УправлениеБезопасность

До и «послебезопасность»

Игорь Мялковский | 26.03.2013

До и «послебезопасность»

Автоматизированную систему защиты ПДн выгодно создавать и в дальнейшем эксплуатировать, поддерживая интегрированно в составе системы защиты информации в целом.

Сложнее всего ничего не делать. Необходимо время, чтобы в этом убедиться.

Народная примета

В конце прошлого года автору этой статьи довелось принять участие в III-й Международной конференции «Защита персональных данных» (http://www.pd-forum.ru/gal_2012_d1.php).

Среди ключевых проблем обсуждался главный вопрос выполнимости требований Федерального закона 152-ФЗ «О персональных данных» в его соответствии с новым Постановлением Правительства РФ от 01.11.12 №1119. Президиум конференции и участников удивил тот факт, что приглашенное руководство ключевого технического регулятора ФСТЭК прибыть на конференцию не сочло нужным, и на все вопросы технической защиты вынуждены были отвечать специалисты ФСБ. Вероятной причиной того, что ФСТЭК была представлена рядовыми сотрудниками, сидящими в зале, присутствующие посчитали то, что с нового года ФСТЭК уполномочена проверять состояние технической безопасности информации только в государственных учреждениях. Впрочем, для проверки состояния технической защиты коммерческих организаций потребуется распоряжение Правительства России.

Ответы или, точнее, «безответность» были не менее удивительны. Например, на неоднократно задававшийся вопрос о возможной сертификации протокола HTTPS ответа участники конференции так и не услышали, как не последовало и разъяснений по поводу многочисленных несоответствий закона и самого нового постановления Правительства РФ.

Более чем неопределенность возникла также в связи со сроками и порядком применения ожидаемого совместного приказа ФСТЭК/ФСБ, который должен определить новые методы и средства технической защиты ПДн и выйти взамен известного и применяемого ранее приказа 58.

Ситуацию можно охарактеризовать примерно так: «участники конференции, находящиеся в президиуме, не были готовы ответить на вопросы таких же участников, сидящих в зале».

Удивительными можно считать рекомендации первых вторым «объединяться на уровне своих министерств и отраслевых ведомств, чтобы писать конкретные обращения в Роскомнадзор с целью рассмотрения и учета предложений в новую редакцию обсуждаемого закона и подзаконных актов для последующего их совершенствования. На этом фоне замечание председательствующего Романа Шередина, заместителя руководителя Роскомнадзора, «давайте подумаем, как использовать конференцию для того, чтобы лучше исполнить закон и постановление», прозвучало «обнадеживающе».

Тема не исчерпана

Тема защиты ПДн в облаках при использовании мобильных устройств, которые фактически уже заполонили все офисы, осталась за рамками конференции. Вопросы безопасного применения мобильных гаджетов, без которых становится невозможно работать, пришлось обсуждать на других мероприятиях в ноябре и декабре прошлого года.

Закончилась конференция на позитивной ноте: дескать, совсем скоро нужные приказы ФСТЭК уже будут выпущены в свет и где-то числа 15–17 декабря 2012 г. можно будет начинать приводить свои информационные системы персональных данных (ИСПДн) в порядок. С тем участники конференции разошлись.

Формально осталась нерешенной главная проблема: ПП-781 официально утратило действие, а в следствие этого подвис «приказ трех» о классификации ИСПДн и, самое главное, более менее все определяющий и конкретизирующий до настоящего времени приказ ФСТЭК №58.

Что теперь?

На дворе уже весна 2013-го, а нового правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн и в помине нет. Зато не менее официально (из ответа на запрос в ФСТЭК) известно, что этот новый нормативный акт будет применяться только к тем ИСПДн, для которых решение о системе защиты информации (АСЗИ) будет принято «после вступления в силу ожидаемого нормативного акта». Иными словами, ежели акт о внедрении автоматизированной системы защиты ПДн был подписан до вступления в силу ПП-1119, можно руководствоваться требованиями, установленными в техническом задании на ИСПДн или в ТЗ на АСЗИ. Далее, исходя из такой рекомендации, остается соблюсти формальность: уже подписанные ТЗ и внедренные системы не трогать. А новые внедрять, уже руководствуясь тем самым ожидаемым пока «новым нормативным актом»: приказом взамен 58-го приказа ФСТЭК. Есть, однако, лукавство в таком формальном решении, если учесть, что ИСПДн и АСЗИ постоянно совершенствуются и меняются под воздействием внешней среды.

Есть и моральная неудовлетворенность заказчиков таких проектов: долго делали что-то с системой и оказалось, что все таки сделали что-то не так, раз она теперь сразу после внедрения перестала соответствовать изменившимся требованиям. И как тут объяснить генеральному директору клиента, что сроки ТЗ соответствуют старым требованиям, а система проклассифицирована по новым или по старым законам (все равно по каким), но все, что уже проделано, придется переделывать, а значит, снова вкладывать деньги?

Приходится резюмировать, как обычно: поживем — увидим. Другого пока не скажешь. А если откровенно и оптимистично, то нужно, как обычно в задачах обеспечения безопасности информации, руководствоваться принципом честной защиты. Если не будет утечек ПДн, не будет и проблем, и формальные несоответствия такому неопределенному законодательству будет легче оспорить.

Оценить себя в этом во всем

В сложившейся ситуации я считаю, что самый разумный подход к обеспечению безопасности ПДн корпоративных объектов — руководствоваться апробированными международными стандартами безопасности ИСО 27001\17799 и на их основе использовать системный (а не комплексный!) подход к созданию автоматизированной системы защиты корпоративной информации и персональных данных. На первом месте остаются все те же, уже апробированные направления деятельности: организационная (люди, подписи, приказы), техническая и технологическая (бизнес-процессы).

Автоматизированную систему защиты ПДн выгодно создавать и в дальнейшем эксплуатировать, поддерживая интегрированно в составе системы защиты информации в целом. Неважно при этом, что некоторые организационно-распорядительные документы будут немного другими: они не будут дублировать друг друга.

В подобных проектах почти всегда остается нерешенным главный вопрос — как найти баланс между безубыточностью и параноидальностью применительно к затратам на безопасность информации или даже на безопасность вообще. Этот вопрос решается и обсуждается с привлечением специалистов. Впрочем, решение его тоже финансируется.

Безопасность Внешние угрозы

Журнал: Журнал IT-Manager [№ 03/2013], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Митап про DataScience
ОНЛАЙН
29.07.2021
15:00
ТехноКлуб «Дефицит чипов: как выжить в новой реальности?»
Зеленоград, конгресс-центр ОЭЗ «Технополис Москва»
Бесплатно
04.08.2021
10:30
Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00