26.10.2021

Обеспечение безопасности персональных данных (часть первая)

Интернет-портал cisoclub.ru
Комментарий Максима Степченкова, совладельца компании RuSIEM

Зачем соблюдать требования ФЗ 152, если штрафы маленькие, а СЗИ дорогие?

Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC:

«Такой вопрос задается настолько часто, что даже регуляторы задаются им и начинают увеличивать штрафы – летом они поднялись до 150 т. р. за первое нарушение и до 500 т. р. за повторные для юридических лиц (в соответствии со ст. 13.11 КоАП РФ). Но, как мы уже привыкли, «суровость законов компенсируется необязательностью их выполнения». К сожалению, со времен Карамзина в нашей стране мало поменялось отношение к законодательным требованиям.

Но окружающая действительность меняется стремительно. Могли ли мы представить 30 лет назад, что компания может выйти на международный рынок и самостоятельно устанавливать цену за свой продукт? Что репутация компании может влиять на ее доход?

Успешная защита персональных данных – это часто вообще не про средства защиты информации. Средства защиты нужны тогда, когда организованы и контролируются процессы обработки персональных данных, реализованы организационные меры защиты, есть понимание ценности информации и необходимости ее защиты у всех работников компании. Любые сколь угодно современные и эффективные средства защиты не помогут, если защищаемую информацию работники публично обсуждают или выкидывают мешками в мусорный контейнер. 

Персональные данные – такой же информационный актив, как, например, коммерческая тайна. Те компании, которые давно выстроили эффективную стратегию защиты, уже сейчас находятся в выигрышном положении:

  • такую компанию порекомендуют с большей вероятностью, нежели ту, после обращения в которую, например, спамеры заваливают звонками;
  • компании не приходится нивелировать негативный фон, связанный с отзывами клиентов и работников;
  • меньше шансов оттолкнуть потенциальных заказчиков открыто публикуемыми сведениями о судебных разбирательствах и штрафах;
  • сами данные о клиентах и работниках являются конкурентным преимуществом и при правильной их обработке порождают дополнительные данные, которые могут помочь в развитии бизнеса.

Кроме того, выстраивая систему защиты, вы можете получить структурированную информацию о рабочих процессах. Увидеть дублирующиеся этапы либо низко эффективные процессы, что позволит оптимизировать издержки и повысить эффективность бизнеса.

Ну и еще один, немаловажный аргумент: для эффективной защиты персональных данных в большинстве случаев не требуется покупать дорогие и/или неудобные в эксплуатации средства защиты – достаточно понимать, что действительно требует законодательство и как это можно реализовать. Большая часть необходимых мер защиты закрывается организационными мерами, штатными механизмами системного и прикладного ПО, плюс фактически и так необходимые средства антивирусной защиты и межсетевого экранирования. Но если в организации нет даже этого, то речь уже не только о защите персональных данных, сколько о безалаберном отношении к защите своих информационных активов в целом».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Потому что каждый человек – субъект персональных данных, мы должны ответственно подходить к чужим секретам, доверенным нам. Это репутация, в первую очередь».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Штрафы не такие уж маленькие, и помимо финансовых штрафов в самом крайнем случае возможна приостановка деятельности компании на срок до 90 дней. Это, конечно, крайняя мера, но для компании приостановка деятельности даже на меньший срок может быть критична. Так же помимо штрафов есть и репутационные риски, что не менее опасно для бизнеса».

Леонид Чуриков, ведущий аналитик «СёрчИнформ»:

«Штрафы в России слишком маленькие, чтобы простимулировать компанию к надежной защите. Но не стоит забывать про репутационные потери. Негативный эффект, который стимулирует ответственно относиться к чувствительной информации, доверенной клиентами, – все же есть.

Количество данных в цифре растер, это ведет к неизбежному росту числа утечек критичной информации. Компаниям и госструктурам то и дело придется объясняться с пользователями, почему у них проблемы по части ИБ. И не все компании, у которых утекла информация в открытый доступ, готовы про это рассказывать вовремя. В итоге информацию о сливе утаивают до последнего, пока она не всплывет в СМИ. Это только усугубляет ситуацию.

Что касается штрафов, долгое время бизнес мог позволить себе роскошь не обращать внимания на вопрос обработки ПДн. Да, нам пока очень далеко до ЕС, где утечка данных грозит миллионными штрафами по регламенту GDPR. Но все идет к тому, что требования к бизнесу продолжат ужесточаться. Постоянно идут разговоры о повышении штрафов за неправильное хранение данных, за утечку. Лучше подойти к этому моменту подготовленными: следить за требованиями регуляторов, оценивать риски утечек, перестраивать бизнес-процессы и ИТ-инфраструктуру, не собирать данные «на всякий случай», чтобы случайно не попасть на эти штрафы».

