Byte/RE ИТ-издание

Безопасность персональных данных: что можно успеть до января

Екатерина Яблокова, заместитель директора по развитию бизнеса Stonesoft в России, СНГ и странах Балтии

На дворе середина октября, многих одолевает осенняя хандра, но только не операторов персональных данных… Сразу после того, как была опубликована информации о получении решениями StoneGate сертификатов ФСТЭК России, позволяющих применять их для защиты информационных систем персональных данных до 1 класса включительно, нам посыпались запросы от организаций, которым срочно нужно «коробочное» решение для защиты персональных данных. Оно и понятно: все хотят успеть до 1 января 2011 г. — это формальный срок, к которому все информационные системы персональных данных, созданные до вступления в силу Федерального закона «О персональных данных», надо привести в соответствие с ним.

А возможно ли вообще спроектировать и внедрить решение для защиты персональных данных за оставшихся два с половиной месяца?

В первую очередь заказчику надо понять, что никакого «волшебного» средства для защиты информационных систем персональных данных, которое полностью сняло бы проблему, не существует. Конечно, на рынке есть пара софтверных решений, которые позиционируются как «коробочные» и, по заявлению разработчиков, полностью решают проблему защиты информационной системы персональных данных, состоящей из одного-двух одиночных компьютеров с ОС Windows. Оставим за скобками качество предоставляемой документации и самого решения в целом; если регулятор при проверке удовлетворится этим, вам повезло.

Если же мы говорим о предприятии или организации среднего размера, например, небольшой страховой компании, то указанный способ не пройдет в принципе. Чтобы предлагать какое-то решение для таких организаций, надо сначала четко уяснить специфику самой информационной системы персональных данных: распределенная обработка, подключение к Интернету, наличие удаленного доступа сотрудников и т.п. Решение для защиты в каждом конкретном случае будет индивидуальным, даже если использовать типовые компоненты.

Во-вторых, надо понимать, что приведение в соответствие требованиям — это внедрение целого комплекса организационных и программно-технических мер и средств, поэтому просто установка даже «самого сертифицированного» программного или программно-аппаратного комплекса не решит проблему полностью. Потребуется разработка модели угроз, проектной и эксплуатационной документации на систему защиты персональных данных, внесение изменений в организационно-распорядительные документы, касающиеся соблюдения общего режима защиты информации в организации, и т.п.

В-третьих, нельзя забывать о головной боли для большинства организаций: кто будет обслуживать все это хозяйство. Ведь не секрет, что многие операторы персональных данных до введения закона не задумывались о вопросах информационной безопасности. Поставить средства защиты мало, их надо настраивать, обновлять, разбираться, что за сообщения они посылают, в конце концов… Даже если средство защиты закупалось только для успешного прохождения проверки, все равно надо будет продемонстрировать его работу, а для этого понадобится квалифицированный специалист. При эксплуатации на первый план выходят вопросы управляемости и надежности применяемых средств защиты, их интегрируемости в существующую инфраструктуру оператора без значительного снижения производительности информационной системы персональных данных.

Кроме того, нельзя забывать и об адекватности принимаемых мер защиты. Возможно, предлагаемый вам быстрый способ добиться соответствия — не самый рациональный. Кроме того, рассматривая различные способы построения системы защиты, целесообразнее ориентироваться не на стоимость первоначальной закупки, а рассматривать совокупную стоимость владения системой защиты в целом, включая связанные с этим телекоммуникационные расходы, операционные издержки, расходы на техническую поддержку и эксплуатацию.

Только при таком подходе можно будет получить систему¸ не только формально соответствующую требованиям нормативных документов, но и реально работающую, что в конечном счете и было целью принятия ФЗ «О персональных данных».

Перейти на главную страницу темы «Информационная безопасность»

Перейти на главную страницу проекта «Тенденции и тренды рынка корпоративного ПО»

Вам также могут понравиться