Джабраил Матиев, руководитель направления защиты персональных данных по коммерческой части компании ReignVox
Постоянная работа с огромными массивами клиентских данных требует от банка любого формата постоянной работы в области защиты этих данных.
Именно поэтому тема информационной безопасности, а вместе с ней и тема доверия, является особенно актуальной в финансовом секторе. Более того, требование защитить любые персональные данные, входящие в структуру информационной системы современной финансовой компании является и законодательно обоснованным – федеральный закон №152 «О персональных данных» совершенно четко обязывает каждую компанию, обрабатывающую эти данные, провести их защиту в строго определенные сроки. Как новые, так и уже существующие информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства в срок до 1 января 2011 года. Учитывая столь строго обозначенные временные рамки, у организаций, обрабатывающих такую информацию, остаётся все меньше времени, чтобы выполнить требования закона.
С чего следует начинать работу по защите персональных данных? На какие сроки работ рассчитывать? Кому поручить проведение работ? Какова средняя стоимость проекта и как минимизировать затраты? Все эти вопросы являются актуальными сегодня для любой компании, ведущей бизнес в финансовом секторе. Экспертные ответы на них позволяет дать обширный опыт компании ReignVox в области защиты персональных данных в финансовых структурах.
Жизнь в режиме обратного отсчета
Федеральный закон № 152 «О персональных данных» вступает в полную силу с 1 января 2011 года – более полугода впереди до обозначенного законотворцами срока. Но не стоит поддаваться обманчивому впечатлению об избытке времени.
Во-первых, внедрение проекта, направленного на выполнение требований по защите персональных данных, требует от четырех до шести месяцев в зависимости от его сложности. Но и эта цифра не окончательна - сроки могут увеличиться до шести-восьми месяцев за счет того периода, который банк потратит на выбор достойного интегратора для разработки и ведения проекта. Проведение такого типа работ своими силами чревато для банка потерей объективности на стадии обследования и анализа, существующих в нем средств защиты, а также необходимостью изыскать для данной работы отдельные трудовые ресурсы. В этом случае следует помнить и о таких факторах, как наличие подготовленных по тематике защиты персональных данных специалистов, необходимого объема нормативно-методического обеспечения, свободных ресурсов под саму задачу защиты персональных данных. Практика показывает, что обычно всем этим требованиям в комплексе отвечают именно сторонние интеграторы.
Во-вторых, возвращаясь к теме сроков, поставленных законом «О персональных данных» перед операторами данных (а о том, что банки как раз и являются такими операторами, вопрос уже не стоит в принципе), что бы там ни говорили об их «перенесении», первые проверки регуляторов уже имеют место быть. Вывод - вполне логичен: актуальность проблемы не просто сохранилась, она в разы возросла, и её решение становится насущной необходимостью.
«А ларчик просто открывался…»
Вокруг задачи по приведению ИСПДн в соответствие с положениями закона «О персональных данных» на протяжении последнего времени ведутся активные дискуссии, итог которых сводится в основном к одному: решение данной задачи весьма проблематично в силу совокупности её организационных и правовых особенностей. Такой вывод не вполне верен: практика применения требований по защите персональных данных, появившаяся в течение первого квартала 2010 года (в том числе и в банковской сфере), подтверждает понятность и интерпретируемость требований, предъявляемых к ИСПДн. Их формулирование, выполнение и документальное подтверждение последнего с минимальным риском каких-либо ошибок не столько сложно в своей реализации, сколько важно с точки зрения безопасности банковского бизнеса. Ещё более упрощает задачу возможность перепоручить её стороннему интегратору, чьи специалисты максимально оперативно и профессионально выполнят проект по защите персональных данных с учетом индивидуальных особенностей банковского бизнеса.
Таким образом, первоочередной задачей становится выбор компании-интегратора, которой и будет решено доверить ведение проекта.
«Типовой» = «Эксклюзивный»?
Такой знак равенства между данными взаимоисключающими друг друга понятиями имеет право на существование. Данное утверждение подкрепляется практическим опытом уже завершенных компанией ReignVox успешных проектов по защите персональных данных.
С одной стороны, каждый такой проект включает в себя стандартное количество этапов: этап обследования информационных систем персональных данных, этап проектирования системы защиты персональных данных, этап внедрения СЗПДн, этап оценки соответствия ИСПДн требованиям закона и этап поддержки созданной системы. Причем оценка соответствия ИСПДн, как этап, носит необязательный характер и проводится по усмотрению компании-заказчика. Равно как и этап поддержки созданной системы.
Типичность обычно заканчивается на первом этапе (этапе обследования информационных систем), так как именно он позволяет выявить и описать те требования, которые будут предъявлены в дальнейшем к системам. И эти параметры уже индивидуальны и ориентированы на каждого конкретного заказчика, оптимизированы в соответствии с его потребностями.
