Персональные данные: все еще впереди?!
Игорь Семенихин
заведующий кафедрой
информационной безопасности ЧОУ
"Институт информационных технологий
"АйТи", к.в.н., доцент
Itsec.Ru
Совершенно очевидно, что до конца текущего года большинство операторов персональных данных не успеют привести свои информационные системы в соответствие с требованиями закона. Причин и оправданий сложившейся ситуации можно найти множество, но основной является отсутствие достаточного финансирования и квалифицированных специалистов. В чем сходство и отличие ситуации конца 2009 г. и сегодняшней?
Для принятия решения необходимо проанализировать предполагаемый объем задач, наличие квалифицированных специалистов, финансовые возможности и предполагаемые мероприятия, которые, возможно, придется проводить. И уже после этого решать, можем ли все сделать сами или же придется привлекать интеграторов.
Ответ очевиден! Сделано много, но недостаточно! Вносились уточнения и дополнения в различные правовые и нормативные документы, нарабатывалась практика приведения информационных систем в соответствие с требованиями законодательства, появились готовые "коробочные" решения, эффективность которых, правда, еще предстоит проверить.
В то же время перенос сроков приведения информационных систем персональных данных в соответствие с требованиями федерального закона позволил многим нерадивым операторам находиться в относительной безопасности.
И сегодня мы вновь задаемся теми же вопросами, что были актуальны и в конце прошлого года. Давайте посмотрим, что помешало продвигаться в нужном направлении в течение года и что еще можно и нужно успеть сделать?
Препятствия на пути исполнения закона
Отвечая на вопрос, что мешает операторам исполнять требования закона, можно с уверенностью сказать, что основными причинами были и остаются:
- непонимание руководством коммерческих организаций и отдельных государственных учреждений актуальности проблемы;
- кадровый голод, то есть дефицит квалифицированных кадров либо полное их отсутствие;
- недостаточное финансирование работ по приведению ИСПДн в соответствие с требованиями законодательства;
- нечеткость и неоднозначность требований подзаконных актов и методических документов, регулирующих вопросы защиты персональных данных;
- недоверие к интеграторам со стороны операторов;
- отсутствие четко прописанной процедуры оценки соответствия ИСПДн требованиям законодательства в этой области.
Как преодолеть препятствия?
Давайте попытаемся разобраться, что же необходимо сделать? Во-первых, как доказать руководителю организации, что 152-ФЗ "О персональных данных" принят, действует, и поэтому выполнять его требования необходимо? Сразу хочу извиниться перед руководителями, которые понимают данную проблему и сами идут впереди, заставляя своих подчиненных выполнять требования законодательства в области обеспечения безопасности персональных данных. В данном случае речь идет не о них, а о тех руководителях, которые так и не озадачились вопросами необходимости обеспечения безопасности ПДн, зачастую несмотря на все усилия, предпринимаемые их собственными сотрудниками, как правило, специалистами в области IT и/или информационной безопасности. К сожалению, набор мер, призванных побудить указанных руководителей к действию, невелик:
- ужесточение уголовной и административной ответственности за невыполнение требований законодательства в рассматриваемой области;
- прямые указания вышестоящего руководства;
- осознание проблемы через собственный негативный опыт, да и то не всегда;
- обучение, знакомство с проблематикой и через это осознание и понимание.
Где равновесие между юридическими, организационными и программно-техническими решениями и что необходимо сделать в первую очередь? Одним операторам достаточно правильно организовать процесс обработки персональных данных и разработать недостающие организационные и распорядительные документы, другим необходимы существенные финансовые затраты. Однако провести обследование своих систем и понять, а что же конкретно требуется делать, необходимо уже сейчас. При этом хотелось бы уберечь операторов от пользования услугами недобросовестных интеграторов, предлагающих помочь искусственно занизить класс ИСПДн или еще как-то нарушить закон. Практика показывает, что лучше сразу строить свои системы защиты персональных данных, основываясь на худших для ИСПДн прогнозах, дабы не пришлось потом все переделывать.
Конкретные шаги
Успеем ли сделать все и в полном объеме? Вряд ли! Но многое возможно: во-первых, выполнить одно из основных требований закона и зарегистрироваться в реестре операторов, во-вторых, разработать соответствующие приказы и распоряжения, провести обследование ИСПДн, завести необходимые журналы, разработать положения, частные модели угроз безопасности персональных данных и провести классификацию эксплуатируемых ИСПДн.
Практика показывает, что лучше сразу строить свои системы защиты персональных данных, основываясь на худших для ИСПДн прогнозах, дабы не пришлось потом все переделывать.
Кто этим должен заниматься в организации и где граница между "все делаем сами", "все делают за нас" и "делаем вместе"?
