Защита персональных данных: откладывать больше нельзя
Закон "О персональных данных" (№152-ФЗ) поставил перед большинством российских компаний сложнейшую задачу, которую предстоит решить уже в этом году. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Между тем, сегодня далеко не все компании, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.В соответствии с руководящими документами регуляторов для некоторых классов ИСПДн необходимо внедрить систему защиты, которая может состоять из 10 подсистем. Среди них: подсистемы антивирусной защиты; защиты от НСД; анализа защищенности и выявления уязвимостей; криптографической защиты информации; маршрутизации, коммутации и межсетевого экранирования; обнаружения вторжений. В ряде случаев (если это прямо указано в разработанной модели угроз или информационная система ПДн относится к первому классу) предполагается также внедрение и специфических систем, называемых "подсистемами защиты информации от утечки по техническим каналам". Они защищают персональные данные: от утечек по цепям электропитания и заземления; от утечек за счет побочных электромагнитных излучений и наводок; от утечек по акустическому (виброакустическому) каналу; от утечек за счет акустоэлектрических преобразований и высокочастотного навязывания.
В таблице "Перечень подсистем ИБ в зависимости от класса ИСПДн" перечислены классы информационных систем ПДн и показано, какие подсистемы информационной безопасности должны быть внедрены для каждого класса, согласно руководящим документам ФСТЭК.
Перечень подсистем ИБ в зависимости от класса ИСПДн
Антивирусная защита | Защита от НСД | Анализ защищенности и выявление уязвимостей | Подсистема обнаружения вторжения | Подсистема маршрутизации, коммутации и межсетевого экранирования | Подсистема криптограф. защиты информации | |
ИСПДн 1 (распред.) | + | + | + | + | + | + |
ИСПДн 1 (локальн.) | + | + | + | - | - | + |
ИСПДн 2 (распред.) | + | + | + | + | + | - |
ИСПДн 2 (локальн.) | + | + | + | - | - | - |
ИСПДн 3 (распред.) | + | + | + | + | + | - |
ИСПДн 3 (локальн.) | + | + | + | - | - | - |
Источник: Leta IT-company, 2009
Подсистема криптографической защиты информации необходима только для ИСПДн, удовлетворяющих определенным условиям. В частности, ИСПДн должна быть многопользовательская с равными правами доступа к информации.
В связи с этим можно дать практический совет. Следует рассмотреть возможность максимально полного использования сертифицированных средств защиты. Если же удастся снизить класс системы ПДн, то требования будут значительно скромнее. При этом начать надо с возможного сужения сегмента сети организации, в которой ведется обработка ПДн. Снизили класс системы ПДн, ограничили область обращения ПДн, выбрали оптимальный состав сертифицированных средств для защиты только данной области – и затраты станут значительно ниже.
Встречаются, правда, сложные случаи, когда ПДн используются в рамках многофункциональных информационных систем уровня всей организации, например, банковских АБС. Такие системы, очевидно, не имеют сертификатов ФСТЭК, но даже получение их для одной версии не решит проблемы. Ведь эти ИС постоянно модернизируются – поддержание актуальности сертификатов на них в существующей системе сертификации невозможно. Пожалуй, единственное, что можно посоветовать в таком случае, – это обратиться в регулирующий орган с описанием проблемы. Хочется верить, что требования регуляторов после некоторого периода применения претерпят ряд изменений, которые будут предусматривать какой-то выход из данной ситуации.
Приглашать консультанта или делать самим?
Как это часто бывает, перед руководством встает классическая дилемма: использовать ресурсы собственных сотрудников или привлекать профессиональную компанию-консультанта. Для ее решения можно посоветовать ответить на несколько вопросов. Достаточно ли у сотрудников организации квалификации, чтоб выполнить требования закона № 152-ФЗ? Есть ли у них понимание того, сколько времени займет и каких ресурсов потребует решение задачи по обеспечению соответствия закону №152-ФЗ? Кто из руководителей департаментов готов взять на себя ответственность за эффективный ход проекта по построению системы защиты ПДн? Какие действия должны быть предприняты для подачи уведомления от оператора ПДн? Как выполнить требования по защите ПДн, определенные в руководящих документах регулирующих органов, и не нарушить бизнес-процессы организации? Как минимизировать затраты на решение задач по обеспечению соответствия закону?
