Время разговоров о необходимости защиты персональных данных, применимости норм закона к тем или иным организациям и предприятиям, их информационным системам и конкретным приложениям постепенно закончилось. Правительством Российской Федерации и государственными регулирующими органами определен порядок классификации информационных систем персональных данных, сформированы конкретные технические требования к соответствующим классам систем, установлен порядок уведомления уполномоченного органа об обработке персональных данных, уточняется система мер ответственности за неисполнение норм Федерального закона «О персональных данных». Появилась практика правоприменения законодательства и привлечения к ответственности нарушителей.

Между тем, до 1 января 2010 г. — дня, к которому информационные системы персональных данных должны быть приведены в соответствие требованиям Федерального закона, остался всего год с небольшим. Этого времени для проектирования и ввода в эксплуатацию подсистемы информационной безопасности катастрофически мало. Тем, кто не стартовал, надо срочно начинать очень интенсивную работу или уповать, что государственный контроль и надзор обойдут стороной их компанию. Для тех, кто собирается все-таки строить систему защиты персональных данных, в данной статье приводятся практические советы, сформированные по результатам первых выполняемых нашей компанией проектов по приведению систем, обрабатывающих персональные данные, в соответствие требованиям регуляторов.

Масштаб бедствия

С чего начинать? Что конкретно и в какой последовательности делать? Каковы примерные этапы, трудоемкость и стоимость работ, необходимых для реализации требований средств защиты информации? Без получения ответов на базовые вопросы начинать работу бесполезно. Это все равно, что строить дом без проекта, плана, закупленных материалов и необходимых навыков строительства. Помните эпохальную стройку кума Тыквы в «Чиполлино» Дж. Родари?

Процесс, связанный с приведением порядка обработки персональных данных в соответствие требованиям законодательства, можно разбить на 14 этапов (см. табл).

Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других.

Учитывая состав читателей журнала, далее сделаем акцент на вопросах, связанных с инфокоммуникационной системой, а об остальных мерах будем упоминать лишь в той степени, в какой они влияют на информационные технологии.

Всеобщая перепись

Инвентаризация информационных ресурсов — дело крайне полезное само по себе. Знать, сколько и какие в системе серверы, какие приложения на них работают, кто имеет к ним доступ и кто, собственно, управляет конкретным ресурсом, необходимо как с точки зрения организации бизнес-процессов, так и с точки зрения обеспечения безопасности.

Работы, которые мы выполняли для наших заказчиков после принятия закона о персональных данных, показывают, что приложений, обрабатывающих персональные данные, в информационной системе значительно больше, чем полагали ее владельцы. Среди них есть те, которые принимались на эксплуатацию установленным в организации порядком, а есть и такие, которые в перечне ресурсов не числятся, а установлены (и даже написаны!) пользователями самостоятельно.

Для абсолютного большинства крупных компаний и организаций, работающих в России, практически обязательными стали программы бухгалтерского учета, обрабатывающие сведения о заработной плате работников, налоговых и пенсионных отчислениях, социальных льготах, добровольных платежах (например, негосударственное пенсионное страхование) и платежах принудительных (в частности, алименты).
Почти у всех серьезных компаний есть автоматизированные системы кадрового учета, специализированные или являющиеся частью ERP-систем отечественного и зарубежного производства.

В зависимости от особенностей деятельности в различных организациях и на предприятиях появляются специфические системы, обрабатывающие персональные данные — автоматизированные банковские системы, в которых ведутся базы данных клиентов-вкладчиков, абонентские базы и биллинговые системы операторов связи с данными о клиентах — физических лицах и работниках клиентов — юридических лиц, базы страховых компаний, коллекторских агентств и бюро кредитных историй с данными о гражданах, электронные амбулаторные карты в медицинских учреждениях и т. д.

Все это системы, обслуживающие основные бизнес-процессы, или системы, созданные для автоматизации работ, предусмотренных законом для любого работодателя. Главных проблем две.

