ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Украинский интегратор защиты персональных данных

Защита персональных данных: время действовать! Руководство для бизнеса по защите персональных данных (часть 2)

Руководство по защите ПДн

Модель №3. Требования закона настолько сложны, что их невозможно исполнить – ничего не делать.

На самом деле, остается немало открытых вопросов, касающихся практики применения требований Закона. Отсутствие простых очевидных ответов заставляет часть руководителей "опускать руки".

Достаточно представить необходимость установки специального решения для защиты от НСД на все компьютеры, где ведется обработка ПНд. Или необходимость замены существующих решений по организации защищенного удаленного взаимодействия, на сертифицированные в ФСБ России. Или необходимость внесения изменений в Устав компании для получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Очень и очень многое представляется на первый взгляд нереализуемым или очень сложным. А когда нет понимания всей картины необходимых изменений и результат не вполне ясен, очень непросто решиться на серьезные шаги.

Мы вполне разделяем обеспокоенность таких руководителей, но не считаем, что ссылка на сложность может извинить их пассивную позицию. Достаточно вовлечь в процесс компанию, специализирующаяся на вопросах информационной безопасности. По каждому сложному вопросу в результате обсуждения с его специалистами можно найти компромиссный вариант, подходящий и по рискам, и по стоимости реализации.

Модель №4. Закон есть закон – надо срочно предпринимать радикальную перестройку всей компании.

Отдельно надо отметить группу законопослушных руководителей, привыкших руководствоваться принципом "закон есть закон". В данной ситуации они готовы отдать команду своим подчиненным срочно заняться коренной перестройкой всех процессов и информационных систем, затрагивающих обработку и хранение ПДн. Устоявшиеся годами процессы ведения CRM, проведения маркетинговых опросов или рассылок рекламных приостанавливаются, компания несет затраты на срочную закупку новых средств защиты, на работу срочно принимается дорогой специалист, имевший опыт работы в ФСТЭК России и т.д. В результате затраты растут, ИТ-департамент в спешке занимается развертыванием новых систем, бизнес-процессы теряют достигнутую ранее эффективность...

Безусловно, требования Закона надо выполнять. Но всё же во главу угла следует ставить устойчивость и работоспособность основных бизнес-процессов. Такому руководителю можно посоветовать не спешить с изменениями, а для начала пригласить для консультации стороннего консультанта по информационной безопасности. Недельное обследование ситуации поможет выявить "масштаб бедствия" и подготовить возможные стратегии дальнейшего поведения для компании.

Как уже указывалось, все системы ПДн разбиваются на несколько классов. Для разных классов установлены и разные меры защиты. И многими профессиональными консультантами уже разработаны конкретные механизмы понижения класса информационной системы, обрабатывающей ПДн. Итак, первое, что сможет сделать консультант – это предложить шаги по максимально возможному снижению категорий ПДн и классов существующих информационных систем, обрабатывающих ПДн. Только это уже поможет снизить стоимость проекта.

Другой пример. Закон стребует использования средств антивирусной защиты, имеющих сертификат ФСТЭК России или ФСБ России. Если в компании используется решение, не имеющее такого сертификата, ничто не мешает просто произвести миграцию с одного антивируса на другой. Консультант поможет вам подобрать оптимальный вариант перехода. А, если учесть, что многие антивирусные компании предлагают специальные скидки при отказе от продукции конкурента, возможна даже некоторая экономия.

Итак, разумный подход, предполагающий поэтапную реализацию требований Закона, непременно приведет к положительному результату. Хотя и потребует некоторых затрат и управленческих усилий.

Модель №5. Закон принят, он должен исполняться – дорогу осилит идущий.

Эту категорию руководителей отличает здравый, объективный подход и нельзя не отметить, что в последнее время большинство придерживается именно такой позиции. Они понимают, что цель государственных органов – не столько привлечь компании и организации к ответственности, сколько обеспечить исполнение требований Закона. Не обходится практически ни одной налоговой проверки без выявленных нарушений. Нарушения исправляются или обжалуются – и это нормальный рабочий процесс, к которому все в общем-то привыкли. Но никому и в голову не приходит просто игнорировать требования налогового законодательства, хотя его требования также порой нелегко понять и реализовать. Думается, что со временем и к контролю со стороны Роскомнадзора отношение будет схожим.

