Защита персональных данных: исполнять нельзя ждать
9 мая 2010 ИКСИКС
Май 2010 г.
Денис Андриков
Новый день Х, с началом которого вся обработка персональных данных должна строго соответствовать требованиям законодательства, назначен на 1 января 2011 г. Не пора ли браться за работу всерьез?
Сроки. Когда начинать проект по защите персональных данных?
А нужно ли вообще запускать такой проект? Может быть, попробовать еще раз убедить регуляторов перенести срок вступления в силу ФЗ-152 «О персональных данных»? Как оказалось, перенос сроков – самый простой и эффективный способ решения задач по защите персональных данных. Однако маловероятно, что сроки перенесут вторично: найти весомые аргументы трудно. Считается, что передышка в гонке за выполнением требований как раз для того и дана, чтобы подтянуть имеющуюся инфраструктуру до уровня, на котором обеспечить надлежащую защиту персональным данным будет реально. Но до сих пор есть сторонники продления моратория на проверку информационных систем персональных данных (ИСПДн), введенных в эксплуатацию до вступления в силу закона.
Когда же надо всерьез задуматься об организации защиты персональных данных? Ответ зависит от того, предполагается обрабатывать эти данные ручным или автоматизированным способом. В ручной обработке подводных камней не ожидается. Сложнее обстоит дело с автоматизированной обработкой, где привлекаются ИТ-ресурсы организации.
Бытует миф о «волшебной коробке», которую можно купить и установить на средства обработки персональных данных, например, персональный компьютер – самую ходовую ИСПДн большинства операторов персональных данных, – и тем самым обеспечить соответствие всем требованиям регуляторов, разом решив все вопросы. К сожалению, миф этот далек от действительности, хотя сейчас на рынке есть предложения, похожие на коробочные решения. Но полноценных коробочных решений, скорее всего, не получится. Приведение ИСПДн в соответствие требованиям – это внедрение комплекса организационных, программно-технических мер и регламентирующих документов, как правило, индивидуальных для каждого заказчика.
В большей степени типизация решений возможна в секторе частного предпринимательства. Действия, которые придется предпринимать компаниям из сектора малого и среднего бизнеса, например, обследование и декларирование соответствия ИСПДн определенному классу, уже будут обладать той или иной спецификой. Сделать это силами собственного ИТ-отдела, где специалиста по информационной безопасности либо уволили с началом кризиса, либо и вовсе не принимали на работу, зачастую очень и очень проблематично. Следовательно, обеспечение защиты персональных данных – это всегда в большей или меньшей степени интеграционный проект со всеми вытекающими последствиями.
Потребуется разработка проектной документации, обследование существующей ИТ-инфраструктуры, проведение тендера и подготовка необходимых документов, поставка оборудования и пусконаладочные работы. В лучшем случае на это уйдет от двух до четырех месяцев, в зависимости от сложности и разветвленности ИТ-инфраструктуры. Но это еще не все.
Примерно столько же времени потребуется для получения аттестата соответствия ИСПДн (для класса К3 допускается декларация соответствия, что позволяет несколько сократить сроки проекта). Таким образом, чтобы успеть к отчётной дате 1 января 2011 г., инициировать проект по защите персональных данных необходимо уже сейчас.
Изменения технических требованийк защите. Как это повлияет на рынок?
Отмена требования использовать шифровальные (криптографические) средства при защите персональных данных должна существенно увеличить предложение и обострить конкуренцию, особенно в сегменте малого и среднего бизнеса. Утверждение методик защиты, вероятно, приведет к снижению объема консалтинговых услуг, например, по разработке и кастомизации модели угроз.
Дальнейшие темпы развития рынка зависят скорее от того, какую стратегию выберет регулятор и будут ли расширены полномочия органов, выполняющих в сфере защиты персональных данных контрольно-надзорные функции. В любом случае снижение технических требований облегчит задачу обеспечения защиты персональных данных. Отказ от шифрования был, наверное, вынужденным, но есть и другие вопросы, которые необходимо решить. Например, что такое идентификация субъекта персональных данных с технической точки зрения? будет ли расширяться список сертифицированных средств защиты? и т.п. Вопрос о технических требованиях тем актуальнее, чем разнороднее и обширнее существующая ИТ-инфраструктура организации. Привести в соответствие с требованиями к ИСПДн один сервер компании средних размеров, без сомнения, легче, чем биллинговую систему крупного мобильного оператора.
Под одну гребенку. Нужна ли единая отраслевая позиция?
Известная классификация информационных систем персональных данных (К1 – К4), обусловлена, по всей видимости, применением системного подхода к построению ИСПДн. Расширение классификации и учет специфики обрабатываемых данных позволили бы более гибко подойти к выполнению требований законодательства. Например, защиту в медицинских учреждениях, где ИСПДн автоматически попадают в самую высокую категорию (К1), правильнее обеспечивать централизованно, а не фрагментарно – в каждой амбулатории, фельдшерском пункте или поликлинике. Тогда защита персональных данных будет организована по тем же нормам, что и для крупной компании с разветвленной филиальной сетью.
Попытка предоставить операторам персональных данных возможность самостоятельно обеспечивать защиту без учета отраслевой специфики приведет к нерегламентируемому процессу и«лоскутной» автоматизации, проблемы которой всем хорошо известны. Избежать их можно, если на федеральном уровне создать единый центр обработки персональных данных, а всем заинтересованным учреждениям, например, тем же поликлиникам, диспансерам или департаменту здравоохранения регионального уровня предоставить защищенный доступ. Подобный опыт можно будет перенести и насферу связи: почта, фиксированная и мобильная связь и т.п. – это те объекты, которые логично рассматривать в масштабе всей страны, а архитектуру информационной системы утвердить на законодательном уровне. Иначе говоря, вопросы, имеющие отраслевую специфику, предлагается решать коллективно. И требования к защите персональных данных формулировать исходя из особенностей бизнес-процессов. Такой подход мы уже можем наблюдать на примере концепции защиты персональных данных в ИСПДн операторов связи, которая разрабатывается под эгидой Инфокоммуникационного союза при участии «большой тройки».
Предыдущая новость:
Новые возможности применения технологий анализа трафика
Следующая новость:
Деволюция коммуникаций