Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Техническая защита Пользователю

Закон о персональных данных: рынок не готов?

Информационные системы, в которых хранятся и обрабатываются персональные данные, согласно закону 152-ФЗ "О персональных данных", первоначально должны были быть приведены в соответствие с его положениями не позднее 1 января 2010 года. Однако законом №363-ФЗ от 27.12.2009 г. были внесены изменения, перенесшие дату на 1 год – на 1 января 2011 г. В результате участники рынка получили время на решение этой, казалось бы, чисто технической, а на деле включающей в себя сложный комплекс организационных и правовых аспектов задачи. Реализации отдельных положений закона на практике и был посвящен круглый стол "Защита персональных данных", организованный CNews Analytics и CNews Conferences.

Выступление Джабраила Матиева спровоцировало участников круглого стола на оживленную дискуссию о том, что делать с обновлениями многочисленного софта (антивирусного и не только), которые в большинстве случаев проводятся неконтролируемо, в автоматическом режиме. В частности, начальник отдела защиты информации "Банка Москвы" Василий Окулесский отметил, что любая сертификация ПО, имеющего постоянные обновления, бессмысленна, поскольку сертификат действует только до следующего обновления (например, антивирус Касперского получает от 10 до 25 обновлений в сутки, так что говорить о сертификации не приходится). Доверять производителям ПО, по мнению представителя "Банка Москвы", в этом вопросе не нужно. В целях обеспечения бесперебойности работы и безопасности ИТ-инфраструктуры необходимо, во-первых, осуществлять централизованное обновление всего ПО (системного, прикладного, антивирусного), а во-вторых – предусмотреть тестирование обновленных версий на локальных компьютерах. И только после такого предварительного тестирования, убедившись, что система "не падает" и все прикладные программы работают, можно размещать обновления в производственном сегменте. Таким образом, речь идет о создании в организации тестовой среды, которая должны быть отделена от производственной.

Реализовать на практике

Приведение ИСПДн в соответствие с законом собственными силами, причем в разумные сроки, с приемлемыми расходами и без единого предписания или замечания со стороны Роскомнадзора – задача непростая, но реальная. Елена Круглова, директор по развитию УК "Капитал", рассказала участникам круглого стола об успешном опыте своей компании по прохождению такой проверки.

Разумеется, подготовка организации к проверке требует разнообразных расходов, в частности – на технические меры защиты информации. Так, по словам докладчика, для защиты от несанкционированного доступа и неправомерных действий в компании были внедрены системы управление доступом; регистрации и учета; обеспечения целостности, система анализа защищенности, обнаружения вторжений и ряд других.

Значительно меньшая статья расходов - административные меры защиты информации. Как правило, они заключаются в разработке внутренней документации, принятии мер по охране и других административных мерах. В УК "Капитал" с этой целью было разработано несколько десятков внутренних нормативных документов, причем некоторые потребовали изменения бизнес-процессов (например, в плане условий хранения документации).

Роскомнадзор проверяет не только техническую оснащенность организации, но и квалификацию персонала, знание им внутренних регламентов компании в сфере защиты ПДн, поэтому обучение сотрудников просто необходимо.

К числу распространенных способов оптимизации расходов сегодня, как известно, относится понижение класса ИСПДн. С этой целью организация может осуществить, в частности, такие меры как обезличивание персональных данных, перевод ПДн в категорию общедоступных или отказ от сбора и заведения в ИС части информации (например, графы "национальность"). С целью изменения объема ПДн, которое тоже помогает понизить класс ИСПДн, можно осуществить дробление ИС на подсистемы (базы данных) с меньшим объемом, но при этом следует помнить, что информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Финансовый сектор

Как известно, ст. 26 "Банковская тайна" закона "О банках и банковской деятельности" от 02.12.1990 №395-1 обязывает кредитные организации защищать персональные данные клиентов. Кроме того, по информационной безопасности уже довольно давно существует стандарт "Банка России", который можно фактически назвать отраслевым стандартом ИБ для банков. По мнению Александра Велигура, председателя комитета по информационной безопасности АРБ, благодаря существованию такого отраслевого стандарта фактически многие требования 152-ФЗ банками уже выполнены, и необходимый уровень защиты персональных данных во многих ИСПДн кредитных организаций уже присутствует. И сегодня требуется лишь доработать отраслевой стандарт с учетом требований ФЗ-152.

Склонность банкиров руководствоваться стандартами "Банка России" подтвердил и начальник отдела защиты информации "Банка Москвы" Василий Окулесский. Хотя Банк Москвы и отправил уведомление в "Роскомнадзор", но большинство своих информационных систем (а их около 200) классифицированы банком как специальные (исключение сделано только для одной системы – кадровой). Следовательно, по мнению представителя "Банка Москвы", ИС банка не требуют дополнительных мер защиты данных, а деятельность банков по защите ПДн не требует лицензирования. Можно предположить, что схожим образом оценивают ситуацию и большинство российских банков, поскольку на сегодня по данным Роскомнадзора, лишь порядка 30% банков подали уведомление на регистрацию в качестве операторов ПДн.

Тем временем становится все более очевидным, что независимо от факта подачи уведомления в Роскомнадзор банкам придется приводить свои ИСПДн в соответствие с новым законом. И, чтобы облегчить этот процесс, "Банк России" совместно с АРБ разработали проекты отраслевых документов по приведению банков в соответствие с требованиями законодательства в области ПДн. При этом "Банк России" предполагает (и банковское сообщество явно сочувствует своему регулятору в этом вопросе), что аудит информационной безопасности в целом и проверка защиты ПДн, в частности, будут производиться, если и не полностью самостоятельно, то при непосредственном участии и контроле "Банка России".

