Контроль утечек конфиденциальной информации регламентируется Федеральным законом № 152 «О персональных данных», который был опубликован в конце июля 2006 года, а вступил в силу в начале 2007-го. Он накладывает определенные требования на информационные системы, которые обрабатывают персональные данные: все новые системы должны ему соответствовать изначально, а владельцы уже существующих систем обязаны привести их в соответствие до 1 января 2010 года. До указанного в законе срока осталось менее года, а потому мы, опросив экспертов в области информационной безопасности, попытались выяснить, насколько отечественные предприятия готовы к приведению в соответствие своих информационных систем и что они обязаны сделать для соблюдения требований законодательства.

«Вопрос защиты персональных данных перешел из разряда ‘есть такая проблема’ в разряд ‘с чего начать’, — отмечает Вениамин Левцов, директор департамента развития Leta IT. — Схему проведения работ и свои требования регуляторы уже сформировали в вышедших нормативных актах».

Однако Денис Зенкин, директор по маркетингу Perimetrix, сетует: «По нашим подсчетам, порядок работы с персональными данными в России регулируют более 30 законов, указов, постановлений, приказов и распоряжений. Разобраться в этом нормативном буйстве очень сложно даже профессионалу. А тем более — 7 млн юридических лиц и предпринимателям, которые согласно ФЗ-152 оперируют персональными данными и обязаны соответствовать его требованиям».

Сергей Белов, руководитель стратегических проектов Aladdin, добавляет: «По самым грубым оценкам, затраты времени оператора на приведение своих информационных систем в соответствие с требованиями ФЗ-152 составят около двух лет. Однако предложения о перенесении срока исполнения закона пока не находят отклика у законодателей».

Михаил Емельянников, директор по развитию бизнеса компании «Информзащита», отмечает: «Не все операторы персональных данных в состоянии реализовать требования законодателей. Для этого нет достаточного количества подготовленных специалистов у операторов, нет достаточных ресурсов у всех лицензиатов ФСТЭК, вместе взятых, нет достаточного количества средств защиты на рынке — и нет достаточного желания делать эту работу у самих операторов».

Этот вывод подтверждает и Белов: «Даже если привлечь к этой работе всех лицензиатов ФСТЭК, их реальное число вряд ли превысит 100. При этом систем, нуждающихся в подготовке к аттестации, на данный момент около 100 тыс. Ожидается, что к концу года их число приблизится к миллиону. Сколько лет потребуется ФСТЭК и ее лицензиатам для аттестации даже имеющихся ста тысяч систем? Вопрос риторический».

«Организации уже имеют достаточно средств защиты, чтобы предотвратить утечки персональных данных, — уверен Виктор Сердюк, генеральный директор компании «ДиалогНаука». — Все, что нужно для соответствия ФЗ-152, это приведение в соответствие корпоративной документации».

Белов добавляет: «Недостаточное знание закона порождает множество неверных толкований и необоснованных претензий к регуляторам. В конце концов, технологическая сторона вопроса не вызывает сомнений. Интеграторы, способные спроектировать и внедрить подсистему информационной безопасности, соответствующую требованиям закона, тоже есть».

«Если говорить о технологических средствах защиты персональных данных, — замечает Алексей Чередниченко, ведущий консультант Symantec в России и СНГ, — то существует отдельная прикладная область — средства борьбы с утечками конфиденциальных данных (Data Leakage Prevention). Как можно видеть из текста закона, большинство требований соответствует подходу к защите персональных данных, применяемому в DLP, которые обеспечивают контроль доступа к критичным данным, определяют действия по работе с ними, а также контролируют пересылку данных и способы их хранения».

Однако DLP — лишь дополнение к уже развернутым антивирусам, межсетевым экранам, средствам контроля доступа и другим защитным системам, которые должны контролировать все возможные каналы утечки персональных данных.

«Спектр каналов утечки чрезвычайно широк, — предупреждает Алексей Раевский, генеральный директор SecurIT. — Это и корпоративная электронная почта, и съемные USB-накопители, и магнитные ленты, и ноутбуки и многое другое. Но ФЗ-152 требует от оператора в первую очередь обеспечения защиты персональных данных, независимо от каких-либо требований».

Таким образом, необходимые компоненты для удовлетворения требований закона есть — и технические средства, и консультанты, способные помочь в прохождении процедуры аттестации, и интеграторы, готовые провести подготовку системы к назначенному сроку. Однако Емельянников предупреждает: «Требования обязательной сертификации средств защиты информации и аттестации существенно ограничивают выбор возможных средств защиты, а текущая экономическая ситуация уменьшает возможности выделения необходимых финансовых средств операторами персональных данных».


Что делать

Эксперты рекомендуют последовательность работ по приведению информационных систем в соответствие с ФЗ-152

Вениамин Левцов, директор департамента развития компании Leta IT, рекомендует следующую схему работ по приведению информационной системы в соответствие с законом «О персональных данных».

  1. Оценить виды персональных данных, которые обращаются в организации.
  2. Определить класс и тип информационных систем, обрабатывающих персональные данные, по критериям, сформулированным законодателями. Класс сильно влияет на работы, которые потребуется выполнить в дальнейшем. Для отдельных классов информационных систем потребуется получение лицензии по технической защите конфиденциальной информации и проведение аттестации.
  3. Подать заявку на получение статуса оператора персональных данных в региональное подразделение Россвязькомнадзора.
  4. Направить запрос в региональное подразделение ФСТЭК на получение комплекта руководящих документов в области защиты персональных данных.
  5. Разработать модель угроз и задание на создание системы защиты на основе требований руководящих документов ФСТЭК и ФСБ.
  6. Разработать необходимую эксплуатационную и организационно-распорядительную документацию, описывающую механизмы хранения и обращения персональных данных.
  7. Внедрить необходимые технические системы: антивирусной защиты, шифрования, защиты от несанкционированного доступа, защиты при межсетевом взаимодействии, защиты от утечки конфиденциальной информации и т. д.
  8. Провести аттестацию системы защиты информационных систем, которые обрабатывают персональные данные.

Часто на предприятии используется избыточное количество систем, которые обрабатывают персональные данные. Поэтому Николай Федотов, главный аналитик компании InfоWatch, в качестве первого шага рекомендует: «Провести ревизию всей имеющейся в компании информации и выявить, какие именно данные относятся к разряду персональных, классифицировать их по категориям, создать перечень персональных данных, избавиться от излишних персональных данных».  

Избавиться — не значит уничтожить, но сделать данные обезличенными, скажем, привязанными не к имени клиента, но к его идентификатору или номеру контракта. Если предварительно выполнить подобное снижение уровня персональных данных, то и требования по их сохранению можно будет уменьшить до класса К4, защита которого остается на совести оператора.

Не стоит пренебрегать и обучением сотрудников. Федотов напоминает: «Важно ознакомить сотрудников, работающих с системами, которые обрабатывают персональные данные, с правилами обращения с такого рода конфиденциальной информацией. Лучше всего это сделать, составив внутрикорпоративное положение о защите персональных данных и ознакомив с ним под роспись работников».

«Следует оформить отношения с субъектами персональных данных, — рекомендует Федотов, — получить с них письменное разрешение, когда это предусмотрено».