Будьте во всеоружии! Как создать систему защиты ПДн своими руками

  АЛЕКСАНДР САНИН, менеджер по продуктам информационной безопасности LETA IT-company

Будьте во всеоружии!
Как создать систему защиты ПДн своими руками

Что нужно знать и какие мероприятия провести, чтобы очередная проверка регулятора не застала врасплох

Хочу сказать, что данная статья носит исключительно информационный характер. Все ее материалы являются моим сугубо личным мнением, основанным на большом опыте работы в сфере защиты персональных данных (далее ПДн), и не могут трактоваться как официальная позиция какой-либо компании.

Итак, сейчас вокруг Федерального закона №152-ФЗ «О персональных данных» на форумах в Интернете идут горячие дискуссии, а на тематических семинарах часто высказываются мнения, противоречащие друг другу. Но в данной статье мы будем говорить исключительно о практике. О том, что должны знать и какие мероприятия должны провести вы, чтобы очередная плановая или внеплановая проверка регулятора не застала врасплох. Но обо всем по порядку.

Законодательство: как защищать?

После прочтения Федерального закона №152-ФЗ «О персональных данных», появляется много вопросов. Ведь он не отвечает на вопрос «как защищать?», у него другое назначение. На подобные вопросы отвечают выпущенные и ныне «рассекреченные» (с них снят гриф ДСП – для служебного пользования) руководящие документы ФСТЭК России и ФСБ России, а так же постановления Правительства РФ. Таким образом, сегодня регламентирующими документами в области защиты ПДн являются:

• Федеральный закон № 152-ФЗ «О персональных данных».
• Постановление Правительства РФ № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
• Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
• Приказ ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
• Руководящий документ ФСТЭК России. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
• Руководящий документ ФСТЭК России. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
• Руководящий документ ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Руководящий документ ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Руководящий документ ФСБ России. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.
• Руководящий документ ФСБ России. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных.

Это практически исчерпывающий список документации, которую вам придется изучить, если вы всерьез задумались создать адекватную систему защиты персональных данных своими руками.

Мы все – операторы персональных данных

За полтора года работы в области защиты ПДн, я встречал ожесточенные дискуссии на тему «меня это не касается, моя компания не является оператором». Хотелось бы раз и навсегда развеять данный миф. Практически любое юридическое лицо в настоящее время является оператором ПДн. Почему? Потому что в любой уважающей себя компании существует кадровая служба и бухгалтерия, которые занимаются непосредственной обработкой ПДн, будь то данные своих сотрудников или кого-либо другого.

От теории к практике

Итак, вы изучили все руководящие документы в области защиты ПДн. Что делать дальше?

Многие думают, что соблюдение закона сводится лишь к тому, чтобы купить правильный софт от правильного производителя (имеются в виду средства защиты информации, сертифицированные ФСТЭК России)». Это не так.

Не нужно переводить свою систему бухгалтерского и кадрового делопроизводства на какую-то «правильную платформу», нужно действовать спокойно и последовательно:

• Проведите инвентаризацию всех ПДн, которые обрабатываются в вашей организации.
• Проведите инвентаризацию и опишите все информационные системы персональных данных (далее – ИСПДн).
• Проведите классификацию данных ИСПДн, а также разработайте модели нарушителя безопасности ПДн и модели угроз безопасности ПДн.
• Разработайте регламентную документацию верхнего уровня.
• Спроектируйте будущую систему защиты персональных данных.
• И только после этого, если необходимо, приступайте к внедрению технических средств защиты информации.
• При необходимости получите лицензии ФСТЭК России и ФСБ России (применяется в случае больших холдинговых структур, когда одно юридическое лицо предоставляет ИТ-услуги всем остальным входящим в холдинг).
• При необходимости проведите аттестацию системы.

Как видите, «покупка средств защиты информации» и «внедрение» – далеко не первоочередные задачи. В ряде случаев вы вовсе сможете избежать покупки специализированных средств защиты.

Остановимся подробнее на каждом пункте.

Инвентаризация процессов обработки ПДн

Во главе угла стоит пресловутая, и так не любимая многими, инвентаризация. Именно этот шаг поможет вам четко структурировать все ПДн, которые обрабатываются в вашей компании. Результаты инвентаризации должны быть оформлены документально и описывать полный перечень ПДн, обрабатываемых в организации, а также перечень подразделений и сотрудников, допущенных к обработке таких данных.

Инвентаризация ИСПДн

Опишите и зафиксируйте документально каждую информационную систему, в которой обрабатываются персональные данные. При этом обязательно описывайте весь жизненный цикл персональных данных: как они появляются в системе, как хранятся, для чего используются и как удаляются. Кроме того, опишите состав и структуру каждой информационной системы персональных данных – количество и месторасположение серверов, количество и расположение рабочих станций, имеющих доступ к системе.

Классификация ИСПДн

Классификация производится на основе Приказа ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20. Далее разрабатывается модель угроз безопасности ПДн и модель нарушителя безопасности ПДн. Разработка этих документов – достаточно сложный процесс, отнеситесь к нему со всей ответственностью. Именно от разработанных на данном этапе документов будет зависеть то, какие средства защиты информации вам придется внедрять. Если сомневаетесь в своих силах, привлекайте к работе консалтинговую организацию.