Возможно, в компании есть специалисты, которые служили ранее в подразделениях ФСБ или ФСТЭК и знакомы с подходом регуляторов к вопросу защиты конфиденциальной информации. Они знают основные руководящие документы, в которых эти требования определены, им известно, как подаются заявки на лицензии ФСБ и ФСТЭК. Вовлечение таких специалистов, безусловно, окажет огромное содействие ходу проекта. Но надо отдавать себе отчет, что построение системы защиты ПДн – многоплановый проект, он затрагивает различные аспекты деятельности компании. Скорее всего, упомянутый выше специалист будет готов участвовать в нем только как эксперт, но не как руководитель.
Наиболее эффективен подход, при котором для исполнения работ по проекту привлекается внешняя компания – интегратор информационной безопасности, но при этом организуется рабочая группа внутри предприятия. Правда, он, конечно, потребует дополнительных затрат на услуги подрядчика. В рабочую группу включаются следующие сотрудники компании: руководитель высшего звена в качестве спонсора проекта, глава департамента информационной безопасности как руководитель проекта и главный ответственный за его ход, глава или ведущий сотрудник ИТ-департамента, специалисты, имевшие опыт службы в ФСБ и ФСТЭК, юрист компании.
Внутренняя команда будет осуществлять контроль за ходом проекта, привлечением внутренних ресурсов, мотивированием линейных менеджеров к активному содействию процессу и отвечать за эффективное финансирование проекта. А большую часть работ предстоит выполнить команде консультанта. При выборе подрядчика необходимо оценить следующие аспекты: какой опыт работы имеет данная компания на рынке информационной безопасности, обладает ли она необходимым набором лицензий регулирующих органов (ФСТЭК и ФСБ) для выполнения работ по защите ПДн; может ли компания поставить весь спектр необходимых сертифицированных решений и оказать содействие при аттестации ИСПДн (это требуется для определенных классов систем). Основная цель аттестации – подтвердить, что информационная система ПДн соответствует требованиям руководящих документов по безопасности данных, утвержденных ФСТЭК.
Этапы построения системы защиты ПДн
После того, как в организации сформирована рабочая или проектная группа и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы. Прежде всего, нужно определить все ситуации, когда требуется проводить сбор, хранение, передачу или обработку ПДн. Затем – выделить бизнес-процессы, связанные с такими ситуациями. Разумно выбрать ограниченное число бизнес-процессов и проанализировать их. В рамках такого исследования формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. Потом нужно определить круг информационных систем и совокупность обрабатываемых ПДн. Следующий шаг – категорирование ПДн и предварительная классификация ИС. Затем проводится выработка предложений по снижению категорий обрабатываемых ПДн. После этого формируется актуальная модель угроз для каждой ИСПДн, подготавливается задание по созданию требуемой системы защиты. Потом проводится уточнение классов ИС и подготовка рекомендаций по использованию технических средств защиты ПДн. Затем в Роскомнадзор подается уведомление о деятельности в качестве оператора ПДн, а в ФСТЭК – заявка на получение экземпляров руководящих документов по организации системы защиты.
Эти работы предстоит выполнить на первом, начальном этапе. Именно в это время закладывается фундамент успеха всего проекта и делаются основные расходы на консалтинг. Но основанная работа происходит на последующих стадиях. Ведь они включают развертывание полноценной производственной системы обработки ПДн, полномасштабное внедрение средств защиты, аттестацию ИС, приведение всех бизнес-процессов обработки ПДн в соответствие с требованиями закона, реагирование на регулярные проверки и т.д.