УправлениеБезопасность

До и «послебезопасность»

Игорь Мялковский | 26.03.2013

До и «послебезопасность»

Сложнее всего ничего не делать. Необходимо время, чтобы в этом убедиться.

Народная примета

В конце прошлого года автору этой статьи довелось принять участие в III-й Международной конференции «Защита персональных данных» (http://www.pd-forum.ru/gal_2012_d1.php).

Среди ключевых проблем обсуждался главный вопрос выполнимости требований Федерального закона 152-ФЗ «О персональных данных» в его соответствии с новым Постановлением Правительства РФ от 01.11.12 №1119. Президиум конференции и участников удивил тот факт, что приглашенное руководство ключевого технического регулятора ФСТЭК прибыть на конференцию не сочло нужным, и на все вопросы технической защиты вынуждены были отвечать специалисты ФСБ. Вероятной причиной того, что ФСТЭК была представлена рядовыми сотрудниками, сидящими в зале, присутствующие посчитали то, что с нового года ФСТЭК уполномочена проверять состояние технической безопасности информации только в государственных учреждениях. Впрочем, для проверки состояния технической защиты коммерческих организаций потребуется распоряжение Правительства России.

Ответы или, точнее, «безответность» были не менее удивительны. Например, на неоднократно задававшийся вопрос о возможной сертификации протокола HTTPS ответа участники конференции так и не услышали, как не последовало и разъяснений по поводу многочисленных несоответствий закона и самого нового постановления Правительства РФ.

Более чем неопределенность возникла также в связи со сроками и порядком применения ожидаемого совместного приказа ФСТЭК/ФСБ, который должен определить новые методы и средства технической защиты ПДн и выйти взамен известного и применяемого ранее приказа 58.

Ситуацию можно охарактеризовать примерно так: «участники конференции, находящиеся в президиуме, не были готовы ответить на вопросы таких же участников, сидящих в зале».

Удивительными можно считать рекомендации первых вторым «объединяться на уровне своих министерств и отраслевых ведомств, чтобы писать конкретные обращения в Роскомнадзор с целью рассмотрения и учета предложений в новую редакцию обсуждаемого закона и подзаконных актов для последующего их совершенствования. На этом фоне замечание председательствующего Романа Шередина, заместителя руководителя Роскомнадзора, «давайте подумаем, как использовать конференцию для того, чтобы лучше исполнить закон и постановление», прозвучало «обнадеживающе».

Тема не исчерпана

Тема защиты ПДн в облаках при использовании мобильных устройств, которые фактически уже заполонили все офисы, осталась за рамками конференции. Вопросы безопасного применения мобильных гаджетов, без которых становится невозможно работать, пришлось обсуждать на других мероприятиях в ноябре и декабре прошлого года.

Закончилась конференция на позитивной ноте: дескать, совсем скоро нужные приказы ФСТЭК уже будут выпущены в свет и где-то числа 15–17 декабря 2012 г. можно будет начинать приводить свои информационные системы персональных данных (ИСПДн) в порядок. С тем участники конференции разошлись.

Формально осталась нерешенной главная проблема: ПП-781 официально утратило действие, а в следствие этого подвис «приказ трех» о классификации ИСПДн и, самое главное, более менее все определяющий и конкретизирующий до настоящего времени приказ ФСТЭК №58.

Что теперь?

На дворе уже весна 2013-го, а нового правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн и в помине нет. Зато не менее официально (из ответа на запрос в ФСТЭК) известно, что этот новый нормативный акт будет применяться только к тем ИСПДн, для которых решение о системе защиты информации (АСЗИ) будет принято «после вступления в силу ожидаемого нормативного акта». Иными словами, ежели акт о внедрении автоматизированной системы защиты ПДн был подписан до вступления в силу ПП-1119, можно руководствоваться требованиями, установленными в техническом задании на ИСПДн или в ТЗ на АСЗИ. Далее, исходя из такой рекомендации, остается соблюсти формальность: уже подписанные ТЗ и внедренные системы не трогать. А новые внедрять, уже руководствуясь тем самым ожидаемым пока «новым нормативным актом»: приказом взамен 58-го приказа ФСТЭК. Есть, однако, лукавство в таком формальном решении, если учесть, что ИСПДн и АСЗИ постоянно совершенствуются и меняются под воздействием внешней среды.

Есть и моральная неудовлетворенность заказчиков таких проектов: долго делали что-то с системой и оказалось, что все таки сделали что-то не так, раз она теперь сразу после внедрения перестала соответствовать изменившимся требованиям. И как тут объяснить генеральному директору клиента, что сроки ТЗ соответствуют старым требованиям, а система проклассифицирована по новым или по старым законам (все равно по каким), но все, что уже проделано, придется переделывать, а значит, снова вкладывать деньги?

Приходится резюмировать, как обычно: поживем — увидим. Другого пока не скажешь. А если откровенно и оптимистично, то нужно, как обычно в задачах обеспечения безопасности информации, руководствоваться принципом честной защиты. Если не будет утечек ПДн, не будет и проблем, и формальные несоответствия такому неопределенному законодательству будет легче оспорить.

Оценить себя в этом во всем

В сложившейся ситуации я считаю, что самый разумный подход к обеспечению безопасности ПДн корпоративных объектов — руководствоваться апробированными международными стандартами безопасности ИСО 27001\17799 и на их основе использовать системный (а не комплексный!) подход к созданию автоматизированной системы защиты корпоративной информации и персональных данных. На первом месте остаются все те же, уже апробированные направления деятельности: организационная (люди, подписи, приказы), техническая и технологическая (бизнес-процессы).

Автоматизированную систему защиты ПДн выгодно создавать и в дальнейшем эксплуатировать, поддерживая интегрированно в составе системы защиты информации в целом. Неважно при этом, что некоторые организационно-распорядительные документы будут немного другими: они не будут дублировать друг друга.

В подобных проектах почти всегда остается нерешенным главный вопрос — как найти баланс между безубыточностью и параноидальностью применительно к затратам на безопасность информации или даже на безопасность вообще. Этот вопрос решается и обсуждается с привлечением специалистов. Впрочем, решение его тоже финансируется.

Безопасность, Внешние угрозы

Журнал: Журнал IT-Manager [№ 03/2013], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Как бизнес и учебные заведения адаптируют образование к новым реалиям экономики?
Попробуйте представить ощущения, когда ты занимаешься, вроде бы, прорывными вещами, а тебе объясняют "это, парень, тенденция вчерашнего дня".
Возникает понятное желание поразбираться, иногда на это нужны несколько лет.
Как культура поведения удаленных пользователей влияет на кибербезопасность организации

Компании сообщают

Мероприятия