Третья Конференция Персональные данные

 5 октября 2010 года, Москва, Рэдиссон САС Славянская

 


Организаторы: журнал
 Information Security  компании «Гротек»,
 Ассоциация защиты информации

ICQ-консультация по вопросам участия и партнерства

Ирина Сурина
Екатерина Кузьмина







Вызов консультанта








 

Сергей Рябко, президет ГК "С-Терра"



Что сегодня нужно потребителю для решения проблем, связанных с защитой персональных данных? Нужна ли сеть, абстрагированная от приложений и оперирующая с пакетами, для защиты персданных, объектов прикладного уровня?


А как же! Данные живут в определенной среде. На сегодня (и с этим уже никто не спорит) сеть – это неотъемлемая часть всякой вычислительной среды. Роль сети – дать доступ к данным, в т.ч. персональным. И только Штирлиц в анекдоте может не догадаться, что задачи контроля доступа необходимо решать средствами среды доступа.

Механизмы сетевой информационной безопасности прекрасно проецируются на требования технического регулирования и не могут не быть учтены при аттестации системы защиты ИСПДн.

 

Вы имеете в виду требования к межсетевым экранам?


Не только. Межсетевой экран в теме защиты сети имеет узкую функциональную нишу: это – защита точки входа, калитки. Но подумайте: что на деле защищает Ваш огород – забор или калитка? Конечно, и то и другое, но забор всяко подлиннее будет. То же в сети. Практически все сетевые технологии содержат в себе аспект безопасности. Межсетевой же экран в регулировании выделен по обстоятельствам исторического толка. На него есть руководящий документ, а, например, на VLAN – нет. Но это не значит, что коммутаторы с их VLAN’ами можно и нужно повсеместно заменить на межсетевые экраны. Или не использовать VLAN’ы. Просто нужно уметь представить на аттестацию наряду с межсетевым экраном и другие элементы сетевой защиты – и они наверняка будут приняты к оценке и зачтены при аттестации.

 

Если средства сетевой безопасности имеют такое большое значение для защиты ПДн, не следует ли производителям средств сетевой защиты как-то профилировать свою продукцию под требования регулирования ИСПДн?


Ответ на этот вопрос вроде бы выработан. Лучшие умы отрасли более года кряхтели, размышляя: ПДн это что-то новенькое или мы давно этим занимаемся? В результате пришли к выводу: ничего нового. Персональные данные неспецифичны. Поэтому, например, СКЗИ на одном ГОСТе шифрует что персданные, что прочую конфиденциалку. В результате индустрия дружно ответила на вызов ФЗ-152 интеграционно-аттестационным предложением: "мы доработаем Вашу ИСПДн на основе имеющихся продуктов и аттестуем ее по заданному классу". Товарно-продуктового же предложения не последовало. Публика сочла, что сойдут и существующие товары.

Но это верно только в том случае, когда речь идет о профессиональном потребителе. ИСПДн банка будет защищена его службой ИБ с использованием уже существующих в банке СЗИ. И никто не задумался о том, что продукт, блестяще подходящий банку, непригоден в ЗАГСе, фельдшерско-акушерском пункте, отделении милиции. Там по 3-5 сотрудников и они умеют благословлять браки, пеленать младенцев или перезаряжать табельный "Макаров". Но не настраивать межсетевой экран. Тут, при полном консерватизме технологий (новые механизмы безопасности и правда ни к чему), нужны абсолютно новые потребительские и эксплуатационные свойства продукции. Продукт безопасности ИСПДн должен быть переориентирован на тех, кто до ФЗ-152 даже словосочетание "информационная безопасность" не слышал. А таких среди операторов персональных данных большинство. И если мы не дадим им адекватных инструментов, то велик риск, что позитивный по существу закон будет доведен до профанации в силу отсутствия ориентированного на массового пользователя технического обеспечения.



Светлана Конявская, заместитель генерального директора ЗАО "ОКБ САПР"



Проблема, о которой сказал Сергей Дмитриевич – одна из основных интриг ситуации с защитой персональных данных. Насколько реальным Вы считаете ход развития событий, при котором организации, не имеющие ни представлений о защите информации, ни средств на расширение штата или дорогостоящие СЗИ, прибегнут в итоге к внедрению средств защиты, или выполнять требования регуляторов они будут без привлечения технических методов и средств защиты, опираясь на организационные меры и юридические тонкости?


