DLP-система и защита персональных данных (ПД)

В задаче, которую обычно именуют "защита персональных данных", есть два аспекта: (1) собственно защита, то есть обеспечение конфиденциальности этих данных; (2) исполнение требований регулирующих органов, которые вытекают из ФЗ "О персональных данных" и массы подзаконных актов. Иногда указанные два аспекта вырождаются в две отдельные, непересекающиеся задачи. И тогда, чтобы ответить на "как нам защитить ПД", необходимо задать уточняющий вопрос: "Вам шашечки или ехать?" Прикинув соответствующие риски, прагматичный руководитель обычно выбирает первое. И в этом случае мы откладываем в сторону нашу DLP-систему и начинаем долгий разговор о бумагах: приказах, инструкциях, актах, положениях, договорах, лицензиях, сертификатах, аттестатах и ещё таких малениких разноцветных бумажках - самых полезных. И лишь в тех случаях, когда клиент сочтёт существенным риск реального разглашения (утечки) персональных данных, мы начинаем прикидывать, чем тут поможет DLP-система.

DLP-система умеет разпознавать большинство персональных данных без их внесения в число ключевых слов в явном виде. То есть, например, если мы хотим детектировать в трафике номера банковских карт, нам не требуется вносить конкретные номера, а только активировать соответствующее регулярное выражение. Правда, отличать общедоступные персональные данные от конфиденциальных система не умеет, поскольку их отличие лежит не в самих данных, а в отношениях между людьми.

Также мы можем помочь и в выполнении "формальной защиты", т.е. в удовлетворении требований регулирующих органов. В постановлении Правительства №781 от 17.11.07 указывается, что при обработке ПД должно быть обеспечено "своевременное обнаружение фактов несанкционированного доступа к персональным данным", а также "постоянный контроль за обеспечением уровня защищенности персональных данных"  (п.11, пп."б" и "д"). Эти требования - обязательные. Обе эти задачи как раз и выполняет DLP-система, если она настроена на детектирование ПД в проверяемом трафике.

Таким образом, одна только DLP не может обеспечить требуемой защиты.
Но некоторые из обязательных требований по защите ПД она исполняет.
Поэтому мы рекомендует использовать нашу DLP-систему при построении информационных систем персональных данных.