Сложные случаи защиты персональных данных

12 апреля 2010 Connect
Connect
№4, 2010 г.
Денис Андриков, заместитель директора дирекции производства, Открытые Технологии.

Проблема организации защиты персональных данных (ПДн), несмотря на перенос сроков вступления в силу ФЗ-152, не утратила своей актуальности. Хотя дебаты представителей бизнеса с регуляторами о невозможности полноценного удовлетворения всех выдвигаемых требований несколько поутихли. Причина тому, на наш взгляд, – осознание неотвратимости исполнения требований закона. Теперь перед ИТ не стоит задача "придумать" весомую причину отказа от построения информационной системы по защите персональных данных. Наступило время запланировать мероприятия по развертыванию эффективной ИСПДн. И сделать это так, чтобы минимизировать инвестиции в построение, чтобы новая система оказывала минимальное влияние на уже сложившуюся ИТ-инфраструктуру и бизнеспроцессы, чтобы у компании была возможность масштабировать решение в условиях прогнозируемого роста бизнеса.

По оценкам некоторых источников, количество операторов персональных данных сегодня приближается к нескольким миллионам. Однако львиную долю из этого числа занимают небольшие компании или вообще индивидуальные предприниматели, которые работают с ограниченным объемом данных и которым для обеспечения защиты достаточно всего лишь приобрести какой-то «коробочный» продукт и оформить пару стандартных документов. Так для кого же защита персональных данных важнее всего? Если не говорить о таких специфических объектах, как Пенсионный фонд, базы данных избирателей и других организаций, подлежащих строгому государственному регулированию, то эта задача наиболее остро стоит в медицинских учреждениях, кредитно-финансовых, страховых организациях и у операторов связи. Рассмотрим их подробнее. Нормы классификации заставляют любое лечебное заведение применять самые жесткие требования к защите данных. Проблема только в том, что приходится выбирать, на что выделить бюджет: на защиту данных или на закупку специализированной медицинской техники, способствующей повышению качества лечения. Чтобы не выбирать из двух зол меньшее, целесообразно решать столь важные в социальном плане вопросы с привлечением государства.

Обеспечение защиты персональных данных в финансовом секторе и страховых компаниях чем-то похожи. И в том, и другом случае мы имеем дело с информацией, напрямую затрагивающей имущественную сторону. ИТ-инфраструктура в этих отраслях развивалась системно и сейчас обладает достаточной гибкостью, позволяющей адаптировать текущую структуру к удовлетворению требований Закона «О персональных данных». Поэтому с обеспечением защиты ПДн здесь все относительно просто. Необходимо разработать проект по построению ИСПДн, провести обследование, выделить участки, где необходима замена аппаратного или программного обеспечения сертифицированными средствами защиты. Затем адаптировать типовую модель угроз к существующим бизнеспроцессам, оптимизировать схему организации защиты, организовать пусконаладку, обучить сотрудников и провести опытную эксплуатацию. Самое важное – обеспечить аттестацию ИСПДн согласно требованиям регуляторов.

Если путь, по которому осуществляется защита персональных данных у банкиров и страховщиков, тернист и труден, но с технической точки зрения построения ИТ-инфраструктуры понятен, то задача обеспечения надлежащей защиты у операторов связи в большей степени нетривиальна.

Во-первых, услуга связи является в наше время социально значимой. Следовательно, недопустимо использовать такую предусмотренную законодательством меру воздействия, как приостановление деятельности на срок до 90 суток. А штрафы в несколько десятков тысяч рублей вряд ли кого-то испугают. Остается, правда, еще отстранение лица, ответственного за защиту персональных данных от должности.

Во-вторых, поскольку доступ к услугам связи в той или иной сфере есть почти у каждого жителя и гостя страны (по России уровень проникновения мобильной связи составляет 147,3%1, уровень проникновения Интернета – 44%2), то объем обрабатываемых персональных данных весьма значителен.

Социальная значимость и высокий уровень проникновения обозначают общность проблематики защиты персональных данных в рассматриваемых сегментах. Однако есть и различия, вызванные спецификой операторского бизнеса. Количество субъектов персональных данных возрастает пропорционально увеличению численности активных пользователей. По данным компании J'son & Partners Consulting, количество абонентов за 2009 г. увеличилось на 20,4 млн, что составило 10,9%. По нашим оценкам, среднеквартальный прирост новых субъектов персональных данных у операторов «большой тройки» в абсолютном выражении – от 400 до 500 тыс.

Кроме того, для мобильной связи характерна концентрация большого объема персональных данных всего в нескольких компаниях. Так, совокупная доля рынка МТС, «ВымпелКом» и «Мегафон» составляет сегодня около 85%. Количество клиентов у операторов других услуг связи (доступа в Интернет, фиксированной связи) тоже продолжает расти. Нельзя не сказать о том, что бурный рост телекомсектора привел к тому, что ИТ-инфраструктура развивалась хаотично, наскоками, что и породило, в известной степени, «зоопарк» ИТ-средств. В частности, это касается и биллинговых систем, и систем хранения данных.

