Хотя в самом конце прошлого 2009г. срок вступления в силу всех статей закона «О персональных данных» был отодвинут на год, проверки уже начались. Инструментов давления у регуляторов оказалось меньше, чем ожидалось, но все же меры в случае выявления нарушений принимаются. Размер штрафов невелик, но при этом также выдается предписание на устранение обнаруженных недостатков, что автоматически означает еще одну проверку. Есть и примеры, когда топ‑менеджеры теряли свои должности за злостное неисполнение требований закона № 152‑ФЗ. Все это напомнило многим руководителям о том, что требования закона № 152‑ФЗ надо выполнять. Так что все больше и больше предприятий, учреждений и организаций озаботилось вопросом приведения своих систем в соответствие с требованиями данного закона.
Отечественные компании не слишком охотно делятся информацией о реализованных проектах в области информационной безопасности, но кое‑какая информация о том, как в той или иной организации подошли к защите персональных данных, все же начинает появляться. Хотя, конечно, открытые проекты составляют ничтожную долю от общего числа реализованных. Ведь только у двух крупнейших интеграторов — LETA IT и «Инфосистемы Джет» — счет идет по крайней мере на многие десятки. А ими далеко не исчерпывается список компаний, в багаже которых есть такие проекты. Можно привести и примеры, когда меры по защите персональных данных успешно внедрялись своими силами.
Festina lente
Латинский афоризм, вынесенный в подзаголовок, кратко и адекватно отвечает на вопрос, а нужно ли спешить с реализацией мер, направленных на защиту персональных данных. С одной стороны, если начать слишком поздно, можно не успеть к дню «Ч», который вполне может наступить уже сразу после ближайших новогодних праздников.
Не исключено, что и раньше, если конкуренты или «обиженные» сотрудники, особенно бывшие, предпримут определенные меры и инициируют проведение внеплановой проверки по жалобе, в том числе и на нарушение норм закона № 152‑ФЗ. Надо отметить, что при этом часто допускаются и различные провокации. Например, приходилось не раз и не два слышать об отправке специальным образом составленных заявок, содержащих избыточные персональные данные высокой категории. Причем жалобы шли как в том случае, если заявка исполнялась, так и тогда, когда не исполнялась. Просто шли эти жалобы в разные инстанции. Вполне возможно, что проверка будет проведена по факту обнаружения утечки информации, что также, увы, происходит не так редко, как можно себе представить. И часто такой факт обнаруживается при расследовании преступлений, в том числе и резонансных — например, фактов мошенничества, связанного с распространением шарлатанских средств под видом лекарств.
При этом следует иметь в виду, что работы по приведению систем в соответствие с требованиями закона № 152‑ФЗ занимают довольно длительное время. До выхода приказа № 58 ФСТЭК эти сроки оценивались в восемь — девять месяцев. Есть единичный пример с НПФ «Благосостояние», когда работы заняли чуть больше шести месяцев. После выхода новых документов ФСТЭК, где требования по защите информационных систем были существенно смягчены, эти сроки сократятся, но не слишком значительно. Ведь во всех проектах, связанных с обеспечением информационной безопасности, очень велика организационная составляющая, и защита персональных данных не является исключением. Основную часть работ составляет подготовка всевозможной документации. Иногда к этому сводится вообще весь проект, при этом никаких дополнительных систем защиты не внедряется. И, надо сказать, таких проектов довольно много. Даже более того: по мнению некоторых участников рынка, именно они сейчас и преобладают. Этой точки зрения придерживается, к примеру, Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch.
С другой стороны, излишняя спешка также чревата целым рядом издержек. Нормативные документы постоянно меняются, причем, как уже отмечалось выше, часто в сторону смягчения требований. А значит, обеспечить необходимый уровень защиты можно будет с существенно меньшим уровнем затрат.
Но в любом случае необходимо тщательно оценивать риски. Особенно если речь идет о компаниях, сфера деятельности которых зарегулирована: телекоммуникации, финансы, оборонный заказ и многие другие. Тут возможность издержки, связанные с неисполнением законов, существенно выше.
Можно ли все сделать самим?
Как уже было сказано, имеются примеры, когда проекты по защите персональных данных были реализованы своими силами. Однако речь идет об очень больших компаниях, в частности, о мобильных операторах «большой тройки» или крупнейших банках. Здесь защита информации всегда была на довольно высоком уровне, имеются в достаточном количестве нужные специалисты соответствующей квалификации, да и с материальными ресурсами нет больших проблем. А организационно-методическая документация по защите персональных данных чрезмерно сложна, причем даже для специалистов в области информационной безопасности с многолетним стажем. Тем, кто занимается только ИТ или исключительно общей безопасностью, эти документы, наверное, просто будут практически непонятны. Кроме того, для банковской сферы и операторов мобильной связи уже существуют свои отраслевые стандарты. Так, последняя версия стандарта информационной безопасности Центробанка уже содержит отдельный раздел, посвященный защите персональных данных. У сотовых компаний аналогичный стандарт находится в очень высокой степени готовности, и им уже реально пользуются. Для других отраслей аналогичных документов пока не существует.
