УправлениеБезопасность

Сливки с закона

| 30.04.2010
Заработать можно на любом законе. Хорошим примером в этом плане является «сухой закон», позволивший в разное время обогащаться чиновникам и гангстерам из самых разных стран. Не является исключением и Закон о персональных данных. В плане потенциальной прибыльности он даже более привлекателен, поскольку потенциально касается не только людей, любящих выпить, а вообще всего населения.

Первыми под удар российского «сухого закона» попали владельцы элитных виноградников, а под удар ФЗ №152 рискуют попасть владельцы элитных, т.е. наиболее любопытных, данных. Но помощь уже идет. Все больше компаний, ранее даже не помышлявших об оказании услуг по построению защищенных систем обработки ПДн, начинают активно предлагать окружающим свою не слишком квалифицированную, в плане защиты данных, помощь. Фирмы, которым посчастливилось когда-то продать хоть что-то, отдаленно связанное с информационной безопасностью, чувствуют себя на данном сегменте настоящими гуру. Чтобы предсказать, каким будет в итоге ФЗ о защите ПДн и связанные с ним карательные санкции, надо быть «персональным» экстрасенсом. Обычного экстрасенса, как мы знаем из телепередач, можно определить по плащу и кинжалу, амулетам, хрустальному шару и бреду, который такой человек несет, словно откровение. Настроенного на одну волну с новым законом экстрасенса выявить сложнее.

Где узнать о расценках на услуги по подготовке систем обработки персональных данных, а также об ответственности за нарушение ФЗ № 152 и не запутаться при этом в сетях лжепророков и лжезащитников? Корреспондент IT Manager решил сразу обратится в проверенные временем компании, не первый год так или иначе защищающие данные своих клиентов.

О таких животрепещущих реалиях как время и деньги рассказали Сергей Петренко (эксперт в области непрерывности бизнеса и информационной безопасности компании АйТи), Николай Кугук (руководитель службы информационной безопасности компании «ОНЛАНТА», ГК «ЛАНИТ»), Евгений Чугунов (эксперт направления информационной безопасности компании КРОК), Константин Кузовкин (начальник отдела проектов и технических решений департамента информационной безопасности компании «Ай-Теко»), Василий Шировков, (менеджер по работе с партнерами Check Point Software Technologies), Владимир Котов (руководитель департамента «1С» ГК «Софтбаланс»), Сергей Иванов (руководитель подразделения «7000» компании «1С:Бухучет и Торговля»).

Персональный кнут

Для начала несколько слов об ответственности, чтобы было понятно, за что собственно надо (или не надо, это решать заказчику) платить консультантам, чтобы потом не платить (или платить не так много) проверяющим органам… 

Сергей Петренко (АйТи) подробно расписал, чем грозит нарушение закона: «На практике нарушение требований ФЗ № 152 «О персональных данных» может привести к одному из следующих последствий:

Во-первых, приостановление или прекращение обработки персональных данных (ПДн), осуществляемой с нарушением требований  Закона;
Во-вторых, направление в органы прокуратуры и другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн;
В-третьих, приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
В-четвертых, конфискация несертифицированных средств защиты информации. С учетом того, что определенные механизмы безопасности интегрированы в общесистемное и прикладное ПО, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные.
И наконец (это уже в-пятых — Л.Ч.), привлечение  к  административной  и уголовной  ответственности  лиц,  виновных  в нарушении  соответствующих статей уголовного и административного кодекса.
Кроме этого (в-шестых — Л.Ч.), согласно п. 3 статьи 21, в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан  уничтожить персональные данные. «Понятно, что уничтожение персональных данных для ряда организаций, работающих с физическими лицами (банков, пенсионных или страховых компаний) равносильно приостановке бизнеса», — пояснил г-н Петренко.

Я бы в свою очередь добавил, что «приостановка» это еще мягко сказано. Скорее, речь идет об уничтожении.

Персональный пряник

Ясно, что чем интимнее (в прямом и переносном смысле) данные, хранимые оператором, тем выше ответственность перед законом. Хуже всего тем, кто собрал у себя максимум: сведения о болезнях, интимной жизни, расовой принадлежности и т.д., и т.п. Но и этим беднягам консультанты готовы помочь.
«Чтобы снизить стоимость и понизить класс информационной системы, например, в банковских или медицинских информационных системах, хранение данных организуют таким образом, чтобы информация, например, с медицинскими данными пациентов лежала в одной системе, а ФИО пациентов — в другой, — рассказал Николай Кугук (ОНЛАНТА). — Эти системы по отдельности могут быть отнесены к более низкому классу (например, К2 или К3) и будут защищаться соответствующим образом. Для установления соответствия пациента его медицинской карте вводится идентификационный номер (номер полиса), по которому доктор может обратиться к медицинским данным и внести в них какие-то изменения. Объединение фамилии и медицинских данных при этом в информационной системе не происходит — т.е. медицинские показатели о конкретном пациенте хранятся обезличенно. Сведение номера полиса и фамилии пациента происходит только в регистратуре. Таким образом, у нас получаются 2 системы более низкого класса, чем К1».