Мы видим такой ход событий абсолютно реальным. Для того чтобы образованные и добросовестные люди, работающие в детских садиках и школах или бутиках модной одежды, приняли осознанное решение защищать персональные данные на самом деле, а не формально, нужно сделать ровно две вещи:

Первое – объяснить им, зачем это нужно ("иначе накажут" - это, конечно, сильный довод, но на умных людей обычно большее впечатление производят совсем другие, и мы знаем, какие).

Второе, что надо сделать – предложить им решение, стоящее адекватные деньги и не заставляющее получать второе высшее образование для того, чтобы научиться его применять. О чем, собственно, и сказал Сергей Дмитриевич.

Мы готовы сделать обе эти вещи, и поэтому уверены, что организации такого рода – наши клиенты.

 

Если разработчики будут поставлять на рынок все более и более простые решения, не сведется ли в итоге это к тому же самому – формальному выполнению требований вместо реальной защиты, не будет ли буква нормативных документов выполняться в ущерб духу?

 

Простота хуже воровства, да. Но "простым решением" мы обычно называем не то решение, которое просто разработать или просто взломать, а то, которое пользователю просто применять (разработать его как раз, как правило, намного сложнее). То, насколько такое решение эффективно – вопрос добросовестности разработчика. Есть разработчики с хорошей репутацией, это имеет смысл всегда учитывать.

Кроме того, мы далеки от мысли, что все ИСПДн должны защищаться одним и тем же решением, даже если оно – нашей разработки. Именно для этого введено категорирование ПД, именно поэтому ИСПДн присваиваются классы.

Защищать распределенные корпоративные или ведомственные системы надо, конечно, совершенно иначе, чем отдельные компьютеры в непрофильных организациях. Эти системы защиты будут совершенно разными, и стоить будут совершенно разные деньги.

Вообще, нам есть за что поблагодарить ФЗ-152. И не только за расширение рынка, что всегда приятно. Очень важное следствие, которое непременно случится, даже если не безболезненно и не сразу, заключается в том, что защита информации появится как ремесло. Пока она существует в основном как искусство и как бизнес. Ремесло – это большой шаг вперед, шаг, для которого нужно научиться не путать сложность и эффективность, запутанность и уникальность, и еще многим полезным навыкам и умениям.

Нам кажется, что мы обладаем как раз достаточным опытом и навыками для того, чтобы  в союзе с нашими коллегами из «С-Терры» предложить яркое и удобное «коробочное решение».



Евгений Бочкарев, кандидат медицинских наук, начальник организационно-методического отдела Центрального НИИ Эпидемиологии Роспотребнадзора, генеральный директор компании "Эпидинфоком"



Всегда интересен взгляд на вопросы защиты информации тех компаний, у которых, в общем-то, совсем другие основные цели и задачи. Сегодня помимо мирового кризиса и защиты персональных данных есть еще один вопрос, конкурирующий по популярности с первыми двумя: свиной грипп. Скажите как специалист, может ли грамотная защита персональных данных снизить риск эпидемии свиного гриппа?

 
Во-первых, как специалист, не могу не сказать, что "свиной грипп" – это название "народное", а правильно называть этот вирус "высокопатогенный пандемичный грипп". "Высокопатогенный" – это значит, что он очень легко и быстро распространяется и вызывает очень много осложнений, а "пандемичный" – обозначает очень высокую степень опасности и большую распространенность.

Во-вторых, конечно, только защита персональных данных как таковая, сколь угодно грамотная, в борьбе против эпидемий помочь не может – это один из кирпичиков в стене, которую необходимо построить.

Противодействие таким опасным явлениям – это слаженная работа многих команд: "клиницистов", выявляющих предположительно заболевших по клинической картине, лабораторных служб, которые должны своевременно и грамотно взять пробы, доставить их и провести необходимые исследования, эпидемиологов… И вот тогда, когда точно установлен факт заболевания, эти данные должны быть доставлены в центр.

И если до этого все вопросы сводились к профессиональным качествам и добросовестности специалистов, то на данном этапе мы сталкиваемся уже с конфликтом интересов. Есть те, кто заинтересован в намеренном завышении статистических данных, те, кто заинтересован в заведомом занижении, те, кто хотел бы и имеет возможность получить выгоду из обладания этими данными. Так или иначе, все это бизнес-интересы, но когда они касаются такой важной проблемы, последствия искажений или утечек данных могут иметь социальные последствия и стать – и наверняка станут! – проблемой гуманитарной.

Поэтому задача защиты персональных данных в данном случае из технической задачи становится политическим вопросом. Решать же эту задачу, вместе с тем, необходимо все же технически, так как политическое решение – ФЗ-152 – уже есть. Впрочем, наш опыт сотрудничества с разработчиками технических решений – С-Террой и ОКБ САПР – вселяет в нас оптимизм.



