Такой подход к реализации проектов по защите персональных данных сегодня не редкость. И скажу откровенно, что он имеет право на существование, особенно в нынешних кризисных условиях. Однако опыт показывает, что формальное соответствие требованиям Федерального закона № 152‑ФЗ «О персональных данных» позволяет добиться только временного результата и «закрыться» лишь от претензий регуляторов. Мы предлагаем посмотреть в будущее и оценить подход, основанный на реалистичном анализе рисков, а не на опасении, что накажет регулятор. Как правильно говорят, в хорошем вопросе уже есть половина ответа. «Некачественный в смысле реальной защищенности» — и есть самый главный аргумент в пользу того, что быстро и дешево не значит правильно. Зачем тратить средства на «частокол» из множества разношерстных средств защиты, не объединенных ничем, кроме определения «сертифицированный»? Причем не факт, что эти средства превосходят по функциональности уже имеющиеся в распоряжении оператора ПДн средства защиты.
К тому же быстрым и дешевым проект по защите персональных данных все равно не будет. Это заведомо ложное представление. Практика показала, что бюджет таких проектов «под ключ» для средней компании составляет несколько миллионов рублей, а его реализация затягивается на полгода и более.
Так, может быть, потратить эти деньги с умом и заложить в проекте на ЗПД основу для дальнейшей реализации уже запланированных, но не осуществленных в кризис планов по построению подсистемы безопасности?! Полезно проектировать систему защиты персональных данных с учетом уже имеющихся средств защиты, объединяя их в единый комплекс управления инцидентами ИБ. Опыт компании «Инфосистемы Джет» показывает, что важно уделять большое внимание применению систем класса Security Operational Center (производителей Symantec, Cisco, Arcsight, RSA) и Database Activity Monitoring (производителей IBM, Imperva, NetForensics). Использование таких систем предусмотрено требованиями Федерального закона № 152‑ФЗ для реализации подсистемы мониторинга и учета. В то же время это значительно повышает реальную защищенность конфиденциальной информации, оперативность обнаружения и устранения угроз ИБ.
Второй и, пожалуй, главный аргумент против формального подхода: нельзя рассматривать защиту ПДн в отрыве от общих задач по ИБ, которые как раз и предусматривают обеспечение реальной защищенности, и не только персональных данных. Как часто это бывает, решая одну задачу, мы совершенно забываем про остальные. В последнее время создается впечатление, что, кроме ПДн, не существует другой информации, критичной с точки зрения защиты. А как же коммерческая, банковская и прочие тайны?
Кроме того, в мире существуют не только требования по ЗПД. Для банков, процессинговых, телекоммуникационных, ритейловых компаний актуальны требования стандарта PCI DSS. Для телекоммуникационных компаний было бы интересно в проектах по ЗПД учесть требования по безопасности ITU-T. Также актуальны для большинства компаний, которые работают на зарубежных рынках, требования по построению системы управления информационной безопасностью ISO/IEC 27001. Мы рекомендуем в проектах изначально применять методы и средства защиты информации, которые одновременно удовлетворяют требованиям других стандартов по ИБ.
Выбирая подход к реализации проекта по ЗПД, нужно исходить из общих целей обеспечения информационной безопасности. Если этого не учитывать, то проект по ЗПД становится ущербным: с одной стороны, увеличивает и так небольшие бюджеты на ИБ, с другой — создает неуправляемую отдельно живущую подсистему, которая во многих случаях приводит к избыточности средств защиты, а значит, к снижению производительности информационной системы.