Сергей Петренко: «Рынок технической защиты конфиденциальной информации сложился достаточно давно, основные игроки здесь хорошо известны и особых неожиданностей не предвидится»

Одним из наиболее обсуждаемых вопросов последнего времени является ввод в действие Федерального Закона №152 «О персональных данных». Такой интерес обусловлен тем, что он затрагивает практически все сферы деятельности и вынуждает компании делать дополнительные шаги для повышения безопасности хранимой и передаваемой информации. О том, как отразятся на ИТ-рынке инициативы регулятора и каких действий ждут от компаний, работающих с персональными данными, корреспонденту ИД «РПР-группа» рассказывает Сергей Петренко, эксперт компании «АйТи» в области защиты информации и непрерывности бизнеса.

- Сергей, расскажите, пожалуйста, что должно измениться в связи с вступлением в силу Федерального Закона «О персональных данных». Чем нововведения «грозят» компаниям, так или иначе работающим с персональными данными?

- Конечно, выполнение закона поставило перед подавляющим большинством российских предприятий и организаций, которые работают с ПДн граждан, множество непростых вопросов. Главный из них – как за достаточно ограниченное время построить экономически обоснованную систему защиты персональных данных, надлежащим образом обеспечивающую исполнение положений нового закона. Чтобы разрешить этот вопрос руководители и ответственные специалисты должны либо самостоятельно, либо с помощью специализированных компаний, получить грамотную квалифицированную оценку существующей в организации системы защиты ПДн, определить круг действий и реализовать проекты, дабы привести эту систему в соответствии с требованиями Федерального Закона.

Как стало известно буквально, на днях срок выполнения операторами персональных данных требований упомянутого Федерального Закона сместился с 1 января 2010 года на 1 января 2011 года. Соответственно сдвигаются и запланированные сроки проверки выполнения требований указанного Федерального Закона уполномоченными регуляторами. Это стало возможным, благодаря активным инициативам по переносу сроков на парламентских слушаниях, а также на заседаниях государственной думы. Однако операторы персональных данных все равно должны будут выполнить унифицированные требования по сбору и обработке персональных данных (ПДн).

- Кого в первую очередь и почему затронет новое законодательство?

- Федеральный Закон РФ №152-ФЗ «О персональных данных» направлен на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, и ориентирован на выполнение международных обязательств Российской Федерации в соответствии с Федеральным Законом от 19 декабря 2005 года №160 «О ратификации конвенции Совета Европы защите физических лиц при автоматизированной обработке персональных данных». В сферу действия этого документа попадают все юридические и физические лица, у которых находятся ПДн граждан.

При этом если в Законе «Об информации, информационных технологиях и о защите информации» говорится о том, что именно надо защищать и что конкретно является объектом конфиденциальной информации, то Закон «О персональных данных» раскрывает состав ПДн и предусматривает применение технических и организационных мер и средств для обеспечения защиты. Так, согласно статье 19 Федерального Закона «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры. В том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В соответствии со статьей 19 Федерального Закона «О персональных данных» для определения как общих, так и детальных требований по защите ПДн в информационных системах персональных данных (ИСПДн), Правительство Российской Федерации выпустило довольно обширный ряд постановлений и рекомендаций. В их числе - Постановление «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановление «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении Порядка проведения классификации информационных систем персональных данных»; утвержденные ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; утвержденные ФСБ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ 21 февраля 2008 года; «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ 21 февраля 2008 года.

- Какие действия необходимо предпринимать компаниям в связи с изменениями законодательства?

- Согласно Федеральному Закону «О персональных данных» и «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» порядок организации обеспечения безопасности ПДн в ИСПДн должен учитывать очень многие факторы. Это и оценка обстановки, и обоснование требований по обеспечению безопасности ПДн, и формулирование задач защиты ПДн, и разработка замысла обеспечения безопасности ПДн. Кроме того, должен осуществляться выбор целесообразных способов защиты ПДн в соответствии с задачами и замыслом защиты, а также - решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, обеспечение реализации принятого замысла защиты, планирование мероприятий по защите ПДн и организация и проведение работ по созданию системы защиты персональных данных (СЗПДн) в рамках разработки (модернизации) ИСПДн. Среди необходимых мер – разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн, развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн и доработку СЗПДн по результатам опытной эксплуатации.