Система здравоохранения

Учреждения системы здравоохранения тоже имеют своего регулятора – Минздравсоцразвития. Тем не менее, отраслевого ИБ-стандарта в данном секторе до сих пор нет. Этот факт с сожалением констатировал Владимир Поихало, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования (ФФОМС). Между тем работа ФФОМС и его 84 территориальных учреждений предполагает постоянный обмен персональными данными друг с другом и самостоятельными медицинскими учреждениями (которых более 8 тыс.), поэтому защита ПДн очень актуальна. В настоящее время, как рассказал представитель ФФОМС, начата работа по организации защищенного информационного обмена Фонда с пенсионным фондом и фондом социального страхования РФ.

Поддержал отраслевой принцип корректировки федерального законодательства по защите персональных данных и Андрей Столбов, заместитель директора Медицинского информационно-аналитического центра РАМН, отметив попутно, что в Западной Европе вопросы безопасности медицинских данных регулируются специальными законами.

Операторы связи

Деятельность операторов связи, как и банков, достаточно строго регламентирована Минкомсвязи. Отраслевого стандарта как отдельного документа нет, но в отраслевом законодательстве есть достаточно четкие нормы по обеспечению защиты персональных данных. Так, законом "О связи" №126-ФЗ еще в 2003-м году персональные данные абонента были отнесены к информации ограниченного доступа. Тогда же были обозначены требования к сроку ее хранения. Помимо этого, правительством был принят целый ряд документов, регламентирующих деятельность операторов связи, в том числе в плане обеспечения защиты сетей связи от НСД к передаваемой посредством их информации (Приказ Минкомсвязи от 9 января 2008 г. № 1). Кроме того, операторы связи действуют на основании лицензии, в которую включены в числе прочих и требования по обеспечению ИБ.

Дмитрий Соболев, директор дирекции информационной безопасности "Транстелекома", подчеркнув развитость отраслевой нормативной базы по информационной безопасности, выделил в ИТ-инфраструктуре своей компании одно из специфически-отраслевых решений - автоматизированную систему расчетов (АСР) и отметил, что требования, предъявляемые Минкомсвязи к данной системе в плане безопасности, еще жестче, чем требования ФСТЭК.

Защищенный сегмент корпоративной сети "Транстелекома"

Источник: "Транстелеком", 2010

В ходе выполнения работ по приведению ИТ-инфраструктуры в соответствие с законом, все системы компании были классифицированы согласно требованиям ФСТЭК. Для этого в "Транстелекоме" применялись ставшие уже традиционными методы снижения класса ИСПДн, уменьшения объема хранимых данных. В частности, Дмитрий Соболев поделился маленьким секретом, как именно удалось ограничить размер базы данных резюме – при появлении тысячного резюме, автоматически удаляется самое первое резюме. И еще один секрет снижения себестоимости проекта - использование терминальных вычислений. В корпоративной системе создан защищенный сегмент корпоративной сети, в котором и размещены нуждающиеся в защите информационные системы.

В свою очередь, компания "Вымпелком" пошла по пути "Банка Москвы", присвоив всем своим ИС статус "специальная система"". Отметив этот момент, Дмитрий Устюжанин, руководитель департамента информационной безопасности компании, тоже высказался в пользу отраслевого подхода к защите ПДн.

В целом история появления и реализации закона 152-ФЗ "О персональных данных" типична для российского законотворчества и практики экономической жизни: принимается закон, декларированная цель которого актуальна и не вызывает сомнений, однако организм экономической жизни поначалу активно сопротивляется внедрению закона. Причин реакции отторжения, как показал круглый стол, несколько. Это и слишком большой разрыв между некоторыми положениями законодательного документа и практикой бизнеса, и дублирование законом ряда положений уже действующего российского и международного законодательства, де-факто применяемого крупными организациями при организации бизнеса (например, стандарты безопасности ISO 2701), и нерешенность самой основной и болезненной проблемы защиты персональных данных – "проблемы инсайдеров" или, говоря иначе, "проблемы администраторов", которые, если за ними не осуществляется должный контроль, становятся поставщиками персональных баз данных на черный рынок.

Алексей Воронин / CNews


Презентации участников круглого стола

Презентация Александр Велигура, Ассоциация Российских Банков. Основные этапы проектов по защите персональных данных
Презентация Денис Легезо, CNews. Как менялся 152-ФЗ и как операторы готовятся к 2011 г.
Презентация Елена Круглова, УК КапиталЪ. Как оптимизировать информационную систему для обработки персональных данных?
Презентация Джабраил Матиев, "Рэйнвокс". Практический опыт сокращения издержек на примере банка
Презентация Виталий Окулесский, "Банка Москвы". Каковы основные этапы проектов по защите персональных данных?
Презентация Владимир Поихало, Федеральный фонд обязательного медицинского страхования. Особенности применения требований Федерального закона № 152-ФЗ в системе обязательного медицинского страхования
Презентация Дмитрий Соболев, "Транстелеком". Обеспечение защиты персональных данных в компании операторе связи, типичные проблемы, опыт компании ТТК
Презентация Максим Степченков, Oberon. Защита персональных данных – трудности есть, но бояться нечего
Презентация Андрей Столбов, РАМН. Проблемы защиты персональных данных в здравоохранении
Презентация Дмитрий Устюжанин, "Вымпелком". Как минимизировать риски в области защиты данных
Презентация Александр Шарамок, "Ортикон". Практика внедрения системы безопасности персональных данных
Презентация Скачать все презентации (архив)

Короткая ссылка