Разделы

Безопасность Госрегулирование Стратегия безопасности Техническая защита Пользователю

Закон о персональных данных: рынок не готов?

Информационные системы, в которых хранятся и обрабатываются персональные данные, согласно закону 152-ФЗ "О персональных данных", первоначально должны были быть приведены в соответствие с его положениями не позднее 1 января 2010 года. Однако законом №363-ФЗ от 27.12.2009 г. были внесены изменения, перенесшие дату на 1 год – на 1 января 2011 г. В результате участники рынка получили время на решение этой, казалось бы, чисто технической, а на деле включающей в себя сложный комплекс организационных и правовых аспектов задачи. Реализации отдельных положений закона на практике и был посвящен круглый стол "Защита персональных данных", организованный CNews Analytics и CNews Conferences.

Закон 152-ФЗ "О персональных данных", как известно, оказался в центре пристального внимания российского профессионального бизнес-сообщества осенью минувшего года и до сих пор остается горячей темой дня. Его экспертные оценки звучат, мягко говоря, неоднозначно. При этом сами участники рынка пытаются разобраться, как им действовать, чтобы не вызвать нареканий регулирующих органов и в то же время минимизировать затраты на обработку и защиту персональных данных (ПДн).

Создать культуру защиты

Закон, конечно, противоречив, содержит ссылки на подзаконные акты, долгое время бывшие недоступными(они вышли с существенным опозданием, к тому же, под грифом ДСП), а у некоторых участников рынка даже вызывает сомнения в своей целесообразности, поскольку дублирует отдельные положения действующего законодательства. Но объективности ради следует признать: дискуссия явно запоздала. Фактически закон благополучно "проспали" все участники рынка – начиная с регуляторов, продолжая организациями, занимающимися обработкой персональных данных (в терминологии закона – "операторы") и заканчивая поставщиками ПО.

Александр Шарамок, руководитель направления по защите персональных данных группы компаний "Ортикон", дал характеристику ситуации, в целом отражающую реальное положение вещей на рынке. По его словам, законодательная база до сих пор остается сырой. При этом операторы ПДн пока реагируют на действия регулирующих органов по принципу ожидания "последнего китайского предупреждения", т. е., по-видимому, в большинстве своем либо вовсе не воспринимают их, либо относятся к ним формально.

Характеризуя заказчиков своей компании, Александр Шарамок сказал, что для страховых компаний, негосударственных пенсионных фондов свойственно оперирование большими объемами ПДн, касающимися финансового состояния физических лиц, а для частных медицинских учреждений, даже если они небольшие, – высокая конфиденциальность ПДн. Поэтому информационные системы и тех, и других относятся к 1 или 2-му классу.

Классы информационных систем хранения и обработки персональных данных

Тип ПДн Конкретная организация (менее 1000) Муниципальный субъект (от 1 000 до 100 000) Субъект РФ или РФ в целом (более 100 000)
4 категория Обезличенные ПДн К4 К4 К4
3 категория ПДн для идентификации субъекта К3 К3 К2
2 категория ПДн для получения дополнительной информации К3 К2 К1
1 категория ПДн по состоянию здоровья, интимной жизни, убеждений К1 К1 К1

Источник: "Ортикон", 2010

К особенностям малых организаций, по словам Шарамка, следует отнести нехватку специализированных ИТ-подразделений, слабую техническую подготовленность организации в плане инфраструктуры и, как следствие, - отсутствие понимания необходимости защиты ПДн. Это осложняет работу компаний, предлагающих услуги по приведению защиты ПДн в соответствие с законом, поскольку отношение к ним крайне недоверчивое.

По мнению представителя компании "Ортикон", ситуация с защитой ПДн улучшится и все участники рынка только выиграют, если, во-первых, как можно быстрее будет закончено формирование четкой и прозрачной правовой и нормативно-технической базы, а во-вторых - в обществе сформируется культура защиты персональных данных. Докладчик оптимистично напомнил собравшимся, что внедрение закона об ОСАГО в свое время тоже вызывало большие споры, но впоследствии стал очевиден его положительный эффект.

Коснувшись технических требований к ИС 1-го и 2-го класса ("Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных"", утверждены ФСТЭК 15.02.2008), докладчик подчеркнул, что некоторые из них уже отменены (защита от утечки ПДн за счет побочных излучений и наводок), а строгое выполнение требования лицензирования приведет организацию к затратам в сотни тысяч рублей. В качестве перспективного варианта экономичного решения данной проблемы Александр Шарамок предложил аутсорсинг, т.е. передачу вопросов технической защиты ПДн, обрабатываемых организацией, специализированным компаниям.

Решать самостоятельно

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще
Импортозамещение

Решать комплекс задач, связанных с приведением ИСПДн в соответствие с законом 152-ФЗ, самостоятельно или задействовать аутсорсинг – это вопрос выбора каждого оператора. У каждого из вариантов, как водится, есть свои плюсы и минусы. Плюсы самостоятельного решения проблем – полный контроль над процессами, в числе минусов – отвлечение внутренних ресурсов от решения бизнес-задач.

По мнению Максима Степченкова, начальника отдела информационной безопасности компании Oberon, целесообразно именно самостоятельное исполнение большинства процедур по приведению своих ИСПДн в соответствие с законодательством организации, отдавая на аутсорсинг лишь самые сложные вопросы. Главное в достижении успеха – создать команду, в которую должны войти не только ИТ-специалисты, представители службы безопасности и юристы, но и представители бизнес-направления. Без привлечения сотрудников бизнес-подразделений, убежден представитель компании Oberon, успеха добиться сложно, потому что только они знают, какие именно персональные данные хранятся в ИСПДн, каким образом используются и кому передаются.

По мнению докладчика, основные подходы к защите ПДн, которые должна использовать в работе организация, – это минимизация затрат и непрерывность процесса в связи с постоянным изменением законодательства.

Сохранить ИТ-инфраструктуру

В бизнесе каждой работающей компании обязательно задействованы несколько информационных систем, в большинстве из которых тем или иным способом хранятся или обрабатываются персональные данные. Поэтому задача модификации ИТ-инфраструктуры становится для большинства компаний сложной и даже болезненной.

Джабраил Матиев, руководитель направления защиты персональных данных по коммерческой части компании "Рэйнвокс", обозначил два крайних варианта действий организации по защите ПДн в своей ИТ-инфраструктуре. Первый – коренная переделка всех ИСПДн под новое законодательство и второй - формальный подход - выпуск внутренних нормативных документов без каких-либо изменений ИСПДн. При этом, по мнению докладчика, существует третий, самый оптимальный вариант. Это сохранение действующей ИТ-инфраструктуры организации при условии видоизменения некоторых ее элементов, а также добавления новых, необходимых для обеспечения соответствия законодательству.

Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

На примере проекта в коммерческом банке г-н Матиев пояснил, как это можно сделать. В частности, ИТ-инфраструктура банка видоизменяется таким образом, что автоматизированные рабочие места (АРМ) перестают быть ИСПДн, а становятся всего лишь терминалами доступа к системе в рамках централизованной ИТ-инфраструктуры.

Типовая ИТ-инфраструктура банка

Источник: "Рэйнвокс", 2010

Отметив, что в банках практически все ИС являются ИСПДн, докладчик предложил метод логического структурирования ИСПДн банка, в рамках которого осуществляется защита всех систем по общему периметру (а не каждой по отдельности) в сочетании с понижением класса некритичных сегментов. В числе одной из самых актуальных проблем докладчик обозначил проблему использования сертифицированных средств защиты.