Ну что же, с описанием ответственности в Законе все понятно. В нем всего в меру. В меру страха: не столько, чтобы клиент сразу побежал оплачивать билет на самолет, смываясь навсегда из страны, но достаточно, чтобы задуматься об оплате услуг консультанта. В меру намеков на запущенность текущего состояния ИТ-системы: не столько, чтобы опускались руки и приходила мысль о закрытии бизнеса, но достаточно, чтобы становилось понятно —  надо срочно что-то менять. В меру неопределенности, чтобы в случае чего клиент знал — сам во всем виноват. Где-то по глупости переплатил, где-то по неопытности недоглядел.

Время и деньги

Сергей Петренко напомнил, что в состав мер защиты ПДн должны быть включены организационные меры и средства защиты информации от несанкционированного доступа, от утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПД и пр. Также необходимо разработать ТЗ и технический проект, внедрить соответствующие решения и пройти обязательную сертификацию (аттестацию) информационных систем персональных данных (ИСПДн) либо декларировать соответствие требованиям защиты информации по классам (по документам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Все это, по оценкам г-на Петренко, занимает не менее 5-6 месяцев, и стоит от 500 тыс. руб. и выше. Правда, последние поправки несколько смягчили ситуацию. Отменена обязательность лицензирования, что позволит кому-то сэкономить, по данным Сергея Петренко, тысяч сто пятьдесят, а то и более.

Николай Кугук приблизительно оценил минимальный срок проекта по приведению в порядок системы обработки данных в четыре месяца (для информационной системы класса К2 небольшого предприятия, скажем, до 150 рабочих мест). Проекты в крупных компаниях, по его мнению, будут идти около года. Ценовая планка та же — от 500 тыс. руб. и выше. Тот факт, что за 2009 г. многие компании постарались сертифицировать поставляемые ими на рынок программные и аппаратные продукты, предназначенные для защиты данных, если и повлияет, то на стоимость проектов по «причесыванию» систем класса до К2. «Выросло количество сертифицированных средств для защиты ПДн (межсетевых экранов, антивирусных средств и т.д.) для систем класса К2, — утверждает гн Кугук. — Для систем класса К1 — нет. Не так много средств защиты, соответствующих требованиям построения систем класса К1, и они достаточно дороги».

Евгений Чугунов (КРОК) согласен с оценкой минимального срока проекта в 4 месяца. Стоимость он назвать не решился, отметив, что  она «зависит от выбранных сценариев реализации, количества бизнес-процессов, осуществляющих обработку персональных данных, распределенности информационной системы обработки персональных данных, проработки юридических вопросов и зрелости компании».  
Константин Кузовкин (Ай-Теко) настаивает, что «для этой работы требуется не менее 5 месяцев».

Василий Шировков(Check Point Software Technologies) не стал называть никаких цифр, заявив лишь, что надо в любом случае не заниматься самолечением, а срочно идти к интеграторам. «Здесь ровно такая же ситуация, как в случае с больным зубом: как поступить? Обратиться к доктору! Абсолютно аналогично — обратиться к интеграторам, специализирующимся на информационной безопасности и способным провести аудит вашей системы, дать рекомендации, защитить и, если потребуется, провести аттестацию системы.»

Владимир Котов (Софтбаланс), несмотря на то, что работает в профильной компании, а может быть — именно поэтому, предупредил, что «в СМИ еще не появлялось пресс-релизов о том, что какая-либо компания получила лицензию на проведение действий по подготовке предприятий к сертификации». (В отличие от стоматологов, у которых необходимые лицензии, как правило, есть — Л.Ч.) «Если мы говорим о малом бизнесе, то лучше ничего (в том числе, систему обработки ПД — Л.Ч.)  не строить, а купить уже готовое, т.к. этот вариант будет намного дешевле и позволит избежать ошибок», — подсказал заказчикам Владимир Котов.

Оценивая проекты, г-н Котов заявил следующее: «Если мы говорим о малом бизнесе и количестве сотрудников предприятия менее 50 человек, то можно обойтись объемом работ в 40 человеко-часов, и стоимостью 20-150 тыс. руб. (сюда входит стоимость работы, необходимого ПО и частичной замены железа, проведенного по результатам аудита системы). Для среднего предприятия, в зависимости от состояния его ПО и железа, затраты могут уже исчисляться сотнями тысяч рублей».

