In English

Личное дело в масштабах всей страны

10.01.2010, Некрасова Елена
Издание: Astera
С 1 января 2010 года информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями Федерального закона № 152 «О персональных данных». До «часа X» остается меньше двух месяцев, а у операторов персональных данных по-прежнему масса проблем и вопросов.

Совершенно очевидно, что до конца текущего года большинство операторов персональных данных (ПДн) не успеют привести свои информационные системы в соответствие с требованиями закона. Причин и оправданий сложившейся ситуации можно найти множество, при этом основными являются отсутствие достаточного финансирования и квалифицированных специалистов. Многие коммерческие компании не включили в свой бюджет на 2009 год затраты на создание систем защиты ПДн, а кризис не позволил перераспределить бюджет и изыскать необходимые средства. Органы власти и бюджетные организации находятся в еще более сложной ситуации: при разработке и утверждении закона «О персональных данных» правительство не предусматривало выделения бюджетным организациям дополнительных средств на создание систем защиты ПДн.

Вторая причина кроется в стойкой уверенности многих руководителей в том, что строгость российских законов компенсируется необязательностью их исполнения. Ситуация с ПДн наглядно продемонстрировала, что бывает, когда подобная шутка принимается топ-менеджментом в качестве девиза: по оценкам различных экспертов, в стране более 2 млн. организаций являются операторами ПДн, а процедуру регистрации к настоящему времени прошли… чуть более 68 тыс. операторов! «Многие руководители, прочитав федеральный закон, решили, что их это не касается, — рассказывает Игорь Семенихин, руководитель направления «Информационная безопасность» департамента обучения «Академии АйТи». — При этом никто не задумывается о том, что у любого оператора, эксплуатирующего ИСПДн, может сложиться ситуация, когда регуляторы, исполняя свое функциональное предназначение, потребуют в определенные сроки привести информационные системы в соответствие с требованиями 152-ФЗ. Не выполнившие эти требования могут быть привлечены к административной и уголовной ответственности, вплоть до приостановления действия лицензии на срок до 90 суток. Для коммерческой организации остановка работы на три месяца фактически равнозначна утрате бизнеса, тем более что за это время привести информационную систему в соответствие требованиям закона практически невозможно».

Поскольку соотношение законопослушных операторов и «уклонистов» сложилось явно в пользу последних, крайний срок приведения ИСПДн в соответствие с требованиями 152-ФЗ будет, по всей видимости, сдвинут с 1 января 2010 года на более поздний срок. Справедливости ради надо отметить, что дело тут не только в руководителях, понадеявшихся на авось: законодательные акты в области защиты ПДн требуют существенных доработок и гармонизации с уже действующим законодательством.

Что делать?

Все меры, необходимые для приведения ИСПДн организации в соответствие с требованиями 152-ФЗ, можно разделить на две категории: организационные и технические.

Первое, с чего надо начинать организациям, которые еще не взялись за приведение своих информационных систем в соответствие с требованиями федерального закона, — это определенно ответить на вопрос: подпадают ли действия организации под требования данного закона? Для этого необходимо в штате организации иметь хотя бы одного сотрудника, прошедшего обучение (повысившего квалификацию) по вопросам защиты информации. Только обученный и имеющей представление о сути проблемы специалист сможет при необходимости выбрать организацию, способную оказать помощь в приведении ИСПДн в соответствие с требованиями закона. Сегодня на рынке представлено множество компаний предлагающих различные услуги в этой сфере: от образовательных до интеграционных. «Однако не стоит безоговорочно полагаться на слова любого, кто объявит себя экспертом», — советует Игорь Семенихин.

Второе, что необходимо сделать, — комплексное предпроектное обследование. «В нормативных документах нет однозначных указаний о том, что его должны проводить лицензиаты, — отмечает Игорь Семенихин. — Организация может сделать это сама. Но очевидно, что в стремлении сэкономить и обойтись своими силами можно существенно потерять в качестве процесса. Ведь ошибки на этом этапе могут свести на нет всю последующую работу».

Третье: необходимо спланировать бюджет с учетом тех затрат, которые может понести организация, приводя свои информационные системы в соответствие с требованиями закона. Чем раньше операторы начнут заниматься этой проблемой, тем меньше вероятность, что они понесут прямые финансовые потери.

Многих руководителей удерживает от практических действий заблуждение, что на проведение всех мероприятий потребуется очень много денег. Но это именно заблуждение.

- Опыт показывает, — объясняет Игорь Семенихин, — что в среднем весь бюджет, который тратится на обеспечение защиты ПДн, делится примерно в пропорции 20:80. Около двадцати процентов — на организационные мероприятия, приблизительно восемьдесят — на технические. Эффект же — обратно противоположный: 80% приносят организационные меры и только 20% — технические. В большинстве случаев не надо никаких особых бюджетных средств, чтобы издать приказ о назначении лица, ответственного за обеспечение ПДн. Не надо денег, чтобы завести журнал учета, определить перечни ответственных лиц. Затраты копеечные, но они уже сейчас могут решить часть проблем. При этом категорически нельзя говорить только об организационных мерах. В ряде случаев потребуются значительные финансовые вложения.