Выявление угроз безопасности персональных данных при их обработке в ИСПДн осуществляется с использованием «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а оценка актуальности угроз безопасности персональных данных при их обработке в ИСПДн - на основе «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе отмеченных рекомендаций и основных мероприятий формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам и от несанкционированного доступа. Осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Согласно перечисленным выше документам, выбор мероприятий и глубина их проработки по защите персональных данных напрямую зависит от типа и класса обрабатывающей их информационной системы. Полный список технических мер реализуется в виде соответствующих подсистем защиты персональных данных и выглядит следующим образом: управление доступом, регистрация и учет, обеспечение целостности, контроль отсутствия недекларированных возможностей, антивирусная защита, обеспечение безопасного межсетевого взаимодействия ИСПДн, анализ защищенности, криптографическая защита, защита от утечек по техническим каналам и обнаружение вторжений.

- Даже после переноса сроков времени для надлежащего исполнения требований упомянутого Федерального Закона не так много. Что можно порекомендовать отечественным операторам персональных данных?

- На основании своего опыта работы компания «АйТи» рекомендует, как минимум, выполнить следующие действия. Во-первых, зарегистрироваться в качестве оператора ПДн в уполномоченном органе по защите прав субъектов ПДн. Во-вторых, организовать получение, учет и хранение письменного согласия субъекта ПДн на обработку его ПДн. В-третьих, разработать на основе модели угроз систему защиты ПДн, способную обеспечить нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, соответствующих классу информационных систем. Кроме того, необходимо провести классификацию информационной системы обработки ПДн в соответствии с «Порядком проведения классификации информационных систем ПДн», утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20. Также среди первоочередных задач - подготовка и утверждение организационно-распорядительные документы о регламентах обработки ПДн, обучение персонала, учет применяемых средств защиты информации, документации к ним, носителей персональных данных. В целом получается довольно-таки большой объем работ, так что в выигрыше, естественно, оказываются те компании, которые озаботились вопросом соответствия новым нормативным актам заранее, а не откладывали все на последние дни.

- Оцените, пожалуйста, какова сейчас конкурентная ситуация среди ИТ-компаний, многие ли компании предоставляют услуги в этой сфере, есть ли резкое увеличение на консалтинговые и внедренческие услуги, касающиеся защиты персональных данных.

- Конкуренция здесь высока. Услуги в этом направлении предоставляют системные интеграторы, консалтинговые компании, интеграторы безопасности, юридические компании и пр. Однако хотелось бы отметить, что наиболее полный спектр услуг, по нашему мнению, предоставляют системные интеграторы, обладающие соответствующими лицензиями ФСБ России и ФСТЭК России. Так что при выборе компании, которая будет заниматься вопросами безопасности ПДн, заказчику необходимо уделять этому вопросу пристальное внимание.

- Какие решения предлагает компания «АйТи» в этой сфере и в чем их основные особенности?

- Компания «АйТи» предлагает практически полный комплекс услуг и решений, направленных на реализацию любого из этапов построения системы защиты персональных данных, в полной мере отвечающей требованиям Федерального закона. Во-первых, это аудит соответствия имеющейся у заказчика системы защиты персональных данных требованиям законодательства РФ о защите персональных данных. Он позволяет определить степень соответствия существующих средств защиты требованиям законодательства о защите персональных данных. Если требуется доработка существующей системы защиты ПДн, заказчик также получает оценку финансовых и временных затраты на модернизацию. В результате компания получает детализированный отчет о степени соответствия существующей системы защиты ПДн требованиям законодательства о защите персональных данных и план первоочередных мероприятий по доработке системы защиты с оценкой стоимости и сроков работ, а так же стоимости технических средств.

Еще один из наших инструментов – оценка рисков не выполнения специальных требований по защите персональных данных. В ходе проведения этого исследования определяются наиболее критичные бизнес-процессы и ИСПДн, обеспечивающие их работу. Проводится качественная и количественная оценка рисков несоответствия системы требованиям законодательства РФ о защите персональных данных, а также оценка связанных с этим несоответствием возможных финансовых и иных косвенных потерь. Кроме плана по проведению необходимых мероприятий по управлению остаточными рисками заказчик в этом случае получает отчет с детальным описанием существующих рисков несоответствия требованиям законодательства РФ о защите персональных данных и специальных требований ФСТЭК и ФСБ России.

Кроме того, мы предлагаем разработку концепции защиты ПДн. Она создается на основе результатов аудита существующей у заказчика системы защиты и позволяет определить цели и задачи, выработать стратегические инициативы по защите персональных данных, а также сформировать необходимый пул проектов. Результатом данных работ является портфель необходимых проектов, по каждому из которых зафиксированы цели и задачи, критерии успешного исполнения, требования к ресурсам, структура и план реализации

Еще одним вариантом является проектирование и внедрение системы защиты ПДн в ИСПДн. Конечным итогом данного этапа является создание ИСПДн, удовлетворяющей заданным требованиям законодательства РФ, требованиям ФСБ и ФСТЭК России в части организации технической защиты ИСПДн.

