С каждым месяцем вопрос защиты персональных данных (ПДн) становится все острее и острее. У организаций, обрабатывающих персональные данные, остается всё меньше времени до 1 января 2010 года, чтобы привести свои информационные системы в соответствие с федеральным законом №152-ФЗ. То и дело недвусмысленные сигналы поступают от Роскомнадзора по поводу необходимости подачи заявки на регистрацию в качестве оператора ПДн.
Нельзя забывать, что если компания не подала заявление на регистрацию как оператор ПДн, то она формально уже нарушает установленные законом требования. Деятельность её по обработке ПДн может быть приостановлена регулирующим органом. И, судя по действиям Роскомнадзора, подобные массовые проверки уже не за горами.
Закон №152-ФЗ несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных (конкретного гражданина) о нарушениях его прав компанией, которой он сообщил личные данные? Конкурента ждет еще одна проверка, отвлекающая силы от основного бизнеса…
Итак, задача построения защиты персональных данных выходят далеко за рамки полномочий департамента информационной безопасности. Ведь невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза нормального функционирования самого бизнеса. Именно поэтому все важнейшие решения по проекту «Построение защиты персональных данных» должны приниматься на уровне высшего менеджмента организации. Главная цель настоящей статьи помочь руководству компании получить необходимые знания, чтобы лучше понимать свои риски и возможные сценарии поведения.
И приступить к конкретным шагам по реализации требований закона, потому что время действовать, как видно, уже пришло.
Оглавление
В чем заключаются требования закона?
Во-первых, надо ясно понимать, что призван защитить закон №152-ФЗ. Это совокупность прав и свобод человека при обработке его личной (персональной) информации, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные – это не только ФИО человека, но вообще любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. Его адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, информация о его здоровье, его хобби — перечень поистине нескончаем.
Также в законе вводится понятие оператора персональных данных – это организация, которой доверил свои персональные данные человек или другая организация, обрабатывающая персональные данные .
По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных. Причем закон устанавливает дату, к которой информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие его требованиям — не позднее 1 января 2010 года. Кроме того оператор персональных данных в большинстве случаев обязан направить в уполномоченный государственный орган соответствующее уведомление.
Каковы роли различных государственных структур?
Теперь давайте разберемся, какие государственные органы могут быть вовлечены в орбиту процессов, связанных с защитой ПДн.
На март 2009 года это три федеральных органа исполнительной власти:
- Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ России;
- Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России;
- Уполномоченный орган по защите прав субъектов персональных данных – Роскомнадзор Министерства связи и массовых коммуникаций.
Область ответственности у каждого из этих органов своя.
ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии). ФСТЭК России осуществляет контроль защиты информации с использования технических средств. Одна из таких областей контроля, это подтверждение отсутствия в средствах защиты информации недекларируемых («шпионских») возможностей.
Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются. Среди прав, предоставленных Роскомнадзору:
- проводить проверку сведений, содержащихся в уведомлении, поданном оператором;
- привлекать для такой проверки другие государственные органы (ФСБ России, ФСТЭК России);
- принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований закона;
- обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их интересы в суде;
- направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии;
- направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел в связи с нарушением прав субъектов ПДн;
- привлекать к административной ответственности лиц, виновных в нарушении закона.
Как видите, список полномочий весьма внушительный и не оставляющий сомнений в том, что у Роскомнадзора достаточно рычагов воздействия практически на любую организацию. На практике непосредственно контроль должен осуществляться именно Роскомнадзором, а ФСБ России и ФСТЭК России будут привлекаться для надзора за реализованными мерами защиты ПДн. Остановимся на этом чуть подробнее.
Дело в том, что организации, эксплуатирующие информационные системы ПДн определенных классов, должны получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства которые будут использованы для защиты ПДн, должны быть сертифицированы ФСТЭК России. Не будем забывать, что именно методики ФСТЭК России должны быть положены в основу «Модели угроз» для каждой информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать каждому оператору ПДн. Именно на выполнении этих аспектов оператором, скорее всего, и будут сфокусированы сотрудники ФСТЭК России, привлекаемые для проверок.
Закон также требует, чтобы организации, эксплуатирующие информационные системы ПДн определенных классов и передающие ПДн через общедоступные и международные сети обеспечили их защиту с использование криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ России. Так что специалисты ФСБ , в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты информации, перечисленных в реестре ФСБ.
