В ожидании ФЗ

CIO

15 октября 2010г.

«Час Х» – финишная дата, до наступления которой информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона, – перенесен на 1 января 2011 года. "Назначение новой критической даты вступления в силу ФЗ «О персональных данных» положительно повлияло на готовность предприятий внедрять меры по защите ПДн, – отмечает Иван Бурдело, директор департамента информационной безопасности  компании «Кабест» группы «Астерос». – Нужно признать, что только сейчас заказчики обрели реальную, а не потенциальную готовность к общению на эту тему. В противовес сегодняшней ситуации, еще год назад большая часть времени на пресейле уходила на то, чтобы провести «ликбез» по теме персональных данных и важности обеспечения их защиты. Надо отметить, что положительную лепту в просвещение и побуждение рынка к активным действиям внесли Роскомнадзор и другие регулирующие организации, которые проводили проверки. Это показало операторам персональных данных, что требования к соблюдению закона – не формальность».

Основная сложность для операторов ПДн состоит в том, что в Федеральном законе «О защите персональных данных» нет однозначно сформулированного определения совокупности данных, которые следует защищать. Термином «персональные данные» определяется любая информация о физическом лице: фамилия, имя, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Отметим, что отдельные части этой информации бесполезны, поскольку полную картину о субъекте персональных данных дает только совокупность подобных данных. Поэтому у каждого оператора, работающего с информацией, неизбежно возникает вопрос: как соотнести данные с определенным классом защиты? Поскольку закон не дает на этот счет однозначных рекомендаций, именно от решения оператора зависит отнесение данных к тому или иному классу – а значит, и отнесение к информационной системе ПДн (ИСПДн) с определенным уровнем защиты. Оттого, насколько правильно оператор отнесет информацию к тому или иному классу системы, зависят меры по защите ПДн и, что немаловажно, стоимость будущего проекта по информационной безопасности.

Вопросы и ответы

Наиболее сложные проблемы с организацией защиты персональных данных возникают у территориально распределенных организаций, которые вынуждены работать, используя подключение к сетям общего пользования, когда часть системы «публикуется» во внешней, неконтролируемой среде и попадает в поле действия внешнего нарушителя. Важно отметить, что территориально распределенные системы могут строиться по-разному – и, соответственно, для них характер угроз будет различаться. Поэтому при построении системы защиты ПДн необходимо тщательно проанализировать как уже существующие в организации, так и альтернативные технологии обработки информации, варианты построения физической и логической архитектуры системы и пр. Так, например, если обработка данных распределена по разным объектам, то для каждого объекта будут возникать свои специфичные угрозы. «В любом случае заказчик должен быть готов к тому, что в защите территориально распределенных ИСПДн ни универсальных, ни идеальных решений не существует, – подчеркивает Иван Бурдело. – Реалии таковы, что исчерпывающе выполнить все существующие требования по защите ПДн возможно разве что для условно смоделированной организации, в действительности же существует множество различных препятствий и ограничений. А значит – надо приготовиться к тому, что работа по защите ПДн будет строиться на компромиссах между предъявляемыми требованиями, спецификой информационных систем и возможностями существующих средств защиты. Например, при выборе средств защиты информации заказчик сталкивается с тем, что на рынке имеется не так много сертифицированных средств, которые могут быть применены в ИСПДн того или иного класса. Выбор, и без того ограниченный, еще более сужается, когда на это ограничение накладываются предпочтения заказчика и существующая у него технология обработки информации.

В стремлении к созданию «идеальной» системы защиты надо избегать крайностей и помнить о том, что безопасность системы обратно пропорциональна ее функциональности. Между тем средства защиты не должны влиять на бизнес-процессы организации и существенно ограничивать функциональность других информационных систем компании в выполнении задач бизнеса. И, разумеется, необходимо учитывать довольно жесткие ограничения по бюджетам, по времени реализации, наличию бизнес-критичных задач, выполнение которых нельзя приостанавливать».