Также в нашем арсенале - разработка распорядительной документации по вопросам защиты ПДн. Благодаря этой услуге реализуется организационная составляющая режима защиты персональных данных заказчика. Мы занимаемся и непосредственно развитием автоматизированных информационных систем с целью обеспечения защиты персональных данных в соответствии с законодательством. В ходе реализации данного этапа достигается соответствие ключевых автоматизированных информационных систем требованиям федерального законодательства о персональных данных.

Один из видов услуг – сертификация и аттестация ИСПДн на соответствие требованиям безопасности. В рамках этих работ заказчику предоставляются основания для легитимной обработки персональных данных в ИСПДн. В результате клиент получает аттестацию объекта информатизации по требованиям безопасности информации и предписание на промышленную эксплуатацию ИСПДн.

Построение комплексной системы защиты персональных данных предусматривает осуществление проектирования комплексной СЗПДн, ее установку и настройку, а также поставку необходимого оборудования и ПО. В состав комплексного решения «АйТи» по созданию системы защиты персональных данных могут входить подсистемы и отдельные средства защиты информации ведущих отечественных и западных вендоров, работающих в системе безопасности данных. Здесь к отечественным вендорам относятся - ГК Информзащита, МО ПНИЭИ, Крипто-Про, S-Terra, ИнфоТеКС, Анкад, Атлас, Криптоком, Лаборатория Касперского и пр. К западным - Cisco,  Microsoft, IBM, EMC, SUN, HP, 3Com, CheckPoint, Application Security, Juniper, F5, McAfee и так далее.

Для нас значимым достижением является тот факт, что для решения задачи регистрации и учета событий, контроля уровня защищенности ИСПДн, своевременного обнаружения атак, оперативного оповещения администратора ИБ обо всех событиях и инцидентах, расследования инцидентов, связанных с безопасностью ПД, в соответствии с нормативными документами по защите ПД компания «АйТи» предлагает решение на базе собственной разработки – систему мониторинга информационной безопасности IT SMMC.

- Как, по-вашему, изменится рынок в связи с вступлением в силу Федерального закона «О персональных данных»? Следует ли ожидать появления новых ИТ-игроков, специализирующихся на этом направлении или переориентации уже существующих именно под этот сегмент задач? Многим ли придется каким-то образом перерабатывать свои решения (например, ориентированные на создание электронного межведомственного документооборота и так далее)?

- Думаю, рынок все же изменится не очень существенным образом. Так как защита персональных данных – это часть защиты собственно конфиденциальной информации. А рынок технической защиты конфиденциальной информации сложился достаточно давно, основные игроки здесь хорошо известны и особых неожиданностей не предвидится.

Автор: Алена Журавлева (info@mskit.ru)

Рубрики: Регулирование, Безопасность

наверх
 
 
     
     
 

Свежие комментарии

30.12.2009 12:00 | toparenko

>- На основании своего опыта работы компания «АйТи» рекомендует, как минимум, выполнить следующие действия. Во-первых, зарегистрироваться в качестве оператора ПДн в уполномоченном органе по защите прав субъектов ПДн.

Сергей!

А почему компания "АйТи" до сих пор не зарегистрировалась в реестре операторов?

Или все-таки это не первое действие которое следует произвести? ;)

29.12.2009 23:56 | Роман

«Федеральный закон "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" исключает требования об использовании криптографических средств защиты персональных данных», - пояснил председатель комитета СФ по конституционному законодательству Алексей Александров.
Исключается норма, в соответствии с которой оператор при обработке персональных данных обязан использовать, в том числе, шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним (уничтожения, изменения, блокирования и т.д.). Кроме того, закон продлевает срок, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных" с 1 января 2010 года на 1 января 2011 года.

 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

17.10.2018 Инновации в России: фестиваль форматов

16.10.2018 Цифровая трансформация: пора налить воду в бассейн

16.10.2018 На «ПРОФ-IT» показали отечественные интегрированные решения

15.10.2018 Россияне распробовали бесконтактные платежи

14.10.2018 Великий Новгород хочет стать цифровым регионом

09.10.2018 Информационная безопасность сбавит темы роста

04.10.2018 Цифровой опыт разочаровывает пользователей

03.10.2018 Microsoft обновляет Windows 10 и поднимает цену на Office 365

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода