Бюджет и закон: как выполнить требования ФЗ-152?
Федеральный закон "О персональных данных" вступает в силу с 1 января 2010. Однако неготовность большинства операторов к его выполнению признают даже государственные органы. Причины этого, а также специфические проблемы с исполнением закона у государственных и коммерческих организаций CNews обсудил с директором департамента ИБ группы "Рамэк" Сергеем Шибковым и начальником отдела комплексных систем безопасности Александром Буяновым.
CNews: Cогласно недавно опубликованным данным, к концу октября не более 5% операторов уведомили о защите персональных данных. C чем, на ваш взгляд, связана такая массовая неготовность к исполнению закона?
Сергей Шибков: Причины этого лежат на поверхности. Подписание закона о персональных данных было важным условием для вступления России в ВТО. И вот закон подписан, его надо выполнять, но, учитывая российский менталитет, сделать это оказалось непросто. Слишком долго мы “раскачиваемся”.
Для государственных организаций во многих случаях первопричиной промедления оказалось отсутствие финансирования: в этом году в силу сложившейся экономической ситуации средства на решение данной задачи просто не выделялись. В коммерческих организациях ситуация несколько иная. Сейчас они заняли выжидательную позицию и не спешат вкладывать деньги. Ведь до сих пор не решены многие проблемы юридического характера. Нормативные документы, которые должны обеспечивать выполнение закона, до сегодняшнего дня имеют массу неясностей, неточностей. Методики отработаны не в полном объеме. Все это затрудняет выполнение закона.
Существуют и чисто технические проблемы, мешающие реализации ФЗ-152. Задача по обеспечению безопасности персональных данных технически сложна для многих ИТ-структур, особенно государственных. Построение такого рода систем требует специальных знаний. Здесь возникают специфические вопросы, связанные с защитой информации, касающиеся, например, сертификации на отсутствие недекларированных возможностей программных продуктов, которые используются в сфере обработки персональных данных. Зачастую бывает невозможно получить исходные тексты этого ПО, в результате возникают затруднения с сертификацией по недекларированным возможностям.
Сергей Шибков: Выполнение требований ФЗ в госсекторе тормозит отсутствие финансирования в 2009 году
Важно так же отметить, что меры воздействия, применяемые сегодня к лицам, разгласившим персональные данные, незначительны. Для сравнения, в соответствии с федеральным законодательством США, человек, нарушивший закон о неразглашении персональных данных, может лишиться свободы на срок до десяти лет. У нас же пока на практике применяются только административные меры воздействия.
CNews: Какие еще проблемы правового и организационного характера, на ваш взгляд, тормозят исполнение закона?
Сергей Шибков: Некоторые требования закона близки к требованиям по защите информации, содержащей сведения, составляющие государственную тайну. К ним относятся: обязательная сертификация средств защиты и программного обеспечения обработки персональных данных, аттестация по требованиям безопасности информации, защита от побочных электромагнитных излучений и наводок. И здесь мы вновь возвращаемся к вопросу финансов. Реализация данных требований влечет за собой очень значительные финансовые вложения.
CNews: Cогласно недавно опубликованным данным, к концу октября не более 5% операторов уведомили о защите персональных данных. C чем, на ваш взгляд, связана такая массовая неготовность к исполнению закона?
Сергей Шибков: Причины этого лежат на поверхности. Подписание закона о персональных данных было важным условием для вступления России в ВТО. И вот закон подписан, его надо выполнять, но, учитывая российский менталитет, сделать это оказалось непросто. Слишком долго мы “раскачиваемся”.
Для государственных организаций во многих случаях первопричиной промедления оказалось отсутствие финансирования: в этом году в силу сложившейся экономической ситуации средства на решение данной задачи просто не выделялись. В коммерческих организациях ситуация несколько иная. Сейчас они заняли выжидательную позицию и не спешат вкладывать деньги. Ведь до сих пор не решены многие проблемы юридического характера. Нормативные документы, которые должны обеспечивать выполнение закона, до сегодняшнего дня имеют массу неясностей, неточностей. Методики отработаны не в полном объеме. Все это затрудняет выполнение закона.
Существуют и чисто технические проблемы, мешающие реализации ФЗ-152. Задача по обеспечению безопасности персональных данных технически сложна для многих ИТ-структур, особенно государственных. Построение такого рода систем требует специальных знаний. Здесь возникают специфические вопросы, связанные с защитой информации, касающиеся, например, сертификации на отсутствие недекларированных возможностей программных продуктов, которые используются в сфере обработки персональных данных. Зачастую бывает невозможно получить исходные тексты этого ПО, в результате возникают затруднения с сертификацией по недекларированным возможностям.
Важно так же отметить, что меры воздействия, применяемые сегодня к лицам, разгласившим персональные данные, незначительны. Для сравнения, в соответствии с федеральным законодательством США, человек, нарушивший закон о неразглашении персональных данных, может лишиться свободы на срок до десяти лет. У нас же пока на практике применяются только административные меры воздействия.
CNews: Какие еще проблемы правового и организационного характера, на ваш взгляд, тормозят исполнение закона?
