Крепость для персональных данных
Краткое пособие-самоучитель по построению систем защиты персональных данных для начинающих
Часть 2

Думаю, что читатель уже определился, как строить мост: вдоль или поперек; какую выбрать защиту: нормальную или "паленую"; чьими руками строить: своими или чужими. И теперь ждет конструктивных рекомендаций: что делать, зачем это надо и что будет, если этого не делать. Продолжаем разговор, начатый в первой части.

С чего начать

Не зная броду, не суйся в воду. Так говорили еще наши прадеды. Да и загородный дом лучше начать строить с инженерных изысканий: оценить, на сколько надо заглубить коммуникации, чтобы зимой не промерзли, какой выбрать фундамент, чтобы вешние воды не подмыли, какой наклон крыши выбрать, чтобы ее снегом не проломило. Этот принцип справедлив и в защите. Прежде чем ее строить, надо посмотреть, что уже сделано, какие угрозы имеются, какая информация обрабатывается.

То есть надо провести комплексное обследование (аудит) информационной системы, разработать модель угроз, проанализировать состав информационных ресурсов, выявить все персональные данные и провести их категорирование, выработать требования к системе защиты персональных данных (СЗПДн) и составить техническое задание (ТЗ) на ее проектирование. Очень важно правильно определить правоспособность оператора и границы информационной системы персональных данных (ИСПДн). В дальнейшем это позволит переложить часть забот по защите на контрагентов или третьих лиц, например на провайдеров. Здесь потребуется тщательное изучение    имеющихся    договоров с третьими лицами и субъектами и подготовка предложений по их корректировке.

Казалось бы, это предварительный, но очень важный этап, который задает настрой всему остальному. Главное – здесь формируется состав требований по технической защите, который надо будет потом реализовать. Можно ли обойтись без этого этапа? Можно, но тогда вам самим потребуется собрать все необходимые для защиты исходные данные: состав возможных угроз, категорию персональных данных и класс информационной системы, состав используемого оборудования и программного обеспечения, структуру информационных ресурсов. Получается, что вы не отказываетесь от этого этапа, а проходите его самостоятельно. Это все равно потребует отвлечения части ваших специалистов от основной деятельности, да еще и их обучение. Рационален ли такой подход – решать вам, но профессионалы это сделают и быстрее, и качественнее. Наверное, если сама информационная система небольшая (всего несколько компьютеров), то это оправдано, но для больших систем – нет.

Основные работы этапа:

• определение границ обследования ИСПДн и правоспособности оператора;
• обследование (аудит) ИСПДн и процесса обработки ПДн;
• построение модели угроз и модели нарушителя для ИСПДн;
• инвентаризация информационных ресурсов ПДн;
• категорирование ПДн и классификация ИСПДн;
• формирование технических требований по защите ПДн;
• разработка проекта ТЗ на создание СЗПДн.

Основные риски отказа от выполнения работ этапа:

• неправильное (необоснованное)   категорирование    ПДн, приводящее к завышению класса ИСПДн;
• завышение класса ИСПДн, приводящее к завышению требований по технической защите ПДн;
• увеличение расходов на создание СЗПДн по завышенным требованиям;
• отсутствие исходных данных для проектирования СЗПДн;
• возможность дублирования при проектировании функций защиты, уже реализованных в ИС;
• недостаточность или избыточность планируемых мер защиты для устранения реальных угроз ИСПДн;
• административные санкции при инспекциях регуляторов из-за отсутствия модели угроз;
• невозможность переноса части рисков бизнеса при обработке ПДн на контрагентов и третьих лиц.

Как проектировать защиту

Что нам стоит дом построить, нарисуем – будем жить. Но сначала все-таки надо его нарисовать. Здесь начинается техническое проектирование системы защиты персональных данных (СЗПДн) и разработка ее эксплуатационной документации (ЭД). Само собой разумеется, что проектирование будет проводиться по тому ТЗ, которое разработано на начальной стадии работ. В этом случае есть уверенность, что ничего не будет упущено, что создаваемая крепость будет надежна, а применяемые в ней элементы – сбалансированы. Лучше сначала все сделать на бумаге и проверить, все ли учтено, чем потом переделывать "по живому", если что-то пропустили. Проект нужен не только потому, что это один из документов, который требуется при проверках регуляторами, но и потому, что он позволяет эффективно использовать уже имеющиеся в информационной системе средства и механизмы защиты, в том числе и те, что заложены в операционной системе. Кроме того, сотрудники приходят и уходят, и если система защиты сделана без проекта и не имеет необходимой эксплуатационной документации, а сотрудник, который ее делал "на коленке" и настраивал, ушел, то в случае отказов и сбоев системы вряд ли кто-то сможет разобраться и помочь. А с проектом и документацией есть уверенность, что систему можно восстановить, да и затраты самого оператора на обучение новых сотрудников работе с системой защиты и на устранение их ошибочных действий резко снизятся.