Суховей Денис, Директор по продукту в компании «Аладдин Р.Д.»:

«Compliance или достижение соответствия требованиям государства, давно уже не единственный драйвер развития безопасности в организациях. Мало того, в России родился жаргонизм «бумажная безопасность», как раз, в среднем соответствующий нашему, отечественному пониманию Compliance.  Высокий уровень угроз ИБ, сегодня, требует от организации реальных, не «бумажных», мер безопасности. Защита персональных данных (ПДн) не является исключением. Обработка данных своих клиентов или партнеров является частью бизнес-процесса любой организации. Возникновение проблем безопасности, например утечка ПДн, безусловно, повлияет на нормальное функционирование этого процесса – это потеря денег!

Рынок самостоятельно регулирует процесс выполнения реальных мер по защите ПДн. Те организации, которые чувствительны в области обработки персональных данных обеспечивают их защиту, без особой оглядки на стоимость СЗИ. Остальные не находят для себя причин выполнения требований закона. Такое положение вещей не является нашим изобретением, в развитых странах ситуация приблизительно похожая».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Вопрос выполнения компанией федерального законодательства должно решать руководство организации. Да, штрафы действительно не большие в сравнении со стоимостью СЗИ и услуг по приведению компании в соответствие с требованиями ФЗ-152. Да и вероятность наложения этого штрафа для большинства компаний, скорее, гипотетическая. Однако для многих выполнение требований ФЗ-152, скорее, вопрос репутации, которая может пострадать в случае штрафов или публичной утечки данных, и реальных финансовых убытков, а для сервисных компаний, работающих с данными клиента, еще и конкурентное преимущество».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Соблюдение требований ФЗ-152 – это в первую очередь о защите информации. Информация — основа бизнеса. Шифровальщики, майнеры, репутационные риски и прочие неприятности сейчас реальность, с которой необходимо считаться. Реальность требует внимательно относится к защите информации.

Кроме того, в крупных компаниях, чей бизнес связан с данными клиентов (телеком-операторы, банки и т.д.) утечка ПДн клиентов в больших масштабах может спровоцировать серьёзные риски для бизнеса – от оттока клиентов, до падения стоимости акций.

Также помимо штрафов, хоть и невысоких, возможно приостановление деятельности компании, что уже имеет более серьезные последствия».

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara:

«По сути, вопрос риторический и правильного ответа на него нет. К сожалению, текущая практика сложилась таким образом, что ФЗ-152 легче и дешевле не выполнять».

Максим Степченков, совладелец компании RuSIEM:

«На самом деле это, очень сложный вопрос. На одной чаше весов находится осознание того, что это нужно для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных. Часть персональных данных крайне важны, причем не только для субъектов, но и для государства в целом, и доступ к этим данным может привести к существенным потерям для субъектов (вспоминая те же звонки из «Банков» или «Следственных комитетов»). С другой стороны, — цифровизация и удобство. Нам удобно при переводе видеть, кому мы делаем перевод – не просто по номеру, а конкретно Максим Николаевичу С, но в некоторых банках злоумышленники получают доступ к сведениям, которые они используют. Как поступать? Штрафы? Они ничтожны! Недавние утечки показывают доступ к огромным базам, а штрафы копеечны. Наши персональные данные стоят копейки.

После принятия 19-ФЗ от 27.02.2021 штрафы для юридических лиц хоть и выросли, но они все равно существенно ниже стоимости средств защиты информации. Нужно поднимать штрафы, нужно, чтобы компании начали уведомлять об инцидентах публично, чтобы они понимали о репутационных рисках и сами принимали решение, исходя из негативного влияния на бизнес, а также, что не менее важно, более ответственно отнестись к тем сведениям, утечка которых может повлиять на жизнь и здоровье или безопасность государства.

При этом в очередной раз хочу сказать, что лично мне надоело заполнять огромное количество согласий на обработку моих персональных данных, когда за этим ничего, кроме галочки, перед регулятором не стоит».

