1 января 2010 г. все ближе. Именно к этому сроку операторами персональных данных (ПДн) должны быть закончены работы по приведению порядка их обработки в соответствие с требованиями Федерального закона “О персональных данных” и вышедших в его развитие подзаконных актов.
По мере накопления опыта выполнения работ по обеспечению безопасности обработки ПДн становятся очевидными некоторые общие положения, оказывающие существенное влияние на содержание, продолжительность и стоимость проектов.
Построение эффективной, соответствующей регуляторным требованиям, но в то же время приемлемой по затратам ИБ-подсистемы информационной системы персональных данных (ИСПДн) должно сочетать в себе реализацию правовых, организационных и технических мер и строиться на глубоком анализе бизнес-процессов, связанных с обработкой ПДн. В этой работе, как никогда ранее при проектировании подсистем безопасности, решающим фактором становится отраслевая специфика. В подавляющем большинстве случаев ПДн обрабатываются специализированными приложениями, как правило, созданными и запущенными в эксплуатацию достаточно давно. А построение, например, автоматизированной банковской системы (АБС) и автоматизированной системы расчета за услуги оператора связи (АСР) существенно разнятся — по архитектуре, функциональности, даже по методологии организации обработки данных. При этом в таких приложениях так или иначе реализуется значительная часть механизмов обеспечения безопасности, требуемых регуляторами. Однако о полноте выполнения требований разработчики чаще всего не задумывались, а перспективы успешного прохождения процедуры оценки соответствия для большинства приложений более чем туманны.
Исполнители работ, будь то штатные сотрудники оператора ПДн или специалисты внешней сервисной организации, должны глубоко понимать функциональность как приложений, обрабатывающих ПДн, так и средств защиты информации, необходимых для нейтрализации актуальных угроз. Без высокой квалификации исполнителей работ на очень тонком стыке информационной безопасности и конфигурирования приложений не обойтись.
Сложности для исполнителей начинаются уже на этапе инвентаризации и классификации ИСПДн, поскольку приложений с ПДн оказывается значительно больше, чем представлялось вначале. К неизбежным бухгалтерской и кадровой системам добавляются приложения поддержки основных бизнес-процессов (упомянутые выше АБС, АСР, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. п.). Но ИСПДн обнаруживаются и в других подразделениях: в договорных отделах и службах маркетинга, в подразделениях по работе с обращениями и жалобами граждан, в CRM-, OSS/BSS-системах и т. д. Да и в бухгалтерии и департаменте по работе с персоналом таких систем оказывается не одна (или по одной в каждом), а несколько. Зачастую они во многом дублируют друг друга, содержат одни и те же сведения, а иногда и несовпадающие данные по одному и тому же субъекту.
При классификации ИСПДн ключевыми становятся определение целей обработки ПД и формирование их перечня применительно к каждой ИСПДн, т. е. определение конкретного состава сведений, отнесенных к такой категории. Именно от этого в значительной степени будет зависеть класс ИСПДн, и соответственно набор механизмов защиты данных, сложность подсистемы и ее стоимость. Очень важной является оценка необходимости и целесообразности отнесения ИСПДн к классу специальных.
На основе исходных данных, указанных в акте классификации ИСПДн, и актуализированной модели угроз определяются механизмы безопасности, которые должны быть реализованы в системе защиты, и конкретные требования к функциональности этих механизмов, исходя из методических документов ФСТЭК и ФСБ.
В ходе определения требований к подсистеме безопасности должен быть учтен целый ряд факторов. Так, целесообразно максимальное использование возможностей уже имеющихся в ИСПДн средств безопасности, а также механизмов безопасности операционных систем и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах ФСТЭК и ФСБ. Необходимо максимально четко определить границы ИСПДн и принять дополнительные меры, позволяющие снизить требования к части ИСПДн или сегментам сети, где такие системы расположены. К таким мерам можно отнести обезличивание ПД в части ИСПДн (переход на табельные номера, номера счетов, номера договоров и т. п.), сокращение числа рабочих мест, на которых обрабатываются ПДн, если это не связано с реальной производственной необходимостью, организация терминального доступа к ИСПДн, а иногда и исключение части сведений из ИСПДн, хранение их на бумажных или иных носителях вне автоматизированных систем.
В целом построение подсистемы безопасности ПД можно охарактеризовать как сложный, неформальный и трудоемкий процесс, требующий глубокого понимания бизнеса оператора и отличной специальной подготовки исполнителей, знания отраслевой специфики.
Автор статьи — директор по развитию бизнеса компании “Информзащита”