Сергей Шибков: Некоторые требования закона близки к требованиям по защите информации, содержащей сведения, составляющие государственную тайну. К ним относятся: обязательная сертификация средств защиты и программного обеспечения обработки персональных данных, аттестация по требованиям безопасности информации, защита от побочных электромагнитных излучений и наводок. И здесь мы вновь возвращаемся к вопросу финансов. Реализация данных требований влечет за собой очень значительные финансовые вложения.
Кроме того, немаловажным фактором является отсутствие у оператора персональных данных компетентного персонала в вопросах информационной безопасности. Возьмем, к примеру, обычную поликлинику. Зачастую там нет даже ИТ-специалиста, что уж говорить о наличии специалиста по информационной безопасности? Это серьезная проблема для многих государственных предприятий и небольших компаний.
Сергей Шибков: Серьезной проблемой для госпредприятий и небольших компания является отсутствие компетентного ИБ-специалиста
CNews: Как вы оцениваете потенциал этого рынка?
Сергей Шибков: Потенциал гигантский. По предварительным оценкам, на сегодняшний день в Российской Федерации порядка семи миллионов операторов, обрабатывающих персональные данные. Практически каждый гражданин страны в той или иной степени вовлечен в эту систему обработки. Это и медицина, и страхование, и административные органы. Если смотреть со стороны системного интегратора, то рынок огромен, а вот финансовых средств, как говорилось выше, у потенциальных заказчиков для реализации задач по защите персональных данных пока нет. Стоит отметить, что сейчас мы получаем большое количество заявок из всех регионов на ориентировочный расчет стоимости по созданию СЗПДн. Скорее всего, в этой области стоит ожидать каких-то изменений к следующему году, когда госучреждения получат бюджеты под создание систем защиты персональных данных, а коммерческие структуры сориентируются, в каком направлении им все же двигаться для выполнения требований ФЗ-152.
CNews: Насколько затратным, по вашим оценкам, может стать исполнение требований закона для СМБ, а также для государственных предприятий?
Александр Буянов: Если говорить о затратах на организацию защиты персональных данных, то даже для крупных предприятий это недешево: речь идет о десятках миллионов рублей. Снизить затраты довольно сложно, так как информационные системы средних и крупных предприятий почти всегда имеют свою специфику, что ведет к появлению множества специальных угроз. Поэтому и для средних предприятий эта процедура будет достаточно затратной.
Александр Буянов: Довольно сложно снизить затраты на исполнение требований закона о персональных данных
Малые же предприятия, на наш взгляд, будут стараться всеми путями уходить от обеспечения требований закона о персональных данных: занижать класс информационной системы, каким-то образом разделять данные, локализовывать их обработку и так далее.
CNews: А у более крупных предприятий есть какие-то возможности уйти от исполнения закона?
Александр Буянов: Нет. В полной степени уйти не получится. Можно, конечно, снизить класс защищенности системы, учитывая, что существуют различные методы обработки персональных данных. Допустим, мы можем обезличить персональные данные, сегментировать систему и разнести обезличенные персональные данные по разным сегментам. При таком подходе достаточно выполнить все требования по защите кодификатора-классификатора, собирающего эти данные вместе, что даст определенное снижение расходов на приобретение средств защиты и проведение аттестации. Однако такой подход к защите персональных данных не регламентирован, не определен и сопряжен с дополнительными трудностями по изменению технологии обработки персональных данных и архитектуры информационной системы.
Оптимальным решением сейчас для всех предприятий станет, на мой взгляд, составление концептуальной программы, которая включит в себя описание пошаговых действий по созданию СЗПДн. Например, на первом этапе проводим аудит, на втором – работаем над критичными уязвимостями, на третьем – осуществляем проектирование системы и т.д. Каждый этап закладывается в бюджет, имеет свои сроки реализации. Таким образом, если после 1 января придет проверяющий, ему будет что предъявить: работы начаты. Осилить все и сразу в ближайшей перспективе все равно не получится.
CNews: Какими еще путями можно сократить затраты на обеспечение защиты персональных данных?
Сергей Шибков: Процесс защиты персональных данных включает в себя много этапов: это обследование объекта, проектирование, закупка оборудования, при необходимости, его сертификация и поставка, пуско-наладка, монтаж, инсталляция программных продуктов. Последний этап – аттестация. Например, компания может сэкономить, изначально закупая оборудование, прошедшее весь комплекс необходимых специальных проверок и исследований. Так, оборудование, которое производит "Рамэк", проходит все необходимые специальные проверки. Применяя это оборудование, оператор может обрабатывать информацию различной степени конфиденциальности. Таким образом, заказчик получает готовый продукт. Самостоятельная закупка вычислительной техники и проведение на ней комплекса специальных работ обойдется значительно дороже. Кстати, сегодня мы работаем над тем, чтобы поставлять не только отдельные АРМ, но и целые системы.
CNews: Что стоит учесть предприятиям, начинающим защиту персональных данных?