Емельянников Михаил, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»:

«Соблюдение требований Закона о персональных данных к стоимости средств защиты информации вообще имеет очень слабое отношение. Если вообще какое-то отношение имеет. Закон – не про защиту персональных данных в технических средствах и системах, а о защите прав субъектов персональных данных, одним из элементов которой, и отнюдь не самым главным, является принятие организационных и технических мер защиты. Вопросам технической защиты посвящена лишь одна из 25 статей закона. Все остальное – про правовые основания и принципы обработки, права субъекта персональных данных и обязанности оператора. Вот эти требования и надо, в первую очередь, соблюдать, за их невыполнение 12 частями статьи 13.11 КоАП РФ предусмотрены весьма значительные штрафы — до 18 миллионов рублей. Но все эти статьи к технической защите никакого отношения не имеют.

Административные наказания за несоблюдение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, под которые подпадают и нарушения требований к защите персональных данных, предусмотрены частью 6 статьи 13.11 КоАП РФ со штрафом для должностных лиц от 1 до 2 тысяч рублей, а для юридических лиц – от 10 до 15 тысяч рублей.

К тому же, проверить состояние организационной и технической защиты персональных данных могут только ФСБ и ФСТЭК России, которым, для того, чтобы провести такую проверку в негосударственных информационных системах персональных данных (читайте – в коммерческих организациях), в соответствии с частью 9 статьи 19 Закона о персональных данных, необходимо получить специальные полномочия решением Правительства РФ с учетом значимости и содержания обрабатываемых персональных данных. За все время действия закона с января 2007 года я знаю лишь один случай наделения ФСБ и ФСТЭК такими полномочиями – в совсем новом Постановлении Правительства РФ от 30.09.2021 № 1657, да и касаются они только систем биометрической идентификации и аутентификации.

Так что причины и побудительные мотивы выполнения Закона о персональных данных лежат совершенно в другой плоскости, не связанной с их технической защитой».

Какое наказание понесет компания в случае утечки персональных данных ее клиентов?

Емельянников Михаил, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»:

«Никакого наказания оператор, допустивший утечку персональных данных, не понесет. И не нес никогда при наличии очень крупных и масштабных утечек у российских банков и операторов связи, в первую очередь. Причина проста – наказания за утечку в российском законодательстве нет, и это одна из главных причин весьма прохладного отношения к теме защиты персональных данных. В отношении утечек не работает и статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», которую активно применяют в последнее время при привлечении к уголовной ответственности работников операторов и салонов связи, уличенных в «пробиве» клиентов и сливе (передаче) информации об их звонках третьим лицам за вознаграждение. При этом сами операторы и салоны как юридические лица и их должностные лица, ответственные за информационную безопасность, никакой ответственности не несут.

Для того, чтобы утечка действительно стала проблемой для оператора, нужны очень жесткие штрафы, в миллионы рублей, а может быть – и оборотные, причем накладываться они должны на оператора независимо от того, что стало причиной утечки – злой умысел, корысть работника или атака хакеров. И в том, и в другом случае оператор недоработал и построил систему защиты, исходя из неправильной оценки рисков.

Кроме того, нужна установленная законом обязанность оператора выплачивать компенсацию субъектам, утечку чьих данных он допустил, с установлением минимальной суммы, например, хотя бы в 10 тысяч рублей. За рубежом операторы, допустившие утечки, в течение многих лет рассчитываются за свою безалаберность с субъектами, как это было при масштабных и общественно значимых утечках у портала знакомств Ashley Madison или в бюро кредитных историй Equifax.

Только, когда такие законы появятся, можно будет говорить о реальных потерях операторов, допустивших утечку персональных данных».

Максим Степченков, совладелец компании RuSIEM:

«Если это именно утечка (невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ — часть 6 статьи 13.11 КоАП РФ) без признаков уголовно наказуемого деяния, то штраф составит до 100 000 рублей. При этом штрафы за иные виды неисполнения законодательства в области обработки и защиты персональных данных существенно выше, однако в основном сейчас затрагивают зарубежные компании».

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara:

«Все штрафные санкции прописаны в административном кодексе. Реальные потери оценить тяжело, так как в России не сформирована такая практика, и все штрафные истории носят эпизодический и несистемный характер».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Оценить реальные потери можно только проведя довольно серьёзный риск-анализ, стоимость которого может превышать стоимость самого приведения в соответствие ФЗ-152.

Если потери от потенциальной утечки ПДн велики, то надо говорить не о только о выполнении ФЗ-152, но и о построении надежной системы защиты от актуальных угроз. Например, в некоторых случаях риски могут быть оценены в десятки миллионов рублей.

В этом случае проект по защите персданных может стать хорошим обоснованием для выделения средств на создание комплексной системы информационной безопасности, которая закроет максимум рисков организации».

