Защита персональных данных предприятиями малого и среднего бизнеса

Максим Захаренко
руководитель направления Parking.ru
компании ООО "Гарант-Парк-Интернет"

1 января 2011 г. наступает час "х", когда абсолютно все системы, обрабатывающие персональные данные, должны быть защищены в соответствии с законодательством. Уже сегодня всем понятно, что этого не произойдет.

Причины торможения

Федеральный закон № 152 "О персональных данных" был принят еще в 2006 г., однако полное введение его в действие постоянно откладывалось по причине неготовности информационных систем, обрабатывающих персональные данные (ИСПДн). Особенно большая неготовность наблюдается в компаниях малого и среднего бизнеса, которые в лучшем случае слышали о необходимости проведения каких-то мероприятий, но разобрались в вопросе и провели их единицы. Между тем закон затрагивает практически все компании и практически все необходимые в бизнесе системы (CRM, ERP, включая 1С и т.д.).

Причин такой ситуации несколько. Основная из них – это несоответствие по-прежнему очень жестких требований, предусмотренных законом и подзаконными актами. Предприятия малого и среднего бизнеса не могут самостоятельно разобраться с "непростыми", но обязательными к исполнению методиками ФСТЭК, и вынуждены обращаться к консультантам. Работы по защите информации могут проводить только компании-лицензиаты ФСТЭК. Этих компаний, во-первых, не так много, а во-вторых, они всегда были ориентированы на крупный бизнес и государственные организации. В условиях ажиотажа, когда основные крупные клиенты требуют срочного выполнения мероприятий по защите и записываются в очередь "на май", эти компании просто физически не в состоянии обеспечить консультации по защите миллиону мелких клиентов. Не последнюю роль играет стоимость услуг компаний-лицензиатов. Они привыкли к миллионным проектам, стоимость которых обусловлена в первую очередь высокой трудоемкостью выполнения мероприятий. В крупном бизнесе и госсекторе это все логично и оправдано, но что делать компаниям малого и среднего бизнеса?

Пути выхода из тупика

Основной путь выхода из данной ситуации – упрощение требований и выработка простых и понятных методик защиты ИСПДн для небольших организаций, изменение системы классификации ИСПДн и, возможно, вывод типовых массовых ИСПДн с небольшим количеством ПДн из-под действия закона. Но это пока фантазии. Есть ли у предприятия малого бизнеса вариант не нарушать закон?

Оказывается, есть. Второй путь – передать ИСПДн на аутсорсинг.

Например, обеспечение физической безопасности в стандартном офисе или практически полное отсутствие на предприятиях малого бизнеса резервного копирования как системы. Техническая защита каждой из размещенных ИСПДн выполняется провайдером по типовому сценарию. Например, внедрение "правильного" межсетевого экрана и возможность защиты с его помощью десятков, а то и сотен ИСПДн. Клиенту с технической точки зрения остается только обеспечить защиту клиентских рабочих мест, что уже на порядок проще комплексных мер.

Но этого недостаточно. Существенной частью работ является проведение административных изменений, таких как создание комиссии и назначение ответственных, составление модели угроз, разработка концепции и политики информационной безопасности, определение режимов обработки ПДн, инструктирование персонала и т.п. Все эти административные  мероприятия также являются фактически типовыми для клиентов. Вполне можно создать типовой набор таких документов и методик, требующих лишь незначительных изменений для каждого из клиентов провайдера.

Таким образом, за счет унификации и разделяемого режима использования средств защиты достигается снижение сроков и стоимости выполнения мероприятий по защите ПДн до приемлемого для любого бизнеса уровня. Предприятиям остается выполнить только то, что не требует непосредственного углубления в детали технической реализации.

Может возникнуть вопрос, что такой удаленный режим неудобен в повседневной работе предприятий, но это не более чем предубеждение. При современном развитии ШПД и наличии множества вариантов подключения к Интернету вопрос качества, скорости и стоимости каналов уже не является лимитирующим. Наоборот, возможность избавиться от проблем поддержки собственной IT-инфраструктуры как дает существенный экономический эффект, так и высвобождает силы и время на решение основных бизнес-задач предприятия.

Таким образом, как это ни парадоксально, закон дает положительный импульс к развитию многих современных аутсорсинговых направлений IT, таких как SaaS, облачные вычисления и т.д.

Похоже, полное введение в действие закона может отложиться еще на год. По крайней мере в момент написания статьи соответствующий законопроект уже внесен на рассмотрение в Госдуму.

В общем, это еще далеко не конец истории. Запасаемся попкорном и продолжаем следить за развитием событий в захватывающем сериале "Приключения персональных данных в России".