Сергей Петренко: «Рынок технической защиты конфиденциальной информации сложился достаточно давно, основные игроки здесь хорошо известны и особых неожиданностей не предвидится»

- Сергей, расскажите, пожалуйста, что должно измениться в связи с вступлением в силу Федерального Закона «О персональных данных». Чем нововведения «грозят» компаниям, так или иначе работающим с персональными данными?

- Конечно, выполнение закона поставило перед подавляющим большинством российских предприятий и организаций, которые работают с ПДн граждан, множество непростых вопросов. Главный из них – как за достаточно ограниченное время построить экономически обоснованную систему защиты персональных данных, надлежащим образом обеспечивающую исполнение положений нового закона. Чтобы разрешить этот вопрос руководители и ответственные специалисты должны либо самостоятельно, либо с помощью специализированных компаний, получить грамотную квалифицированную оценку существующей в организации системы защиты ПДн, определить круг действий и реализовать проекты, дабы привести эту систему в соответствии с требованиями Федерального Закона.

Как стало известно буквально, на днях срок выполнения операторами персональных данных требований упомянутого Федерального Закона сместился с 1 января 2010 года на 1 января 2011 года. Соответственно сдвигаются и запланированные сроки проверки выполнения требований указанного Федерального Закона уполномоченными регуляторами. Это стало возможным, благодаря активным инициативам по переносу сроков на парламентских слушаниях, а также на заседаниях государственной думы. Однако операторы персональных данных все равно должны будут выполнить унифицированные требования по сбору и обработке персональных данных (ПДн).

- Кого в первую очередь и почему затронет новое законодательство?

- Федеральный Закон РФ №152-ФЗ «О персональных данных» направлен на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, и ориентирован на выполнение международных обязательств Российской Федерации в соответствии с Федеральным Законом от 19 декабря 2005 года №160 «О ратификации конвенции Совета Европы защите физических лиц при автоматизированной обработке персональных данных». В сферу действия этого документа попадают все юридические и физические лица, у которых находятся ПДн граждан.

При этом если в Законе «Об информации, информационных технологиях и о защите информации» говорится о том, что именно надо защищать и что конкретно является объектом конфиденциальной информации, то Закон «О персональных данных» раскрывает состав ПДн и предусматривает применение технических и организационных мер и средств для обеспечения защиты. Так, согласно статье 19 Федерального Закона «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры. В том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В соответствии со статьей 19 Федерального Закона «О персональных данных» для определения как общих, так и детальных требований по защите ПДн в информационных системах персональных данных (ИСПДн), Правительство Российской Федерации выпустило довольно обширный ряд постановлений и рекомендаций. В их числе - Постановление «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановление «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении Порядка проведения классификации информационных систем персональных данных»; утвержденные ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; утвержденные ФСБ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ 21 февраля 2008 года; «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ 21 февраля 2008 года.

- Какие действия необходимо предпринимать компаниям в связи с изменениями законодательства?

- Согласно Федеральному Закону «О персональных данных» и «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» порядок организации обеспечения безопасности ПДн в ИСПДн должен учитывать очень многие факторы. Это и оценка обстановки, и обоснование требований по обеспечению безопасности ПДн, и формулирование задач защиты ПДн, и разработка замысла обеспечения безопасности ПДн. Кроме того, должен осуществляться выбор целесообразных способов защиты ПДн в соответствии с задачами и замыслом защиты, а также - решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, обеспечение реализации принятого замысла защиты, планирование мероприятий по защите ПДн и организация и проведение работ по созданию системы защиты персональных данных (СЗПДн) в рамках разработки (модернизации) ИСПДн. Среди необходимых мер – разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн, развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн и доработку СЗПДн по результатам опытной эксплуатации.

Выявление угроз безопасности персональных данных при их обработке в ИСПДн осуществляется с использованием «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а оценка актуальности угроз безопасности персональных данных при их обработке в ИСПДн - на основе «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе отмеченных рекомендаций и основных мероприятий формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам и от несанкционированного доступа. Осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Согласно перечисленным выше документам, выбор мероприятий и глубина их проработки по защите персональных данных напрямую зависит от типа и класса обрабатывающей их информационной системы. Полный список технических мер реализуется в виде соответствующих подсистем защиты персональных данных и выглядит следующим образом: управление доступом, регистрация и учет, обеспечение целостности, контроль отсутствия недекларированных возможностей, антивирусная защита, обеспечение безопасного межсетевого взаимодействия ИСПДн, анализ защищенности, криптографическая защита, защита от утечек по техническим каналам и обнаружение вторжений.

- Даже после переноса сроков времени для надлежащего исполнения требований упомянутого Федерального Закона не так много. Что можно порекомендовать отечественным операторам персональных данных?

- На основании своего опыта работы компания «АйТи» рекомендует, как минимум, выполнить следующие действия. Во-первых, зарегистрироваться в качестве оператора ПДн в уполномоченном органе по защите прав субъектов ПДн. Во-вторых, организовать получение, учет и хранение письменного согласия субъекта ПДн на обработку его ПДн. В-третьих, разработать на основе модели угроз систему защиты ПДн, способную обеспечить нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, соответствующих классу информационных систем. Кроме того, необходимо провести классификацию информационной системы обработки ПДн в соответствии с «Порядком проведения классификации информационных систем ПДн», утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20. Также среди первоочередных задач - подготовка и утверждение организационно-распорядительные документы о регламентах обработки ПДн, обучение персонала, учет применяемых средств защиты информации, документации к ним, носителей персональных данных. В целом получается довольно-таки большой объем работ, так что в выигрыше, естественно, оказываются те компании, которые озаботились вопросом соответствия новым нормативным актам заранее, а не откладывали все на последние дни.

