ReignVox — российская компания, специализирующаяся на инновационных проектах и разработках в области информационных технологий и обеспечении их информационной безопасности.

Целью создания компании является оказание услуг по обеспечению защиты персональных данных в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 и построению комплексных систем защиты информации.

ReignVox является членом Межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированным членом Инфокоммуникационного союза (Infocommunication Union), а также членом Ассоциации региональных банков. Компания обладает необходимыми лицензиями ФСТЭК России и ФСБ РФ для проведения комплекса работ по технической защите информации, в том числе с применением средств криптографической защиты.

Компания ReignVox успешно реализовала ряд проектов по защите ПДн. Наиболее значимыми среди них являются отраслевой проект по защите персональных данных операторов сотовой связи, проекты для телекоммуникационных компаний (ОАО «ВымпелКом», ОАО «МегаФон»), крупных коммерческих банков (ОАО «НОТА-Банк», Внешэкономбанк, ЗАО АКБ «ЦентроКредит» и др.), Научно-исследовательского института ревматологии РАМН , компании Zepter International, группы компаний HeadHunter и др.

В наше время сама проблема эксклюзивного владения информацией и сохранения ее конфиденциальности давно уже перешагнула границы философии и прочно обосновалась в сфере ИТ. Что и не удивительно: более чем значительная часть всех возможных сегодня общественных процессов (включая и коммерческие) не может быть жизнеспособной без использования информационных технологий.

Приоритетность проектов по защите персональных данных является практически аксиомой среди прочих принципов успешного ведения бизнеса. Более того, требование защитить любые персональные данные, входящие в структуру информационной системы современной компании, является законодательно обоснованным: Федеральный закон №152 «О персональных данных» совершенно четко обязывает каждую компанию, обрабатывающую эти данные, провести их защиту в строго определенные сроки. Как новые, так и уже существующие информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства в срок до 1 января 2011 года. С учетом строго обозначенных временны,х рамок, у организаций, обрабатывающих такую информацию, остается все меньше времени, чтобы привести свои информационные системы в соответствие с Федеральным законом. О сложностях, с которыми сталкивается любая компания в процессе приведения своих информационных систем персональных данных в соответствие с требованиями ИБ, рассказывает руководитель направления защиты персональных данных компании RеignVox Джабраил Матиев.

Кесарю кесарево, или о пользе профессионализма

— Федеральный закон № 152 «О персональных данных», как известно, вступает в полную силу с 1 января 2011 года. Практически год впереди: что дает такая отсрочка операторам персональных данных? Означает ли это, что работы по приведению информационных систем в соответствие с требованиями регуляторов можно вывести из списка первоочередных?

— Такой подход в корне неверен. Впечатление о том, что еще год впереди до обозначенного времени «Ч», обманчиво. Во-первых, внедрение проекта, направленного на выполнение требований по защите персональных данных, занимает от четырех до шести месяцев в зависимости от его сложности. Я бы увеличил эти сроки до шести-восьми месяцев, включив и тот период, который компания потратит на выбор достойного интегратора для разработки и ведения проекта.

Во-вторых, что бы там ни говорили об «отодвинутых» сроках, первые проверки регуляторов уже имеют место быть. Вывод вполне логичен: актуальность проблемы не просто сохранилась, она в разы возросла, и откладывать ее решение в долгий (или не очень долгий) ящик однозначно не стоит.

— Не является ли ключевым фактором в подобном «оттягивании» момента старта работ именно их сложность?

— Отнюдь. Практика применения требований по защите персональных данных, появившаяся в течение первого квартала 2010 года, показывает, что требования, предъявляемые к ИСПДн, достаточно понятны и легко интерпретируемы. Стремление регуляторов к сотрудничеству в части формирования требований по защите персональных данных к информационным системам различных отраслей делает возможным сформулировать требования, выполнить их и документально подтвердить последнее с минимальным риском каких-либо ошибок. Этот процесс не столько сложен в своей реализации, сколько важен с точки зрения безопасности бизнеса. По своей сути проект по защите персональных данных — вполне типовой, наряду с внедрением таких стандартов, как PCI DSS, ISO 27001 и др. Еще более упрощает задачу возможность перепоручить ее стороннему интегратору, чьи специалисты способны максимально оперативно и профессионально выполнить проект по защите персональных данных с учетом индивидуальных особенностей бизнеса компании-клиента. Таким образом, первоочередной задачей становится выбор компании-интегратора, которой и будет доверено ведение проекта. А та самая «сложность», о которой вы упомянули, заключается именно в необходимости сделать правильный выбор в пользу высококвалифицированных специалистов.

— Столь ли обязательным оказывается привлечение сторонних организаций к работам в области проектирования систем безопасности данных?

— Можно, конечно, полностью провести работы своими силами. Но, во-первых, на этапе обследования и анализа существующих в компании средств защиты информации сторонние эксперты оказываются более объективными. Во-вторых, принимая такое решение, следует помнить о наличии подготовленных по тематике защиты персональных данных специалистов, необходимого объема нормативно-методического обеспечения, свободных ресурсов под саму задачу защиты персональных данных и соответствующих лицензий ФСТЭК России. Практика показывает, что обычно всем этим требованиям в комплексе отвечают именно сторонние интеграторы.

В стране типовых проектов…

— Сегодня мы привыкли к слову «типовой»: дома, построенные по типовым проектам, мебель и одежда, созданные по стандартным дизайнам, еда, приготовленная по базовым рецептам. Стандартность, базовость, типичность везде и во всем. Есть ли типовой проект ИСПДн?