Александр Иржавский: важен взвешенный подход


Своим мнением по некоторым аспектам защиты персональных данных делится специалист компании «ИНФОРИОН» Александр Иржавский

 

Какова динамика отношения операторов к защите персональных данных?

 

Несомненно, следует отметить тот факт, что вопрос защиты персональных данных в нынешней ситуации все чаще поднимается на самых различных уровнях управления предприятиями и организациями. Излишне подробно рассуждать о причинах этого явления – они на поверхности. В первую очередь нужно отметить возросшее стремление обеспечить соответствие процессов обработки ПДн требованиям нормативной базы в этой сфере и застраховать бизнес от потенциальных проблем, связанных с проверками государственных регуляторов. Нарабатывающаяся практика таких проверок заставляет задуматься о перспективах и начать «стелить соломку» заранее. Приближение «часа икс» – 01/01/2010 – также стимулирует интерес операторов ПДн, хотя, как мне кажется, значение этого фактора несколько преувеличено, ведь Федеральный закон «О персональных данных» распространяет эту отсрочку только на системы, созданные до дня его вступления в силу.

 

Как, на ваш взгляд, операторы персональных данных воспринимают обязанности по защите ПДн, возлагаемые на них действующим законодательством?

 

Общение с операторами персональных данных показывает гораздо больший уровень зрелости как менеджеров, так и ИТ-/ИБ-специалистов, нежели это ощущалось год назад. Теперь все чаще перед нами как перед интеграторами ставят задачу не только создать систему защиты персональных данных, но и оптимизировать затраты на реализацию проекта и дальнейшую эксплуатацию СЗПДн. С удовольствием отмечу, что многие заказчики стали гораздо глубже вникать в нюансы и особенности защиты ПДн – это позволяет вырабатывать более эффективные организационные и технические решения. Значительную роль в получении операторами первичной информации и определении основных векторов играют открытые дискуссионные площадки – конференции, семинары, онлайн-форумы.

Вместе с тем нет смысла скрывать, что некоторыми операторами обеспечение защиты ПДн воспринимается как своего рода дополнительный налог, которым их по непонятным причинам обложили, обязав защищать персданные. Такое отношение, вероятно, вызвано тем, что создание СЗПДн – все-таки дело затратное и хлопотное, а нормативная база в этой сфере имеет значительный потенциал для совершенствования. Но все же в практике нашей компании преобладают противоположные примеры, когда операторы, дорожащие своей репутацией и отношениями с клиентами, со всей ответственностью подходят к вопросам обеспечения безопасности персональных данных.

 

В чем вы видите основные проблемы, возникающие при создании систем защиты персональных данных?

 

После того, как улеглась пыль, поднятая словесными баталиями вокруг нормативных и методических документов регуляторов, а также по мере того, как стала появляться практика реализации конкретных проектов, стало ясно, что большинство технических проблем создания СЗПДн вполне решаемы, а на первое место выходят именно организационные трудности. Зачастую довольно сложно изменить существующие бизнес-процессы таким образом, чтобы, с одной стороны, не пострадал основной вид деятельности оператора, а с другой – были соблюдены требования законодательства. Над этим действительно приходится поработать.

Также отмечу проблему разработки систем защиты для крупных ИСПДн, количество сетевых узлов в которых достигает нескольких тысяч единиц. Традиционный подход с использованием «навесных» средств защиты информации в таких условиях трудно применим: резко падает удобство эксплуатации оборудования и ПО, теряется управляемость, снижается производительность защищаемой системы и ИТ-инфраструктуры. А еще – резко возрастает стоимость защиты. Столкнувшись с такой проблемой, мы пришли к необходимости поиска альтернативных путей выполнения требований, предъявляемых к обеспечению безопасности ПДн, и признали наиболее целесообразными вариантами сертификацию защищаемой информационной системы по требованиям безопасности информации и применение терминальных решений для обеспечения доступа пользователей к персональным данным. Этим вариантам будет посвящена значительная часть нашего доклада на второй общероссийской конференции-семинаре «Персональные данные».

 

Сформулируйте в двух словах наиболее важный принцип, которым следует руководствоваться при организации защиты персональных данных.