Первая состоит в том, что ни одна их них не создавалась как информационная система персональных данных, и, естественно, никто не задумывался на этапе разработки о реализации требований безопасности, выдвинутых в течение последнего года. Кстати, пока каких-либо изменений, связанных с реализацией требований законодательства, на рынке информационных систем не заметно. Ни один из производителей приложений, обрабатывающих сведения о физических лицах, которые подпадают под положения Федерального закона, не заявил о реализации требований безопасности, предусмотренных Постановлением Правительства РФ № 781-2007. Между тем, в указанном постановлении четко определено, что «работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем». Кроме того (цитирую то же постановление), «программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Видимо, не почувствовав снижения спроса после вступления в силу закона, разработчики программных средств решили переложить всю тяжесть реализации мер защиты на конечных пользователей систем.

Вторая проблема заключается в том, что практически нигде не существуют информационные системы персональных данных (ИСПДн) в чистом виде.

Федеральный закон определяет, что ИСПДн представляет собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без них.

В жизни же мы сталкиваемся с огромной гетерогенной территориально-распределенной инфокоммуникационной системой без четко выраженного периметра, в которой среди прочих категорий обрабатываются и персональные данные. Если сегмент бухгалтерии еще можно выделить в самостоятельный VLAN, отгородив его от остальной сети межсетевым экраном и, таким образом, четко обозначить границы ИСПДн, то провести такую работу в отношении HR-модуля (модуля учета кадров) ERP-системы невозможно. Поэтому предусмотренные регуляторами требования придется выполнять в отношении практически всей сети предприятия. А это другие деньги и другие средства.

Перечень информационных систем, обрабатывающих персональные данные, указанными системами отнюдь не ограничивается. Нередко при инвентаризации ресурсов специалисты ИТ-подразделения и службы информационной безопасности с удивлением обнаруживают, что персональные данные обрабатываются и в массе других приложений (по опыту выполняемых нашей компанией проектов — от 20 до 30 в крупной компании). Есть эти категории сведений в CRM-системах (о клиентах — физических лицах и представителях клиентов — юридических лиц), в OSS-/BSS-системах (о специалистах и контактных лицах контрагентов), в бюро пропусков (о посетителях), на рабочих станциях структурных подразделений, ведущих работу с письмами и жалобами граждан, и т. д. Заполненные карточки в адресных книгах почтовых систем — это тоже, строго говоря, часть ИСПДн.

И каждую такую систему надо выявить, составить для нее перечень персональных данных, разграничить и документально оформить доступ, классифицировать и защитить.

Учитывая специфику издания, не будем останавливаться на вопросах законности обработки персональных данных и внесения изменений в договора с гражданами и контрагентами. Отметим лишь, что передача персональных данных третьим сторонам, в том числе в информационных системах, допустима лишь в случаях, предусмотренных законом. Особое место здесь занимает проблема трансграничной передачи в связи со ставшим в последнее время модным хостингом серверов приложений на территориях иностранных государств.

Перечни и сроки обработки

Так уж у законодателей получилось, что ни в одном из нормативных документов нет требования о формировании перечня персональных данных, как, например, для другой категории сведений конфиденциального характера — коммерческой тайны.

Тем не менее, статьи 9 и 14 Федерального закона «О персональных данных» гласят:

• письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя… перечень персональных данных, на обработку которых дается согласие субъекта;
• субъект персональных данных имеет право на получение… информации, касающейся обработки его персональных данных, в том числе содержащей… перечень обрабатываемых персданных и источник их получения.

Требования эти, в общем-то, справедливые, иначе как определить, что обрабатывается в системе и на основании чего?

Сформировать перечень было бы логично на основании требований, в соответствии с которыми создается то или иное приложение, обрабатывающее персональные данные.

Так, если речь идет о кадровой системе, в ней к персональным данным логично отнести сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004 № 1. А если мы говорим о системе продажи авиационных или железнодорожных билетов, то к сведениям, предусмотренным правилами продажи билетов (ФИО, номер паспорта пассажира), надо добавить дату его рождения, фиксирование которой при пассажироперевозках предусмотрено Федеральным законом о транспортной безопасности.

Перечень персональных данных для популярных в последнее время систем лояльности клиентов должен включать контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. В этом случае на обработку потребуется подтверждаемое согласие клиента.

