Сливки с закона

IT-MANAGER I апрель I 04.2010 Леонид Чуриков

Заработать можно на любом законе. Хорошим примером в этом плане является «сухой закон», позволивший в разное время обогащаться чиновникам и гангстерам из самых разных стран. Не является исключением и закон «О персональных данных». В плане потенциальной прибыльности он даже более привлекателен, поскольку потенциально касается не только людей, любящих выпить, а вообще всего населения.

Первыми под удар российского «су­хого закона» по­пали владельцы элитных вино­градников, а под удар ФЗ №152 рискуют попасть вла­дельцы элитных, т. е. наибо­лее любопытных, данных. Но помощь уже идет. Все боль­ше компаний, ранее даже не помышлявших об оказании услуг по построению защи­щенных систем обработки ПДн, начинают активно пред­лагать окружающим свою не слишком квалифицирован­ную, в плане защиты данных, помощь. Фирмы, которым по­счастливилось когда-то про­дать хоть что-то, отдаленно связанное с информационной безопасностью, чувствуют себя на данном сегменте на­стоящими гуру. Чтобы пред­сказать, каким будет в итоге ФЗ о защите ПДн и связанные с ним карательные санкции, надо быть «персональным» экстрасенсом. Обычного экс­трасенса, как мы знаем из телепередач, можно определить по плащу и кинжалу, амулетам, хрустальному шару и бреду, который такой чело­век несет, словно откровение.

Настроенного на одну волну с новым законом экстрасенса выявить сложнее.

Где узнать о расценках на услуги по подготовке систем обработки персональных дан­ных, а также об ответственно­сти за нарушение ФЗ № 152 и не запутаться при этом в сетях лжепророков и лже­защитников? Корреспондент IT-Manager решил сразу обра­титься в проверенные време­нем компании, не первый год так или иначе защищающие данные своих клиентов.

О таких животрепещущих реалиях как время и деньги рассказали Сергей Петренко (эксперт в области непре­рывности бизнеса и инфор­мационной безопасности компании «АйТи»), Николай Кугук (руководитель службы информационной безопас­ности компании «ОНЛАНТА», ГК «ЛАНИТ»), Евгений Чугунов (эксперт направления ин­формационной безопасности компании КРОК), Константин Кузовкин (начальник отдела проектов и технических ре­шений департамента инфор­мационной безопасности компании «Ай-Теко»), Васи­лий Шировков, (менеджер по работе с партнерами Check Point Software Technologies), Владимир Котов (руководи­тель департамента «1С» ГК «СофтБаланс»), Сергей Ива­нов (руководитель подраз­деления «7000» компании «1С:Бухучет и Торговля»).

ПЕРСОНАЛЬНЫЙ КНУТ

Для начала несколько слов об ответственности, чтобы было понятно, за что собственно надо (или не надо, это решать заказчи­ку") платить консультантам, чтобы потом не платить (или платить не так много) прове­ряющим органам...

Сергей Петренко («АйТи») подробно расписал, чем гро­зит нарушение закона: «На практике нарушение требований ФЗ № 152 «О персо­нальных данных» может при­вести к одному из следующих последствий:

во-первых, приостанов­ление или прекращение об­работки персональных дан­ных (ПДн), осуществляемой с нарушением требований закона;

во-вторых, направление в органы прокуратуры и дру­гие правоохранительные ор­ганы материалов для реше­ния вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъек­тов ПДн;

в-третьих, приостановка действия или лишение ли­цензий, без которых деятель­ность по обработке персо­нальных данных становится незаконной;

в-четвертых, конфиска­ция несертифицированных средств защиты информации. С учетом того, что опреде­ленные механизмы безопас­ности интегрированы в общесистемное и прикладное ПО,

в ряде случаев возможна конфискация серверов и ра­бочих станций, обрабатываю­щих персональные данные.

И наконец (это уже в-пятых — Л. Ч.), привле­чение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей уго­ловного и административного кодексов.

Кроме этого (в-шестых—Л. Ч.), со­гласно п. 3 статьи 21, в случае выявления неправомерных дей­ствий с персональны­ми данными оператор в срок, не превышаю­щий трех рабочих дней с даты такого вы­явления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений опе­ратор в срок, не превышаю­щий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. «По­нятно, что уничтожение пер­сональных данных для ряда организаций, работающих с физическими лицами (бан­ков, пенсионных или страхо­вых компаний), равносильно приостановке бизнеса», — по­яснил г-н Петренко.

Я бы в свою очередь до­бавил, что «приостанов­ка» — это еще мягко ска­зано. Скорее, речь идет об уничтожении.

