Защита ПДн: может ли комплексный подход гарантировать качество?

Джабраил Матиев 
Руководитель направления защиты персональных данных по коммерческой части компании ReignVox

К окончанию текущего года большинство российских компаний обязаны решить задачу защиты ПДн на уровне, определенном законом «О персональных данных» (ФЗ-152). Позиция государственных властей в этом отношении очевидна и однозначна: разработана необходимая нормативная база, определены полномочия контролирующих органов, описана ответственность операторов в условиях не соблюдения требований законодательства по защите ПДн.

Учитывая, что среднестатистический проект по защите персональных данных длится 4-6 месяцев, то, при желании уложиться в обозначенные Законом временные рамки, начинать соответствующие работы необходимо немедленно. В условиях жесткой экономии времени, особенную актуальность приобретает вопрос комплексного подхода к разработке проекта по защите ПДн «под ключ». Такой своеобразный набор услуг по защите ПДн разрабатывается на основании четкого понимания значимости его составляющих, их необходимости и срочности.

Защита ПДн в формате «под ключ»

Специалисты компании ReignVox полагают, что в данном случае можно говорить о некоем штатном пакете услуг по защите ПДн даже при условии индивидуализированного подхода к каждому проекту. По мнению руководителя направления защиты персональных данных компании ReignVox Джабраила Матиева, «такой пакет оптимален с точки зрения удобства его выполнения, предотвращения возможных рисков, а также экономии времени (в среднем) и финансовых затрат». Но в то же время, возможная мысль о том, что использование такого комплексного подхода исключает учет специфики каждой конкретной компании-заказчика, в корне не верна. «Каждый проект в любом случае индивидуализируется на этапе внедрения, так как непосредственно набор технических средств для каждого заказчика определяется в строгом соответствии с существующими потребностями и необходимостями» - продолжает Д. Матиев.

5 краеугольных камней любого бастиона

В классическом своем варианте данный набор услуг объединяет 5 позиций, которые представляют собой основные этапы проекта по защите ПДн:

• Предпроектное обследование, в рамках которого проводится аудит имеющейся нормативной базы, анализ информационных потоков ПДн и их уязвимостей, инвентаризация ИСПДн и выносятся предложения по оптимизации имеющихся структурных решений и т.п. Именно этот этап позволяет выявить и описать те требования, которые будут предъявляться к ИС.
• Разработка нормативной базы по защите ПДн может быть проведена только на основании предварительно выполненного аудита. В стандартный пакет нормативных документов по защите ПДн входят положения об обработке и защите ПДн, регламенты различных взаимодействий при обработке и передаче ПДн, должностные инструкции для персонала в части обеспечения безопасности ПДн и инструкции по работе с ПДн, акты классификации ИСПДн, перечни ПДн и лиц, допущенных к их обработке, техническая и эксплуатационная документация (в том числе и на средства криптографической защиты) и др.
• Проектирование системы защиты ПДн, включающее в себя выбор способов, мер и классов средств защиты ПДн, разработку технического задания на разработку СЗПДн, а также разработку конкретных мероприятий по защите информации. По окончании данного этапа компания уже вполне сможет пройти проверку одного из регуляторов.
• Внедрение СЗПДн сводится к вводу в действие систем и настройке существующих средств защиты. Реализация данного этапа обычно проводится оператором ПДн самостоятельно, при необходимости специалистами интегратора оказывается консультативная поддержка процесса.
• Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

«Такая конфигурация составляющих пакета услуг по защите ПДн является наиболее сбалансированной. Без каких-либо потерь в качестве из него можно исключить лишь последний этап – оценку соответствия, но и в этом случае она должна быть проведена самостоятельно», - говорит Д. Матиев. – «Более того, именно использование пакета услуг позволяет подойти комплексно к проблеме защиты ПДн и позволяет достичь некоей экономии в бюджете за счет исключения необходимости дублировать те или иные исследовательские работы».

Общая усредненная стоимость такого комплексного проекта для компании с одним центральным офисом и пятью ИС, в соответствии с оценками экспертов компании ReignVox, составляет порядка 1,5 млн. руб. (не включая внедрение и закупку средств технической защиты). Распределение этой суммы по конкретным составляющим проекта выглядит следующим образом: порядка двух третей общей суммы затрат приходится на предпроектное обследование и проектирование, оставшаяся треть расходов распределяется между разработкой нормативной базы и проведением оценки соответствия.

«Человеческий фактор» как составляющая успеха

По мнению экспертов компании ReignVox, одной из гарантий успешного протекания всех плановых этапов комплексного проекта является правильное формирование рабочей группы.

«В сформированную рабочую группу необходимо включить представителей всех структур компании, которые так или иначе имеют дело с обработкой персональных данных», - говорит Д. Матиев. – «Наиболее рациональным, исходя из имеющегося у нас опыта работы, мы считаем такой состав рабочей группы, который охватит представителей различных отделов компании-Оператора. Таких, например, как отдел информационной безопасности и защиты информации, департамент программного и технического обеспечения, департамент персонала, департамент бухгалтерского учета и юридический отдел и т.п. Со стороны компании-Исполнителя проекта состав и численность рабочей группы может варьироваться, в зависимости от сложности проектных задач. Но типовой вариант рабочей группы включает, помимо непосредственно руководителя проекта, аналитика по информационной безопасности, специалиста по информационной безопасности и юриста».

О компании

ReignVox – Российская компания, специализирующаяся на инновационных проектах и разработках в области ИТ и обеспечении их информационной безопасности. Цель создания компании - оказание услуг по обеспечению защиты ПДн в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.

ReignVox - член Межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированный член «Инфокоммуникационного союза» (Infocommunication Union), а также член Ассоциации Региональных Банков. Компания обладает необходимыми лицензиями ФСТЭК России и ФСБ РФ для проведения комплекса работ по технической защите информации, в том числе с применением средств криптографической защиты.

Наиболее значимыми, из успешно реализованных компанией проектов по защите ПДн, являются отраслевой проект по защите персональных данных операторов сотовой связи, проекты для телекоммуникационных компаний (ОАО «ВымпелКом», ОАО «МегаФон»), крупных коммерческих банков (ОАО «НОТА-Банк», Внешэкономбанк, ЗАО АКБ «ЦентроКредит» и др.), Научно-исследовательского института ревматологии РАМН, компании Zepter International, группы компаний HeadHunter и др.