Исходя из требований трудового, гражданского (исковая давность), пенсионного законодательства, а также законодательства о безопасности определяются и сроки обработки персональных данных. Для карточек Т-2, например, это 75 лет, а для сведений о предоставленных абоненту услугах связи — 3 года (Постановление Правительства 2005 г. № 538).

Определение таких сроков крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».

Доступ и допуск

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в информационной системе. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного оператором или уполномоченным лицом.

Но сам по себе утвержденный список для информационной системы мало что значит. Важно обеспечить разграничение доступа к приложениям в соответствии со списком и дать пользователям именно те права, которые им необходимы для выполнения должностных обязанностей. Сделать это без эффективной системы управления идентификацией и доступа (IAMS) будет весьма затруднительно.

Наряду с собственно разграничением доступа в ИСПДн должны быть реализованы мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, которые не имеют права доступа к такой информации, кроме того, обеспечивающие своевременное обнаружение фактов несанкционированного доступа к персональным данным. Все запросы пользователей ИСПДн на получение персональных данных и факты предоставления персональных данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений, содержание которого должно периодически проверяться ответственными лицами оператора.

Многие приложения, обрабатывающие персональные данные, управление доступом вообще не поддерживают, средств логирования запросов и получения по ним отчетов не имеют. Значит, придется использовать внешние средства, которые в этом случае должны рассматриваться как средства защиты информации и, следовательно, пройти процедуру оценки соответствия, проще говоря, сертификацию во ФСТЭК или ФСБ. Для некоторых зарубежных продуктов это может стать непреодолимым барьером.

Модель угроз и классификация ИСПДн

От результатов актуализации модели угроз и присвоенного ИСПДн класса зависят состав и стоимость работ по защите информации. Классификацию оператор персональных данных должен осуществить самостоятельно, а модель угроз создать не исходя из своего опыта и здравого смысла, а на основании базовой модели, утвержденной ФСТЭК и по методике того же ведомства. От того, типовая у вас система или специальная, какие требования вы к ней выдвигаете, зависит, какие конкретно средства защиты придется использовать для обеспечения безопасности. Кстати, при классификации различных систем неизбежно выявится целый ряд факторов, влияющих на построение подсистемы информационной безопасности. Например, если в электронной справочной системе используются цифровые фотографии работников, такая система будет обрабатывать уже и биометрические данные. Если кроме фамилии, имени и отчества работников, их должности и номеров телефонов в справочнике указывается и дата рождения, велика вероятность того, что ИСПДн придется признать содержащей дополнительную информацию о субъекте и отнести к классу 2, а не 3.

Если в приложении вместо фамилии, имени и отчества использовать некий идентификационный код (номер лицевого счета клиента, табельный номер работника и т. п.), такая система будет уже обрабатывать обезличенные персональные данные, требования к защищенности которых минимальны.

Оптимизация состава и формы представления данных в информационных системах может в дальнейшем оказать существенное влияние на модернизацию подсистемы безопасности или ее проектирование, выбор средств защиты и общую стоимость работ.

Строим систему защиты

Общие требования безопасности ИСПДн определены в законе. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Защитные механизмы в значительной степени уточнены в постановлении Правительства 2007 г. № 781. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК и ФСБ.

Необходимо подчеркнуть, что требований этих достаточно много, и они весьма жесткие. Так, для ИСПДн класса 2 они в основном (но не полностью) повторяют требования по предотвращению несанкционированного доступа для многопользовательских автоматизированных систем класса 1Г, а для ИСПДн класса 1 — для АС класса 1В. Выдвигаются и дополнительные требования, которых в руководящих документах ФСТЭК ранее не было, например по уровню защищенности межсетевых экранов, функциональности систем выявления вторжений, противодействия программно-математическим воздействиям и др.

Конкретные механизмы защиты и их функционал в рамках данной статьи рассмотреть не представляется возможным, отметим лишь, что обладатели информационных систем класса 1 и 2 должны будут впоследствии провести валидацию выполнения требований путем аттестации или сертификации ИСПДн, так что уклонение от реализации каких-либо из предъявляемых требований будет чревато проблемами при проведении аттестационных испытаний.

