|
0068
Обзоры > Защита персональных данных: на самом деле все гораздо проще - CIO
| |
Эту и другие программы вы можете купить в eCo Shop
|
Защита персональных данных: на самом деле все гораздо проще - CIO
- Опубликовано в журнале "CIO" 4 от 07 июня 2010 года
В наше время сама проблема эксклюзивного владения информацией и сохранения ее конфиденциальности давно уже перешагнула границы философии и прочно обосновалась в сфере ИТ. Что и не удивительно: более чем значительная часть всех возможных сегодня общественных процессов (включая и коммерческие) не может быть жизнеспособной без использования информационных технологий.
Приоритетность проектов по защите персональных данных является практически аксиомой среди прочих принципов успешного ведения бизнеса. Более того, требование защитить любые персональные данные, входящие в структуру информационной системы современной компании, является законодательно обоснованным: Федеральный закон 152 «О персональных данных» совершенно четко обязывает каждую компанию, обрабатывающую эти данные, провести их защиту в строго определенные сроки. Как новые, так и уже существующие информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства в срок до 1 января 2011 года. С учетом строго обозначенных временны,х рамок, у организаций, обрабатывающих такую информацию, остается все меньше времени, чтобы привести свои информационные системы в соответствие с Федеральным законом. О сложностях, с которыми сталкивается любая компания в процессе приведения своих информационных систем персональных данных в соответствие с требованиями ИБ, рассказывает руководитель направления защиты персональных данных компании RеignVox Джабраил Матиев.
Кесарю кесарево, или о пользе профессионализма
— Федеральный закон 152 «О персональных данных», как известно, вступает в полную силу с 1 января 2011 года. Практически год впереди: что дает такая отсрочка операторам персональных данных? Означает ли это, что работы по приведению информационных систем в соответствие с требованиями регуляторов можно вывести из списка первоочередных?
— Такой подход в корне неверен. Впечатление о том, что еще год впереди до обозначенного времени «Ч», обманчиво. Во-первых, внедрение проекта, направленного на выполнение требований по защите персональных данных, занимает от четырех до шести месяцев в зависимости от его сложности. Я бы увеличил эти сроки до шести-восьми месяцев, включив и тот период, который компания потратит на выбор достойного интегратора для разработки и ведения проекта.
Во-вторых, что бы там ни говорили об «отодвинутых» сроках, первые проверки регуляторов уже имеют место быть. Вывод вполне логичен: актуальность проблемы не просто сохранилась, она в разы возросла, и откладывать ее решение в долгий (или не очень долгий) ящик однозначно не стоит.
— Не является ли ключевым фактором в подобном «оттягивании» момента старта работ именно их сложность?
— Отнюдь. Практика применения требований по защите персональных данных, появившаяся в течение первого квартала 2010 года, показывает, что требования, предъявляемые к ИСПДн, достаточно понятны и легко интерпретируемы. Стремление регуляторов к сотрудничеству в части формирования требований по защите персональных данных к информационным системам различных отраслей делает возможным сформулировать требования, выполнить их и документально подтвердить последнее с минимальным риском каких-либо ошибок. Этот процесс не столько сложен в своей реализации, сколько важен с точки зрения безопасности бизнеса. По своей сути проект по защите персональных данных — вполне типовой, наряду с внедрением таких стандартов, как PCI DSS, ISO 27001 и др. Еще более упрощает задачу возможность перепоручить ее стороннему интегратору, чьи специалисты способны максимально оперативно и профессионально выполнить проект по защите персональных данных с учетом индивидуальных особенностей бизнеса компании-клиента. Таким образом, первоочередной задачей становится выбор компании-интегратора, которой и будет доверено ведение проекта. А та самая «сложность», о которой вы упомянули, заключается именно в необходимости сделать правильный выбор в пользу высококвалифицированных специалистов.
— Столь ли обязательным оказывается привлечение сторонних организаций к работам в области проектирования систем безопасности данных?
— Можно, конечно, полностью провести работы своими силами. Но, во-первых, на этапе обследования и анализа существующих в компании средств защиты информации сторонние эксперты оказываются более объективными. Во-вторых, принимая такое решение, следует помнить о наличии подготовленных по тематике защиты персональных данных специалистов, необходимого объема нормативно-методического обеспечения, свободных ресурсов под саму задачу защиты персональных данных и соответствующих лицензий ФСТЭК России. Практика показывает, что обычно всем этим требованиям в комплексе отвечают именно сторонние интеграторы.
В стране типовых проектов…
— Сегодня мы привыкли к слову «типовой»: дома, построенные по типовым проектам, мебель и одежда, созданные по стандартным дизайнам, еда, приготовленная по базовым рецептам. Стандартность, базовость, типичность везде и во всем. Есть ли типовой проект ИСПДн?
— Он и есть, и в то же время его нет. С одной стороны, каждый такой проект включает в себя стандартное количество этапов. Обычно их три: этап обследования информационных систем персональных данных, этап проектирования системы защиты персональных данных, этап ее внедрения. Стандартность и типичность обычно заканчивается на первом этапе, так как именно он определяет задачи, которые будут решаться на следующих стадиях. И эти задачи уже индивидуальны и ориентированы на каждого конкретного заказчика, оптимизированы в соответствии с его потребностями.