 

Отвечая на Ваш вопрос буквально, назову эти два слова: взвешенный подход. Что это означает? Прежде всего – адекватность принимаемых мер защиты и рациональное расходование ресурсов. В подавляющем большинстве случаев СЗПДн создается не на пустом месте, а это означает, что у оператора имеются определенные средства защиты информации, соответствующий персонал и, что более важно, выстроены процессы обеспечения информационной безопасности, подкрепленные нормативной базой. Задача интегратора – встроить имеющиеся блоки во вновь создаваемую конструкцию, при необходимости проведя доработку существующих технических механизмов и гармонизацию действующих организационно-распорядительных документов компании. Все решения по организации защиты персональных данных (управленческие, организационные, технические) должны иметь продуманный характер и приниматься с учетом мнения широкого круга специалистов заказчика и интегратора – руководителей, инженеров, юристов. Мы стараемся максимально использовать поле для маневра, предоставляемое законодательством. Практика показывает, что наилучший результат достигается тогда, когда учитываются все элементы обстановки, складывающейся вокруг защищаемого объекта.

 


Михаил Башлыков: Без решения организационных и юридических вопросов, решать технические вопросы невозможно


О ситуации на российском рынке в связи с предстоящим началом действия закона «О персональных данных» и взгляде компании КРОК на эту проблему рассказывает Михаил Башлыков, руководитель направления информационной безопасности компании КРОК.

Каков опыт компании КРОК в области защиты персональных данных? Когда вы начали работать в этом направлении?

Вопросами защиты конфиденциальной информации и, в том числе, персональных данных, мы занимаемся несколько лет, направление информационной безопасности в компании действует уже более 7 лет.  Поэтому  с ситуацией в области защиты персональных данных знакомы достаточно хорошо. Однако лишь некоторое время назад появились требования регулирующих организаций, позволяющие перейти к практическим шагам в реализации закона. С этого момента участники рынка начали составлять планы по приведению своих информационных систем в соответствии с положениями закона и выполнению ряда задач по этой тематике.

Можно ли говорить о том, что для большинства компаний работающих с большими объемами персональных данных, проблемы, связанные со вступлением в действие закона об их защите, скорее организационные, а не технологические?


Это комплексная задача. В ней есть и организационные, и юридические, и технические аспекты. Другое дело, что техническая составляющая в большинстве крупных корпоративных организаций, как правило, находится на достаточно высоком уровне. Большинство средств, перечисленных в требованиях закона, уже внедрены. Нужно только построить правильную структуру, провести инвентаризацию и классификацию своих информационных систем, разработать модель угроз и определить, какие дополнительные средства необходимо внедрить и провести аттестацию (если потребуется).
Что касается юридических и организационных вопросов, тут готовность имеет гораздо меньшую степень. На них нужно обратить особое внимание, разработать соответствующие процессы, подготовить необходимые документы. Собственно говоря, без решения организационных и юридических вопросов, решать технические вопросы невозможно.

Что бы Вы порекомендовали компаниям делать сейчас, когда до начала действия закона осталось полгода, а большинство из них заявляют, что не готовы работать по новым правилам?


Мы общаемся с регуляторами и видим с их стороны понимание, что не всем хватит времени, чтобы привести свои системы в полное соответствие с законом. Нужно здраво подойти к общим вопросам информационной безопасности. Провести классификацию и инвентаризацию систем обработки персональных данных, понять, где эти данные обрабатываются.
Затем - внедрить организационные меры защиты, прежде всего, четко определить порядок доступа к соответствующим информационным системам. Кто имеет доступ, к какой информации, на каких основаниях и т. п. Параллельно можно внедрять технические средства защиты этой информации, сертифицированные в соответствии с требованиями закона.

Какой Вы видите ситуацию после 1 января 2010 г.? Что изменится?

Я думаю, в общем, ничего не изменится. Нужно понимать, что у проверяющих органов не хватит сил, чтобы отработать сразу несколько сотен тысяч заявок. Мы поддерживаем связь с представителями Роскомнадзора, на который возложена функция проверок на соответствие предприятий требованиям закона о защите персональных данных. Их точка зрения такова, что если в компании не будет явных утечек информации и информационная безопасность обеспечивается на достаточно высоком уровне, больших проблем для такого предприятия возникнуть не должно. У Роскомнадзора есть план проверок на предстоящий период, который должен быть опубликован на сайте ведомства. Заинтересованные компании могут посмотреть, находятся ли они в этом списке и соответствующим образом подготовиться.
В любом случае компаниям нужно выстроить организационные процессы и здраво подходить к вопросу обеспечения информационной безопасности. Мы рекомендуем не откладывать


 

© 2008-2017, ООО "Гротек"

(495) 609-3231 (многоканальный)

ICQ-консультация по вопросам участия и партнерства

Ирина Сурина
Екатерина Кузьмина