Важно понимать, что в силу изложенных причин защищать придется всю информационную систему предприятия или, в лучшем случае, сегменты, разграниченные сертифицированными межсетевыми экранами. Строить подсистему безопасности необходимо не с нуля, а интегрируя в существующую систему дополнительные средства защиты, что существенно усложняет задачу как проектирования, так и внедрения. Для функционирования защитных механизмов могут потребоваться дополнительные вычислительные мощности, более высокая пропускная способность сетевого оборудования и каналов передачи данных, мониторинг и обслуживание новых подсистем и средств.

В заключение хотелось бы еще раз подчеркнуть, что работа по обеспечению безопасности обработки персональных данных — длительная, затратная и сложная, требующая специальных знаний и навыков, материальных средств и подготовленных специалистов. В этих условиях неизбежно возрастает значение аутсорсинга информационной системы как при проектировании и вводе в эксплуатацию средств и систем защиты информации, так и на этапе ее сопровождения, в том числе с использованием современных средств, например центров управления безопасностью (SOC).

Мнение эксперта

Алексей Липатов, технический руководитель направления отдела информационной безопасности компании «Открытые Технологии»

Безусловно, проблема организации системы защиты персональных данных, отвечающей требованиям законодательства РФ, актуальна для большинства компаний. Это связано с тем, что среди всех рисков, имеющих отношение к регуляторам, негативные последствия для бизнеса в случае допущения грубых нарушений в вопросе защиты персональных данных (ПДн) могут быть крайне тяжелыми, включая административное приостановление деятельности организации на срок до 90 суток. Одним из способов снижения подобных рисков может стать построение эффективно функционирующей системы обеспечения безопасности ПДн на основе нормативно-методических документов ФСТЭК России и ФСБ России. О чем, на наш взгляд, нужно помнить при внедрении системы обеспечения безопасности? В первую очередь, о необходимости реализации комплексного подхода. Система обеспечения безопасности ПДн должна представлять собой совокупность процессов ИБ, персонала, технических и программных средств защиты информации. При этом она должна интегрироваться с системами обеспечения ИБ корпоративной ИС, а подходы к ее реализации в максимально возможной степени — базироваться на единой политике компании в сфере защиты информации. В зависимости от установленного класса защищенности ИС, обрабатывающей ПДн, требуется использование сертифицированных ФСТЭК/ФСБ России средств защиты информации: межсетевых экранов, шифровальных средств, средств защиты от несанкционированного доступа (НСД). Для ИС первого и второго классов защищенности, кроме того, необходимы средства защиты от утечки информации по каналам побочных электромагнитных излучений и наводок.

Требования по аттестации ИС актуальны для тех компаний, в которых автоматизированная обработка ПДн осуществляется в ИС первого и второго классов защищенности. Аттестация проводится с привлечением внешнего аудитора — организации, имеющей аттестат аккредитации органа по аттестации, выдаваемый ФСТЭК России. Лицензия на осуществление деятельности по технической защите конфиденциальной информации должна быть получена компаниями, имеющими ИС первого или второго класса либо распределенную ИС третьего класса, в тех случаях, когда мероприятия по защите ПДн реализуются непосредственно компанией без привлечения подрядных организаций.

Николай Федотов, главный аналитик компании InfoWatch 

Неприличная болезнь

В сфере ИБ есть такая «деликатная» проблема, похожая на, скажем, болезнь уретрит, о которой не везде будет прилично говорить. При защите персональных данных эта неудобная проблема проявляется во всю силу. Называется она «отрыв управления ИБ от ИБ». Предпосылки болезни следующие.

Во-первых, «отцы и дети». В сфере ИТ не просто традиционный конфликт поколений, но их РАЗРЫВ: младшее (родившееся после 1970 г.) не представляет своего существования без информационных технологий, старшее (появившееся на свет раньше 1970 г.) — не имеет возможности их освоить. Пальцы под клавиатуру еще гнутся, а вот мозги под TCP/IP — уже нет. Старшим нет доступа в «технари», младшим никто не собирается давать доступ в «начальники». Соответственно, управляющие и управляемые не разумеют не только друг друга, но и предмет, которым занимается другая сторона.