Леонид Чуриков, ведущий аналитик «СёрчИнформ»:

«Согласно 152-ФЗ лица, виновные в нарушении закона «О персональных данных» несут гражданскую, уголовную, административную и дисциплинарную ответственность. За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о ПДн граждан.

Законодательством предусмотрено много видов наказаний за нарушение 152-ФЗ. К примеру, за обработку ПДн в случаях, не предусмотренных законом, физлицо может заплатить штраф до 6 тысяч рублей, должностное – до 20 тысяч рублей, юридическое – до 100 тысяч; за обработку ПДн без согласия субъекта штрафы варьируются от 10 тысяч рублей до 150 тысяч (для юрлица). Наибольший штраф, который может достигать более миллиона рублей, оператор получит за хранение данных вне территории РФ. Это логично с точки зрения государства, но совершенно не решает главную задачу – защищать граждан. К примеру, один оператор надежно хранит сканы паспортов, но место хранения – Dropbox, и за это он получит внушительный штраф, хотя утечки не произошло. Другой оператор хранит данные в соответствии с законом на территории РФ, но их случайно разглашает, за что получит минимальный штраф в размене нескольких тысяч рублей.

А если компания работает с информацией ограниченного доступа, риски возрастают. В июне 2021 г. был подписан указ об увеличении штрафов в 10 раз за незаконное разглашение ПДн. Закон касается информации о защищаемых лицах: прокурорах, следователях, сотрудниках ФСБ, Следственного комитета России. Хотя это и отдельные виды персональных данных, но риск допустить их утечку есть почти у любого бизнеса.

Ранее за разглашение «информации ограниченного доступа» физическое лицо выплачивало штраф до 1000 рублей, теперь – до 10 000 рублей. Должностные лица за утечку получали штраф до 5000 рублей, теперь – до 50 000 рублей. Если же данные будут касаться работников силовых структур, то штраф за утечку для физлиц составит 40 000 рублей, для юрлиц – до 300 000 рублей. Утечка информации о гражданах под государственной защитой для физлица обойдется юрлицу в 500 000 рублей».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Кроме штрафов регулятора оценить в реальных деньгах потери от компрометации персональных данных практически невозможно, так как неизвестно, как эти данные будут далее использованы злоумышленниками и будут ли. Но опять же не стоит забывать про репутационные риски: в современном мире любая, даже не значительная утечка информации, может стать достоянием общественности и нанести серьезный ущерб владельцам бизнеса или бренду».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Реальные потери: 1) репутационные риски 2) потеряли клиентов в связи с п.1, а также в связи с утечкой баз и переманивания клиентов.

В финансах это можно посчитать только с учетом глубокой аналитики отдельной компании. Репутационные риски очень сильно влияют на стоимость акций компаний и могут повлиять на мнение инвесторов о компании».

Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC:

«Оценка реальных потерь связана с реальными кейсам, поэтому давать общий ответ было бы некорректно. Можно рассуждать о возможном репутационном ущербе, потере конкурентных преимуществ и т.д., но это довольно абстрактно. Поэтому остановимся на объективных возможных штрафах в соответствии с законодательством РФ.

Федеральный закон от 24 февраля 2021 г. № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях») внес поправки в  ст. 13.11 КоАП РФ, предусматривающее ужесточение ответственности за нарушения в области персональных данных. Внесенные поправки увеличивают штрафы в 2 раза, вводят коэффициенты для повторных нарушений, отменяют возможность применения предупреждения, а также увеличивают срок давности привлечения к ответственности с 3 месяцев до 1 года.

В целом, для юридических лиц актуальные штрафы за одно правонарушение составляют от 30 тысяч рублей до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей».

Ксения Шудрова, блогер shudrova.blogspot.com

«Если опираться на судебную практику, то скорее всего организация получит предупреждение или небольшой штраф, например в 1000 рублей».

С чего начать руководителю отдела ИБ при подходе к задаче защиты персональных данных «с нуля»? Кто должен участвовать в организации процесса по защите персональных данных кроме CISO?

Суховей Денис, Директор по продукту в компании «Аладдин Р.Д.»:

«К первым шагам я бы отнес поиск заинтересованных в защите ПДн, в организации в целом. Логика такова — владельцы наиболее чувствительных, к утечкам ПДн, бизнес-процессов в обязательном порядке должны принять участие в проекте по защите ПДн. Руководитель организации, с моей точки зрения может выполнять курирующие функции, не особо погружаясь в детали проекта».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Самое сложное и одновременно важное – это понять, что такое ПДн для организации. Для ответа на этот вопрос необходимо проанализировать все бизнес-процессы организации и выработать подход к понятию ПДн. Для того, чтобы это сделать, необходимо заручиться поддержкой основных бизнес-подразделений компании – ведь именно им это может «усложнить жизнь» в первую очередь. Также необходима поддержка ИТ-службы. Без понимания особенностей ИТ-инфраструктуры будет непонятно как выполнить требования по безопасности ПДн. Однако при поддержке опытных консультантов, которые имеют за плечами опыт реализации десятков подобных проектов, процесс приведения ПДн в соответствие с ФЗ-152 оказывается не так сложен на практике».