Что такое «категория» персональных данных?
Законодательство о персональных данных вводит новое понятие – «категория» персональных данных. Общее количество категорий ПДн – 4.
К 4-ой, наиболее простой, относятся обезличенные и (или) общедоступные персональные данные.
В 3-ю включаются данные, позволяющие идентифицировать субъекта персональных данных.
Во 2-ую категорию входят данные, позволяющие идентифицировать субъекта персональных данных, и получить о нем дополнительную информацию.
И, наконец, самая высокая, требующая наиболее серьезной защиты, 1-ая категория: это данные, в которых отражена расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимной жизни.
В соответствии с достаточно понятными критериями, каждый вид ПДн относится к определенной категории, а каждая система, обрабатывающая ПДн, должна быть отнесена к определенному классу. На класс влияет категория данных и другие признаки ( распределённость информационной системы, количество записей ПДн в ней).
Очевидно, что степень защищенности информационной системы должна сопоставляться с критичностью информации. Именно поэтому вводятся различные требования по степени защиты для различных классов.
Итак, чем менее детальную информацию можно получить о субъекте ПДн, чем меньше записей в системе и чем менее распределена система обработки – тем ниже требования к защитным механизмам. С практической точки зрения крайне важно представить систему ПДн как относящуюся к наиболее «слабому» классу. Это позволит минимизировать затраты на обеспечение защиты ПДн.
Какова ответственность за нарушение требований закона?
Ответственность при невыполнении требований закона – увы, достаточно серьезна, чтобы, по крайней мере, принять её к сведению.
Проанализировав КоАП РФ и УК РФ, можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите ПДн:
- КоАП Статья 5.39. Отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб., но также это может явиться основанием ответственности по статье 3.12;
- КоАП Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Ответственность – штраф до 1 000 руб.;
- КоАП Статья 13.12. Нарушение правил защиты информации, Ответственность может доходить – штраф от 10 000до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административного приостановления деятельности на срок до 90 суток.;
- УК Статья 137.Нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или арестом на 6 месяцев;
- УК Статья 140. Отказ в предоставлении гражданину информации. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью;
- УК Статья 171.Незаконное предпринимательство. Ответственность может доходить до 5 лет лишения свободы со штрафом в размере ЗП осужденного за шесть месяцев.
Но подчас приходится слышать, что пока эти статьи не работают и реального преследования никто проводить не собирается. Увы, это не совсем так – правоприменительная надзорная практика уже начинает складываться. Давайте просто представим несколько типичных ситуаций, жизненность которых не вызывает сомнений.
Ситуация №1
Компания получает в свой адрес письмо с уведомлением от гражданина (данные которого ранее получила и включила в свои базы) с просьбой предоставить ему информацию о том, как ведется обработка его ПДн.
Что им движет — непонятно. Возможно, живой искренний интерес, возможно природная любовь к конфликтам, а может и недобрый умысел. В любом случае возможность такого обращения определена статьей 14, частью 4 закона №152-ФЗ.
Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Компания не предоставляет затребованную информацию или предоставляет её не полностью. Клиент, получив (не получив в указанные в законе сроки) ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос по решению вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140.
И вот у вас под дверью прокурорская проверка! К слову, о случаях подобных проверок уже сегодня можно прочитать в интернете.
Ситуация №2
Компания поспешно регистрируется в качестве оператора персональных данных. При этом многие аспекты опускаются или оставляются на будущее.
В определенный момент, компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности выполненных мер по защите ПДн.
Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК России, ФСБ России или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК России и/или ФСБ России по вопросу проведения внеплановой проверки организации с целью выяснения выполнения требований к обеспечению защиты ПДн.
А уже в ходе проверки выясняется, что данная организация эксплуатирует информационную систему определенного класса и организация в связи с этим должна была получить лицензированию на деятельность по технической защите конфиденциальной информации ФСТЭК России. Лицензию данная организация не имеет и работ к ее получению компания не начинала. ФСТЭК России направляет отчет о проверке в Роскомнадзор, который в свою очередь направляет в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.
Что в этих историях кажется вам нереальным?
Необходимо отметить и тот факт, что в УК РФ уже внесены изменения (статья 137), ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни. Изменения эти вступают в силу с 1 января 2010 года.
Что включает законодательство о защите ПДн и как получить весь пакет нормативных документов?