— Он и есть, и в то же время его нет. С одной стороны, каждый такой проект включает в себя стандартное количество этапов. Обычно их три: этап обследования информационных систем персональных данных, этап проектирования системы защиты персональных данных, этап ее внедрения. Стандартность и типичность обычно заканчивается на первом этапе, так как именно он определяет задачи, которые будут решаться на следующих стадиях. И эти задачи уже индивидуальны и ориентированы на каждого конкретного заказчика, оптимизированы в соответствии с его потребностями.

— Но этапы-то все-таки есть. И их строго три…

— Да, этапы есть. И их три. Более того: каждый из этих этапов может быть описан с точки зрения его структуры и особенностей с учетом имеющегося у нас опыта работы.

Сначала проводится полное обследование информационных систем. Я бы назвал этот этап самым важным, так как именно он позволяет нам выявить и описать те требования, которые будут предъявлены к системам. В ходе обследования анализируются информационные ресурсы, типовые решения, применяемые при построении ИТ-инфраструктуры, информационные потоки персональных данных, имеющиеся системы и средства защиты информации.

На этом же этапе разрабатывается модель угроз и нарушителя безопасности ПДн, оценивается необходимость обеспечения безопасности ПДн в ИСПДн с использованием криптосредств.

Второй этап — проектирование — включает в себя два концептуальных направления. Первое — аудит нормативной базы и оценка ее соответствия требованиям регуляторов. Результатом обычно становится разработка недостающих внутренних документов, а также формирование технического задания на разработку СЗПДн. Вторым направлением работ является непосредственная разработка комплекса мероприятий по защите информации. По окончании этапа проектирования компания-заказчик получает необходимый перечень документов, включающий в себя техническое задание на СЗПДн для каждой ИСПДн заказчика, документацию по вопросам обеспечения безопасности ПДн, документацию по способам управления безопасностью ПДн и контроля эффективности защиты, регламенты безопасного взаимодействия с внешними системами.

Опыт показывает, что по окончании данного этапа компания-заказчик уже вполне готова к тому, чтобы успешно пройти проверку одного из регуляторов.

Суть этапа внедрения СЗПДн сводится к вводу в действие систем и настройке существующих средств защиты. Если разложить его на хронологические подэтапы, то первым окажется ввод в опытную эксплуатацию СЗПДн в ИСПДн, позволяющий объективно оценить работоспособность средств защиты информации в составе ИСПДн. После тестирования, в случае необходимости, производится доработка комплекса технических и программных средств.

— «Типовой проект — он есть, и в то же время его нет» — ваши слова. Каким же образом это происходит?

— На каждом из описанных этапов перед нами, как перед интегратором, встают различные дополнительные задачи, обусловленные спецификой того бизнеса, который ведет компания-заказчик, ее размерами, инфраструктурой, активностью бизнес-процессов и многими другими пунктами. И из множества таких «пазлов» каждый раз складывается новая, индивидуальная конфигурация проекта по защите персональных данных для каждой конкретной организации.

В поисках ложки дегтя

— Не могу не задать вопрос, касающийся   проблем, с которыми приходится сталкиваться на различных стадиях работы. Можно ли выделить наиболее частые?

— Использование самого слова «проблема» мне кажется чрезмерным: в процессе работы над проектами наших клиентов возникают не проблемы, а скорее нюансы, тонкости и — иногда — сложности. Но они решаются в рабочем порядке.

Например, на этапе обследования часто приходится сталкиваться с тем, что в компаниях существует масса недокументированных процессов или систем. В структурных подразделениях не всегда находятся сотрудники, обладающие полной информацией даже о собственных бизнес-процессах. Решением в данном случае становится комплексный анализ с учетом специфики организации, выявление всех возможных точек получения, накопления, хранения и передачи персональных данных.

Отдельного внимания заслуживает процесс изменения ИТ-инфраструктуры организации. Если вы помните, я уже обозначал средние сроки проведения комплексного проекта — около шести месяцев. За этот период иногда инфраструктура компании-заказчика претерпевает значительные изменения. И это нормально: современные ИТ-технологии более чем нестатичны: сегодня изменения и обновления в системах происходят в буквальном смысле слова ежедневно. Зачастую получается, что проект по защите персональных данных стартует, опираясь на одни «выходные данные», а финишировать приходится в несколько иных условиях. Выход возможен только один: вся работа должна быть построена с учетом планового развития событий.

Принципиально и экономно

— Вопрос минимизации расходов — наверное, самый популярный во всех ипостасях жизнедеятельности компании. Можно ли сократить возможные расходы не в ущерб информационной безопасности?

— Существует ряд принципов, следование которым позволит существенно минимизировать бюджет на создание системы защиты персональных данных.

В основе первого принципа лежит максимальное использование существующих средств защиты информации при проектировании соответствующих систем. Средства защиты в любой компании применяются независимо от необходимости защиты персональных данных: это и системы антивирусной защиты, и встроенные средства контроля доступа операционной системы, и межсетевые экраны, и многие другие. Поэтому необходимо закрыть максимальное количество требований существующими средствами защиты. И только в том случае, если текущими средствами какие-то требования не выполняются, необходимо закупить и внедрить дополнительные.

Второй принцип — экономичное логическое структурирование информационных систем персональных данных. Если системы собраны в едином центре обработки данных, то целесообразно их логически структурировать в одну и защитить по периметру. В том же случае, если одна из систем имеет класс выше, чем другие, то ее экономически целесообразно выделить в отдельный сетевой сегмент — посредством использования межсетевого экранирования.

Принцип третий — защищаться только от актуальных угроз. При этом актуализация угроз описывается в обязательном для специальных систем документе, называющемся «Модель угроз». При актуализации угроз отбрасываются те из них, чья вероятность низка, а ущерб при реализации невелик.