Защита персональных данных: как рынку вырваться из противоречий?
Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных" действует уже четыре года, однако в части выполнения технических требований вступление его в силу постоянно откладывается – на сей раз до 1 июля 2011 г. При этом в полном объеме к нему не готовы ни операторы, ни регуляторы. В ближайшее время ожидается принятие поправок, которые сделают его исполнение более реальным. О том, что они изменят, в чем основные сложности, насколько они преодолимы и как компаниям все же "соблюсти букву закона", говорили участники круглого стола "Защита персональных данных: помогут ли отсрочки, организованного CNews Analytics совместно с CNews Conferences.Роман Писарев: Отсрочки по ФЗ №152 не будут бесконечными
CNews: Сроки приведения информационных систем в соответствие с требованиями федерального закона №152 неоднократно переносились. Насколько актуальной, по вашему мнению, будет последняя на сегодня дата – 1 января 2012 г.?
Роман Писарев: Даже если очередного переноса сроков не произойдет, то это не решит основную проблему – ведь она заключается не в сроках, а в том, что крупнейшие государственные операторы персональных данных, такие как МВД, Минздравсоцразвития, Минобрнауки и др., не привели свои ИСПДн в соответствие требованиям. Более того, ситуация на текущий момент такова, что многие операторы пока и не собираются выполнять эти требования. При неработающей системе исполнительного производства невыполнение закона обходится гораздо дешевле, чем исполнение довольно путанных и нечетких указаний в ФЗ №152.
Роман Писарев, ведущий эксперт департамента ИТ-безопасности и телекоммуникационных решений компании TopS BI.
CNews: Как снизить затраты на приведение информационных систем в соответствие требованиям закона о защите персональных данных?
Роман Писарев: Вряд ли регуляторы будут бесконечно переносить сроки выполнения требований ФЗ №152. Вообще, отсрочки не отменяют необходимости соблюдения закона, поэтому стоит уже сейчас задуматься о приведении информационных систем в соответствие нормативам. Прежде чем говорить о внедрении систем и средств защиты ПДн, необходимо провести обследование и определить, что уже сделано в компании с точки зрения информационной безопасности, и в какой мере это соответствует требованиям законодательства. Это поможет правильно спланировать дальнейшие работы, определить их объем и, соответственно, просчитать финансовые затраты.
Во многих компаниях считается, что обследование – это пустая трата времени и денег, что в этом заинтересованы интеграторы. Но это ошибочное мнение. На самом деле именно на этапе информационного обследования и аудита закладывается фундамент успешной реализации проекта. Поэтому компания TopS BI уделяет особое внимание этим процессам.
При обследовании выясняются специфика архитектуры информационной системы, процессы обработки информации и требования к системе со стороны бизнес-подразделений. Разработка организационно-распорядительных документов, включая модели угроз, необходимость использования таких механизмов обеспечения ИБ как системы обнаружения вторжений, анализа защищенности и т.д., определяются именно во время обследования. Также на этом этапе принимаются решения о возможности использования штатных или встроенных в ПО средств защиты, а, следовательно, и необходимости использования дополнительных средств защиты.
При выборе конкретных способов реализации нормативных требований и необходимых средств защиты информации также сложно обойтись без помощи профессионалов. Дело в том, что каждое из технических требований регуляторов обычно можно реализовать двумя-тремя способами. При этом стоимость работ может различаться в разы! При выборе конкретных средств защиты информации необходимо учитывать не только стоимость их приобретения, но и стоимость владения (например, некоторые вендоры предполагают ежегодное платное продление лицензий на свои продукты), а также трудоемкость внедрения и обслуживания внедренных средств защиты.
Необходимо учитывать и ряд индивидуальных особенностей различных средств защиты, выяснить которые удается только имея достаточно богатый опыт их эксплуатации. Обычные компании, даже самые крупные, как правило, не обладают подобным опытом. Поэтому важно заручиться поддержкой специалистов. Весьма полезно заказать у интегратора сравнительное исследование и тестирование возможных вариантов. Потраченные деньги с лихвой оправдаются, так как вы сможете значительно упростить вопросы эксплуатации выбранных средств защиты. Также немаловажным моментом при выборе конкретных средств защиты является «подкованность» специалистов в области законодательства.
CNews: Насколько безопасна передача аутсорсеру вопросов технической защиты ПДн?
Роман Писарев: Это вполне безопасно. Главное выбрать правильный подход. Администратор безопасности не имеет доступа к ПДн, поэтому в чем-то будет проще, если им станет «аутсорсер». Здесь меньше шансов «вступить в сговор». А если еще и аудитор ИБ (тот, кто следит за администратором ИБ) будет из самой компании, то более надежной схемы придумать сложно.
CNews: Спасибо.