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara

«Процесс следует начинать с полноценного аудита соответствия обработки и защиты персональных данных предъявляемым требованиям. На первом этапе необходимо определить, какие процессы обработки существуют, что сделано в части соблюдения требований законодательства, какая система защиты персональных данных выстроена и т.д. Только после подобного аудита целесообразно выстраивать дальнейшую карту мероприятий по приведению процессов обработки персональных данных и их системы защиты в соответствие требованиям законодательства.

При организации процесса по защите персональных данных необходимо ограничить круг сотрудников, имеющих к ним доступ. Помимо CISO должен быть определен ответственный за обработку персональных данных из числа руководящего состава, а также в обязательном порядке представители ИТ и HR. Но в целом, с учетом того, что обработка персональных данных осуществляется с участием всех подразделений компании, в этом процессе должны быть задействованы руководители всех подразделений».

Максим Степченков, совладелец компании RuSIEM:

«Решение любой задачи лучше начинать с изучения матчасти. В нашем случае — с анализа законодательства России и подзаконных нормативных актов, что позволит понимать суть процесса защиты персональных данных (ПДн).

В нашем  законодательстве и нормативно-методическом обеспечении по защите ПДн и иной конфиденциальной информации предусмотрены следующие должностные лица и роли: ответственный за обработку ПДн, ответственный за обеспечение безопасности ПДн, руководитель организации, администратор безопасности, администратор информационной системы ПДн, плюс факультативно может быть назначена комиссия по обработке и защите персональных данных. CISO (там, где есть такая должность и функция), как правило, может назначаться руководителем для контроля процесса защиты ПДн.

Однако, все, что было выше, это мелочи, к сожалению. Для начала нужно понять, что за это отвечают и юристы, и кадры, а также бизнес-подразделения и первые лица организаций».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Нужно проанализировать свои бизнес-процессы и найти все, в которых задействованы ПДн. Участвовать должны все подразделения, в которых ведется обработка: бухгалтерия, кадры, клиентский отдел, юристы и т.д. Только вместе можно выстроить рабочую систему».

Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC:

«Исходя из опыта, защиту персональных данных, как и любой другой информации, стоит начать с ответов на три вопроса: «Что защищаем?», «От кого (чего) защищаем?», — и, пожалуй, самый сложный: «Какой результат хотим получить?».

Для ответа на первый вопрос необходимо провести инвентаризацию активов и процессов. Здесь, в первую очередь, стоит заручиться помощью и поддержкой ИТ-подразделения. Но, как правило, ИТ-подразделение не обладает в полной мере информацией о «бумажной» обработке, поэтому следует привлечь тех, кто владеет спецификой процессов: понимают, какие данные каким способом обрабатываются, могут описать потоки данных. Если говорить именно о персональных данных, в первую очередь — это работники кадрового подразделения, бухгалтерии, делопроизводители и работники подразделений, непосредственно взаимодействующих с клиентами (посетителями).

По завершению этого этапа вы должны иметь:

  • четкий список защищаемой информации;
  • перечень работников, которые осуществляют обработку;
  • перечень и структуру информационных систем, в которых обрабатываются персональные данные;
  • схемы потоков данных;
  • перечень помещений, в которых выполняется обработка.

Если организация крупная, с разветвленной структурой, с нечетко структурированными процессами, самостоятельное выполнение первого этапа может затянуться на неопределенный срок, и вы рискуете на выходе получить либо уже неактуальную, либо изначально недостоверную информацию. В зависимости от имеющихся условий, эту проблему можно решить либо привлечением стороннего аудитора, четко обозначив сроки, задачи и желаемый результат, либо самостоятельно, разделив «слона на кусочки».  Составив список процессов верхнего уровня, можно разбить эту задачу на части. Например, по направлению деятельности. Согласитесь, описать потоки данных, связанные с приемом на работу, проще и, очевидно, быстрее, чем все действующие процессы управления персоналом. Я всегда рекомендую начать с самостоятельного решения задачи, т.к. ни один аудитор не сможет за вас сформировать ваше представление об организации, выполняемых процессах и, что немаловажно, людях.