Для принятия решения необходимо проанализировать предполагаемый объем задач, наличие квалифицированных специалистов, финансовые возможности и предполагаемые мероприятия, которые, возможно, придется проводить. И уже после этого решать, можем ли все сделать сами или же придется привлекать интеграторов. При этом независимо от принятого решения операторы и интеграторы только совместно, помогая и доверяя друг другу, смогут решить эту проблему. Заблуждаются те операторы, которые, заплатив деньги интегратору, считают, что все их проблемы решены. В конечном счете ответственность перед субъектами персональных данных всегда будет нести оператор. Аутсорсинг и помощь интеграторов – это хорошо, но не являются панацеей.
Отвечая на вопрос, возможен ли конструктивный диалог операторов с организациями-лицензиатами, можно с уверенностью сказать: да, возможен, и более того, он просто необходим. Для взаимовыгодного сотрудничества требуются:
- понимание проблемы руководством организации-оператора;
- наличие у оператора обученных, грамотных специалистов, назначаемых ответственными за обеспечение безопасности персональных данных;
- правильная организация работы этих сотрудников, выделение им времени на решение поставленных задач: зачастую эти обязанности приравниваются чуть ли не к общественной нагрузке;
- наличие финансовых ресурсов.
При этом интеграторам для конструктивного диалога необходимы:
- наличие готовых решений по созданию систем защиты персональных данных и успешно реализованных проектов;
- прозрачность и обоснованность затрат оператора;
- работа в команде с оператором, готовность учитывать специфику бизнес-процессов конкретной организации;
- простота и доступность решений;
- сотрудники, способные просто и доходчиво разъяснить представителям оператора, что, как, за какие деньги и в какие сроки они могут сделать.
И если у лицензиатов обязательность наличия обученных специалистов закреплена положениями о лицензировании отдельных видов деятельности, в частности Постановлением Правительства Российской Федерации № 504 от 15 августа 2006 г., то у операторов наличие таковых не является обязательным. Поэтому многие руководители ошибочно считают, что можно ответственными за обеспечение безопасности персональных данных назначать кого угодно.
Знание – сила!
Где подготовить таких специалистов? Этот вопрос рано или поздно встает перед руководством, и здесь образовательные учреждения предлагают широчайший выбор всевозможных курсов и программ повышения квалификации.
При этом многие авторские программы, где тематику и методику преподнесения материалов определяют сами образовательные учреждения, не всегда в полной мере отражают актуальность тех или иных проблем. Не всегда возможно достижение оптимального соотношения практики и теории. Зачастую в учебных учреждениях занятия проводят великолепные практики, не умеющие донести материал до слушателей. Другим перекосом является теоретизация обучения, когда великолепный лектор не всегда может прокомментировать отдельные проблемы, связанные с решением практических вопросов. Конечно же, истина где-то посередине. И здесь при поиске образовательного учреждения приходится прислушиваться к личному опыту руководителей, сотрудников, ответственных за обучение специалистов и, конечно же, самих специалистов, обучавшихся где-то ранее.
При выборе образовательных учреждений следует в первую очередь обращать внимание на следующее:
- наличие филиальной сети;
- наличие учебных программ, согласованных с ФСТЭК и ФСБ России;
- гибкость стратегии формирования комплексных авторских программ;
- возможность реализации программ различных форматов обучения (очное, очно-заочное, дистанционное);
- наличие программ авторизованного обучения;
- последующее предоставление консалтинговых услуг и прочие факторы.
При этом следует помнить, что времени, отводимого на обучение, не всегда бывает достаточно для полновесного освещения всего, что хотелось бы изучить. Тем более когда реализуются очно-заочные и дистанционные форматы проведения занятий.
Какую форму обучения выбрать – очную, очно-заочную или дистанционную, – будет зависеть от финансовых возможностей организации и временных показателей обучения. Конечно же, ничто не заменит живого общения с преподавателем, полноценной отработки практических и теоретических заданий, поэтому очное обучение является идеальным вариантом. В то же время нельзя отказываться и от прочих предлагаемых на рынке форм: очно-заочной и дистанционной.
К сожалению, опыт показывает, что при очно-заочной и дистанционной формах обучения время, выделяемое для самостоятельного изучения материалов, съедается необходимостью решать текущие задачи непосредственно на рабочих местах, что негативно сказывается на качестве подготовки специалистов.
Таким образом, что же выбрать: очное, очно-заочное или дистанционное обучение?
Ответ однозначен – все будет зависеть от объема средств, которые компания готова выделить на обучение, и целей, которых необходимо достичь. В целом любой из форматов лучше, нежели самодеятельность и вера в свой ничем не подтвержденный профессионализм.
Подводя итог всего вышесказанного, хочется отметить, что 1 января 2011 г. – это не тот срок, когда все остановится, начнутся жесткие проверки регуляторов и все, не успевшие привести свои ИСПДн в соответствие с требованиями законодательства, поймут, что они опоздали. Сложившаяся ситуация говорит о том, что все только начинается.
Опубликовано:
Журнал "Information Security/ Информационная безопасность" #6, 2010