Все законодательные и нормативные акты по защите ПДн можно разбить на две группы: общедоступные и закрытые. Перечень общедоступных правовых актов общеизвестен, но и к закрытым документам доступ получить несложно. По сути, это методические рекомендации, которым оператор ПДн должен следовать.
Выпустил эти руководящие документы ФСТЭК России, они носят гриф «Для служебного пользования». Но предоставляются они всем заявителям. Так что для их получения достаточно письменно обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17 или в территориальные подразделения ФСТЭК России по месту нахождения организации.
Давайте чуть подробнее остановимся на этих документах. Сокращение ИСПДн означает Информационная Система Персональных Данных.
- «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», ФСТЭК России, 15.02.2008 г. — содержат полные перечни рекомендуемых для выполнения работ на каждой из стадий создания системы защиты ПДн.
- «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»,
ФСТЭК России, 15.02.2008 г. — определяют порядок организации обеспечения безопасности ПДн. - «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»,
ФСТЭК России, 15.02.2008 г. — служит базой для разработки модели угроз. - «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн», ФСТЭК России, 14.02.2008 г. — предназначена для формирования перечня актуальных угроз безопасности ПДн.
К открытым специальным документам по данной теме относятся также руководящие документы ФСБ России, которые можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml.
К слову, по данной ссылке можно также найти ряд открытых документов по ПДн, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных.
На самом деле, язык, которым написаны руководящие документы по безопасности ПДн – может оказаться довольно сложным для восприятия даже ваших ИТ-специалистов. Однако, если они будут вовлекаться в процесс построения систем защиты ПДн, с руководящими документами ознакомиться придется.
Но даже, если построением системы занимается сторонняя компания, запрос на получение документов направить нужно. Причина проста – в случае проверки ваша компания будет гораздо лучше выглядеть в глазах сотрудников ФСТЭК или ФСБ, если ими будут замечены полученные вами номерные копии руководящих документов среди прочей документации по проекту построения защиты ПДн. Если даже проверка выявит какие-то огрехи, вы честно пытались разобраться, привлекали людей, изучали руководящие документы, закупали сертифицированные средства защиты – всё это, безусловно, сгладит возможные последствия.
Что делать руководителю организации – оператору ПДн?
В своей практике авторы статьи смогли выделить несколько типичных моделей поведения руководителей, перед которыми вставал этот вопрос. Их, этих моделей, не так много и они достойны отдельного обсуждения.
Модель «Подождать, пока кого-то накажут, а пока ничего не делать»
Компания не несет пока никаких затрат, не обучает сотрудников и не задумывается об изменении сложившихся процессов обработки ПДн. Кроме того, вполне возможно, что первые же громкие случаи процессов или каких-то санкций заставят регулирующие органы внести существенные коррективы. Например, значительно расширить список средств, разрешенных для использования в системах защиты ПДн или сдвинуть сроки готовности системы защиты ПДн.
Но такая компания, тем не менее, сильно рискует. Санкции, предусмотренные существующим законодательством — существенны. Сценарии, которые могут привести к наложению санкций – вполне реалистичны. Решить весь спектр проблем: от получения лицензии ФСБ до изменения отдельных процессов обработки данных – быстро, находясь под гнетом проверки, попросту невозможно.
Остается лишь удивляться беспечности отдельных руководителей, которые следуют этой позиции. Уже сейчас сотрудники Роскомнадзора сообщают на различных публичных мероприятиях детали и статистику по проведенным проверкам и обращениям в суды.
Модель «Действие закона на нашу компанию не распространяется — ничего не делать»
Существует несколько аргументов, которые приводят сторонники этого подхода. Приведем некоторые из них:
- В компании не ведется автоматизированная обработка персональных данных, все на бумаге.
- У нас большая компания с иностранным капиталом, базы данных физически находятся на зарубежных площадках. Да и вообще – кто нас тронет?
- Наши блестящие юристы докажут, что компания не является оператором ПДн.
- Если не подать заявку на оператора ПДн, то с проверкой никто и не придет и т.д.
Увы, в большинстве случаев, регулирующие органы не разделяют подобную позицию. И если компания попадет в поле надзора, санкции окажутся неминуемы. Что же касается «серебряной пули», если бы она существовала, наверняка, об этом уже говорили бы в многочисленных обсуждениях эксперты рынка. Но даже если отдельные лазейки в законе будут становиться достоянием сообщества, можно не сомневаться – немедленно будут выходить разъяснения по применению закона или будет меняться сама буква закона.