- Оцените, пожалуйста, какова сейчас конкурентная ситуация среди ИТ-компаний, многие ли компании предоставляют услуги в этой сфере, есть ли резкое увеличение на консалтинговые и внедренческие услуги, касающиеся защиты персональных данных.

- Конкуренция здесь высока. Услуги в этом направлении предоставляют системные интеграторы, консалтинговые компании, интеграторы безопасности, юридические компании и пр. Однако хотелось бы отметить, что наиболее полный спектр услуг, по нашему мнению, предоставляют системные интеграторы, обладающие соответствующими лицензиями ФСБ России и ФСТЭК России. Так что при выборе компании, которая будет заниматься вопросами безопасности ПДн, заказчику необходимо уделять этому вопросу пристальное внимание.

- Какие решения предлагает компания «АйТи» в этой сфере и в чем их основные особенности?

- Компания «АйТи» предлагает практически полный комплекс услуг и решений, направленных на реализацию любого из этапов построения системы защиты персональных данных, в полной мере отвечающей требованиям Федерального закона. Во-первых, это аудит соответствия имеющейся у заказчика системы защиты персональных данных требованиям законодательства РФ о защите персональных данных. Он позволяет определить степень соответствия существующих средств защиты требованиям законодательства о защите персональных данных. Если требуется доработка существующей системы защиты ПДн, заказчик также получает оценку финансовых и временных затраты на модернизацию. В результате компания получает детализированный отчет о степени соответствия существующей системы защиты ПДн требованиям законодательства о защите персональных данных и план первоочередных мероприятий по доработке системы защиты с оценкой стоимости и сроков работ, а так же стоимости технических средств.

Еще один из наших инструментов – оценка рисков не выполнения специальных требований по защите персональных данных. В ходе проведения этого исследования определяются наиболее критичные бизнес-процессы и ИСПДн, обеспечивающие их работу. Проводится качественная и количественная оценка рисков несоответствия системы требованиям законодательства РФ о защите персональных данных, а также оценка связанных с этим несоответствием возможных финансовых и иных косвенных потерь. Кроме плана по проведению необходимых мероприятий по управлению остаточными рисками заказчик в этом случае получает отчет с детальным описанием существующих рисков несоответствия требованиям законодательства РФ о защите персональных данных и специальных требований ФСТЭК и ФСБ России.

Кроме того, мы предлагаем разработку концепции защиты ПДн. Она создается на основе результатов аудита существующей у заказчика системы защиты и позволяет определить цели и задачи, выработать стратегические инициативы по защите персональных данных, а также сформировать необходимый пул проектов. Результатом данных работ является портфель необходимых проектов, по каждому из которых зафиксированы цели и задачи, критерии успешного исполнения, требования к ресурсам, структура и план реализации

Еще одним вариантом является проектирование и внедрение системы защиты ПДн в ИСПДн. Конечным итогом данного этапа является создание ИСПДн, удовлетворяющей заданным требованиям законодательства РФ, требованиям ФСБ и ФСТЭК России в части организации технической защиты ИСПДн.

Также в нашем арсенале - разработка распорядительной документации по вопросам защиты ПДн. Благодаря этой услуге реализуется организационная составляющая режима защиты персональных данных заказчика. Мы занимаемся и непосредственно развитием автоматизированных информационных систем с целью обеспечения защиты персональных данных в соответствии с законодательством. В ходе реализации данного этапа достигается соответствие ключевых автоматизированных информационных систем требованиям федерального законодательства о персональных данных.

Один из видов услуг – сертификация и аттестация ИСПДн на соответствие требованиям безопасности. В рамках этих работ заказчику предоставляются основания для легитимной обработки персональных данных в ИСПДн. В результате клиент получает аттестацию объекта информатизации по требованиям безопасности информации и предписание на промышленную эксплуатацию ИСПДн.

Построение комплексной системы защиты персональных данных предусматривает осуществление проектирования комплексной СЗПДн, ее установку и настройку, а также поставку необходимого оборудования и ПО. В состав комплексного решения «АйТи» по созданию системы защиты персональных данных могут входить подсистемы и отдельные средства защиты информации ведущих отечественных и западных вендоров, работающих в системе безопасности данных. Здесь к отечественным вендорам относятся - ГК Информзащита, МО ПНИЭИ, Крипто-Про, S-Terra, ИнфоТеКС, Анкад, Атлас, Криптоком, Лаборатория Касперского и пр. К западным - Cisco,  Microsoft, IBM, EMC, SUN, HP, 3Com, CheckPoint, Application Security, Juniper, F5, McAfee и так далее.

Для нас значимым достижением является тот факт, что для решения задачи регистрации и учета событий, контроля уровня защищенности ИСПДн, своевременного обнаружения атак, оперативного оповещения администратора ИБ обо всех событиях и инцидентах, расследования инцидентов, связанных с безопасностью ПД, в соответствии с нормативными документами по защите ПД компания «АйТи» предлагает решение на базе собственной разработки – систему мониторинга информационной безопасности IT SMMC.

- Как, по-вашему, изменится рынок в связи с вступлением в силу Федерального закона «О персональных данных»? Следует ли ожидать появления новых ИТ-игроков, специализирующихся на этом направлении или переориентации уже существующих именно под этот сегмент задач? Многим ли придется каким-то образом перерабатывать свои решения (например, ориентированные на создание электронного межведомственного документооборота и так далее)?

- Думаю, рынок все же изменится не очень существенным образом. Так как защита персональных данных – это часть защиты собственно конфиденциальной информации. А рынок технической защиты конфиденциальной информации сложился достаточно давно, основные игроки здесь хорошо известны и особых неожиданностей не предвидится.