ПЕРСОНАЛЬНЫЙ ПРЯНИК

Ясно, что чем интимнее (в прямом и переносном смыс­лах) данные, хранимые опера­тором, тем выше ответствен­ность перед законом. Хуже всего тем, кто собрал у себя максимум: сведения о болез­нях, интимной жизни, расовой принадлежности и т. д., и т. п. Но и этим беднягам консуль­танты готовы помочь.

«Чтобы снизить стоимость и понизить класс информа­ционной системы, напри­мер, в банковских или ме­дицинских информационных системах, хранение данных организуют таким образом, чтобы информация, напри­мер, с медицинскими данны­ми пациентов лежала в одной системе, а ФИО пациентов — в другой, — рассказал Нико­лай Кугук («ОНЛАНТА»). — Эти системы по отдельности могут быть отнесены к более низкому классу (например, К2 или КЗ) и будут защи­щаться соответствующим образом. Для установления соответствия пациента его медицинской карте вводится идентификационный номер (номер полиса), по которо­му доктор может обратить­ся к медицинским данным и внести в них какие-то из­менения. Объединение фа­милии и медицинских данных при этом в информационной системе не происходит, т. е. медицинские показатели о конкретном пациенте хра­нятся обезличенно. Сведение номера полиса и фамилии пациента происходит только в регистратуре. Таким обра­зом, у нас получаются 2 системы более низкого класса, чем К1».

Ну что же, с описанием от­ветственности в законе все понятно. В нем всего в меру. В меру страха: не столько, чтобы клиент сразу побежал оплачивать билет на самолет, смываясь навсегда из страны, но достаточно, чтобы задуматься об оплате услуг консультанта. В меру наме­ков на запущенность теку­щего состояния ИТ-системы: не столько, чтобы опускались руки и приходила мысль о за­крытии бизнеса, но достаточно, чтобы становилось понятно — надо срочно что- то менять. В меру неопреде­ленности, чтобы в случае чего клиент знал — сам во всем виноват. Где-то по глу­пости переплатил, где-то по неопытности недоглядел.

ВРЕМЯ И ДЕНЬГИ

Сергей Петренко на­помнил, что в состав мер защиты ПДн должны быть включены организацион­ные меры и средства за­щиты информации от не­санкционированного досту­па, от утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПД и пр. Также необходимо разработать ТЗ и технический проект, внедрить соответствующие реше­ния и пройти обязательную сертифи­кацию (аттестацию) информационных систем персональных данных (ИСПДн) либо декларировать соответствие требованиям защиты информации по классам (по документам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Все это, по оцен­кам г-на Петренко, занимает не менее 5-6 месяцев и стоит от 500 тыс. руб. Тот факт, что за 2009 г. многие компании постарались сертифи­цировать поставляемые ими на рынок программные и аппаратные продукты, предназначенные для защиты данных, если и повлияет, то на стоимость проек­тов по «причесыванию» систем класса до К2. «Выросло количество сертифи­цированных средств для защиты ПДн (межсетевых экранов, антивирусных средств и т. д.) для систем класса К2, — утверждает г-н Кугук. — Для систем класса К1 — нет. Не так много средств защиты, соответствующих требованиям построения систем класса К1, и они до­статочно дороги».

Евгений Чугунов (КРОК) согласен с оценкой минимального срока проек­та в 4 месяца. Стоимость он назвать не решился, отметив, что она «зависит от выбранных сценариев реализации, коли­чества бизнес-процессов, осуществляю­щих обработку персональных данных, распределенности информационной системы обработки персональных дан­ных, проработки юридических вопро­сов и зрелости компании».

Константин Кузовкин («Ай- Теко») настаивает, что «для этой работы требуется не ме­нее 5 месяцев».

Василий Шировков (Сhеск Point Software Technologies) не стал называть никаких цифр, заявив лишь, что надо в любом случае не заниматься самолечением, а срочно идти к инте­граторам. «Здесь ровно такая же си­туация, как в случае с больным зубом: как поступить? Обратиться к доктору! Абсолютно аналогично — обратиться к интеграторам, специализирующим­ся на информационной безопасности и способным провести аудит вашей си­стемы, дать рекомендации, защитить и, если потребуется, провести аттеста­цию системы».

Владимир Котов («СофтБаланс») не­смотря на то, что работает в профиль­ной компании, а может быть именно поэтому, предупредил, что «в СМИ еще не появлялось пресс-релизов о том, что какая-либо компания получила лицен­зию на проведение действий по подготовке предприятий к сертифика­ции» (В отличие от стоматологов, у ко­торых необходимые лицензии, как пра­вило, есть — Л. Ч.). «Если мы говорим о малом бизнесе, то лучше ничего (в том числе, систему обработки ПД — Л. Ч.) не строить, а купить уже готовое, т. к. этот вариант будет намного дешевле и позво­лит избежать ошибок», — подсказал за­казчикам Владимир Котов.