Для ответа на второй вопрос можно выбрать простой или сложный вариант. Первый подразумевает под собой разработку модели угроз и нарушителей (МУиН). Это более формальный и минимально необходимый вариант, который требуется регуляторами и дает минимальное представление о потенциальных угрозах и способах их реализации для выбора соответствующих мер защиты. Возможно, ее уже разработал регулятор и вы сможете воспользоваться готовой типовой. Последний вариант методики моделирования угроз от ФСТЭК России шагнул сильно вперед в плане анализа механизмов реализации угроз (фактически можно выстраивать цепочки атак, kill-chain), но все еще имеет ряд существенных недоработок в плане ее практического применения, поэтому нужно или обладать хорошим пониманием этой области или доверить этот непростой вопрос лицензиату.

Второй вариант включает в себя полноценную оценку рисков, при которой не только анализируются вероятные угрозы, но и оценивается реальный ущерб для организации от нарушения информационной безопасности. Оценка рисков позволит приоритизировать усилия по защите, на языке бизнеса обосновать затраты на информационную безопасность, а также получить формальное и обоснованное подтверждение тех или иных решений.

Но оценка рисков, особенно количественная, — сложный и долгосрочный процесс, поэтому логично его проводить не только в рамках инициатив по защите персональных данных, а для бизнес-процессов в целом.

Третий вопрос, наверное, стоит задавать себе и руководству организации с самого начала пути. Чего хотим добиться? Обеспечить защиту данных на 100%, к сожалению, можно только в идеале. Нужны метрики, по которым вы можете судить, что выполненные меры достаточны. Защита персональных данных – прежде всего обязанность, возложенная государством и только потом уже интерес самой организации (к сожалению, пока это так). Здесь, наверное, некорректно говорить об экономической эффективности. Но, реализация любых мер требует затрат (а для бюджетного учреждения – бюджетных средств). И ваша задача эти затраты оптимизировать. Можно смотреть на требования в лоб и реализовывать все формальные требования по максимуму, включая использование исключительно сертифицированных средств защиты и даже аттестацию информационных систем. Можно более творчески подойти к процессу: реализовать объективно необходимые меры защиты, возможно даже более детально, чем требуется, использовать штатные механизмы системного и прикладного ПО (с последующей оценкой соответствия, без сертификации), закрыть часть требований организационными мерами. Второй вариант может оказаться на практике более эффективным в плане реальной защищенности и не уступить первому при проверках регуляторами, но требует прежде всего заинтересованности руководства в конечных результатах, а не просто «закрытия требований».

Честно и полно ответив на три указанных вопроса, вы сможете сформировать техническое задание на систему защиты персональных данных, и определить план дальнейших действий, в том числе, связанных с организационными вопросами обработки и мониторингом эффективности защиты».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Это комплексный проект и, конечно, за его реализацию должен отвечать не только СISO, это и юристы и IT служба и даже служба персонала. Хорошей практикой является использование услуг подрядчика по комплексному сопровождению на соответствие требованиям регуляторов, причем речь не только про 152 ФЗ. При таком подходе подрядчик самостоятельно следит за своевременным обновлением документации, когда выходят новые требования и постановления регуляторов, отслеживает своевременное обновление СЗИ и т. п.»

Леонид Чуриков, ведущий аналитик «СёрчИнформ»:

«Выстраивание защиты ПДн «с нуля» в любой компании или госструктуре – это сложный комплекс мер как технических, так и организационных. Если говорить о самом начале, то стартовать нужно с того, чтобы исследовать бизнес-процессы. Для этого в процессе должен участвовать не только CISO, но и руководители других отделов. Они составляют перечень этапов и процессов, в рамках которых сотрудники компаний собирают ПДн (у членов своего же коллектива, у клиентов, подрядчиков и т.д.). Вместе с CISO описывается процесс: в каком формате сотрудники собирают эти данные, как хранят (сканируют и кладут в общедоступную папку, собирают через специальную форму на сайте и т.д.) По возможности важно провести независимый аудит файловых хранилищ, чтобы понять, как реально хранятся ПДн в компании, потому что сами сотрудники могут о некоторых хранилищах даже не знать или забыть.

Только имея полную и объективную картину сбора и хранения ПДн, сотрудники ИБ-службы могут описать модели угроз (как от внешних угроз, так и от сливов и потери по вине злого умысла или ошибок собственных сотрудников).

И только потом дело доходит до внедрения технических и организационных мер защиты. Без взаимодействия с руководителями подразделений не получится выявить все тонкие места, понять, как правильно разграничить пользовательские права и т.д.