На деле, разумный руководитель должен рассуждать примерно так: практика применения требований Закона не сложилась, но, если сегодня начать поэтапную реализацию требований, то к моменту возможной проверки сделано будет достаточно много. Это поможет аргументировано отстоять свою позицию перед проверяющим органом, а, если придется, – и в суде. Не вызывает сомнения, что в случае судебного разбирательства позиция компании, которая добросовестно предпринимала все усилия по реализации требований Закона, но не успела завершить проект в срок или допустила неверное толкование Закона - будет гораздо более защищенной.

Если компания:

    провела ревизию использования ПДн;

    начала заключать, если это необходимо, соглашения с субъктами ПДн;

    включилась в процесс получения необходимых лицензий ФСТЭК России и ФСБ России;

    подала уведомление как оператор ПДн;

    получила экземпляры руководящих документов ФСТЭК России;

    провела закупку хотя бы части сертифицированных средств;

    выделила хотя бы один процесс обработки ПДн и привела его в соответствие с требованиями ФЗ №152.

Это все доказывает деятельное желание руководства компании добросовестно исполнять Закон. Уверен, что редкий проверяющий, встретив такое отношение, будет настроен на карательные меры.

Какие требования к средствам защиты ПДн?

Закон предполагает, что оператор применяет специализированное программное и аппаратное обеспечение в процессах сбора, обработки, передачи и хранения ПДн. Используемые средства защиты ПДн должны обладать сертификатами ФСТЭК России или ФСБ России. К счастью, актуальные регулярно обновляемые реестры всех этих средств доступны на официальных сайтах ФСТЭК России и ФСБ России.

Государственный реестр сертифицированных средств защиты информации №РОСС RU.0001.01БИ00 (Реестр ФСТЭК России).

Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (Перечень средств ФСБ России).

Из этих списков видно, что в них преобладают продукты отечественных производителей, но в последнее время все больше западных продуктов успешно проходят действующие системы сертификации. Так что с каждым годом выбор возможных средств все более расширяется.

Вполне реальна ситуация, когда в реестре перечислено средство, аналогичное тому, что уже установлено в компании, но не прошло процедуры сертификации. Если так, то это средство не будет рассматриваться проверяющим, как надлежащий механизм защиты ПДн. Выхода в такой ситуации два: или переходить в работе на использование сертифицированных средств или подавать на сертификацию уже используемые. К сожалению, сертификация – очень непростая процедура, требующая вовлечения специализированной аккредитованной тестовой лаборатории, подготовки объемной документации о возможностях системы, предоставления исходных кодов. Кроме того, это может потребовать ощутимых расходов и займет не менее 6 месяцев.

В соответствии с руководящими документами регуляторов для некоторых классов информационных систем ПДн необходимо внедрить систему защиты, которая может состоять из 10 подсистем.

Среди них несколько подсистем хорошо известных специалистам по информационной безопасности:

    Подсистема антивирусной защиты.

    Подсистема защиты от НСД.

    Подсистема анализа защищенности и выявления уязвимостей.

    Подсистема криптографической защиты информации.

    Подсистема маршрутизации, коммутации и межсетевого экранирования.

    Подсистема обнаружения вторжений.

В ряде случаев (если это прямо указано в разработанной модели угроз или информационная система ПДн относится к классу 1), предполагается также внедрение и части специфичных систем, называемых также "подсистемами защиты информации от утечки по техническим каналам":

    Подсистема защиты от утечек по цепям электропитания и заземления.

    Подсистема защиты от утечек за счет ПЭМИН.

    Подсистема защиты информации от утечки по акустическому (виброакустическому) каналу.

    Подсистема защиты информации от утечки за счет акустоэлектрических преобразований и высокочастотного навязывания.

В следующей таблице перечислены классы информационных систем ПДн и показано, какие подсистем информационной безопасности должны быть внедрены для каждого класса, согласно руководящим документам ФСТЭК России.

Примечание. Подсистема криптографической защиты информации необходима только информационных систем ПДн, удовлетворяющих определенным условиям. В частности, система должна быть многопользовательская с равными правами доступа к информации.

Практический совет, который можно дать в связи с этим, будет звучать примерно так.

Следует рассмотреть возможность максимально полного использования сертифицированных средств защиты. Если же, с помощью консультантов, удастся снизить класс системы ПДн, то и требования по необходимости сертифицированных средств защиты будут значительно скромнее. При этом, начать надо с возможного сужения сегмента сети организации, в которой ведется обработка ПДн. Снизили класс системы ПДн, ограничили область обращения ПДн, выбрали оптимальный состав сертифицированных средств для защиты только данной области – и затраты стали значительно ниже.