Куда пойти учиться?

Образовательных учреждений, предлагающих курсы по организации защиты ПДн, немало. Согласно ПП 504, для получения лицензии ФСТЭК необходимо наличие в штате соискателя специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. А значит, любое учебное заведение, имеющее соответствующие лицензии и аккредитации, у которого в программе есть курсы ТЗКИ или ИБ, формально может заниматься подготовкой специалистов; главное — наличие программы продолжительностью не менее 72 часов. Проблема в том, что это время может быть потрачено впустую: диплом есть — знаний нет. В рамках подобных программ будут рассказывать о разных аспектах ИБ, но лишь совсем немного — о персональных данных. «Академия АйТи» не предлагала никаких курсов по ТЗКИ до тех пор, пока не согласовала программу с ФСТЭК, — делится опытом Игорь Семенихин. — Наша программа называется ТЗКИ001 «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» и полностью посвящена проблематике ПДн. В программе рассматриваются основные вопросы технической защиты информации применительно к проблеме защиты персональных данных».

Диплом «Академии АйТи» — это итог 72 часов постоянного насыщенного общения, по 8 учебных часов в день, с отработкой практических вопросов организации обеспечения безопасности персональных данных — начиная с оформления уведомления и заканчивая разработкой частной модели угроз и обоснования требований по обеспечению безопасности ПДн. Понятно, что за время пребывания на кратких курсах (обучение в «Академии АйТи» длится девять рабочих дней) невозможно в полной мере подготовить квалифицированного специалиста. Цель учебного курса в том, чтобы дать специалисту максимально полную и точную навигацию в решении задачи организации защиты ПДн. У слушателей остаются раздаточные материалы, записи, методики и формы документов, остается возможность в любой момент получить консультацию и помощь: преподаватели Академии постоянно поддерживают со слушателями двустороннюю связь.

1001 вопрос

Каким бы прочным ни было образование, как бы активно специалист ни стремился пополнить багаж знаний и реализовать его на практике, он неизбежно столкнется с рядом пока неразрешимых вопросов. Перечислим некоторые из них — чтобы специалисту, приступающему к освоению области защиты ПДн, не казалось, что эти и подобные им вопросы — результат его личной неспособности проникнуть в суть.

Вопрос первый: каков оптимальный алгоритм действий? Обобщая опыт компании АйТи в реализации проектов по защите ПДн, эксперт АйТи в области защиты информации и непрерывности бизнеса Сергей Петренко рекомендует отечественным операторам ПДн следующий алгоритм действий, позволяющих обеспечить соответствие корпоративной системы защиты требованиям Федерального закона.

  • Зарегистрироваться в качестве оператора ПДн в уполномоченном органе по защите прав субъектов ПДн 
  • (ст. 22 Закона).
  • Организовать получение, учет и хранение письменного согласия субъекта ПДн на обработку его ПДн 
  • (ст. 6, 9,10 Закона).
  • Обеспечить защиту речевой информации, данных, обрабатываемых техническими средствами, информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
  • Разработать на основе модели угроз (п. 12 «Положения») систему защиты ПДн, способную обеспечить нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, соответствующих классу информационных систем.
  • Провести классификацию информационной системы обработки ПДн в соответствии с «Порядком проведения классификации информационных систем ПД», утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20.
  • Для проведения мероприятий по обеспечению безопасности ПДн 1-го, 2-го классов и в распределенных информационных системах 3-го класса получить лицензию на осуществление деятельности по технической защите конфиденциальной информации.
  • Установить и ввести в эксплуатацию сертифицированные средства защиты информации и обмена данными (шифрование, ЭЦП и др.).
  • Подготовить и утвердить организационно-распорядительные документы о регламентах обработки ПДн, обучить персонал, учесть применяемые средства защиты информации, документацию к ним, носители ПДн.
  • Провести сертификацию (аттестацию) ИСПДн либо декларировать соответствие требованиям защиты информации по классам.
Вопрос второй: что такое специальные информационные системы? Этот вопрос поднимается везде, но конкретного, внятного ответа от регуляторов пока не прозвучало.

- Если читать основные документы внимательно, то обнаружится, что типовой информационной системы не существует в принципе, — комментирует ситуацию Игорь Семенихин. — ПП 781, на основе которого разрабатывались нормативные документы, гласит, что любая информационная система должна обеспечивать возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (ст. 11 п. г). Нормативные же документы оперируют то понятием «типовые ИС», то — «специальные ИС». Отметим, что для типовых ИС достаточно обеспечить только конфиденциальность. Получается, если я свою ИСПДн классифицирую как типовую, я признаюсь в том, что не выполняю требований постановления 781. Нонсенс? Нонсенс.