Конечно же, грамотно провести проектирование и разработать необходимую эксплуатационную документацию собственными силами у оператора вряд ли получится. Здесь нужны специалисты-проектанты, которые могут сопоставить требования по безопасности информации с возможностями программного обеспечения и используемого оборудования. Правда, если информационная система небольшая (один-два компьютера), то, наверное, можно и без проекта обойтись, но описать, как устроена защита, и подготовить инструкции по ее эксплуатации все равно придется, иначе сотрудники не будут знать, что и как надо делать, а проверяющие зададут много вопросов, ответов на которые не будет.

Основные работы этапа:

• разработка технорабочего проекта СЗПДн;
• составление ведомости покупных изделий;
• разработка эксплуатационной документации на СЗПДн.

Основные риски отказа от выполнения работ этапа:

• сбои в работе СЗПДн и ИСПДн из-за ошибочных действий персонала в ходе эксплуатации;
• излишние траты на приобретение средств защиты, которые не нужны;
• излишние траты на обучение нового персонала и конечных пользователей работе с СЗПДн;
• невозможность устранения неполадок в ИСПДн из-за отсутствия ее описания;
• невозможность контроля правильной работы СЗПДн и ее настроек;
• проблемы при проведении аттестации ИСПДн из-за отсутствия описания СЗПДн и оборудования;
• административные санкции при инспекциях регуляторов из-за отсутствия проекта СЗПДн;
• административные санкции при технической проверке механизмов безопасности регуляторами.

Как организовать обработку

Любой, даже самый сложный механизм без человека – простая железка! Надо не только правильно защитить персональные данные, но и грамотно организовать сам процесс их обработки. Поэтому параллельно с проектированием СЗПДн надо разрабатывать и комплект организационных документов, фиксирующих сам процесс обработки персональных данных и связанные с этим процедуры. Это различные положения, регламенты, инструкции, журналы, реестры, планы, проекты нормативных документов и локальных актов, соглашения о конфиденциальности, уточнения в договоры с субъектами персональных данных и третьими лицами, уведомления в надзорные органы и многое другое. Кроме того, не надо забывать и о том, что даже неавтоматизированная обработка персональных данных требует применения и выполнения определенных правил. Здесь больше работы аналитикам и юристам, чем техническим специалистам, но и тем и другим работы хватит. Состав комплекта таких документов непостоянен и во многом зависит от направленности вашей основной деятельности.

Многие необходимые документы внешние консультанты сами, без помощи вашего персонала, разработать не смогут. Для этого часто требуется хорошо знать и внутреннюю структуру оператора, и порядок реализации его бизнес-процессов, и сложившиеся традиции взаимоотношений как внутри компании, так и с внешними организациями. Конечно, если постараться, можно все это изучить, и тогда внешний консультант сможет все это сделать, но времени на это потребуется много, а стоит такой специалист, как правило, дорого,   поэтому   придется  нести неоправданные расходы. Проще все-таки эти работы делать консультанту в симбиозе с вашим персоналом. Консультант знает, как лучше подготовить структуру, а также примерное содержание документов, а ваш сотрудник – как это все ввязать в существующую структуру организации.

Основные работы этапа:

• разработка проектов локальных актов, регламентирующих процесс обработки ПДн;
• разработка проектов основных организационно-распорядительных документов;
• проведение консультаций по доработке договоров с третьими лицами и субъектами ПДн;
• проведение консультаций по урегулированию правовых вопросов обработки ПДн;
• оформление проекта уведомления об обработке ПДн для Роскомнадзора.

Основные риски отказа от выполнения работ этапа:

• нарушения при обработке ПДн из-за неправильных действий персонала;
• невозможность наказания виновных в нарушении обработки ПДн из-за отсутствия тветственности;
• запросы на предоставление информации со стороны субъектов из-за нарушений порядка бработки ПДн;
• административные санкции при инспекциях регуляторов из-за отсутствия необходимых документов;
• административные санкции по жалобам субъектов за нарушение порядка обработки ПДн;
• судебные иски субъектов о возмещении морального ущерба из-за нарушений порядка обработки ПДн.

Чем закончить?

Мы теперь знаем, что и как защищать, какую защиту строить, и даже имеем проект. Но мало иметь идею, ее надо еще воплотить, то есть собственно построить саму СЗПДн. Теперь надо организовать поставку того оборудования и программного обеспечения, которое выбрали в техническом проекте, смонтировать все это в единое целое с вашей информационной системой и грамотно настроить. Для этого прежде всего нужны руки и квалификация. Безусловно, все эти работы можно проделать и силами вашего персонала, особенно если защищаемая ИСПДн не большая. Но это опять же значит, что потребуется отвлечь часть персонала от выполнения тех обязанностей, которые они должны выполнять для обеспечения нормальной работы вашего бизнеса. Конечно, такой подход тоже имеет место, но все же быстрее и качественнее это сделают профессионалы, хотя это и непринципиально.
А вот после того, как все смонтировано и настроено, без вашего персонала точно не обойтись. Надо тщательно проверить, как это работает, научиться правильно эксплуатировать СЗПДн и устранять ошибки и неисправности. Поэтому на данном этапе нужен тесный симбиоз специалистов-экспертов и ваших сотрудников.