Итак, риск оказаться под санкциями у такой компании очень велик. Трудно поддерживать подобную уязвимую позицию. Уже стали достоянием гласности ряд случаев, когда компании были привлечены к административной ответственности за невыполнение требований о регистрации в качестве оператора.
Модель «Требования закона настолько сложны, что их невозможно исполнить — ничего не делать»
На самом деле, остается немало открытых вопросов, касающихся практики применения требований закона. Отсутствие простых очевидных ответов заставляет часть руководителей «опускать руки».
Достаточно представить необходимость установки специального решения для защиты от НСД на все компьютеры, где ведется обработка ПНд. Или необходимость замены существующих решений по организации защищенного удаленного взаимодействия, на сертифицированные в ФСБ России. Или необходимость внесения изменений в Устав компании для получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Очень и очень многое представляется на первый взгляд нереализуемым или очень сложным. А когда нет понимания всей картины необходимых изменений и результат не вполне ясен, очень непросто решиться на серьезные шаги.
Мы вполне разделяем обеспокоенность таких руководителей, но не считаем, что ссылка на сложность может извинить их пассивную позицию. Достаточно вовлечь в процесс компанию, специализирующаяся на вопросах информационной безопасности. По каждому сложному вопросу в результате обсуждения с его специалистами можно найти компромиссный вариант, подходящий и по рискам, и по стоимости реализации.
Модель «Закон есть закон – надо срочно предпринимать радикальную перестройку всей компании»
Отдельно надо отметить группу законопослушных руководителей, привыкших руководствоваться принципом «закон есть закон». В данной ситуации они готовы отдать команду своим подчиненным срочно заняться коренной перестройкой всех процессов и информационных систем, затрагивающих обработку и хранение ПДн. Устоявшиеся годами процессы ведения CRM, проведения маркетинговых опросов или рассылок рекламных приостанавливаются, компания несет затраты на срочную закупку новых средств защиты, на работу срочно принимается дорогой специалист, имевший опыт работы в ФСТЭК России и т.д. В результате затраты растут, ИТ-департамент в спешке занимается развертыванием новых систем, бизнес-процессы теряют достигнутую ранее эффективность…
Безусловно, требования закона надо выполнять. Но всё же во главу угла следует ставить устойчивость и работоспособность основных бизнес-процессов. Такому руководителю можно посоветовать не спешить с изменениями, а для начала пригласить для консультации стороннего консультанта по информационной безопасности. Недельное обследование ситуации поможет выявить «масштаб бедствия» и подготовить возможные стратегии дальнейшего поведения для компании.
Как уже указывалось, все системы ПДн разбиваются на несколько классов. Для разных классов установлены и разные меры защиты. И многими профессиональными консультантами уже разработаны конкретные механизмы понижения класса информационной системы, обрабатывающей ПДн. Итак, первое, что сможет сделать консультант – это предложить шаги по максимально возможному снижению категорий ПДн и классов существующих информационных систем, обрабатывающих ПДн. Только это уже поможет снизить стоимость проекта.
Другой пример: закон стребует использования средств антивирусной защиты, имеющих сертификат ФСТЭК России или ФСБ России. Если в компании используется решение, не имеющее такого сертификата, ничто не мешает просто произвести миграцию с одного антивируса на другой. Консультант поможет вам подобрать оптимальный вариант перехода. А, если учесть, что многие антивирусные компании предлагают специальные скидки при отказе от продукции конкурента, возможна даже некоторая экономия.
Итак, разумный подход, предполагающий поэтапную реализацию требований закона, непременно приведет к положительному результату. Хотя и потребует некоторых затрат и управленческих усилий.
Модель «Закон принят, он должен исполняться – дорогу осилит идущий»
Эту категорию руководителей отличает здравый, объективный подход и нельзя не отметить, что в последнее время большинство придерживается именно такой позиции. Они понимают, что цель государственных органов – не столько привлечь компании и организации к ответственности, сколько обеспечить исполнение требований закона. Не обходится практически ни одной налоговой проверки без выявленных нарушений. Нарушения исправляются или обжалуются – и это нормальный рабочий процесс, к которому все в общем-то привыкли. Но никому и в голову не приходит просто игнорировать требования налогового законодательства, хотя его требования также порой нелегко понять и реализовать. Думается, что со временем и к контролю со стороны Роскомнадзора отношение будет схожим.