Вопрос третий: под каким грифом? В настоящий момент в России существуют два утвержденных грифа: «Коммерческая тайна» и «Для служебного пользования». Логично было бы предположить, что для выполнения требований закона документам, содержащим ПДн, хорошо было бы в законодательном порядке рекомендовать присваивать гриф «Персональные данные». Пока этого нет.

Вопрос четвертый: как оптимизировать материальные и трудовые ресурсы на надлежащее выполнение ФЗ «О персональных данных»?

- Существующие требования к операторам ПДн включают такие механизмы государственного регулирования (лицензирование деятельности по технической защите информации, сертификацию средств защиты информации, аттестацию ИСПДн), для реализации которых у большинства операторов нет достаточных материальных и трудовых ресурсов, — отмечает Сергей Петренко. — Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса, у которых затраты на реализацию закона из средств федерального бюджета не предусматривались.

Вопрос пятый: смогут ли лицензиаты ФСТЭК России и ФСБ России предоставить услуги всем заинтересованным операторам ПДн? Известна экспертная оценка количества операторов ПДн — более 2 миллионов. Понятно, констатирует Сергей Петренко, что упомянутые лицензиаты (чуть более 300) не в силах оказать в отведенное время услуги всем заинтересованным операторам ПДн.

Вопрос шестой: как выполнение требований ФЗ «О персональных данных» отразится на стоимости услуг операторов ПДн? Очевидно, что увеличение затрат на «подготовку информационной системы по требованиям безопасности ПДн, особенно на поддержание системы в коммерческих организациях, неизбежно отразится на стоимости услуг операторов ПДн.

Кто поможет?

Сегодня спрос на услуги интеграторов в области обеспечения защиты ПДн в информационных системах значительно превышает предложение. Но даже в суровой ситуации дефицита не стоит принимать любое предложение.

«С точки зрения качества стоит обратить внимание на интеграторов, у которых есть отраслевые решения, — советует Руслан Рахметов, директор центра компетенции по ИБ компании АйТи. — В каждой области деятельности коммерческих организаций и госсектора существуют свои характерные особенности, которые необходимо учитывать при создании систем защиты ПДн. Кроме того, при ограниченных сроках отраслевое решение может быть гораздо быстрее и эффективнее тиражировано».

На сегодняшний день компания «АйТи» сосредоточила внимание на двух отраслях — образовании и медицине. Для этих учреждений разработаны уникальные, не имеющие аналогов на российском рынке решения. Например, сейчас одно из них тиражируется нами на 250 объектах лечебных учреждений Волгоградской области.

Предложения «АйТи» интересны еще и тем, что заказчику не навязывается ограниченный набор решений, а предоставляется право выбора из широкой продуктовой матрицы. В ней каждой из обязательных подсистем защиты ПДн (управление доступом, регистрация и учет, антивирусная защита и др.) соответствует несколько программных продуктов. «Заказчик с учетом своих корпоративных стандартов выбирает то или иное ПО, собирая некий продуктовый «паззл», — поясняет Руслан Рахметов. — Затем следует этап внедрения, разработка организационно-распорядительных документов, и на завершающей стадии — аттестация ИСПДн».

Среди работ по созданию системы защиты ПДн достаточно важное место занимает обследование информационной системы. Выявленные на этом этапе количественные показатели позволяют оптимальным образом определить требования к создаваемой (модернизируемой) системе защиты ПДн. Только тогда она будет отвечать всем требованиям ФСТЭК, ФСБ и других регуляторов, при этом обладать минимальной избыточностью, а следовательно, экономить затрачиваемые на нее материальные и людские ресурсы.

Надо отметить, что в существенном выигрыше окажутся заказчики, которые заключат договор с интегратором, обладающим широкой региональной сетью филиалов.

- Это позволяет охватить больше объектов в короткие сроки, снизить стоимость проекта и быстро тиражировать опыт в любой регион, — комментирует Руслан Рахметов. — Процессы у госучреждений схожи, и поэтому к ним можно успешно применять схему стандартного тиражирования.

В соответствии с законом

Принятие закона поставило перед подавляющим большинством российских предприятий и организаций, работающих с ПДн граждан, множество непростых вопросов. Главный из них — как за ограниченное время построить экономически обоснованную систему защиты ПДн, надлежащим образом обеспечивающую исполнение положений нового закона. Чтобы разрешить этот вопрос, руководители и ответственные специалисты должны либо самостоятельно, либо с помощью специализированных компаний получить грамотную, квалифицированную оценку существующей в организации системы защиты ПДн, определить круг действий и реализовать проекты, дабы привести эту систему в соответствие с требованиями закона. Однако на сегодняшний день квалифицированных специалистов в сфере защиты ПДн немного; тех, кто обладает достаточным практическим опытом и реальными наработками, — единицы.

Возможный выход из ситуации — использовать апробированные на практике отраслевые решения и рекомендации, позволяющие реализовать эффективную и экономически оправданную систему защиты ПДн, полностью отвечающую требованиям ФЗ «О персональных данных».

Центральный федеральный округ