Так что лучше положиться на профессионалов. «Для этого надо обращаться в специализированные организации, имеющие необходимый уровень компетенции. Попытки самим изобретать велосипед ни к чему хорошему не приведут» — такова, например, точка зрения председателя Комитета информационных технологий и телекоммуникаций Волгоградской области Андрея Паршина, высказанная им в интервью для Intelligent Enterprise.
Но и для крупных компаний есть целый ряд рисков, например связанных с использованием сертифицированных криптосредств защиты информации (СКЗИ). К тому же с этим вопросом для территориально распределенных компаний до сих пор нет полной ясности. Оформлять всю разрешительную документацию на их применение — дело длительное и хлопотное. Тут в качестве возможного выхода многие рекомендуют воспользоваться услугами аутсоринга тех операторов, чьи каналы уже оснащены СКЗИ.
Формальное соответствие или реальная защищенность?
В принципе существует четыре возможных сценария действий (или бездействия):
- не заявлять о себе как об операторе персональных данных и не делать ничего;
- провести дешевый, быстрый проект, не дающий реальной защиты, но тем не менее формально приводящий информационные системы в соответствие с требованиями закона;
- провести аудит уже выстроенной системы защиты информации на соответствие требованиям закона № 152‑ФЗ;
- провести полный комплекс мер по защите информационных систем.
Первый вариант, на языке математиков, — несколько вырожденный случай. Хотя в определенных условиях такой подход может быть оправдан. По крайней мере, если речь идет о частном предпринимателе, фермерском хозяйстве или совсем небольшом предприятии, где автоматизация или отсутствует вообще, или находится на низком уровне, и при этом персональные данные третьих лиц если и используются, то только на бумажных носителях. На эти категории хозяйствующих субъектов требования закона № 152‑ФЗ не распространяются. Однако для средних и крупных предприятий идти по такому пути может быть опасно. Особенно если при этом всплывет факт нарушения требований закона № 152‑ФЗ, особенно грубых. А это обязательно случится, поскольку обращение к регуляторам стало довольно «популярным» способом создания проблем для конкурентов или «обидчиков».
Идти по второму пути также не рекомендуют. Так, например, по оценке Дмитрия Устюжанина, руководителя департамента информационной безопасности компании «Вымпелком», уже через год, в лучшем случае два, появятся претензии у регуляторов. Или, что хуже, произойдет инцидент, связанный с потерей или кражей персональных данных. А значит, все равно придется создавать нечто, дающее реальную, а не «бумажную» защиту. Есть лишь два случая, когда такой путь может быть оправданным: жесткий цейтнот или крайний недостаток финансирования. И то, даже в среднесрочной перспективе, затраты времени и финансов все равно будут выше, чем в случае, если все сделано правильно.
По третьему пути имеет смысл идти в том случае, если выстроена полноценная работающая система информационной безопасности. Например, сертифицированная согласно международному стандарту ISO 27001:2005. Или тогда, когда внедрена система защиты от утечек информации (DLP). Или просто есть уверенность, что отстроенная система информационной безопасности полностью соответствует требованиям закона. Уже есть тому успешные примеры, в частности, проект по аудиту систем Московского кредитного банка, который провела компания LETA IT-company. Хотя таких проектов существенно больше, и, как уже было выше сказано, по мнению некоторых специалистов, именно такие проекты даже составляют основную массу из числа тех, что были реализованы.
Строить «честную» систему защиты персональных данных, может быть, придется довольно долго, и это потребует довольно значительных материальных затрат. Однако двигаться в этом направлении все равно надо, и чем раньше это будет осознано, тем лучше. Хотя бы потому, что на пути наименьшего сопротивления ресурсы по большому счету будут затрачены впустую, и реально работающую систему защиты персональных данных все равно придется выстраивать.
Тем более что «честный» проект по созданию системы защиты персональных данных может быть использован в качестве фундамента для внедрения других решений в области информационной безопасности. К примеру, при внедрении требований стандарта PCI DSS пересечение с требованиями по защите персональных данных составляет, по разным оценкам, от двух третей до трех четвертей контролей. Крайний срок приведения систем в соответствие с этим стандартом наступает даже раньше и точно не будет передвинут. Значит, работы по упомянутым проектам вполне можно вести параллельно. И так, насколько нам известно, делают очень многие банки, процессинговые компании и предприятия розничной торговли. Даже при сертификации на соответствие ISO 27001:2005 пересечение контролей составляет как минимум 50%, что тоже не так уж и мало.
Однако даже если все делать так, как надо, есть риск снизить реальный уровень защиты. Это может случиться, если пойти на поводу у регуляторов или некоторых интеграторов и злоупотребить использованием сертифицированных средств защиты. Их функциональность, удобство в использовании и производительность может быть недостаточной, что, естественно, не лучшим образом скажется на предоставлении ИТ‑сервисов и может привести к ослаблению реального уровня защиты. Особенно это касается таких ключевых систем, как АБС, биллинг, ERP, CRM.