На деле, разумный руководитель должен рассуждать примерно так: практика применения требований закона не сложилась, но, если сегодня начать поэтапную реализацию требований, то к моменту возможной проверки сделано будет достаточно много. Это поможет аргументировано отстоять свою позицию перед проверяющим органом, а, если придется, – и в суде. Не вызывает сомнения, что в случае судебного разбирательства позиция компании, которая добросовестно предпринимала все усилия по реализации требований закона, но не успела завершить проект в срок или допустила неверное толкование закона — будет гораздо более защищенной.
Если компания
- провела ревизию использования ПДн,
- начала заключать, если это необходимо, соглашения с субъктами ПДн,
- включилась в процесс получения необходимых лицензий ФСТЭК России и ФСБ России,
- подала уведомление как оператор ПДн,
- получила экземпляры руководящих документов ФСТЭК России,
- провела закупку хотя бы части сертифицированных средств,
- выделила хотя бы один процесс обработки ПДн и привела его в соответствие с требованиями закона №152-ФЗ
Это все доказывает деятельное желание руководства компании добросовестно исполнять закон. Уверен, что редкий проверяющий, встретив такое отношение, будет настроен на карательные меры.
Какие требования к средствам защиты ПДн?
Закон предполагает, что оператор применяет специализированное программное и аппаратное обеспечение в процессах сбора, обработки, передачи и хранения ПДн. Используемые средства защиты ПДн должны обладать сертификатами ФСТЭК России или ФСБ России. К счастью, актуальные регулярно обновляемые реестры всех этих средств доступны на официальных сайтах ФСТЭК России и ФСБ России.
Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (Реестр ФСТЭК России): http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls.
Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (Перечень средств ФСБ России): http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm
Из этих списков видно, что в них преобладают продукты отечественных производителей, но в последнее время все больше западных продуктов успешно проходят действующие системы сертификации. Так что с каждым годом выбор возможных средств все более расширяется.
Вполне реальна ситуация, когда в реестре перечислено средство, аналогичное тому, что уже установлено в компании, но не прошло процедуры сертификации. Если так, то это средство не будет рассматриваться проверяющим, как надлежащий механизм защиты ПДн. Выхода в такой ситуации два: или переходить в работе на использование сертифицированных средств или подавать на сертификацию уже используемые. К сожалению, сертификация — очень непростая процедура, требующая вовлечения специализированной аккредитованной тестовой лаборатории, подготовки объемной документации о возможностях системы, предоставления исходных кодов. Кроме того, это может потребовать ощутимых расходов и займет не менее 6 месяцев.
В соответствии с руководящими документами регуляторов для некоторых классов информационных систем ПДн необходимо внедрить систему защиты, которая может состоять из 10 подсистем. Среди них несколько подсистем хорошо известных специалистам по информационной безопасности:
- Подсистема антивирусной защиты
- Подсистема защиты от НСД
- Подсистема анализа защищенности и выявления уязвимостей
- Подсистема криптографической защиты информации
- Подсистема маршрутизации, коммутации и межсетевого экранирования
- Подсистема обнаружения вторжений
В ряде случаев (если это прямо указано в разработанной модели угроз или информационная система ПДн относится к классу 1 ), предполагается также внедрение и части специфичных систем, называемых также «подсистемами защиты информации от утечки по техническим каналам»:
- Подсистема защиты от утечек по цепям электропитания и заземления
- Подсистема защиты от утечек за счет ПЭМИН
- Подсистема защиты информации от утечки по акустическому (виброакустическому) каналу
- Подсистема защиты информации от утечки за счет акустоэлектрических преобразований и высокочастотного навязывания
В следующей таблице перечислены классы информационных систем ПДн и показано, какие подсистем информационной безопасности должны быть внедрены для каждого класса, согласно руководящим документам ФСТЭК России.
Примечание. Подсистема криптографической защиты информации необходима только информационных систем ПДн, удовлетворяющих определенным условиям. В частности, система должна быть многопользовательская с равными правами доступа к информации.
Практический совет, который можно дать в связи с этим, будет звучать примерно так.
