Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита персональных данных: опыт компании "Аэрофлот"

Защита персональных данных: опыт компании "Аэрофлот"

В рубрику "Персоны" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита персональных данных: опыт компании "Аэрофлот"

Сергей Сухарев
начальник отдела информационной безопасности
компании "Аэрофлот"

– Сейчас в компании "Аэрофлот" ведется работа по внедрению средств защиты информационной системы персональных данных (ИСПДн), и уже получены первые результаты. Поделитесь, пожалуйста, опытом.
– Вначале скажу несколько слов о самой компании. "Аэрофлот" на сегодняшний день выполняет регулярные рейсы в 48 стран. В этом году впервые за постсоветскую историю "Аэрофлот" перевезет более 10 млн пассажиров. ОАО "Аэрофлот" является членом Международной ассоциации воздушного транспорта (ИАТА).

В своем бизнесе компания делает ставку на развитие IT (в частности, реализует технологию электронного билета). Как следствие, в компании уделяется пристальное внимание вопросам безопасности информации под руководством заместителя генерального директора по информационным технологиям Кирилла Богданова.

Работу по защите персональных данных мы начали практически одновременно с выходом 152-ФЗ "О персональных данных". Однако наиболее активные действия по построению системы защиты ПДн мы стали предпринимать где-то в середине 2008 г., продолжили в 2009-м, а основную часть работ выполняем сейчас, в 2010 г. Несмотря на то что, по оценкам экспертов и аудиторов, в целом система защиты информации ОАО "Аэрофлот" оказывалась адекватной и достаточной, задача приведения информационных систем в соответствие с требованиями закона оказалась нетривиальной.

Как и большинство организаций, мы столкнулись с проблемой понимания и трактовки ряда положений 152-ФЗ и, естественно, с вопросами реализации требований закона на практике. К сожалению, компании – игроки рынка информационной безопасности оказались также не готовы предложить адекватные решения для таких крупных потребителей услуг ИБ, как "Аэрофлот". Оказалось, что каждое решение должно быть индивидуальным, базирующимся на той инфраструктуре, которая уже существует в компании.

Начали мы с того, что определились со стратегией развития направления защиты информации, и в частности защиты персональных данных. Мы сделали вывод, что существующая законодательная база в сфере воздушных перевозок дает хорошую, юридически значимую платформу, с помощью которой можно реализовать требования закона по защите персональных данных организационными мерами. Именно этой составляющей системы защиты информации мы придавали особое значение. Поэтому при выборе партнера мы прежде всего обращали внимание на предложения, которые основывались на реализации организационных мер по защите информации.

Информационная система персональных данных ОАО "Аэрофлот" относится к распределенным многопользовательским системам ПДн, часть элементов ИС находится за пределами территории Российской Федерации. При том, что технические решения по защите информации в компании развиты весьма неплохо, мы на практике убедились в верности сделанных нами выводов о существенном значении организационных мер.

После того как была подтверждена правильность выбранной стратегии, перед нами встал вопрос о том, как выполнить требования по оценке соответствия технических средств защиты информации и каким образом сертифицировать то или иное средство, использующееся в IT-инфраструктуре компании. Особую сложность вызвало то, что на рынке на тот момент практически отсутствовали сертифицированные технические средства, да и сейчас их в общем-то весьма немного. С вопросом о том, каким образом решить эту проблему, мы и обратились к выбранному нами подрядчику и рассчитываем, что его действия позволят нам успешно справиться с этой задачей.

Несмотря на то что мы делаем упор на организационные меры, конечно же, без технических средств мы также обойтись не можем. Основу нашей системы защиты составляют подсистемы антивирусной защиты, защиты от несанкционированного доступа, межсетевого экранирования, обнаружения вторжений, анализа защищенности. Сейчас наша задача – довести данные системы в части настройки, построения, конфигурирования до такого уровня, который позволил бы говорить о том, что наша система защиты соответствует рекомендациям регуляторов в области технической защиты информации.

– Как вы решили/планируете решать проблему трансграничной передачи данных?
– Проблема трансграничной передачи данных, на наш взгляд, решается после внимательного изучения законодательной базы, прежде всего Воздушного кодекса РФ, ФЗ "О транспортной безопасности", Правил перевозки пассажиров, багажа и грузов на воздушных линиях, рекомендациях ИАТА. Проанализировав эти документы, мы поняли, что "Аэрофлот" как перевозчик не обязан получать разрешение пассажира на обработку его персональных данных, а также на трансграничную передачу данных, поскольку последняя осуществляется в целях исполнения договора воздушной перевозки. Данный договор оформляется между пассажиром и компанией путем приобретения пассажиром билета. Билет и является тем самым договором, который позволяет транспортной компании выполнить свои обязательства перед пассажиром, для чего используется в том числе и трансграничная передача данных.

– Если у вас одна распределенная информационная система персональных данных, то она классифицируется как ИСПДн первого класса, а если речь идет о филиалах ИС, то их защищать по первому классу не надо. Как у вас решен этот вопрос?
– В этом вопросе нам помог приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", благодаря которому мы можем декомпозировать информационные системы с использованием межсетевых экранов. Действительно, по количеству обрабатываемых записей отдельные информационные системы подпадают под первый класс. Однако на клиентских рабочих местах, например, может обрабатываться всего одна запись, поэтому подводить эти системы под первый класс смысла нет. В процессе классификации информационных систем мы воспользовались данной нам 58-м приказом возможностью существенно сократить требования к ряду систем защиты и максимально использовать те технические средства и организационные решения, которые у нас есть.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2010

Приобрести этот номер или подписаться

Статьи про теме