Некоторые подходы к защите персональных данных

Алексей Филатенков, начальник отдела информационной безопасности "Открытые Технологии"

В ЗАЩИТЕ персональных данных сейчас наступил такой момент, когда сформирована более-менее работоспособная нормативная база, рынок наполнился необходимыми для защиты ПДн продуктами, а компании-интеграторы накопили нужный опыт работы. В связи с тем что приближается очередной срок, к которому информационные системы персональных данных должны быть приведены в соответствие с ФЗ, рассмотрим некоторые подходы к защите.

Актуальная ситуация

Вернемся на год назад. К тому моменту была выстроена система нормативных документов, регламентирующих защиту персональных данных, однако подобная система требований делала их практически невыполнимыми. И под давлением критики в нее были внесены некоторые изменения.

Вначале срок приведения ИСПДн в соответствие был перенесен на год. Это дало возможность переработать нормативные документы, а именно: принять Положение о методах и способах защиты информации в информационных системах персональных данных, заменившее два документа "четверокнижия".

Можно выделить следующие основные отличия новых требований:

• необязательность аттестации СЗПДн. Хотя смысл аттестовать свою ИСПДн все же есть - в этом случае ответственность за недочеты перекладывается на орган по сертификации; в основе методики выбора методов и способов защиты ПДн - частная модель угроз, что делает построение системы защиты более обоснованным;
• нет необходимости получать лицензию на ТЗКИ для защиты собственных ПДн. Но в ряде случаев получать лицензию все же придется. Например, это касается случаев, когда администрированием СЗПДн занимается одна компания в рамках холдинга и по сути дела оказывает услуги по защите ПДн другой компании;
• контроль отсутствия НДВ обязателен только для систем К1.

Неоднозначным выглядит вопрос использования только сертифицированных средств для защиты ИСПДн. С одной стороны, явных требований их использования нет. Но с другой – есть требование о том, что "средства защиты должны проходить в установленном порядке процедуру оценки соответствия", коих в соответствии с Федеральным законом "О техническом регулировании" есть три: обязательная сертификация, добровольная сертификация и декларация соответствия. То есть реально работает сейчас только одна процедура – обязательная сертификация.

Особенности проектирования СЗПДн

К выполнению требований по защите ПДн операторы подошли по-разному. Кто-то не делал ничего, занял выжидательную позицию в соответствии с русским "авось". Многие компании решили обеспечить выполнение требований своими силами. Был ли такой выбор оправдан? Давайте посмотрим.

В этом случае, скорее всего, придется взять на работу специалиста по защите информации с опытом выполнения требований регуляторов, самостоятельно спроектировать СЗПДн, разработать пакет документов и внедрить необходимые средства защиты. Иногда затраты могут оказаться весьма велики. Оптимальным путем, на наш взгляд, является выполнение таких работ специализированной организацией. И определенный резон в этом есть: методики защиты, содержащиеся в документах первой части статьи, мало чем отличались от способов защиты информации ограниченного распространения, а опыт такого рода работ у системных интеграторов есть. При этом возможно несколько подходов к решению данной проблемы:

1. Только консультационные услуги. Предлагается обследование соответствия требованиям, иногда даже с выдачей заключения, подписанного компанией, проводившей обследование. При этом практического продолжения такая работа не имеет, а деньги заказчика "осваиваются".
2. Классический подход. Предусматривает выполнение требований законодательства с использованием в основном наложенных средств защиты. При этом выполняется полный комплекс работ: предпроектное обследование, написание технического задания, частной модели угроз и выбор класса ИСПДн; технорабочее проектирование, внедрение средств защиты и организационных мер, аттестация (необязательно) и сопровождение системы.
3. Нестандартный подход. Иногда, если подойти к требованиям творчески, можно сэкономить время и деньги на защиту персональных данных. Прежде всего, тут можно задуматься о снижении класса ИСПДн, чего можно достигнуть, например, разбиением ее на части. Также возможна доработка самой информационной системы, встраивание в нее необходимых защитных механизмов. Также нужно упомянуть такой подход, как обезличивание информации. При этом в самой информационной системе информация хранится под некоторыми идентификаторами. А соответствие идентификаторов субъектам ПДн может быть вынесено на отдельный защищенный сервер. Ну и, наконец, можно отказаться от автоматизированной обработки персональных данных, иногда это оправдано.

Учитывая наш опыт, можно сказать, что выбор того или иного решения зависит от особенностей обработки персональных данных в конкретной ИСПДн и проводится на этапе проектирования СЗПДн. Правильность такого выбора подтверждена аттестатами соответствия, полученными на ИСПДн, защиту которой осуществляли специалисты нашей компании.