Разработка документации

После проделанной инвентаризации следует переходить к разработке документов, регламентирующих обработку ПДн в вашей организации. В первую очередь обратите внимание на те регламенты, которые прямо или косвенно вытекают из самого закона (ведь в нем четко определены права субъектов ПДн и вытекающие из них обязанности операторов, в том числе и сроки реагирования на запросы субъектов). Также стоит обратить внимание на определение целей обработки ПДн для каждой ИСПДн, на легитимность этой обработки (в случаях, когда требуется согласие субъекта ПДн, необходимо его получить). Если речь идет о трудовых отношениях с работниками вашей организации, то письменное согласие не требуется.

Отдельно хотелось бы отметить регламенты, определяющие действия сотрудников вашей организации в случаях получения запросов от субъектов ПДн. Ваши сотрудники должны четко знать, что им делать при поступлении запроса от субъекта ПДн. Иначе невыполнение сроков реагирования будет являться «предлогом» для инициации внеплановой проверки Роскомнадзора.

Проектирование системы защиты персональных данных

К этому шагу вы должны подойти во всеоружии. Для защиты ПДн должны быть использованы только сертифицированные ФСТЭК России средства защиты информации (или ФСБ России, касаемо криптографических средств защиты информации), поэтому обязательно запросите у ваших поставщиков сертификаты соответствия. Не надо паниковать, если непосредственно платформа ИСПДн (будь-то готовая система или какая-то разработанная вами самостоятельно) не имеет заветного сертификата. Такого рода системы защищаются наложенными средствами защиты информации. Как правило, это быстрее и дешевле, чем подать во ФСТЭК России заявку на сертификацию вашей системы. Как показывает практика, в большинстве случаев, вам понадобятся:

• средства защиты от несанкционированного доступа;
• средства антивирусной защиты;
• средства межсетевого экранирования.

Реже требуются:

• системы обнаружения/предотвращения вторжений;
• системы контроля защищенности;
• средства криптографической защиты.

В ходе проектирования системы защиты ПДн разрабатывается Техническое задание и Технический проект (тут не обойтись без знания документов ГОСТ, регламентирующих подобные работы).

Внедрение системы защиты персональных данных

Этот этап подразумевает перевод в промышленную эксплуатацию системы защиты согласно разработанному на предыдущем этапе Техническому проекту. Именно на данном этапе производится закупка и установка средств защиты информации, а также разработка эксплуатационной документации.

Получение лицензий ФСТЭК России и ФСБ России

Это еще один «философский» вопрос в области защиты ПДн. В руководящих документах сказано, что для защиты ИСПДн классов К1, К2 и К3 распределенная организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации. Если четко следовать букве закона, с учетом того, что почти в каждой организации присутствуют подобные ИСПДн, то всем им необходимо будет получать лицензии. Но при этом подходе нарушается сам принцип лицензирования деятельности. Многие правозащитники уже давно указывают на это.

Аттестация

Практика показала, что данный шаг применим только в тех случаях, когда ваша организация как юридическое лицо предоставляет определенного рода услуги (к примеру, в составе холдинговой структуры организация является ИТ-аутсорсером).Сегодня, если в вашей организации присутствуют ИСПДн класса К1 или К2, процедура аттестации является обязательной. Аттестацией занимаются специализированные организации, аккредитованные ФСТЭК России.

Подходы к проведению работ

Как вы поняли, работы по защите ПДн довольно обширны. Именно поэтому многие консалтинговые компании предлагают свою помощь в данном вопросе. Сегодня есть три подхода к проведению работ по защите ПДн:

Все работы производятся организацией самостоятельно. Такой подход могут себе позволить только те компании, в которых ИТ- и ИБ-подразделения имеют в своем штате высококвалифицированных специалистов.

Все работы выполняет сторонняя организация. Данный подход является наиболее затратным для организации, но позволяет в необходимые сроки привести систему защиты в надлежащий вид.

Экспертный консалтинг. При этом подходе все работы производятся специалистами вашей организации, а специалист сторонней организации осуществляет лишь управление проектом и проводит экспертизу разработанных документов. Это снижает финансовую нагрузку на организацию Заказчика услуг, а также позволяет ее специалистам получить необходимые компетенции в области защиты ПДн.

На мой взгляд, это наиболее востребованный на рынке вид предоставления услуг. Но пока лишь небольшое количество компаний готовы предоставлять консалтинговые услуги на подобных условиях.

***

Хотелось бы еще раз подчеркнуть, что цель данной статьи – не разработка универсального пошагового регламента, а общее описание последовательности работ.

Кроме того, дабы картина была полной, отмечу, что сегодня нередко снижаются требования к аттестации ИСПДн и к применению сертифицированных средств защиты информации. Но это всего лишь тенденция, хотя есть все основания полагать, что здравый смысл все-таки восторжествует над прямолинейностью. И тогда законодательство в области защиты персональных данных будет действительно направлено на защиту прав субъектов, и не превратиться в очередную финансовую яму для организаций.

В заключение, хотелось бы еще раз сказать: будьте последовательными!

Приложение

Регуляторы

Службы, призванные следить за соблюдением законодательства в области защиты персональных данных ПДн:

• Роскомнадзор (является основным проверяющим органом);
• ФСТЭК России (привлекается к проверке системы защиты ПДн);
• ФСБ России (привлекается к проверке в случае наличия в системе криптографических средств защиты информации и систем обнаружения атак).

Комментарии могут оставлять только зарегистрированные пользователи