Таким образом, все перечисленные факторы приводят к тому, что построение эффективной ИСПДн для оператора связи обладает некоторой противоречивостью в стремлении минимизировать составляющие понятия «эффективность»: затраты, влияние на бизнес-процессы, сложность масштабирования. Суть оказания услуг связи сводится к тому, что персональные данные в той или иной степени пронизывают весь процесс – от покупки до доставки и поддержки услуги. Необходимые изменения ИТ-инфраструктуры для достижения соответствия законодательству настолько масштабны, что увеличение бюджета становится неприемлемым по отношению к выгоде от внедрения ИСПДн. Это противоречит первому признаку эффективности. С другой стороны, существует способ уменьшить бюджет за счет изменения подходов к построению системы – например, отказаться от тотальной перестройки инфраструктуры, но заменить существующие ИТ-политики и скорректировать бизнес-процессы, в которых задействована обработка персональных данных. Но это предложение не соответствует второму определению эффективности, поскольку переориентирует бизнес от ключевых задач к разработке новых правил, форм и регламентов.

С масштабируемостью, вероятно, не возникнет серьезных вопросов, так как операторы в определенной степени уже поделили абонентскую базу и резких увеличений в ближайшее время не предвидится. Исключения могут составлять только продавцы перспективных услуг, например высокоскоростного мобильного Интернета.

Следует ли из всего этого, что построение эффективной ИСПДн – цель, недостижимая для оператора связи? Да, если однобоко воспринимать суть ее построения. Расширим наше восприятие защиты персональных данных – с "необходимого требования регулятора" до «инструмента повышения лояльности абонента». Это очень легко представить, особенно сейчас, когда обсуждаются вопросы о смене абонентом оператора без замены номера, о внедрении новых средств и технологий связи, о запуске программы о предоставлении государственных услуг в электронном виде. Понятно, что качество и количество услуг планируется повышать, но вот динамика этого повышения полностью зависит от установленных ИТ-политик, что декомпозирует задачу построения эффективной ИСПДн оператора связи на категоризацию информации, построение общего слоя метаданных, внедрение унифицированного хранилища и правил обработки. Это позволяет системно подойти к вопросу дальнейшего развития инфраструктуры, капитализировать инвестиции, с тактической точки зрения удовлетворить требования регуляторов, а со стратегической – заложить отличную базу для развития как уже существующих услуг, так и экзотических высокомаржинальных сервисов.

Для решения задачи обеспечения защиты персональных данных в столь важной и объемной области, как телекоммуникации, требуется комплексный подход. Очевидно, что привлечение системных интеграторов в данном случае выглядит как насущная необходимость, кроющаяся в синергии усилий, направленных на построение эффективной ИСПДн. Рынок уже проголосовал за такой вариант, когда состоялась инициация консалтингового проекта по разработке подходов к защите персональных данных у операторов «большой тройки».

Таким образом, решение задачи построения эффективной ИСПДн у оператора связи видится нам в выполнении следующих последовательных шагов:

  • отказаться от «лоскутной» защиты. Иначе получится такая же ситуация, что и после «первой волны» информатизации в нашей стране: средств на оборудование потрачена уйма, все подключено, лампочки мигают, электричество тратится, а реальная задача, ради которой и строилась вся инфраструктура, решается с очень высокими затратами. Другими словами, требуется смена парадигмы отношения к ФЗ‑152 «О персональных данных» и требованиям регуляторов;
  • разработать отраслевой стандарт защиты ПДн (работа уже ведется Инфокоммуникационным союзом в рамках проекта «Тритон»3), чтобы правила и требования регуляторов были адекватно отображены на технологическом уровне ИТ-инфраструктуры с учетом специфики бизнес-процессов;
  • вынести обработку ПДн в особый контур, чтобы отделить непосредственно персональные данные уровнем метаданных. Хранилище будет иметь распределенную структуру, увязать взаимодействие технологических баз данных с уровнем метаданных можно с помощью унифицированной информационной шины. Подобная задача должна решаться в рамках общего подхода и специально оговариваться в отраслевом стандарте. Реализация мер по защите в рамках данного подхода – классическая задача системной интеграции. Как результат — оператор будет работать уже не с контентом ПДн, а с метаданными. В итоге получится защищенная информационная шина данных, объединяющая все элементы сети одного или нескольких операторов связи.

Важно, что при таком подходе ответственность за обработку, хранение и защиту персональных данных будет передана либо управляющей компании, либо специальному подразделению компании-оператора. В такой модели каждый будет сконцентрирован на своей задаче и не будет распыления ресурсов – выделенный контур обработки позволит оператору сосредоточиться на оказании услуг, а управляющей компании – на защите ПДн. Как пример: судебные приставы будут обращаться не к оператору мобильной связи за персональными данными должников (а такие прецеденты известны), а в управляющую компанию. Укрупняя или, наоборот, распределяя множество небольших пунктов хранения ПДн по карте покрытия сети, мы получаем возможность варьировать эффективность построения системы, оцениваемую согласно трем обсуждаемым ранее критериям.

Наверное, 2010-й впоследствии будут считать переломным годом для отрасли. Именно сейчас, когда до отчетной даты полноценного вступления в силу ФЗ-152 осталось так мало времени, есть возможность изменить отношение к персональным данным и по-новому взглянуть на средства предоставления услуг оператором связи.




Предыдущая новость:
Искусство поедания слона
Следующая новость:
Кому с IdM жить хорошо?