Следует рассмотреть возможность максимально полного использования сертифицированных средств защиты. Если же, с помощью консультантов, удастся снизить класс системы ПДн, то и требования по необходимости сертифицированных средств защиты будут значительно скромнее. При этом, начать надо с возможного сужения сегмента сети организации, в которой ведется обработка ПДн. Снизили класс системы ПДн, ограничили область обращения ПДн, выбрали оптимальный состав сертифицированных средств для защиты только данной области – и затраты стали значительно ниже.
Есть правда и действительно сложные случаи, когда ПДн используются в рамках многофункциональных информационных систем уровня всей организации, например, банковских АБС. Такие системы, очевидно, не имеют сертификатов ФСТЭК, но даже его получение для одной версии не решает проблемы. Ведь такие системы постоянно активно дорабатываются, изменяются – очевидно, что для такой системы поддержание актуальности сертификата в существующей системе сертификации невозможно. Пожалуй, единственное, что можно посоветовать в такой ситуации – это обратиться в регулирующий орган с описанием проблемы и подождать ответа на обращение. Хочется верить, что требования регуляторов после некоторого периода применения претерпят ряд изменений, которые дадут какой-то выход из создавшейся ситуации.
Почему трудно обойтись без привлечения сторонней компании и как подойти к её выбору?
Как всегда, перед руководителем встает классическая дилемма: использовать ресурсы собственных сотрудников или привлекать профессиональную компанию консультанта? Можно посоветовать ответить для начала на несколько вопросов.
Достаточно ли у сотрудников организации квалификации, чтоб выполнить требования закона № 152-ФЗ? Есть ли у них понимание того, сколько времени займет и каких ресурсов потребует решение задачи по обеспечению соответствия закону №152-ФЗ? Кто из ваших руководителей департаментов готов взять на себя ответственность за эффективный ход проекта по построению системы защиты ПДн? Какие должны быть предприняты действия для подачи уведомления от оператора ПДн? Как выполнить требования по защите ПДн, определенные в руководящих документах регулирующих органов, и не нарушить бизнес-процессы организации? Как минимизировать затраты на решение задач по обеспечению соответствия закону? Ответ кажется очевидным: без предоставления хотя бы консультационной помощи реализовать требования закона будет очень непросто.
Возможно, в компании есть специалисты, которые служили ранее в подразделениях ФСБ России или ФСТЭК России и знакомы с подходом регуляторов к вопросу защиты конфиденциальной информации. Эти специалисты знакомы с основными руководящими документами, в которых эти требования определены, им известно, как подаются заявки на лицензии ФСБ России и ФСТЭК России. Вовлечение таких специалистов, безусловно, окажет огромное содействие ходу проекта.
Но надо отдавать себе отчет, что проект по построению системы защиты ПДн – многоплановый и затрагивает различные аспекты деятельности компании. Скорее всего, упомянутый выше специалист готов вовлекаться в такой проект только как эксперт, но не как его руководитель.
Наиболее эффективным авторам статьи предлагается подход, при котором для исполнения работ по проекту привлекается внешняя компания – интегратор информационной безопасности, но при этом организуется рабочая группа, в которую включаются следующие сотрудники компании:
- Руководитель высшего звена в качестве спонсора (в терминологии PMBoK) проекта,
- Руководитель департамента информационной безопасности как руководитель проекта и главный ответственный за его ход,
- Руководитель или ведущий сотрудник ИТ-департамента,
- Упомянутые выше специалисты, имевшие опыт службы в органах ФСБ России и ФСТЭК России,
- Юрист компании.
Внутренняя команда, по сути, будет осуществлять контроль за ходом проекта, привлечением внутренних ресурсов, определенном мотивировании линейных менеджеров на активное содействие процессу и отвечать за эффективное финансирование проекта. А большую часть работ предстоит исполнить команде внешнего консультанта.
При выборе сторонней компании необходимо оценить, по крайней мере, следующие аспекты:
- Какой опыт работы имеет данная компания на рынке информационной безопасности (ИБ);
- Обладает ли компания необходимым набором лицензий регулирующих органов (ФСТЭК России и ФСБ России) для выполнения работ по защите ПДн;
- Может ли компания поставить весь спектр необходимых сертифицированных решений по построению системы защиты ПДн;
- Может ли компания оказать содействие при необходимости аттестации информационной системы ПДн (это требуется для определенных классов систем).