Сергей Шибков: Безусловно, первое, что необходимо для построения защиты, – четкое понимание руководством целей и задач создаваемой системы. Второе – подготовленность сотрудников. Для успешной реализации проекта нужны компетентные специалисты, подготовленные для сопровождения проекта и дальнейшей его поддержки и развития. Кроме того, необходимо помнить, что поддержка системы и развитие – это дополнительные финансовые вложения, ведь замена даже составной части какого-то устройства ведет за собой повышение определенных рисков утечки. К тому же, закон гласит, что при ремонте и модернизации системы нужно проводить переаттестацию, этот момент тоже нужно учитывать.
Сергей Шибков: Первое, что необходимо для построения защиты, – четкое понимание руководством целей и задач создаваемой системы
И еще один момент, на котором хотелось бы остановиться отдельно, – это сокращение издержек. Здесь так же нужен разумный подход. Важно, чтобы экономия на первом этапе не сказалась на дальнейшей модернизации.
Александр Буянов: Я хотел бы немного добавить. Предположим, у нас есть какая-то автоматизированная система, в которой обрабатывается конфиденциальная информация, в том числе и персональные данные. Закон требует защиты только персональных данных, поэтому мы можем в этой автоматизированной системе выделить сегмент, который обрабатывает персональные данные, и защитить только его. Это будет стоить, разумеется, дешевле. А можно защитить полностью всю систему. Безусловно, это потребует дополнительных капиталовложений, но зато позволит защитить не только персональные данные, но и другую конфиденциальную информацию, в том числе и коммерческую тайну. Кроме того, в дальнейшем появится возможность в значительной степени сократить затраты на модернизацию всей информационно-вычислительной системы.
CNews: В текущем году в "Рамэк" департамент информационной безопасности существенно расширился. Что спровоцировало компанию активизировать усилия по данному направлению?
Сергей Шибков: Исторически наша компания работала и продолжает работать с предприятиями ВПК. Первым направлением в области информационной безопасности, которое стало развиваться в "Рамэк", было проектирование и внедрение аппаратных средств защиты вычислительной техники, поставлявшейся силовым ведомствам. Для деятельности по обеспечению государственной тайны у нас имелись все необходимые ресурсы и соответствующие лицензии. Но это довольна узкая задача, и когда мы сталкивались с необходимостью построить систему ИБ в рамках интеграционных проектов, приходилось передавать задачу подрядчикам, т.к. на данный отрезок работы собственные ресурсы мы не закладывали.
В начале этого года необходимость развития собственной экспертизы в области ИБ стала очевидной. Мы посчитали и пришли к выводу, что по имеющемуся объему работ для нас будет выгоднее использовать внутренние ресурсы, чем передавать работы подрядным организациям. Сегодня в подразделении работают 30 человек, и мы планируем дальнейшее расширение количества сотрудников и портфеля решений. Все необходимые лицензий ФСБ, ФСТЭК и Министерства обороны России для этого мы имеем. На текущий период сотрудники департамента сосредоточены на разработке решений по защите персональных данных, проектировании комплексных современных систем защиты информации.
CNews: Каким образом строится взаимодействие "Рамэк" с органами государственной власти и государственными предприятиями в области ИБ? В чем специфическая разница между потребностями государственных и коммерческих заказчиков?
Сергей Шибков: У нас достаточно большое количество государственных контрактов. Работа с госструктурами требует от нас скрупулезного и точного выполнения задач и по срокам, и по ценам, и по контролю. Результат нашей деятельности контролирует не только заказчик, но и военная приемка и органы, следящие за выполнением государственного оборонного заказа. Заказы со стороны госструктур обычно связаны с защитой государственной тайны. Для них мы выполняем комплекс мероприятий по защите информации и аттестации объектов информатизации в строгом соответствии с требованиями руководящих документов ФСТЭК и ФСБ. А вот в коммерческих организациях могут быть собственные стандарты по защите информации. Ведь руководящие документы ФСТЭК для них не являются обязательными и носят рекомендательный характер. Поэтому они могут быть усилены или ослаблены. Например, в Центробанке, "Газпроме" и ряде других структур вообще существуют отраслевые стандарты по защите информации, которые являются ведомственными и обязательны к исполнению.
Александр Буянов: Оптимальным решением для предприятий сейчас станет составление концептуальной программы, включающей описание пошаговых действий по созданию СЗПДн
Александр Буянов: Часто коммерческие организации сами формируют техническое задание, определяют данные, которые будут защищать. Хочу подчеркнуть, что это не касается персональных данных.
Важно еще учитывать и разницу в подходе к выбору средств защиты информации. Государственные структуры, как правило, ориентируются на средства защиты и обработки информации, сертифицированные в государственной системе сертификации. Для коммерческих организаций это совершенно не обязательно. Зачастую, для них более важным является наличие международного сертификата, подтверждающего потребительские свойства. В связи с чем, в системах защиты информации государственных структур применяются оборудование и программные средства, разработанные в России или произведенные по лицензиям. В коммерческих структурах оборудование может быть любым, главное, чтобы оно устраивало заказчика.