Во-вторых, информационная безопасность в значительной мере «изподпалочная» (не только в нашей стране, кстати). Реальные риски ИБ (утрата данных, разглашение конфиденциальной информации, остановка веб-сервера) не слишком велики в денежном исчислении. Риски бюрократические (нарушение авторских прав, отзыв лицензии, проигрыш тендера) их значительно превышают. Иными словами, для бизнеса не так важно быть, как казаться. Если стоит выбор «шашечки или ехать», иметь все необходимые бумажки или быть реально защищенным (а такая альтернатива существует), то прагматичный руководитель неизбежно отдаст предпочтение первому.

Вследствие названных причин безопасность зачастую живет сама по себе, а все управление ею (руководство, процедуры, приказы, сертификация, лицензии, техзадания, проекты и отчеты), подобно пузырю, отрывается от основы, замыкается на себя и парит — красивое и самодостаточное.

В сфере защиты персональных данных отрыв ИБ от управления ИБ не просто актуален, а проявляется с особым цинизмом в силу того, что здесь нарушение конфиденциальности реального ущерба нанести не может в принципе.

По чужим персональным данным в России подложный кредит не получишь. За разглашение таких данных суд миллионную компенсацию не присудит.

Поэтому некоторые консультанты советуют для защиты ПД на дополнительную технику, программы и специалистов вообще не тратиться, а просто обложиться в нужных местах правильными бумагами с солидными печатями. И это называют достаточной защитой.

Сергей Груздев, генеральный директор компании Aladdin Software Security R.D.

Основные тенденции рынка средств аутентификации

Главным достижением я бы назвал появление четкого понимания того, что аутентификация представляет собой важнейший элемент информационной безопасности. Без ответа на вопрос «Кто пытается получить доступ к информационным ресурсам?» ни о какой безопасности вести речь нельзя. И рынок это понял, во всяком случае, корпоративные заказчики и государственные организации. Осознание данного факта послужило катализатором дальнейшего развития всего рынка — потребность порождает спрос. Российский заказчик средств информационной безопасности сегодня не тот, что прежде: он четко знает, что ему надо, в частности, благодаря высокому уровню компетенции штатных ИБ-специалистов. Обозначившийся системный подход к решению проблемы аутентификации среди крупных заказчиков обусловил спрос на полноценные инфраструктурные решения для безопасного доступа к информационным ресурсам. Бизнес начинает понимать, что информация — такой же актив предприятия, как здания, станки или компьютеры. Мир изменился, а с ним и угрозы, прежде всего в результате размытия границ офисной сети и шире — офисного пространства.

Важная тенденция последних лет — активизация позиции государства как регулятора рынка. Посредством ряда инициатив выдвинуты требования к участникам рынка, определены правила игры. За два года структура продаж качественно изменилась: если раньше сертифицированные продукты составляли 15%, то теперь на их долю приходится 65%. Это очень существенная разница. Мы вышли на качественно новый уровень — стали очень плотно взаимодействовать с крупнейшими инфраструктурными заказчиками: Пенсионным фондом, Министерством финансов, ФНС, ФТС и т. д. Это требует других навыков и компетенций и, конечно, продуктов, отвечающих запросам регулятора. И сегодня компании, отвечающие этим требованиям, есть, о чем свидетельствует тот факт, что ежегодно на протяжении четырех лет рынок средств аппаратной аутентификации ежегодно удваивается.

Мощной тенденцией сегодняшнего дня является переход к использованию приложений со встроенной подсистемой поддержки PKI. Широкое распространение технологий PKI открывает новые перспективы для развития электронного документооборота и защищенных сервисов (в том числе ЭЦП) на территории нашей страны. Особенно важен переход PKI к массовому использованию в свете реализации ряда государственных программ и обеспечения необходимого уровня ИБ в органах госвласти в целом. Мы надеемся, что в ближайшее время будут предприняты конкретные шаги со стороны государства для создания интегрированной инфраструктуры удостоверяющих центров РФ, которая, в свою очередь, даст стимул для еще более широкого применения технологий на базе PKI в нашей стране.