УправлениеБезопасность

До и «послебезопасность»

Игорь Мялковский | 26.03.2013

До и «послебезопасность»

Автоматизированную систему защиты ПДн выгодно создавать и в дальнейшем эксплуатировать, поддерживая интегрированно в составе системы защиты информации в целом.

Сложнее всего ничего не делать. Необходимо время, чтобы в этом убедиться.

Народная примета

В конце прошлого года автору этой статьи довелось принять участие в III-й Международной конференции «Защита персональных данных» (http://www.pd-forum.ru/gal_2012_d1.php).

Среди ключевых проблем обсуждался главный вопрос выполнимости требований Федерального закона 152-ФЗ «О персональных данных» в его соответствии с новым Постановлением Правительства РФ от 01.11.12 №1119. Президиум конференции и участников удивил тот факт, что приглашенное руководство ключевого технического регулятора ФСТЭК прибыть на конференцию не сочло нужным, и на все вопросы технической защиты вынуждены были отвечать специалисты ФСБ. Вероятной причиной того, что ФСТЭК была представлена рядовыми сотрудниками, сидящими в зале, присутствующие посчитали то, что с нового года ФСТЭК уполномочена проверять состояние технической безопасности информации только в государственных учреждениях. Впрочем, для проверки состояния технической защиты коммерческих организаций потребуется распоряжение Правительства России.

Ответы или, точнее, «безответность» были не менее удивительны. Например, на неоднократно задававшийся вопрос о возможной сертификации протокола HTTPS ответа участники конференции так и не услышали, как не последовало и разъяснений по поводу многочисленных несоответствий закона и самого нового постановления Правительства РФ.

Более чем неопределенность возникла также в связи со сроками и порядком применения ожидаемого совместного приказа ФСТЭК/ФСБ, который должен определить новые методы и средства технической защиты ПДн и выйти взамен известного и применяемого ранее приказа 58.

Ситуацию можно охарактеризовать примерно так: «участники конференции, находящиеся в президиуме, не были готовы ответить на вопросы таких же участников, сидящих в зале».

Удивительными можно считать рекомендации первых вторым «объединяться на уровне своих министерств и отраслевых ведомств, чтобы писать конкретные обращения в Роскомнадзор с целью рассмотрения и учета предложений в новую редакцию обсуждаемого закона и подзаконных актов для последующего их совершенствования. На этом фоне замечание председательствующего Романа Шередина, заместителя руководителя Роскомнадзора, «давайте подумаем, как использовать конференцию для того, чтобы лучше исполнить закон и постановление», прозвучало «обнадеживающе».

Тема не исчерпана

Тема защиты ПДн в облаках при использовании мобильных устройств, которые фактически уже заполонили все офисы, осталась за рамками конференции. Вопросы безопасного применения мобильных гаджетов, без которых становится невозможно работать, пришлось обсуждать на других мероприятиях в ноябре и декабре прошлого года.

Закончилась конференция на позитивной ноте: дескать, совсем скоро нужные приказы ФСТЭК уже будут выпущены в свет и где-то числа 15–17 декабря 2012 г. можно будет начинать приводить свои информационные системы персональных данных (ИСПДн) в порядок. С тем участники конференции разошлись.

Формально осталась нерешенной главная проблема: ПП-781 официально утратило действие, а в следствие этого подвис «приказ трех» о классификации ИСПДн и, самое главное, более менее все определяющий и конкретизирующий до настоящего времени приказ ФСТЭК №58.

Что теперь?

На дворе уже весна 2013-го, а нового правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн и в помине нет. Зато не менее официально (из ответа на запрос в ФСТЭК) известно, что этот новый нормативный акт будет применяться только к тем ИСПДн, для которых решение о системе защиты информации (АСЗИ) будет принято «после вступления в силу ожидаемого нормативного акта». Иными словами, ежели акт о внедрении автоматизированной системы защиты ПДн был подписан до вступления в силу ПП-1119, можно руководствоваться требованиями, установленными в техническом задании на ИСПДн или в ТЗ на АСЗИ. Далее, исходя из такой рекомендации, остается соблюсти формальность: уже подписанные ТЗ и внедренные системы не трогать. А новые внедрять, уже руководствуясь тем самым ожидаемым пока «новым нормативным актом»: приказом взамен 58-го приказа ФСТЭК. Есть, однако, лукавство в таком формальном решении, если учесть, что ИСПДн и АСЗИ постоянно совершенствуются и меняются под воздействием внешней среды.

Есть и моральная неудовлетворенность заказчиков таких проектов: долго делали что-то с системой и оказалось, что все таки сделали что-то не так, раз она теперь сразу после внедрения перестала соответствовать изменившимся требованиям. И как тут объяснить генеральному директору клиента, что сроки ТЗ соответствуют старым требованиям, а система проклассифицирована по новым или по старым законам (все равно по каким), но все, что уже проделано, придется переделывать, а значит, снова вкладывать деньги?

Приходится резюмировать, как обычно: поживем — увидим. Другого пока не скажешь. А если откровенно и оптимистично, то нужно, как обычно в задачах обеспечения безопасности информации, руководствоваться принципом честной защиты. Если не будет утечек ПДн, не будет и проблем, и формальные несоответствия такому неопределенному законодательству будет легче оспорить.

Оценить себя в этом во всем

В сложившейся ситуации я считаю, что самый разумный подход к обеспечению безопасности ПДн корпоративных объектов — руководствоваться апробированными международными стандартами безопасности ИСО 27001\17799 и на их основе использовать системный (а не комплексный!) подход к созданию автоматизированной системы защиты корпоративной информации и персональных данных. На первом месте остаются все те же, уже апробированные направления деятельности: организационная (люди, подписи, приказы), техническая и технологическая (бизнес-процессы).

Автоматизированную систему защиты ПДн выгодно создавать и в дальнейшем эксплуатировать, поддерживая интегрированно в составе системы защиты информации в целом. Неважно при этом, что некоторые организационно-распорядительные документы будут немного другими: они не будут дублировать друг друга.

В подобных проектах почти всегда остается нерешенным главный вопрос — как найти баланс между безубыточностью и параноидальностью применительно к затратам на безопасность информации или даже на безопасность вообще. Этот вопрос решается и обсуждается с привлечением специалистов. Впрочем, решение его тоже финансируется.

Безопасность Внешние угрозы

Журнал: Журнал IT-Manager [№ 03/2013], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
Почему бы при «смартовании» цели не подумать о некоторой геймификации?
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Всероссийский форум «Умный город: Инструкция по применению»
Белгород, ул. Белгородского Полка, 56А. Здание Белгородской государственной филармонии
15 000 руб
15.04.2021 — 16.04.2021
09:00
Форум Телеком 2021
Москва, Lotte Hotel Moscow, Новинский бульвар, 8с2
36 000 руб
16.04.2021
10:00
Конференция «Российское ПО – драйвер развития цифровой образовательной среды»
Москва, ул. Радио, д. 10А (здание Московского государственного областного университета)
Бесплатно
20.04.2021
10:00–17:30
Онлайн-конференция «Открытые дни Directum»
ОНЛАЙН
Бесплатно
21.04.2021 — 22.04.2021
10:00–13:30