— Но этапы-то все-таки есть. И их строго три…
— Да, этапы есть. И их три. Более того: каждый из этих этапов может быть описан с точки зрения его структуры и особенностей с учетом имеющегося у нас опыта работы.
Сначала проводится полное обследование информационных систем. Я бы назвал этот этап самым важным, так как именно он позволяет нам выявить и описать те требования, которые будут предъявлены к системам. В ходе обследования анализируются информационные ресурсы, типовые решения, применяемые при построении ИТ-инфраструктуры, информационные потоки персональных данных, имеющиеся системы и средства защиты информации.
На этом же этапе разрабатывается модель угроз и нарушителя безопасности ПДн, оценивается необходимость обеспечения безопасности ПДн в ИСПДн с использованием криптосредств.
Второй этап — проектирование — включает в себя два концептуальных направления. Первое — аудит нормативной базы и оценка ее соответствия требованиям регуляторов. Результатом обычно становится разработка недостающих внутренних документов, а также формирование технического задания на разработку СЗПДн. Вторым направлением работ является непосредственная разработка комплекса мероприятий по защите информации. По окончании этапа проектирования компания-заказчик получает необходимый перечень документов, включающий в себя техническое задание на СЗПДн для каждой ИСПДн заказчика, документацию по вопросам обеспечения безопасности ПДн, документацию по способам управления безопасностью ПДн и контроля эффективности защиты, регламенты безопасного взаимодействия с внешними системами.
Опыт показывает, что по окончании данного этапа компания-заказчик уже вполне готова к тому, чтобы успешно пройти проверку одного из регуляторов.
Суть этапа внедрения СЗПДн сводится к вводу в действие систем и настройке существующих средств защиты. Если разложить его на хронологические подэтапы, то первым окажется ввод в опытную эксплуатацию СЗПДн в ИСПДн, позволяющий объективно оценить работоспособность средств защиты информации в составе ИСПДн. После тестирования, в случае необходимости, производится доработка комплекса технических и программных средств.
— «Типовой проект — он есть, и в то же время его нет» — ваши слова. Каким же образом это происходит?
— На каждом из описанных этапов перед нами, как перед интегратором, встают различные дополнительные задачи, обусловленные спецификой того бизнеса, который ведет компания-заказчик, ее размерами, инфраструктурой, активностью бизнес-процессов и многими другими пунктами. И из множества таких «пазлов» каждый раз складывается новая, индивидуальная конфигурация проекта по защите персональных данных для каждой конкретной организации.
В поисках ложки дегтя
— Не могу не задать вопрос, касающийся проблем, с которыми приходится сталкиваться на различных стадиях работы. Можно ли выделить наиболее частые?
— Использование самого слова «проблема» мне кажется чрезмерным: в процессе работы над проектами наших клиентов возникают не проблемы, а скорее нюансы, тонкости и — иногда — сложности. Но они решаются в рабочем порядке.
Например, на этапе обследования часто приходится сталкиваться с тем, что в компаниях существует масса недокументированных процессов или систем. В структурных подразделениях не всегда находятся сотрудники, обладающие полной информацией даже о собственных бизнес-процессах. Решением в данном случае становится комплексный анализ с учетом специфики организации, выявление всех возможных точек получения, накопления, хранения и передачи персональных данных.
Отдельного внимания заслуживает процесс изменения ИТ-инфраструктуры организации. Если вы помните, я уже обозначал средние сроки проведения комплексного проекта — около шести месяцев. За этот период иногда инфраструктура компании-заказчика претерпевает значительные изменения. И это нормально: современные ИТ-технологии более чем нестатичны: сегодня изменения и обновления в системах происходят в буквальном смысле слова ежедневно. Зачастую получается, что проект по защите персональных данных стартует, опираясь на одни «выходные данные», а финишировать приходится в несколько иных условиях. Выход возможен только один: вся работа должна быть построена с учетом планового развития событий.
Принципиально и экономно
— Вопрос минимизации расходов — наверное, самый популярный во всех ипостасях жизнедеятельности компании. Можно ли сократить возможные расходы не в ущерб информационной безопасности?
— Существует ряд принципов, следование которым позволит существенно минимизировать бюджет на создание системы защиты персональных данных.
В основе первого принципа лежит максимальное использование существующих средств защиты информации при проектировании соответствующих систем. Средства защиты в любой компании применяются независимо от необходимости защиты персональных данных: это и системы антивирусной защиты, и встроенные средства контроля доступа операционной системы, и межсетевые экраны, и многие другие. Поэтому необходимо закрыть максимальное количество требований существующими средствами защиты. И только в том случае, если текущими средствами какие-то требования не выполняются, необходимо закупить и внедрить дополнительные.
Второй принцип — экономичное логическое структурирование информационных систем персональных данных. Если системы собраны в едином центре обработки данных, то целесообразно их логически структурировать в одну и защитить по периметру. В том же случае, если одна из систем имеет класс выше, чем другие, то ее экономически целесообразно выделить в отдельный сетевой сегмент — посредством использования межсетевого экранирования.
Принцип третий — защищаться только от актуальных угроз. При этом актуализация угроз описывается в обязательном для специальных систем документе, называющемся «Модель угроз». При актуализации угроз отбрасываются те из них, чья вероятность низка, а ущерб при реализации невелик.
Комментарии
|