На этапе внедрения организационных мер защиты данных тоже не получится обойтись без руководителей подразделений и компании. А на этапе внедрения защитного ПО – без специалистов ИТ-департамента».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«1. Определить процессы компании, в которых задействована обработка ПДн.

2. Выстроить по данным процессам схему работы: цели обработки, перечень ПДн, количество, какие ИС задействованы, какие ТС используются, где хранятся данные (облако, серверы в РФ или еще где-то), осуществляется ли трансграничная передача, осуществляется ли хранение резервной БД ИС за пределами РФ.

Должны принимать участие владельцы ресурсов, администраторы ИС, Отдел ИБ, непосредственное руководство – собрать комиссию по каждой ИС определить ответственного, также установить в компании лицо, отвечающее за безопасность ПДн и лица, допущенные к обработке.

3. Сформировать дорожную карту реализации организационных и технических мероприятий по защите ПДн».

Сертификация СЗИ и аттестация объектов информатизации по требованиям безопасности информации — это «пережиток прошлого»? Насколько законодательство по ПДн отражает реальную ситуацию на рынке ИБ?

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara:

«Сертификация средств защиты информации и аттестация объектов информатизации по требованиям безопасности информации – это обязательные требования, в первую очередь в госсекторе. Если оператор не относится к госсектору, то он может вполне использовать при построении системы защиты персональных данных несертифицированные средств защиты информации, а вместо аттестации ограничится контролем эффективности/оценкой соответствия».

Максим Степченков, совладелец компании RuSIEM:

«Это не является анахронизмом, так как требования по сертификации априори невыполнимы для очень большого ряда зарубежных решений (а в части СКЗИ невыполнимы в принципе). Законодательство в области ИБ вполне отражает ситуацию на рынке для государственных структур и государственных информационных систем, если они являются ИСПДн. При этом закон не устанавливает обязанности использовать сертифицированные СЗИ для коммерческих организаций (за исключением субъектов КИИ и ряда других случаев).

Исходя из моего опыта, к сожалению, это также хоть какое-то минимальное успокоение, что вы смотрите в правильном направлении, особенно учитывая, что аттестацию все-таки делают профильные компании с богатым опытом».

Емельянников Михаил, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»:

«Да, в существующем виде системы сертификации средств защиты информации и аттестации объектов информатизации – пережиток прошлого. По многим причинам. Начнем с того, что в законе «О техническом регулировании» такой формы или способа оценки соответствия, как аттестация, вообще нет. При формальном выполнении древнего «Положения об аттестации объектов информатизации» еще 1994 года выпуска (почти тридцатилетней давности!) из помещения аттестованного объекта нельзя стул вынести без принятия определенных мер или внести такой стул, а уж установка новой версии операционной системы или новой программы – вообще отдельная задача, требующая, как правило, проведения инспекционного контроля. А сейчас каким-то образом удается аттестовать дата-центры и даже облачные вычислительные инфраструктуры без четких границ и зафиксированного состава технических и программных средств. Как это возможно — я объяснить не могу.

Примерно такая же ситуация и с сертификацией. Владелец или оператор информационной системы, в которой законом предусмотрено использование сертифицированных средств защиты информации, все время стоит перед выбором – использовать современные, но не сертифицированные средства или устаревшие, но те, у которых есть голографическая наклейка на коробке или диске. Посмотрите реестр сертифицированных средств и сравните их версии с теми, которые сегодня продвигают производители. Разница очень заметная.

Сертификация – процесс дорогой и долгий. И критичный патч или сервис-пак на средство защиты информации можно накатить лишь после подтверждения сертификации. А до этого надо жить с дырой в безопасности?

Органы по сертификации и испытательные лаборатории никакой ответственности за обеспечение защиты сертифицированным средством не несут. И если оно пропустит критическую атаку — это будет проблемой исключительно владельца системы и обладателя пострадавшей от атаки информации. Какие же от сертификации тогда у него бонусы? За что он платит дополнительные деньги?

Систему обязательной сертификации надо оставить только для средств защиты государственной тайны, для чего она и создавалась в 90-е годы. Для коммерческих целей нужны совершенно другие механизмы».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Изначально сама идея сертификации и аттестации как процедуры контроля полностью оправдана. Когда ты хочешь быть уверенным в средствах защиты (отсутствие закладок, устранение уязвимостей) сертификация весьма кстати. Если учитывать тот факт, что сейчас бизнес уязвим (санкции и война в киберпространстве) быть уверенным в своем СЗИ — это реальная необходимость.