Сергей Иванов (1С:Бухучет и Торговля) минимальную планку по срокам передвинул на 2-3 месяца. «Ориентиры по срокам и стоимостям для типовых проектов такие: для небольших компаний (1-3 сотрудника отдела кадров, общее количество сотрудников до 1000, персональные данные обрабатываются только для исполнения трудовых договоров) срок приведения в соответствие с требованиями закона — 2-3 месяца.  За это время проводится исследование, определяется класс ИСПДн, требования к ней и осуществляется   поставка, внедрение, обучение и инструктаж пользователей. Стоимость данного проекта — 120–200 тыс. руб. Для крупных компаний со сложной ИТ-инфраструктурой (более 100 тысяч записей, содержащих персональные данные, свыше тысячи сотрудников имеют доступ к ИСПДн) стоимость защиты данных в состоянии «как есть» может достигать десятков миллионов рублей».

«В случае, если в организации примут решение о реструктуризации ИСПДн с целью изменить ее класс и снизить расходы на организацию защиты, процесс реструктуризации и создания защиты может продлиться более чем 6-8 месяцев, снижения расходов, впрочем, можно достичь весьма серьезного», — постарался успокоить крупных заказчиков г-н Иванов.

Данные в густом тумане

В год, когда облачные технологии стали самым модным словосочетанием, невозможно обойти вниманием этот аспект. Итак, можно ли спрятать данные в «облаках», найдут ли их там проверяющие органы, и если да — как к этому отнесутся?
По информации Сергея Петренко, технологии для построения облачных систем обработки данных, в том числе, удовлетворяющих ФЗ № 152, существуют, но их немного. Николай Кугук дал понять, что компания «ОНЛАНТА» уже работает над такими проектами с применением новейших технологий, и у нее есть определенное понимание, как это надо делать.

Евгений Чугунов подчеркнул, что сам закон никаким образом не запрещает обработку  ПДн в «облачных» ЦОД. Это же касается и всех подзаконных актов. «Главное — корректно описать и закрепить на уровне договорной документации все аспекты взаимодействия оператора с уполномоченным лицом, предоставляющим подобную услугу, и убедиться, что уполномоченное лицо, во-первых, осуществляет корректную обработку ПДн, в частности — реализует механизмы, обеспечивающие невозможность объединения созданных для несовместимых между собой целей баз данных ИСПДн; во-вторых, реализует все необходимые функции обеспечения безопасности в соответствии с актуальными угрозами, требованиями по защите информации от НСД и утечки по техническим каналам, а также обеспечивает все необходимые мероприятия по криптографической защите каналов связи», — утверждает г-н Чугунов.

Константин Кузовкин напомнил, что для «облаков» («облачных вычислений») появляются новые угрозы безопасности. При этом,  в отличие от традиционных ЦОД, получается несколько другая модель угроз. Традиционные средства защиты, такие, например, как межсетевые экраны, уже неактуальны. На первое место в «облаках» выдвигаются методы защиты непосредственно самих данных. Г-н Кузовкин полагает, что «требуется специальный нормативный документ с рекомендациями и требованиями по защите персональных данных в «облачных» ЦОД».

***
В заключение можно сказать, что защитой своих персональных данных человечество увлеклось давно и не на шутку. Есть, скажем, международное общество, члены которого днем и ночью носят на голове шапочки из алюминиевой фольги, чтобы их мысли не прочитали инопланетяне, спецслужбы, операторы сотовой связи или владельцы телеканалов. Последние с улыбкой, а иногда и с пеной у рта доказывают, что все это напрасно, поскольку простая бабушка из богом забытого аула или продавец обуви может по одной вашей фотографии рассказать все о вашем прошлом, будущем и настоящем и даже найдет местоположение не хуже системы спутниковой навигации. Пока защита данных происходит на общественных началах, все это кажется смешным. Когда в дело вступает государство, особенно такое экстраординарное, как российское, многим становится не до смеха.  

Текст: Леонид Чуриков

Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Мысли вслух

К намекам Gartner о том, что пора бы AI перестать тратить и начать зарабатывать, добавляются требования суровой действительности о необходимости быстрой адаптации к изменениям и скорости принятия решений в условиях растущей конкуренции.
Так что же получается, умение через туман будущего увидеть сверкающий маяк желанной цели и показать его другим, чтобы зажечь их сердца и направить их в нужном направлении, – это и есть самый полезный навык, который неподвластен ни времени, ни новым технологиям?
Несколько человек из пришедших на курс оказались ярыми противниками любых стандартов, методик и лучших практик. Причем подавали своё неприятие под соусом «я – практик с более чем десятилетним опытом».

Компании сообщают

Мероприятия