? Очевидно, що в більшості випадків - ні. З погляду споживача, який робить замовлення на сайті, оцінити рівень захищеності передаваною співробітникам інтернет-магазина інформації вобще не представляється можливим. В більшості випадків споживачі реагують на доступну ціну і "красиву картинку" на сайті, і не замислюються, що ж насправді вдає із себе дана структура: або це інтернет-філія, скажімо, крупній мережі магазинів побутової техніки, або просто приватний підприємець, який самостійно розвозить замовлення. Цілком природно, що підходи до обробки інформації, як і ступінь відповідальності в даних випадках будуть різні. Рівень довіри до інтернет-магазинів з боку споживачів останніми роками помітно виріс. Споживачі достатньо охоче повідомляють свої особисті дані співробітникам магазина, а ті, у свою чергу, не завжди замислюються про те, наскільки ця інформація насправді необхідна для реалізації бізнес-процеса. Таким чином, ми маємо справу з ситуацією надмірності даних, тобто "не відповідності об'єму і характеру персональних даних цілям обробки персональних даних" -іменно так це положення описане у ФЗ-152. Враховуючи технічний розвиток інтернет-магазинів останніми роками, можна припустити що більшість з них мають вбудовані CRM-системы, а значить припускають зберігання даних про клієнта з метою організації подальшого, післяпродажної взаємодії. А чи насправді це так необхідно з погляду специфіки конкретного бізнес-процеса? Згідно закону зберігання персональних даних повинне здійснюватися "не довше, ніж цього вимагають цілі їх обробки, і вони підлягають знищенню після досягнення цих цілей або у разі втрати необхідності в їх досягненні". На жаль, цього не відбувається. Хотілося б відзначити ще одне, і, мабуть, саме сер'езноє положення ФЗ-152, яке може самим негативним чином позначитися на діяльності інтернет-магазинів. Мова йде про необхідності наявності письмового дозволу у власника web-ресурса (як оператора персональних даних) на обробку даних клієнта (як суб'єкта ПД). Дана обставина ставить під сумнів взагалі саму ідею інтернет-торгівлі в її нинішньому вигляді, оскільки припускає необхідність особистого контакту клієнта і співробітника магазина до здійснення операції. Єдиним способом задовольнити дане положення закону є знеособлення персональних даних, що поза сумнівом приведе до деяких змін в організації бізнес-процесів. Корпоративні порталикорпоратівниє портали є зручним інструментом інтеграції, що надає користувачеві єдину точку доступу до інформаційних сервісів організації. В умовах широкої територіальною распределенності філіальної і партнерської мережі організації якнайкращим рішенням є реалізація з'єднань по захищених каналах VPN, проте таке рішення вимагає значних фінансових витрат і доступно далеко не всім. Реалізація ж точки доступу з мережі Інтернет є значно простішим рішенням. Залежно від рівня розвитку внутрішньої структури, корпоративний портал може містити як важливу фінансову інформацію, так і персональні дані клієнтів, партнерів і співробітників компанії. При обробці таких персональних даних необхідно враховувати різницю цілей і методів обробки для кожної групи суб'єктів, різницю класів даних, і відповідним чином вибудовувати політику корпоративної безпеки. Більшість корпоративних порталів будуються на основі готового програмного рішення, або розробляються під замовлення досвідченими програмістами. Проте, це лише певною мірою може говорити про рівень захищеності системи, оскільки безпека коди - це далеко не єдиний чинник ІБ, що впливає на ризики. Забезпечення інформаційної безпеки корпоративного порталу, поза всяким сумнівом, має бути частиною стратегії інформаційної безпеки всієї організації. Соціальні сетіпік розвитку соціальних мереж в російській частині Інтернету припав на останніх 2-3 року, в результаті сумарна чисельність користувачів найбільших соціальних мереж на даний момент перевищила 50 млн. Чоловік. Безумовно, такий колосальний об'єм персональних даних потребує певного контролю. Спробуємо розібратися яке віддзеркалення дане явище може знайти у ФЗ-152. З першого погляду може здатися, що вся інформація, представлена в соціальних мережах може класифікуватися законом як "загальнодоступна". Проте, це не так. Кожен користувач сам визначає яку інформацію про себе він хоче розмістити і яким категоріям користувачів ця інформація може бути доступна. Саме цей об'єм "прихованої" користувачем інформації з погляду закону потрапляє під категорію "конфіденційні персональні дані". Напевно багато хто добре пам'ятає інцидент, що відбувся кілька місяців тому в одній з найбільших соціальних мереж Росії, результатом якого стало викрадання аккаунтов більш ніж 130 тис. Користувачів. І такі випадки далеко не одиничні. Експерти підтверджують зростання числа атак на соціальні мережі не тільки в РФ, але і по всьому світу. Окрім чисто