Поделиться
Бюджет и закон: как выполнить требования ФЗ-152?
Федеральный закон "О персональных данных" вступает в силу с 1 января 2010. Однако неготовность большинства операторов к его выполнению признают даже государственные органы. Причины этого, а также специфические проблемы с исполнением закона у государственных и коммерческих организаций CNews обсудил с директором департамента ИБ группы "Рамэк" Сергеем Шибковым и начальником отдела комплексных систем безопасности Александром Буяновым.Оптимальным решением сейчас для всех предприятий станет, на мой взгляд, составление концептуальной программы, которая включит в себя описание пошаговых действий по созданию СЗПДн. Например, на первом этапе проводим аудит, на втором – работаем над критичными уязвимостями, на третьем – осуществляем проектирование системы и т.д. Каждый этап закладывается в бюджет, имеет свои сроки реализации. Таким образом, если после 1 января придет проверяющий, ему будет что предъявить: работы начаты. Осилить все и сразу в ближайшей перспективе все равно не получится.
CNews: Какими еще путями можно сократить затраты на обеспечение защиты персональных данных?
Сергей Шибков: Процесс защиты персональных данных включает в себя много этапов: это обследование объекта, проектирование, закупка оборудования, при необходимости, его сертификация и поставка, пуско-наладка, монтаж, инсталляция программных продуктов. Последний этап – аттестация. Например, компания может сэкономить, изначально закупая оборудование, прошедшее весь комплекс необходимых специальных проверок и исследований. Так, оборудование, которое производит "Рамэк", проходит все необходимые специальные проверки. Применяя это оборудование, оператор может обрабатывать информацию различной степени конфиденциальности. Таким образом, заказчик получает готовый продукт. Самостоятельная закупка вычислительной техники и проведение на ней комплекса специальных работ обойдется значительно дороже. Кстати, сегодня мы работаем над тем, чтобы поставлять не только отдельные АРМ, но и целые системы.
CNews: Что стоит учесть предприятиям, начинающим защиту персональных данных?
Сергей Шибков: Безусловно, первое, что необходимо для построения защиты, – четкое понимание руководством целей и задач создаваемой системы. Второе – подготовленность сотрудников. Для успешной реализации проекта нужны компетентные специалисты, подготовленные для сопровождения проекта и дальнейшей его поддержки и развития. Кроме того, необходимо помнить, что поддержка системы и развитие – это дополнительные финансовые вложения, ведь замена даже составной части какого-то устройства ведет за собой повышение определенных рисков утечки. К тому же, закон гласит, что при ремонте и модернизации системы нужно проводить переаттестацию, этот момент тоже нужно учитывать.
Сергей Шибков: Первое, что необходимо для построения защиты, – четкое понимание руководством целей и задач создаваемой системы
И еще один момент, на котором хотелось бы остановиться отдельно, – это сокращение издержек. Здесь так же нужен разумный подход. Важно, чтобы экономия на первом этапе не сказалась на дальнейшей модернизации.
Александр Буянов: Я хотел бы немного добавить. Предположим, у нас есть какая-то автоматизированная система, в которой обрабатывается конфиденциальная информация, в том числе и персональные данные. Закон требует защиты только персональных данных, поэтому мы можем в этой автоматизированной системе выделить сегмент, который обрабатывает персональные данные, и защитить только его. Это будет стоить, разумеется, дешевле. А можно защитить полностью всю систему. Безусловно, это потребует дополнительных капиталовложений, но зато позволит защитить не только персональные данные, но и другую конфиденциальную информацию, в том числе и коммерческую тайну. Кроме того, в дальнейшем появится возможность в значительной степени сократить затраты на модернизацию всей информационно-вычислительной системы.
CNews: В текущем году в "Рамэк" департамент информационной безопасности существенно расширился. Что спровоцировало компанию активизировать усилия по данному направлению?
Сергей Шибков: Исторически наша компания работала и продолжает работать с предприятиями ВПК. Первым направлением в области информационной безопасности, которое стало развиваться в "Рамэк", было проектирование и внедрение аппаратных средств защиты вычислительной техники, поставлявшейся силовым ведомствам. Для деятельности по обеспечению государственной тайны у нас имелись все необходимые ресурсы и соответствующие лицензии. Но это довольна узкая задача, и когда мы сталкивались с необходимостью построить систему ИБ в рамках интеграционных проектов, приходилось передавать задачу подрядчикам, т.к. на данный отрезок работы собственные ресурсы мы не закладывали.
В начале этого года необходимость развития собственной экспертизы в области ИБ стала очевидной. Мы посчитали и пришли к выводу, что по имеющемуся объему работ для нас будет выгоднее использовать внутренние ресурсы, чем передавать работы подрядным организациям. Сегодня в подразделении работают 30 человек, и мы планируем дальнейшее расширение количества сотрудников и портфеля решений. Все необходимые лицензий ФСБ, ФСТЭК и Министерства обороны России для этого мы имеем. На текущий период сотрудники департамента сосредоточены на разработке решений по защите персональных данных, проектировании комплексных современных систем защиты информации.
CNews: Каким образом строится взаимодействие "Рамэк" с органами государственной власти и государственными предприятиями в области ИБ? В чем специфическая разница между потребностями государственных и коммерческих заказчиков?
Сергей Шибков: У нас достаточно большое количество государственных контрактов. Работа с госструктурами требует от нас скрупулезного и точного выполнения задач и по срокам, и по ценам, и по контролю. Результат нашей деятельности контролирует не только заказчик, но и военная приемка и органы, следящие за выполнением государственного оборонного заказа. Заказы со стороны госструктур обычно связаны с защитой государственной тайны. Для них мы выполняем комплекс мероприятий по защите информации и аттестации объектов информатизации в строгом соответствии с требованиями руководящих документов ФСТЭК и ФСБ. А вот в коммерческих организациях могут быть собственные стандарты по защите информации. Ведь руководящие документы ФСТЭК для них не являются обязательными и носят рекомендательный характер. Поэтому они могут быть усилены или ослаблены. Например, в Центробанке, "Газпроме" и ряде других структур вообще существуют отраслевые стандарты по защите информации, которые являются ведомственными и обязательны к исполнению.
Александр Буянов: Часто коммерческие организации сами формируют техническое задание, определяют данные, которые будут защищать. Хочу подчеркнуть, что это не касается персональных данных.
Важно еще учитывать и разницу в подходе к выбору средств защиты информации. Государственные структуры, как правило, ориентируются на средства защиты и обработки информации, сертифицированные в государственной системе сертификации. Для коммерческих организаций это совершенно не обязательно. Зачастую, для них более важным является наличие международного сертификата, подтверждающего потребительские свойства. В связи с чем, в системах защиты информации государственных структур применяются оборудование и программные средства, разработанные в России или произведенные по лицензиям. В коммерческих структурах оборудование может быть любым, главное, чтобы оно устраивало заказчика.
Поделиться
Короткая ссылка
