Персональные данные: число проверок резко растет. Безопасность данных с помощью IBM Rational AppScan.

Задачи «Роскомнадзора»
В 2009 г. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) проведет 321 плановую проверку соблюдения законодательства в области персональных данных, что в 4 раза превышает показатель 2008 г. По результатам таких проверок уже были прецеденты закрытия интернет-ресурсов, наложения на организацию штрафа и удаления данных из банковского «стоп-листа».

В 2008 г. было проведено 76 плановых мероприятий по контролю за соответствием обработки персональных данных требованиям законодательства. В 36 случаях проверялись операторы связи. Кроме того, по обращениям граждан служба организовала 40 внеплановых мероприятий. На 2009 г. запланирована уже 321 аналогичная плановая проверка, что в 4 раза больше прошлогоднего числа. В 61 случае будут проверены операторы, обрабатывающих биометрические и специальные категории персональных данных (медицинские диагнозы, вероисповедание и т.п.). Всего в списке проверок (относящихся далеко не только к ПД) на 2009 г. перечислены 3744 организации.
Как рассказал Евгений Стрельчик, представитель Роскомнадзора, число плановых проверок в сравнении с общим числом операторов ПД совсем невелико. «Оно растет и будет продолжать расти потому, что увеличивается число зарегистрированных операторов, - пояснил Стрельчик. – Всего у нас в стране их 7 млн, но мы не имеем права проверять на соответствие законодательству о ПД те организации, которые не зарегистрировались в качестве оператора».

В план проверок на 2009 г. попали самые разные учреждения, от управления Федеральной миграционной службы России по Волгоградской области, до информационно-рекламного агентства «Скат-инфо», также РЖД, ВТБ 24, ЦБ РФ, Связьинвест, МТС и многие другие операторы связи, банки, страховые компании, больницы и т.д

В отчете приводятся конкретные примеры: летом 2008 г. по решению районного суда в Приморском крае «Сбербанк» обязали удалить персональные данные из информационной системы «Стоп-лист», содержащей список неплательщиков по кредитам. Также московским мировым судьей было вынесено постановление о привлечении к административной ответственности в виде штрафа контрагента банка «Тинькофф Кредитные Системы», осуществлявшего рассылку информационных материалов.

До начала 2010 г. операторы еще имеют право приводить свои информационные системы в соответствие с требования 152-ФЗ. Зарегистрироваться все операторы должны были до 1 января 2008 г., но многие этого не сделали.

Парализовать работу любого оператора можно, организовав хотя бы несколько десятков обращений субъектов ПД с требованием предоставить информацию о том, как обрабатываются их данные. Оператор будет обязан предоставить такую информацию, но сделать это не просто и работа учреждения может практически остановиться. На данный момент реальное число операторов ПД значительно больше количества зарегистрированных сейчас в этом качестве организаций.

Применение IBM Rational AppScan
В свете вышесказанного, вопросы обеспечения информационной безопасности становятся очень актуальными. В настоящий момент существуют инструменты тестирования безопасности Web-приложений, которые позволяют автоматически анализировать ваши приложения на различные виды уязвимостей и давать рекомендации по их устранению.

В качестве примера инструмента тестирования безопасности рассмотрим IBM Rational AppScan.
IBM Rational AppScan– инструмент для автоматизации сканирования и тестирования Web-приложений на наличие известных уязвимостей, включая несанкционированные SQL-вставки, кросс-сайтовое выполнение скриптов и переполнение буфера, дает рекомендации по исправлению обнаруженных уязвимостей.
Можно выделить основные возможности, которые предоставляет IBM Rational AppScan:

1. Автоматическое сканирование web-приложений и обнаружение потенциально уязвимых мест
2. Выработка рекомендаций по устранению обнаруженных уязвимостей
3. Регулярное обновление баз уязвимостей
4. Интеграция с различными инструментами автоматизации тестирования
5. Повышение производительности за счет большей прозрачности и автоматизации
6. Возможность индивидуальной настройки в соответствии с предпочтениями пользователя
7. Возможность сканировать современные сложные сайты
8. Более действенные средства устранения проблем и рекомендации, обеспечивающие непревзойденную точность и эффективность
9. Возможность анализа исходного кода приложения

И как еще один плюс в сторону AppScan - это то, что набор тестов всегда можно пополнять и при этом старые тесты тоже будут выполняться. И это очень важно, т.к. технологии используются все новые, у разработчиков появляются новые задачи по обеспечению безопасности для написанного ими кода и никто не гарантирует, что уязвимость, которую всегда учитывали еще два года назад, нечаянно забудут. Использование AppScan поможет избегать таких ситуаций.

AppScan включает в себя более 40 гибко настраиваемых отчетов и информационных панелей для контроля работ по устранению уязвимостей и снижению риска, в том числе отчеты по стандартам PCI Data Security Standard, ISO 17799, ISO 27001, HIPAA, GLBA и Basel II.

Инструмент ориентирован на самый широкий круг пользователей, от специалистов в различных областях, не имеющих отношения к обеспечению безопасности, до экспертов, способных использовать дополнительные средства и надстройки для создания индивидуальной среды сканирования. Инструмент реализован на основе масштабированной архитектуры уровня предприятия, позволяющей выполнять одновременное сканирование нескольких приложений.