технічних проблем, властивим всім web-ресурсам, для соціальних мереж також характерна наявність великих можливостей для реалізації соціально-орієнтованих способів шахрайства. Розсилка спаму, фішинг і фарминг-атаки - всі ці прийоми вже давно використовуються зловмисниками і зрештою можуть привести до крадіжки конфіденційної інформації особливо довірливих або неуважних користувачів. Для боротьби з даним явищем необхідний постійний адміністративний контроль. Інтернет-банкинг і платіжні системиїнтернет-банкинг набуває всього велику популярність останніми роками, проте, із понад тисячі російських банків всього лише декілька десятків надають дану послугу в повному об'ємі. Частково, це обумовлено недостатньою автоматизацією більшості банків і відсутністю єдиної інтеграційної платформи. Системи інтернет-банкинга, як і платіжні системи, як правило, базуються на тій же клієнт-серверній архітектурі, що і звичайні web-приложения. При цьому найбільш слабкою ланкою системи є сам клієнт і засоби, за допомогою яких він дістає доступ до свого рахунку. Очевидно, що клієнти не завжди в стані адекватного оцінити погрози і ризики, що виникають при видаленому управлінні своїми рахунками, і протиставити цим погрозам адекватні контрзаходи. Тому одному з основних завдань по забезпеченню інформаційної безпеки банків і платіжних систем є навчання користувачів. Слід відмітити, що з погляду зловмисника потенційний інтерес в системах Інтернет-банкинга представляє не тільки можливість розкрадання засобів (захисту транзакцій, як правило, банки приділяють найбільшу увагу), але і персональні дані клієнта. Володіння такою інформацією дає можливості для махінацій з пластиковими картами, або проведення іншого шахрайства. Дослідники навіть відзначають, що кожен запис про рахунки клієнта має цілком конкретну ціну на "чорному" ринку. На жаль, при розробці і експлуатації систем інтернет-банкинга далеко не завжди дотримуються вимоги галузевих стандартів. Як правило, кожен банк розробляє систему інтернет-банкинга самостійно і жоден із стандартів фактично не є обов'язковим до виконання. У ситуації, що склалася, набуття чинності вимог ФЗ-152 несе в собі величезні труднощі для всієї банківської сфери, про що свідчать неодноразові спроби асоціації банків відстрочити дату вступу вимог в силу. Підготовка організації до виконання вимог законас метою підготовки організації до виконання вимог закону ФЗ-152 необхідне проведення аудиту інформаційних систем і бізнес-процесів прямо або персональних даних, що побічно зачіпають обробку. Такий аудит може бути проведений як силами самої організації (за наявності кваліфікованих фахівців), так і силами незалежних аудиторів. На підставі проведеного аудиту виноситься ряд рекомендацій по організації захисту персональних даних. Дані рекомендації повинні знайти своє віддзеркалення на практиці у вигляді конкретних технічних і організаційних мерів. 1. Рекомендації по приведенню бізнес-процесів компанії у відповідність вимогам Законаo Знеособлення персональних даннихв ході аудиту може бути підтверджена можливість організації взаємодії компанії і користувачів Інтернету з використанням знеособлених даних. Це позбавляє організацію від необхідності атестації відповідних Іспдн, а, отже, істотно знижує витрати на приведення системи у відповідність вимогам ФЗ-152. Даний варіант оптимізації бізнес-процесів може бути застосовний, наприклад, більшістю інтернет-магазинів. Насправді, навіщо магазину збирати паспортні дані або ФІО клієнтів, якщо, в більшості випадків, достатньо знати лише номер телефону і адресу доставки? O Пониження класу Пдданний варіант оптимізації бізнес-процесів застосовний у випадку, якщо повне знеособлення неможливе, проте має місце явна надмірність наявних даних. Пониження класу даних дозволяє понизити витрати на організацію захисту ПД. O Знищення персональних даннихв ході аудиту може бути встановлений факт надмірного зберігання даних, не відповідного цілям обробки персональних даних. В цьому випадку організації виносяться рекомендації по створенню схеми знищення персональних данних.2. Рекомендації по оптимізації Web-пріложеніяна підставі наявних рекомендацій по оптимізації бізнес-процесів, а також грунтуючись на результатах аудиту безпеки web-приложения, формуються рекомендації щодо зміни налаштувань, умов функціонування і початкової коди web-пріложенія.3. Рекомендації по впровадженню технічних решенійна підставі аналізу рівня захищеності наявних Іспдн виносяться рекомендації по впровадженню технічних рішень захисту даних, до яких відносяться: о системи захисту від витоків інформації (DLP) про системи виявлення/протидії вторгненням (Ids/ips) про системи ідентіфікациі/аутентіфікациіo системи контентной фільтрациіo системи захисту видаленого доступу (VPN) про засоби виявлення уязвімостейo файрволли і міжмережеві екранизатрати на реалі