В ходе данного обследования анализируются информационные ресурсы, типовые решения, применяемые при построении IT-инфраструктуры, информационные потоки персональных данных, имеющиеся системы и средства защиты информации.
На этом же этапе разрабатывается модель угроз и нарушителя безопасности ПДн, оценивается необходимость обеспечения безопасности ПДн в ИСПДн с использованием криптосредств.
Классическая схема проведения второго этапа включает в себя аудит нормативной базы и оценку её соответствия требованиям регуляторов. Его итогом становится разработка недостающих внутренних документов, а также разработка технического задания на разработку СЗПДн. На этом же этапе интегратор приступает к непосредственной разработке комплекса мероприятий по защите информации.
По окончанию этого этапа банк уже вполне способен успешно пройти проверку одного из регуляторов.
Суть третьего этапа сводится к внедрению систем и настройке существующих средств защиты. После тестирования, в случае необходимости, производится доработка комплекса технических и программных средств.
На каждом из описанных этапов перед компанией ReignVox, как перед интегратором, встают различные дополнительные задачи, обусловленные спецификой бизнеса, который ведет компания-заказчик ее размерами, инфраструктурой, активностью бизнес-процессов и многими другими пунктами. И из множества таких составляющих каждый раз складывается новая, индивидуально адаптированная концепция проекта по защите персональных данных.
«…и овцы целы»
Минимизация расходов, оптимизация бюджета, экономия – какое словосочетание ни подбери, суть останется одной – рациональный подход к использованию денежных ресурсов – именно он является вторым краеугольным камнем успешности финансовой структуры (после доверия, конечно же). А посему, стремление по возможности сократить расходы не в ущерб информационной безопасности является закономерным и вполне достижимым.
Стоимость среднестатистического типового проекта по созданию системы защиты персональных данных для банковской структуры составляет порядка 1,5 млн. руб. При расчете данной суммы учитывается и ряд принципов, следование которым позволяет сократить бюджет на создание системы защиты персональных данных.
В первую очередь мы стремимся максимально сохранить уже существующую в организации ИТ-инфраструктуру. Обычно говорят о двух полярных сценариях защиты ПДн. Первый – коренная переделка всех ИСПДн, а второй – формальный, заключающийся лишь в выпуске внутренних нормативных документов, без внесения каких-либо изменений в ИСПДн. Мы считаем оптимальным третий вариант, заключающийся именно в сохранении действующей ИТ-инфраструктуры банка, сопровождающейся видоизменением некоторых её элементов, добавлением новых, необходимых для обеспечения соответствия законодательству.
В данном случае речь идет о первом принципе, основанном на максимальном использовании существующих средств защиты информации при проектировании систем защиты информации. Средства защиты в любой компании применяются независимо от необходимости защиты персональных данных, это и системы антивирусной защиты, и встроенные средства контроля доступа операционной системы, и межсетевые экраны и многие другие средства. Поэтому максимальное количество требований закрывается существующими средствами защиты. И только в том случае, если какие-то требования не удовлетворяются текущими средствами защиты, необходимо закупить и внедрить дополнительные.
Второй принцип - принцип экономичного логического структурирования информационных систем персональных данных. Следуя этому принципу, в рамках внедрения проекта по защите персональных данных в банке, экономически обоснованным становится объединение нескольких систем, находящихся в одном помещении, в одну, в сочетании с понижением класса некритичных сегментов. Таким образом, создается ИСПДн «Центр обработки данных», защита в котором обеспечивается по периметру. Это позволяет в значительной мере минимизировать затраты на разделение потоков в рамках различных систем.
Принцип третий - защищаться только от актуальных угроз. При этом актуализация угроз описывается в обязательном для специальных систем документе, называющемся «Модель угроз». При актуализации угроз отбрасываются те из них, чья вероятность низка, а ущерб при реализации – невелик.
При условии использования уже отработанных методик, задача по приведению ИСПДн любого банка в соответствие с требованиями законодательства в срок до 1 января 2011 года полностью реализуема. Для максимальной успешности внедрения подобных технологий в банковской сфере, все же необходимо помнить о комплексном подходе к работе над проектом. В данном случае имеется ввиду организация совместной работы специалистов самых различных подразделений – специалистов по IT-технологиям, по информационной безопасности и по управлению проектами, финансистов, юристов – гарантирующих соблюдение необходимого сбалансированности общего подхода к защите критичных данных в рамках финансовой структуры.
Справка: ReignVox – российская компания, специализирующаяся на инновационных проектах и разработках в области информационных технологий и обеспечении их информационной безопасности.
Целью создания компании является оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.
ReignVox является членом межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным членом «Инфокоммуникационного союза» (Infocommunication Union), а также членом Ассоциации региональных банков России.
Компания ReignVox обладает значительным опытом успешной реализации проектов по защите персональных данных в крупных коммерческих банках. В числе её клиентов НОТА-Банк, Внешэкономбанк, «ЦентроКредит», «Темпбанк», «Альта-Банк» и др.
