Главное изменение произошло не в законе № 152‑ФЗ, а в ситуации на рынке информационной безопасности (ИБ), сложившейся в связи с этим законом. Именно рынок формировал впоследствии изменения, вносимые в закон. Но для них необходимо было время, и потому вступление в силу ч. 3 ст. 25 о приведении в соответствие информационных систем, обрабатывающих персональные данные (ИСПДн) и созданных до 1 января 2007 г., переносилось уже два раза.
Влияние закона на рынок
Вообще появление Федерального закона № 152‑ФЗ оказалось определяющим для развития рынка ИБ в России в 2008—2011 гг. Я бы назвал его появление очередным этапом в эволюции ИБ в России. В буквальном смысле произошло «притирание» государственного и коммерческого подходов к ИБ. Еще три года назад многие организации и компании вообще не имели представления, что существует какой‑то «государственный подход». Сегодня как с одной, так и с другой стороны налицо попытка скорректировать свое представление о методах и способах защиты информации. И именно закон № 152‑ФЗ послужил тому толчком. В частности, результатом этой совместной работы явились изменения требований к защите персональных данных (ПДн) от более жестких, приближенных к защите государственной тайны (так называемое «четверокнижие» ФСТЭК), к более мягкому варианту (приказ ФСТЭК № 58).
Более того, изменился подход регуляторов к проведению проверок. Как показала практика, сегодня регуляторы идут навстречу тем, кого проверяют, понимая, что имеют дело с коммерческими организациями, для которых главная задача — бизнес. При этом для регуляторов определяющим критерием будет способность компании обосновать, что защищенность ПДн находится на достаточно хорошем уровне.
В помощь нашим заказчикам мы сформулировали инструкцию, которая позволяет в кратчайшие сроки подготовиться к проведению проверок. Применение этой инструкции было апробировано на практике и дало положительный результат. Приведу основные ее положения.
- Проведите документирование состояния ИБ. В любом случае проверка будет проводиться по документам. Они же — путь к устранению многих вопросов регуляторов.
- Уделите больше внимания моделям угроз (нарушителей) ИБ, сделайте это главным инструментом в обосновании своей правоты.
- Делайте упор на реальной защищенности информации, а не на формальных требованиях. Это придаст уверенности.
- Подготовьтесь к кропотливой работе с регуляторами в ходе проверок, постарайтесь сделать так, чтобы корпоративные юристы разделили с вами ответственность в данной работе.
- А главное — знайте, что оператор ПДн вправе (по законодательству) иметь «свое особое мнение»!
Под влиянием закона компании задумались о безопасности информации
Другим серьезным изменением стало то, что организации поменяли свое отношение к информационной безопасности вообще. Федеральный закон № 152‑ФЗ в буквальном смысле заставил операторов ПДн проводить проекты по защите персональных данных. Поскольку требования к защите ПДн в основном совпадают с общими практиками по ИБ, то по своей сути эти проекты превратились в работу по созданию подсистем информационной безопасности.
Такое положение вещей стало возможным, во‑первых, потому, что ИБ (если рассматривать в фокусе защиты персональных данных — ЗПД) оказалась в центре внимания топ-менеджмента. Конечно, ведь за невыполнение требований наступает даже уголовная ответственность. Благодаря этому исчезает остаточный принцип формирования бюджетов на ИБ. Деньги выделяются целевым образом на защиту ПДн. А во многих компаниях это рассматривается как проект по защите информации в целом.
Во-вторых, появилось понимание, что обеспечение ИБ — задача не только подразделения ИБ, но за нее несут ответственность топ-менеджмент, бизнес-подразделения и ИТ-подразделения. Наша практика проведения проектов показала, что в принятие решений по выстраиванию процессов обработки и защиты ПДн в большинстве компаний вовлечены практически все отделы.
Проекты по ЗПД перестали быть формальными
Можно также констатировать факт, что у операторов ПДн изменилось отношение к проведению проектов по ЗПД. «Потемкинские деревни» канули в Лету. Теперь если уж тратят деньги, то на действительно стоящие средства защиты. В своих решениях по защите ПДн мы избегаем бесполезной траты ресурсов на устаревшие средства защиты, снижающие производительность и сложно интегрируемые в инфраструктуру, и стараемся получить реальную выгоду от применения современных и функциональных систем безопасности, которые позволяют одновременно выполнить требования регуляторов и обеспечить реальную защищенность информационных систем.
Так, для крупных территориально распределенных компаний, имеющих централизованные базы данных, действительно очень полезен в проектах по защите ПДн мониторинг доступа к базам данных пользователей из региональных представительств и многочисленных администраторов, активность которых никак не контролируется. В данном случае, как правило, применяются наложенные системы класса DataBase Activity Monitoring. Они выступают единой точкой контроля доступа всех пользователей, в том числе привилегированных, к базам данных любых производителей. Мы работаем с компаниями на всех вертикальных рынках, но особенный интерес к таким решениям проявляют кредитно-финансовые организации, страховые компании, ритейл- и телеком-операторы.
Выгоду для компаний в проектах по ЗПД приносят также решения класса Data Loss Prevention. Ведь, по статистике, более 80% утечек происходит по вине сотрудников (как умышленно, так и по неосторожности), имеющих легальный доступ к персональным данным. Мы видим решение этой задачи в том, чтобы применять механизмы защиты от утечек по таким каналам связи, как электронная почта, службы мгновенных сообщений, различные Web‑сервисы (социальные сети, Web-почта и т. п.). Контентная фильтрация информации, передаваемой по этим каналам, позволяет пресечь утечку персональных данных, что значительно повышает общий уровень информационной безопасности компании.
Помимо вышеперечисленных систем, мы стараемся использовать в решениях по ЗПД продукты класса Security Information & Event Management (SIEM), которые применяются для обеспечения централизованного управления системой защиты персональных данных. Данная функциональность является требованием п. 2.4 раздела II «Методы и способы защиты информации от несанкционированного доступа» приказа ФСТЭК России № 58 от 5 февраля 2010 г. SIEM‑системы осуществляют сбор, анализ (корреляцию) и контроль событий ИБ от различных средств защиты, что позволяет в режиме реального времени эффективно распознавать инциденты, связанные с раскрытием конфиденциальности ПДн (с дальнейшей их передачей в систему управления инцидентами ИБ), получать реальные данные для анализа и оценки рисков, для принятия обоснованных решений по обеспечению ИБ и защите ПДн.
Что ждет нас в будущем?
Полагаю, что, накопив достаточный потенциал, проекты по ЗПД будут расширяться не вглубь, а вширь: в сторону повышения эффективности защиты не только ПДн, но и всей коммерческой информации. Уже сегодня направление Real Security (реальная защищенность) завоевало умы экспертов в области ИБ. По своей сути это система, осуществляющая из единого центра в автоматическом режиме управление рисками и инцидентами, контроль имеющихся в распоряжении средств защиты, оценку эффективности их функционирования, постоянный мониторинг событий и уязвимостей, контроль соответствия требованиям законодательства, международных и отраслевых стандартов и других нормативных актов.