В соответствии с требованиями ФЗ-152 «О персональных данных», «операторы персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных от различных незаконных действий, в том числе, копирования и распространения». При этом «система защиты информации персональных данных должна включать в себя подсистему защиты информации от утечки по техническим каналам». Также «должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей».
Фактически, это означает, что закон прямым текстом призывает вас контролировать действия сотрудников, которые могут попытаться осуществить незаконный доступ к персональным данным. Естественно, всё это должно делаться в связке с другими законодательными требованиями, поэтому целесообразно разрабатывать документы, включая Положение о коммерческой тайне и Политику информационной безопасности организации, с оглядкой на закон «О персональных данных».
Какими же средствами удобнее всего контролировать сотрудников, опираясь на требования законодательства? Эксперты отмечают, что сегодня наиболее удобным решением в данной области являются DLP-системы – программные продукты, обеспечивающие контроль передаваемых и получаемых данных по всем возможным каналам. Такая особенность DLP-систем делает их единственным возможным для защиты персональных данных решением, поскольку закон требует: «Система защиты информации персональных данных должна включать в себя подсистему защиты информации от утечки по техническим каналам». Именно такой подсистемой и может стать DLP-система, контролирующая действия сотрудников и не допускающая утечек информации.
