Компании не заинтересованы в защите приватных данных сотрудников

Международная организация ISACA (Information System Audit and Control Association) опубликовала результаты исследования, посвященного защите работодателями конфиденциальных данных сотрудников. Выяснилось, что из 780 опрошенных сотрудников более половины считают, что работодатели недостаточно защищают их данные. И хотя 76% организаций обучают пользователей правилам обеспечения безопасности приватных данных, лишь 29% респондентов уверены в возможности своих компаний гарантировать их защиту.

ISACA рекомендует предприятиям для повышения уровня защищённости конфиденциальных данных реализовать следующую программу: нанять соответствующий персонал, сформировать политику ИБ, пропагандировать культуру защиты приватности на предприятии, научить сотрудников выполнять требования конфиденциальности, использовать стандартные платформы и методики, сформулировать метрики для оценки уровня приватности данных, выполнять требования законодательства.

Александр Шипулин, системный аналитик отдела инфраструктурного ПО компании «Открытые Технологии», отмечает: «Перечисленные компоненты политики конфиденциальности охватывают все возможные каналы утечек данных. Это – то же самое, что заявить: «Для обеспечения ИБ на предприятии необходимо обеспечить информационную безопасность». С моей точки зрения, основными компонентами являются культура защиты приватности, применение международных стандартов и методик, использование метрик и мониторинга».

По мнению Антона Карданова, руководителя сектора ИБ компании AT Consulting, «можно выделить две первоочередные задачи работодателей – обеспечить реальную защиту персональных данных сотрудников и сформировать у них представление о том, что их важная информация находится под надёжной защитой. И если для реализации первой задачи необходим лишь комплекс организационно-технических мероприятий, то вторая задача решается не так тривиально — любой недочёт может свести на нет всю проделанную работу. А ведь когда сотрудник доверяет работодателю, он готов сделать для него больше».

Именно обеспечение лояльности сотрудников является основной целью такой деятельности, и в кризисной ситуации она особенно важна. Однако большинство компаний не склоны заботиться о лояльности сотрудников. По словам Дмитрия Дудко, руководителя ИБ-проектов Центра компетенции ИБ компании «АйТи»: «главная проблема защиты конфиденциальных данных сотрудников –  непонимание руководством ее целесообразности. В рекомендациях ISACA говорится о необходимости вынесения данного вопроса на самый высокий уровень. К сожалению, многие руководители считают защиту персональных данных лишь «законодательным ярмом», которое надо как-то выполнять, причем желательно бесплатно. Я считаю, что данные рекомендации делу не помогут: руководители их читать не станут. Путь к решению проблемы – рассмотрение эффективности процессов, которые предстоит защищать, или ценности информации. Защита ПДн из обременения может стать отправной точкой для оптимизации бизнес-процессов и их «выпрямления».

Андрей Прозоров, руководитель экспертного направления компании Solar Security, утверждает, что «на деле в отчете приведены не меры обеспечения безопасности приватных данных, а рекомендации по построению эффективной программы защиты. Для этого предлагается выстроить управляемые и измеряемые процессы, регулярно повышать их общий уровень зрелости. Идеи – правильные, но описанные подходы неприменимы для большинства отечественных компаний, что хорошо видно по ответам респондентов. Например, среди ответов на вопрос «кто отвечает за безопасность приватных данных?» на втором месте стоит «СРО», но такой должности я не встречал на российских предприятиях».

Впрочем, российское законодательство требует от предприятий защиты ПДн. По словам Владимира Журавлева, заведующего кафедрой юридических проблем защиты конфиденциальной информации, «рекомендации ISACA относятся к «высокому» уровню (обеспечить кадровую безопасность, внедрить культуру безопасности и заручиться поддержкой руководства), и без этого действительно сложно работать. Однако требования по защите ПДн предусматривают значительно больший объём рекомендаций. Согласно 21 приказу ФСТЭК России, только для УЗ-4 (минимального уровня защищенности) предусмотрено 27 рекомендаций».

Андрей Заикин, руководитель департамента КРОК по ИБ, рекомендует: «Реализация каждого из предложенных экспертами ISACA действий – трудоемкий процесс, требующий времени, денег, вовлеченности персонала и отдельных специальных знаний. Особенно это касается полного соответствия законодательным требованиям. Значительно упростить задачу позволяет аренда решения по защите персональных данных из облака. Сертифицированные ФСБ и ФСТЭК средства безопасности обеспечат техническое выполнение норм без лишних затрат. Мы начали развивать это направление ещё в прошлом году и видим значительный рост интереса заказчиков к таким решениям».