При обеспечении информационной безопасности мы сталкиваемся с одной особенностью. Как уже говорилось выше, пощупать руками эту защиту, как, впрочем, и саму информацию, весьма затруднительно. Она как бы виртуальна. Поэтому, даже если в проекте все разрисовано красиво и правильно, при оценке ее реальной работы мы вынуждены верить на слово тем специалистам, которые эту систему монтировали и настраивали. Встает вопрос: есть ли способ объективно оценить правильность работы системы защиты? Есть. Это аттестация информационной системы. В этом случае специальные эксперты проверяют каждый заявленный механизм защиты и подтверждают их правильную работу специальным документом – аттестатом. Но, может быть, не надо тратить деньги на такую проверку? Конечно, в некоторых случаях можно обойтись и без такой аттестации. Но аттестат – это своего рода страховой полис для вас, способ разделения ответственности за возможные нарушения и перенос части рисков на плечи аттестующей организации. Так что затраты на аттестацию того стоят. Кроме того, в некоторых случаях (например, для систем класса К1) такая процедура является обязательной, и наличие аттестата напрямую связано в этом случае с возможностью делать свой основной бизнес.

Основные работы этапа:

• поставка средств защиты информации и необходимого программного обеспечения СЗПДн;
• монтаж, настройка и тестирование работоспособности оборудования СЗПДн;
• обучение пользователей, опытная эксплуатация СЗПДн и устранение выявленных замечаний;
• приемосдаточные испытания СЗПДн;
• аттестация ИСПДн по требованиям безопасности ПДн.

Основные риски отказа от выполнения работ этапа:

• нарушение защиты ПДн из-за неправильного монтажа и настройки оборудования СЗПДн;
• нарушение режима защиты при обработке ПДн из-за неправильных действий персонала;
• несанкционированный доступ или уничтожение ПДн из-за неправильной работы СЗПДн;
• блокирование работы ИСПДн по требованию регуляторов из-за нарушений режима обработки ПДн;
• штрафные санкции и конфискация средств защиты за нарушение режима защиты ПДн;
• административные санкции при инспекциях регуляторов из-за отсутствия аттестата соответствия;
• административные санкции по жалобам субъектов за нарушение режима защиты ПДн;
• административное приостановление деятельности оператора из-за нарушений режима обработки ПДн;
• судебные иски субъектов о возмещении морального ущерба из-за нарушений режима защиты ПДн;
• уголовная ответственность за нарушение неприкосновенности частной жизни.

Работы этого этапа завершают цикл создания надежной системы защиты персональных данных. В результате вы получаете систему "под ключ" со всеми необходимыми сопроводительными документами и верительными грамотами. Вы практически готовы к обработке персональных данных в соответствии с требованиями закона и способны уверенно пройти не только любую проверку регуляторов, но и минимизировать свои риски.

Где экономить деньги?

Начиная разговор о том, как строить систему защиты персональных данных, хотелось показать, что каждый предложенный шаг на этом пути выверен до мелочей и не содержит ненужных работ, приводящих к излишним затратам. Автор также пытался показать те работы, которые могут быть выполнены самим оператором, тем самым сократив расходы на привлечение внешних специалистов, но не на создание самой системы защиты – своих сотрудников тоже надо кормить. Если попытаться исключить хотя бы некоторые из перечисленных работ – стройной, надежной и сбалансированной системы защиты не получится. Правда, этот состав работ справедлив при построении защиты с нуля. На самом же деле "чистых" информационных систем не бывает, и в реальности каждый оператор, как рачительный хозяин, уже раньше защищал свои коммерческие тайны и тем самым уже что-то сделал и для защиты персональных данных. Просто надо правильно использовать то, что уже есть. Вот тут-то и кроется корень проблемы. Экономить надо не за счет сокращения состава работ, а за счет использования ранее сделанных наработок по защите информации. Довольно часто в силу тех или иных обстоятельств оператор уже раньше проводил обследование своих информационных систем. Эти материалы можно использовать и при анализе защиты персональных данных, проводя не полное обследование, а экспресс-аудит, тем самым сократив расходы на реализацию предварительного этапа. Может быть, у него есть даже какие-то требования по информационной безопасности или он уже аттестовал свою систему – это тоже можно положить в копилку экономии.

Еще один источник экономии – правильные классификация ИСПДн и оценка угроз. Лучше на предварительном этапе потратиться на выявление актуальных угроз и таким образом убрать лишние, не нужные для данного случая требования. А правильный выбор класса ИСПДн может существенно снизить требования по защите и сократить расходы. Но сделать это таким способом могут только профессионалы, которые хорошо ориентируются в требованиях закона и нормативных документов.