Иван Бурдело: «Когда речь идет о защите территориально распределенных ИСПДн, типовых решений не существует»

Сonnect

28 ноября 2009г.

Интервью с директором департамента информационной безопасности компании «Кабест» группы «Астерос»

– До наступления «часа X», когда за несоответствие процедур обработки персональных данных требованиям Федерального закона «О персональных данных» к операторам ПДн начнут применяться санкции, осталось мало времени. Однако далеко не все операторы персональных данных подтвердили соответствие своих информационных систем требованиям по защите ПДн. Могли бы они за оставшееся время предпринять какие-то шаги для снижения риска предъявления санкций со стороны регулирующих органов?

– Как минимум, стоит начать работу, сделать хотя бы первые шаги в этом направлении – подать уведомление об обработке персональных данных, провести классификацию информационной системы персональных данных (ИСПДн), разработать и согласовать план мероприятий по реализации требований законодательства в области защиты персональных данных, определить ответственных лиц, разработать необходимый пакет нормативных и организационно-распорядительных документов, регламентирующих процессы обработки и защиты ПДн в компании и т. д. Это те меры, которые сейчас предпринимают множество компаний.

В то же время состоявшиеся 20 октября в Государственной Думе РФ парламентские слушания показали, что и законодатели, и «Роскомнадзор» понимают всю сложность выполнения и неоднозначность существующих требований по защите персональных данных. Проект рекомендаций парламентских слушаний, на наш взгляд, содержит ряд важных предложений. Это распространение обязательных требований по защите ПДн только на государственные ИСПДн и предоставление права коммерческим компаниям самим определять меры по защите ПДн; предложение принять годовую программу мероприятий по подготовке к вступлению ФЗ «О персональных данных», в рамках которой разработать под эгидой Минсвязи РФ отраслевые рекомендации по защите ПДн. Также положительно можно отметить рекомендацию уточнить положения самого ФЗ №152 «О персональных данных», которые вызывают наибольшие затруднения из-за их неоднозначного толкования; продление сроков приведения ИСПДн в соответствии с требованиями ФЗ. Можно, конечно, надеяться, что данный проект будет принят и занять выжидательную позицию, но кто даст гарантию, что это произойдет?

Как показывает практика и требует законодательство, цель проверок «Роскомнадзора» – не применение к «нарушителям» крайних мер, вроде приостановки деятельности из-за отсутствия аттестата на ИСПДн. В первую очередь «Роскомнадзор» осуществляет контроль соблюдения прав субъектов персональных данных, а не наличия установленных средств защиты. В любом случае операторам ПДн не имеет смысла откладывать решение проблемы, рано или поздно вопросом защиты персональных данных все равно придется заниматься.

– Некоторые считают, что защита персональных данных проблема скорее правовая, нежели техническая. Какова Ваша позиция по этому вопросу?

– Без сомнения, начинать нужно с проработки юридических вопросов. Это один из наиболее важных и принципиальных моментов.

В практике нашей компании был случай, когда проект по защите персональных данных был инициирован не ИТ-департаментом, а юридической службой, но на моей памяти он единственный. Компания подошла к задаче, исходя из цели защиты прав субъектов ПДн, и начала с вопросов, касающихся работы отдела кадров, создания регламентирующих документов и т. п. Чаще приходится сталкиваться с тем, что задача обеспечения безопасности ПДн трактуется односторонне, как чисто техническая, а ее решение полностью возлагается на технические подразделения. Но возможно ли достижение целей, поставленных Законом «О персональных данных», только техническими мерами?

Существующие нормативные документы пока несовершенны и дают много свободы для трактовки их основных положений. Так, еще на начальной стадии выполнения работ возникает главный вопрос – что вообще считать персональными данными? Какая совокупность информации позволяет однозначно идентифицировать субъекта ПДн? Что относить к дополнительной информации о субъекте ПДн? Это в большей мере юридические вопросы, и, по сути, каждый оператор решает их самостоятельно для своей конкретной ситуации и в силу собственной компетенции. Или же переадресовывает их интегратору, который на основе своего опыта предлагает заказчику видение того, как эти вопросы можно решить. Но это взгляд интегратора. В конечном счете, под ним «подписывается» оператор ПДн. Поэтому заказчику имеет смысл не самоустраняться от решения вопросов, а непосредственно ими заниматься.

– Какие угрозы и сложности процесса защиты данных специфичны именно для территориально распределенных информационных систем персональных данных?

– Наиболее общие угрозы связаны с подключением к сетям общего пользования, когда часть системы «публикуется» во внешней неконтролируемой среде и попадает в поле действия внешнего нарушителя.

Но поскольку территориально распределенные системы могут строиться по-разному, значит, будет различаться и характер угроз. Многое зависит и от технологий обработки информации, физической и логической архитектуры системы и пр. Если, например, обработка данных распределена по разным объектам, то для каждого объекта будут свои специфичные угрозы.

В любом случае заказчик должен быть готов к тому, что, когда речь идет о защите территориально распределенных ИСПДн, ни универсальных, ни идеальных решений не существует. Выполнить все нынешние требования по защите ПДн возможно разве что в лабораторных условиях, в реальности же существует множество различных «но», «если» и прочих ограничений. Вся работа по защите ПДн состоит из компромиссов между предъявляемыми требованиями, спецификой информационных систем и возможностями имеющихся средств защиты. Например, на рынке не так много сертифицированных средств защиты информации, которые могут быть применены в ИСПДн того или иного класса. На это ограничение накладываются предпочтения заказчиков и существующая технология обработки информации. Нужно помнить и о том, что безопасность системы обратно пропорциональна ее функциональности, а ведь работающие у заказчика информационные системы должны в первую очередь выполнять задачи бизнеса. Существуют также жесткие ограничения по бюджетам, времени реализации, наличию бизнес-критичных задач, выполнение которых нельзя приостанавливать.