Много нерешенных вопросов у заказчиков связано с системами, распределенными по площадкам разных государств: каковы критерии достаточности мер защиты персональных данных при осуществлении их трансграничной передачи, кто будет нести ответственность за утечку ПДн, как аттестовать такие системы? Немало проблем добавляет схема, в рамках которой заказчик арендует серверы в коммерческом центре обработки данных, где, помимо него, «хостятся» десятки других компаний. Каким образом защитить данные, например, от утечек по техническим каналам или обеспечить меры физической защиты ИСПДн? Как выстроить надежную систему защиты в архитектурной схеме, предполагающей обработку персональных данных в виртуализованной среде? «Такие сложные вопросы возникают в каждом проекте, – делится опытом Иван Бурдело. – А нестандартные проблемы, как известно, требуют нестандартных решений, которые нельзя предусмотреть заранее. Поэтому итоговое решение по защите крупной территориально распределенной ИСПДн всегда создается по «индивидуальной мерке», с учетом множества взаимосвязанных специфических особенностей конкретного заказчика. Такая работа требует творческого и высокопрофессионального подхода».

Не надо платить избыточно

Затраты на создание системы защиты персональных данных могут быть существенными, поэтому практически все операторы ищут способы снизить расходы на защиту. Один из таких способов – оптимизация процессов обработки ПДн, позволяющая исключить как избыточность самих ПДн, так и лишние звенья в технологии их обработки. Таким образом можно уменьшить количество точек защиты и, как следствие, удешевить создание системы защиты персональных данных (СЗПДн). Зачастую в ИСПДн обрабатываются персональные данные, от использования которых компания вполне способна отказаться без ущерба для собственного бизнеса, либо она может обрабатывать их без применения средств автоматизации. Это приводит к понижению класса ИСПДн – а значит, и к уменьшению расходов на защиту информации.

Другим эффективным и довольно распространенным способом снижения затрат является перевод ИСПДн из «типовой» категории в «специальную». Для типовой системы требования по обеспечению безопасности ПДн ясно определены и четко зафиксированы. Однако для конкретной организации эти меры могут оказаться избыточными и неоправданно повышать затраты на защиту персональных данных. В отличие от типовых, для специальных ИСПДн эти требования формируются на основе модели актуальных угроз, индивидуальной для каждой системы. Такая модель учитывает специфику деятельности конкретной компании и сложившуюся технологию обработки информации. Она также позволяет объективно оценить существующие риски реализации тех или иных угроз безопасности ПДн, разработать подходящую концепцию защиты ПДн, обосновать выбор соответствующих мер по защите ПДн и тем самым сократить расходы на излишние средства защиты. Еще одним действенным способом минимизации затрат является сертификация существующих в компании средств защиты. В процессе сертификации устанавливается соответствие реализованных мер защиты требованиям по обеспечению безопасности ПДн. В результате у заказчика исчезает необходимость в приобретении дополнительных средств защиты. Минимизировать расходы на создание и поддержку СЗПДн можно путем оптимизации архитектуры ИСПДн. Оптимизация сводится к анализу всего набора субъектов и объектов доступа (людей, технологий и защищаемой информации), охваченных процессом обработки информации, и исключению из этого процесса ряда субъектов и объектов. Резон очевиден: чем меньше составляющих вовлечено в процесс обработки ПДн, тем меньше область защиты. С этой точки зрения эффективными мерами являются локализация мест хранения ПДн, их обезличивание или внедрение специальных технологий доступа к информации. «Такие решения могут стать удачным выходом для клиента, если он владеет системой, которая в числе других задач выполняет обработку персональных данных на нескольких средствах вычислительной техники, – поясняет Иван Бурдело. – Для обработки ПДн выделяется сегмент локальной вычислительной сети со своим коммуникационным оборудованием, серверами и рабочими станциями, которые обеспечиваются должными мерами защиты. В остальной части информационной системы можно использовать обезличенные или общедоступные персональные данные. В нашей практике были проекты, когда мы использовали подобный подход, чтобы снизить затраты на построение системы защиты ПДн. Это решение позволило сократить стоимость проекта в несколько раз».

Елена Некрасова

Возврат к списку


Спасибо за интерес к группе «Астерос»! Чтобы мы могли предоставить вам информацию по теме «В ожидании ФЗ», заполните, пожалуйста, поля «E-mail» или «Телефон».