Есть правда и действительно сложные случаи, когда ПДн используются в рамках многофункциональных информационных систем уровня всей организации, например, банковских АБС. Такие системы, очевидно, не имеют сертификатов ФСТЭК, но даже его получение для одной версии не решает проблемы. Ведь такие системы постоянно активно дорабатываются, изменяются – очевидно, что для такой системы поддержание актуальности сертификата в существующей системе сертификации невозможно. Пожалуй, единственное, что можно посоветовать в такой ситуации – это обратиться в регулирующий орган с описанием проблемы и подождать ответа на обращение. Хочется верить, что требования регуляторов после некоторого периода применения претерпят ряд изменений, которые дадут какой-то выход из создавшейся ситуации.

Почему трудно обойтись без привлечения сторонней компании и как подойти к её выбору?

Как всегда, перед руководителем встает классическая дилемма: использовать ресурсы собственных сотрудников или привлекать профессиональную компанию консультанта? Можно посоветовать ответить для начала на несколько вопросов.

Достаточно ли у сотрудников организации квалификации, чтоб выполнить требования ФЗ №152? Есть ли у них понимание того, сколько времени займет и каких ресурсов потребует решение задачи по обеспечению соответствия Закону? Кто из ваших руководителей департаментов готов взять на себя ответственность за эффективный ход проекта по построению системы защиты ПДн? Какие должны быть предприняты действия для подачи уведомления от оператора ПДн? Как выполнить требования по защите ПДн, определенные в руководящих документах регулирующих органов, и не нарушить бизнес-процессы организации? Как минимизировать затраты на решение задач по обеспечению соответствия закону? Ответ кажется очевидным: без предоставления хотя бы консультационной помощи реализовать требования закона будет очень непросто.

Возможно, в компании есть специалисты, которые служили ранее в подразделениях ФСБ России или ФСТЭК России и знакомы с подходом регуляторов к вопросу защиты конфиденциальной информации. Эти специалисты знакомы с основными руководящими документами, в которых эти требования определены, им известно, как подаются заявки на лицензии ФСБ России и ФСТЭК России. Вовлечение таких специалистов, безусловно, окажет огромное содействие ходу проекта.

Но надо отдавать себе отчет, что проект по построению системы защиты ПДн – многоплановый и затрагивает различные аспекты деятельности компании. Скорее всего, упомянутый выше специалист готов вовлекаться в такой проект только как эксперт, но не как его руководитель.

Наиболее эффективным авторам статьи предлагается подход, при котором для исполнения работ по проекту привлекается внешняя компания – интегратор информационной безопасности, но при этом организуется рабочая группа, в которую включаются следующие сотрудники компании:

    Руководитель высшего звена в качестве спонсора (в терминологии PMBoK) проекта.

    Руководитель департамента информационной безопасности как руководитель проекта и главный ответственный за его ход.

    Руководитель или ведущий сотрудник ИТ-департамента.

    Упомянутые выше специалисты, имевшие опыт службы в органах ФСБ России и ФСТЭК России.

    Юрист компании.

Внутренняя команда, по сути, будет осуществлять контроль за ходом проекта, привлечением внутренних ресурсов, определенном мотивировании линейных менеджеров на активное содействие процессу и отвечать за эффективное финансирование проекта. А большую часть работ предстоит исполнить команде внешнего консультанта.

При выборе сторонней компании необходимо оценить, по крайней мере, следующие аспекты:

    Какой опыт работы имеет данная компания на рынке информационной безопасности (ИБ)?

    Обладает ли компания необходимым набором лицензий регулирующих органов (ФСТЭК России и ФСБ России) для выполнения работ по защите ПДн?

    Может ли компания поставить весь спектр необходимых сертифицированных решений по построению системы защиты ПДн?

    Может ли компания оказать содействие при необходимости аттестации информационной системы ПДн (это требуется для определенных классов систем)?

Необходимо также отдельно упомянуть такое понятие как "аттестация ИСПДн".

Дело в том, что для отдельных классов ИСПДн закон требует прохождения обязательной аттестации системы. Такая аттестация проводится организациями, обладающими лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Основная цель аттестации – подтвердить, что информационная система ПДн соответствует требованиям руководящих документов по безопасности информации, утвержденных ФСТЭК России.