Много нерешенных вопросов связано с системами, распределенными по площадкам разных государств: каковы критерии достаточности мер защиты персональных данных при осуществлении их трансграничной передачи, кто будет нести ответственность за утечку ПДн, как аттестовать такие системы?

Как поступить, если заказчик арендует серверы в коммерческом центре обработки данных, где помимо него «хостятся» десятки других компаний? Каким образом защитить данные, например, от утечек по техническим каналам, или обеспечить меры физической защиты ИСПДн? А что если обработка персональных данных ведется в виртуализированной среде?

Все эти нетривиальные вопросы возникают в каждом проекте и требуют нестандартных решений, которые нельзя предусмотреть заранее, здесь и сейчас. Итоговое решение по защите крупной территориально распределенной ИСПДн – всегда индивидуальное, это некое ноу-хау, требующее творческого и высокопрофессионального подхода.

– Чем более высокий класс будет присвоен ИСПДн, тем больше потребуется затрат на ее защиту. Какими могут быть способы минимизации этих затрат без риска нарушить закон?

– Легитимный способ минимизировать затраты – ограничить множество требований по защите ПДн или сделать их менее жесткими. Каким образом этого достичь? Организация может отнести свою ИСПДн не к типовой, а к специальной, определив, что помимо конфиденциальности ПДн в информационной системе необходимо обеспечить и другие характеристики безопасности. В отличие от типовых ИСПДн, для которых существует перечень жестко заданных требований, требования к специальным ИСПДн формируются исходя из модели актуальных угроз безопасности. Следовательно, есть возможность разработать модель, которая позволит исключить из рассмотрения несущественные угрозы или угрозы, чей ущерб от реализации приемлем для компании. Таким образом, можно обеспечить должный уровень защиты ПДн.

Это достаточно распространенный подход, позволяющий соблюсти баланс между реальным ущербом, который может быть причинен компании, и теми затратами, которые ей придется понести. Методический аппарат анализа и оценки рисков работает здесь как нельзя лучше. Однако стоит иметь в виду, что при использовании такого подхода не всегда можно точно оценить вероятный ущерб, поскольку законодательство не регламентирует вероятный объем претензий субъекта персональных данных в случае утечки ПДн.

Еще один способ минимизации затрат – локализация места хранения ПДн с помощью сегментации информационной системы. Такое решение может стать выходом для заказчика, если он владеет системой, которая в числе других задач производит и обработку персональных данных только на нескольких средствах вычислительной техники (скажем, в отделе кадров). Примеры подобных решений есть – заказчик для обработки ПДн выделяет сегмент локальный вычислительной сети со своим коммуникационным оборудованием, серверами и рабочими станциями, обеспечивает и впоследствии декларирует его соответствие требованиям по защите ПДн, а для остальной части информационной системы использует обезличенные или общедоступные персональные данные.

В принципе, никто не отменял требований документа ФСТЭК «Специальные требования и рекомендации по защите конфиденциальной информации». Если определить информационную систему не как ИСПДн, а как автоматизированную систему, в которой обрабатывается конфиденциальная информация, содержащая, в частности, и персональные данные, и обеспечить ее защиту по классу защищенности 1Д (что на порядок проще и дешевле), то какие могут быть претензии регуляторов к организации, что она поступила неправильно?

– Каковы особенности процедуры аттестации территориально распределенных ИСПДн?

– Есть несколько вариантов, которые мы предлагаем своим заказчикам.

Можно аттестовать территориально распределенную ИСПДн «в целом». Это, пожалуй, самый затратный путь, как с точки зрения финансов и времени, так и дальнейшего отслеживания изменений аттестованной системы. Однако такой способ остается самым «верным» и понятным.

Можно разделить территориально распределенную ИСПДн на составные части (при этом каждая составная часть ИСПДн может располагаться на отдельной территории или объекте) и аттестовать ИСПДн «по частям». Не исключено, что для этого придется модифицировать технологии обработки информации, поставить на некоторых объектах дополнительное оборудование и т. п. Важным моментом после аттестации ИСПДн является учет изменений – при каждом изменении в аттестованной системе полагается извещать орган по аттестации. Внесение изменений в любом элементе ИСПДн влияет на всю систему и может повлечь аннулирование аттестата.

В случае аттестации «по частям» компания получит N-ное количество аттестатов на составные фрагменты ИСПДн и аттестат на всю ИСПДн. При внесении изменений в отдельную часть аттестаты на всю ИСПДн и измененный фрагмент аннулируются, но остальные части системы смогут легально продолжать работу.

Еще один вариант аттестации уже упоминался – вынесение ПДн для обработки в отдельную информационную систему. За счет этого иногда можно понизить класс существующей ИСПДн до третьего или даже четвертого, благодаря чему необходимость в аттестации отпадет.

Какой вариант будет выбран, определяется требованиями бизнеса. Главное, чтобы система исправно работала и выполняла свою ключевую функцию по поддержке бизнеса.

Людмила Леснова

Возврат к списку


Спасибо за интерес к группе «Астерос»! Чтобы мы могли предоставить вам информацию по теме «Иван Бурдело: «Когда речь идет о защите территориально распределенных ИСПДн, типовых решений не существует»», заполните, пожалуйста, поля «E-mail» или «Телефон».