Необходимо также отдельно упомянуть такое понятие как «аттестация ИСПДн». Дело в том, что для отдельных классов ИСПДн закон требует прохождения обязательной аттестации системы. Такая аттестация проводится организациями, обладающими лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Основная цель аттестации – подтвердить, что информационная система ПДн соответствует требованиям руководящих документов по безопасности информации, утвержденных ФСТЭК России. Очевидно, что без вовлечения компании, специализирующейся на информационной безопасности и конкретно – на аттестации объектов информатизации, успешно пройти аттестацию невозможно.
Каким может быть первый этап при построении системы защиты ПДн?
После того, как в организации сформирована рабочая или проектная группа, отвечающая за успех всего проекта, и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы.
- Определение всех ситуаций, когда требуется проводить сбор, хранение, передачу или обработку ПДн. На этом этапе также важно понять, насколько это вообще-то является необходимым.
- Выделение бизнес-процессов, охватывающих такие ситуации. Разумно выделить ограниченное число таких бизнес-процессов и провести полный анализ по ним. В рамках такого исследования определяется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности..
- Определение круга информационных систем, обрабатывающих ПДн.
- Определение совокупности ПДн, обрабатываемых в рамках информационных систем ПДн.
- Категорирование ПДн.
- Предварительная классификация информационных систем ПДн.
- Выработка предложений по снижению категорий, обрабатываемых ПДн.
- Формирование актуальной модели угроз для каждой информационной системы ПДн, подготовка задания на создание требуемой системы защиты ПДн.
- Уточнение классов информационных систем ПДн.
- Подготовка рекомендаций по использованию технических средств защиты ПДн.
- Подача уведомление в Роскомнадзор о деятельности в качестве оператора ПДн.
- Подача заявки в ФСТЭК на получение экземпляров руководящих документов по организации системы защиты ПДн.
- Подача заявки на получение лицензии ФСБ России и ФСТЭК России, если в этом есть необходимость.
Этот список приводится затем, чтобы донести общий порядок работ, который предстоит исполнить в рамках проекта построения защиты ПДн на первом, начальном этапе. На самом деле, именно на этом этапе закладывается фундамент успеха всего проекта и происходят основные траты на консалтинг.
Но основанная работа сконцентрирована на последующих стадиях. Ведь они включают развертывание полноценной производственной системы обработки ПДн, полномасштабное внедрение средств защиты, аттестацию информационной системы ПДн, приведение всех бизнес-процессов обработки ПДн в соответствие с требованиями закона, реагирование на регулярные проверки и т.д.
Для любого бизнес-руководителя принять любое даже предварительное решение об открытии проекта всегда очень тяжело, если нет хотя бы грубой оценки стоимости проекта. Поскольку практика построения систем защиты ПДн еще только складывается, пока можно постараться оценить стоимость начальных этапов.
Допустим, речь идет о некоторой компании, которая отвечает следующим условиям: все бизнес-процессы и информационные системы расположены в одном офисе, в компании присутствуют 3-5 процессов, в ходе которых происходит обработка ПДн, обработка ведется в 3-5 информационных системах.
Продолжительность проведения работ, перечисленных выше, для такой компании в среднем может составить 50 рабочих дней. А общая стоимость будет находиться в пределе от 600 000 р. до 1 млн. р.
Стоит ли ждать?
Хочется верить, что соображения и факты, описанные в этом материале, убеждают в том, что дальнейшее промедление с началом полноценного проекта по выполнению требований закона о защите персональных данных (ПДн) может губительно сказаться на судьбе организации. Волна проверок операторов ПДн набирает силу, и есть все основания полагать, что будет в дальнейшем только усиливаться. Достаточно быстро формируется объем знаний и представлений среди экспертов и профессиональных консультантов в области защиты ПДн, вышли все необходимые для начала работ нормативные документы. И если раньше, в течение 2008 года, было еще достаточно сложно решиться на первый шаг, теперь все предпосылки для этого созданы.
Не стоит откладывать решение проблемы или тем более ожидать, что необходимость в приложении серьезных усилий не появится. Тем более, что при решении одной частной задачи – защите персональных данных – в вашей компании может быть существенно поднят общий уровень состояния информационной безопасности. А такого рода инвестиции оправданы и вне задачи защиты ПДн. Ведь при выполнении требований законодательства о защите персональных данных, безусловно, повышается уровень защищенности многих информационных ресурсов в компании.
Так что не ждите проверки или слухов о первом привлечении кого-то к ответственности.
Соберите команду и начните действовать немедленно – время для этого уже пришло.
Вениамин Левцов, Илья Новиков, napf.ru