Оценивая проекты, г-н Котов заявил следующее: «Если мы говорим о малом бизнесе и количестве сотрудников пред­приятия менее 50 человек, то можно обойтись объемом работ в 40 человеко- часов, и стоимостью 20-150 тыс. руб. (сюда входит стоимость работы, не­обходимого ПО и частичной замены железа, проведенного по результатам аудита системы). Для среднего пред­приятия, в зависимости от состояния его ПО и железа, затраты могут уже исчисляться сотнями тысяч рублей».

Сергей Иванов («1С:Бухучет и Тор­говля») минимальную планку по срокам передвинул на 2-3 месяца. «Ориентиры по срокам и стоимостям для типовых про­ектов такие: для небольших компаний (1-3 сотрудника отдела кадров, общее количество сотрудников до 1000, персо­нальные данные обрабатываются толь­ко для исполнения трудовых договоров) срок приведения в соответствие с тре­бованиями закона — 2-3 месяца. За это время проводится исследование, опреде­ляется класс ИСПДн, требования к ней и осуществляется поставка, внедрение, обучение и инструктаж пользователей. Стоимость данного проекта — 120-200 тыс. руб. Для крупных компаний со слож­ной ИТ-инфраструктурой (более 100 ты­сяч записей, содержащих персональные данные, свыше тысячи сотрудников име­ют доступ к ИСПДн) стоимость защиты данных в состоянии «как есть» может до­стигать десятков миллионов рублей».

«В случае, если в организации при­мут решение о реструктуризации ИСПДн с целью изменить ее класс и снизить расходы на организацию защиты, про­цесс реструктуризации и создания за­щиты может продлиться более чем 6-8 месяцев, снижения расходов, впрочем, можно достичь весьма серьезного», — постарался успокоить крупных заказчи­ков г-н Иванов.

ДАННЫЕ В ГУСТОМ ТУМАНЕ

В год, когда облачные технологии стали са­мым модным словосочетанием, невозможно обойти вниманием этот аспект. Итак, можно ли спрятать данные в «облаках», найдут ли их там проверяющие органы, и если да — как к этому отнесутся?

По информации Сергея Петренко, техноло­гии для построения «облачных» систем обра­ботки данных, в том числе, удовлетворяющих ФЗ № 152, существуют, но их немного. Николай Кугук дал понять, что компания «ОНЛАНТА» уже работает над такими проектами с применением новейших технологий, и у нее есть определен­ное понимание, как это надо делать.

Евгений Чугунов подчеркнул, что сам за­кон никаким образом не запрещает обработ­ку ПДн в «облачных» ЦОД. Это же касается и всех подзаконных актов. «Главное — кор­ректно описать и закрепить на уровне до­говорной документации все аспекты взаи­модействия оператора с уполномоченным лицом, предоставляющим подобную услугу, и убедиться, что уполномоченное лицо, во - первых, осуществляет корректную обработку ПДн, в частности реализует механизмы, обе­спечивающие невозможность объединения созданных для несовместимых между собой целей баз данных ИСПДн; во-вторых, реали­зует все необходимые функции обеспечения безопасности в соответствии с актуальными угрозами, требованиями по защите информа­ции от НСД и утечки по техническим каналам, а также обеспечивает все необходимые меро­приятия по криптографической защите кана­лов связи», — утверждает г-н Чугунов.

Константин Кузовкин напомнил, что для «облаков» («облачных вычислений») появля­ются новые угрозы безопасности. При этом, в отличие от традиционных ЦОД, получается несколько другая модель угроз. Традиционные средства защиты, такие, например, как меж­сетевые экраны, уже неактуальны. На первое место в «облаках» выдвигаются методы за­щиты непосредственно самих данных. Г-н Кузовкин полагает, что «требуется специаль­ный нормативный документ с рекомендация­ми и требованиями по защите персональных данных в «облачных» ЦОД».

В заключение можно сказать, что защитой своих персональных данных человечество увлеклось давно и не на шутку. Есть, ска­жем, международное общество, члены кото­рого днем и ночью носят на голове шапочки из алюминиевой фольги, чтобы их мысли не прочитали инопланетяне, спецслужбы, операторы сотовой связи или владельцы телеканалов. Последние с улыбкой, а ино­гда и с пеной у рта доказывают, что все это напрасно, поскольку простая бабушка из богом забытого аула или продавец обуви может по одной вашей фотографии расска­зать все о вашем прошлом, будущем и на­стоящем и даже найдет местоположение не хуже системы спутниковой навигации. Пока защита данных происходит на общественных началах, все это кажется смешным. Когда в дело вступает государство, особенно такое экстраординарное, как российское, многим становится не до смеха.


Возврат к списку