Очевидно, что без вовлечения компании, специализирующейся на информационной безопасности и конкретно – на аттестации объектов информатизации, успешно пройти аттестацию невозможно.

Каким может быть первый этап при построении системы защиты ПДн?

После того, как в организации сформирована рабочая или проектная группа, отвечающая за успех всего проекта, и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы:

    Определение всех ситуаций, когда требуется проводить сбор, хранение, передачу или обработку ПДн. На этом этапе также важно понять, насколько это вообще-то является необходимым.

    Выделение бизнес-процессов, охватывающих такие ситуации. Разумно выделить ограниченное число таких бизнес-процессов и провести полный анализ по ним. В рамках такого исследования определяется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.

    Определение круга информационных систем, обрабатывающих ПДн.

    Определение совокупности ПДн, обрабатываемых в рамках информационных систем ПДн.

    Категорирование ПДн.

    Предварительная классификация информационных систем ПДн.

    Выработка предложений по снижению категорий, обрабатываемых ПДн.

    Формирование актуальной модели угроз для каждой информационной системы ПДн, подготовка задания на создание требуемой системы защиты ПДн.

    Уточнение классов информационных систем ПДн.

    Подготовка рекомендаций по использованию технических средств защиты ПДн.

    Подача уведомление в Роскомнадзор о деятельности в качестве оператора ПДн.

    Подача заявки в ФСТЭК на получение экземпляров руководящих документов по организации системы защиты ПДн.

    Подача заявки на получение лицензии ФСБ России и ФСТЭК России, если в этом есть необходимость.

Этот список приводится затем, чтобы донести общий порядок работ, который предстоит исполнить в рамках проекта построения защиты ПДн на первом, начальном этапе. На самом деле, именно на этом этапе закладывается фундамент успеха всего проекта и происходят основные траты на консалтинг.

Но основанная работа сконцентрирована на последующих стадиях. Ведь они включают развертывание полноценной производственной системы обработки ПДн, полномасштабное внедрение средств защиты, аттестацию информационной системы ПДн, приведение всех бизнес-процессов обработки ПДн в соответствие с требованиями закона, реагирование на регулярные проверки и т.д.

Для любого бизнес-руководителя принять любое даже предварительное решение об открытии проекта всегда очень тяжело, если нет хотя бы грубой оценки стоимости проекта. Поскольку практика построения систем защиты ПДн еще только складывается, пока можно постараться оценить стоимость начальных этапов.

Допустим, речь идет о некоторой компании, которая отвечает следующим условиям: все бизнес-процессы и информационные системы расположены в одном офисе, в компании присутствуют 3-5 процессов, в ходе которых происходит обработка ПДн, обработка ведется в 3-5 информационных системах.

Продолжительность проведения работ, перечисленных выше, для такой компании в среднем может составить 50 рабочих дней. А общая стоимость будет находиться в пределе от 600 000 р. до 1 000 000 р.

Стоит ли ждать?

Хочется верить, что соображения и факты, описанные в этом материале, убеждают в том, что дальнейшее промедление с началом полноценного проекта по выполнению требований закона о защите персональных данных (ПДн) может губительно сказаться на судьбе организации. Волна проверок операторов ПДн набирает силу, и есть все основания полагать, что будет в дальнейшем только усиливаться. Достаточно быстро формируется объем знаний и представлений среди экспертов и профессиональных консультантов в области защиты ПДн, вышли все необходимые для начала работ нормативные документы. И если раньше, в течение 2008 года, было еще достаточно сложно решиться на первый шаг, теперь все предпосылки для этого созданы.

Не стоит откладывать решение проблемы или тем более ожидать, что необходимость в приложении серьезных усилий не появится. Тем более, что при решении одной частной задачи – защите персональных данных – в вашей компании может быть существенно поднят общий уровень состояния информационной безопасности. А такого рода инвестиции оправданы и вне задачи защиты ПДн. Ведь при выполнении требований законодательства о защите персональных данных, безусловно, повышается уровень защищенности многих информационных ресурсов в компании.

Так что не ждите проверки или слухов о первом привлечении кого-то к ответственности.

Соберите команду и начните действовать немедленно – время для этого уже пришло.

Авторы статьи: Вениамин Левцов, Илья Новиков

НАНПФ (12.04.2011 в 15:30) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"