Аттестация призвана задокументировать процессы системы, установить строгий порядок ее эксплуатации. Любое внесение изменений также документируется, это на самом деле очень полезно. Когда у вас огромная инфраструктура можно начать терять «концы».

Законодательство должно защищать субъекта ПДн – потому что ПДн всегда о субъекте. Без него нет и ПДн. Однако без реальной ответственности для операторов ПДн – никакой защиты и нет. Реализация нормативных требований по защите обеспечивает базовый уровень безопасности. Для обеспечения реальной защищённости и обеспечения практической безопасности необходимо обращаться к международным стандартам, сервисам (например, MITRE, ISO) и реальной практике предотвращения кибератак».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Что касается аттестации (кстати, не обязательной для ИСПДн), то идея абсолютно правильная – если у регулятора нет возможности всех проверить, это логично возложить на лицензиатов. Однако, в этом процессе важен усилить контроль регулятора за лицензиатами. В этом плане недавно вступивший в силу Приказ №77 ФСТЭК России «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» показывает, что регулятор понимает важность этого момента».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Вопросу защиты персональных данных уже более 10 лет, все “собаки” давно съедены, требования давно разъяснены всем участникам, понимание, где и какие СЗИ использовать, существуют и понятны. Поэтому мы считаем, что текущее законодательство в области защиты персональных данных полностью отражает и соответствует текущей ситуации на рынке».

Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC:

«Сертификация и аттестация не только не являются «пережитком прошлого», но наоборот успешно развиваются. Да, некоторые моменты данных процедур можно считать устаревшими, прежде всего из-за сложных бюрократических процедур, которые тормозят непосредственно развитие технологий, а также излишне формальным подходам, в некоторых случаях даже в ущерб эффективности. Но, к счастью, ситуация понемногу меняется и подход «бумажка ради бумажки» мало кому нужен в наши дни.

По данному вопросу необходимо понимать, что только и исключительно для защиты ИСПДн сертификация и аттестация действительно мало кому интересна. Но ведь персональные данные могут обрабатываться и в государственных/муниципальных системах, где сертификация и аттестация являются строго обязательными (в соответствии с п. 11 и 13 и 17 Приказа ФСТЭК от 11 февраля 2013 г. N 17 «»Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»») и в значимых объектах критической инфраструктуры, где сертификация становится фактически необходимой для части решений (п. 29.2 приказа ФСТЭК от 25 декабря 2017 г. N 239 «»Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»» делает фактически обязательной сертификацию по ОУД для средств защиты, не встроенных в системное или прикладное ПО, например для средств антивирусной защиты, межсетевого экранирования и т.д.).

Соответственно, сертификация и аттестация просто необходима в ряде случаев и уйти в оценку соответствия просто невозможно. И это не просто прихоть, а объективная необходимость, потому как данные случаи связаны прежде всего с государственными системами, системно-значимыми предприятиями и учреждениями, где риск выше и нужны дополнительные гарантии. Государство в свою очередь старается снизить данные риски понятными и доступными способами. И это не какой-то особый путь – подобные процедуры существуют и используются по всему миру с теми или иными отличиями, в частности передаче полномочий по отраслевому контролю аккредитованным ассоциациям (что может быть эффективнее, но у нас пока не работает по ряду причин).

Сами процедуры также меняются: новые системы сертификации развиваются, снижается бюрократический порог, сертификация по уровням доверия использует современные процедуры проверки и требует реализации безопасной разработки, что является общепризнанным подходом; обновленная процедура аттестации (приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну») ввел процедуры контроля – теперь аттестацию нельзя будет делать формально и результаты процедур будут проверяться самим регулятором.

Резюмируя вышесказанное, процедуры сертификации и аттестации имеют еще ряд недостатков, которые нельзя исправить моментально из-за специфики госрегулирования, но в последние годы существенно продвинулись вперед в части эффективности. При этом использование исключительно сертифицированных средств защиты и аттестации так и остается нецелесообразным для случаев защиты исключительно ПДн и должно применяться для информационных ресурсов с повышенным риском нарушения безопасности, для которых данные процедуры являются обязательными».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Законодательство сейчас гораздо лучше, чем 7-10 лет назад, документы стыкуются друг с другом. Но я лично против аттестации, я за декларирование соответствия требованиям».

Какие программные продукты упрощают выстраивание процесса защиты персональных данных?

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Хорошей практикой является использование услуг подрядчика по комплексному сопровождению на соответствие требованиям регуляторов, причем речь не только про 152 ФЗ. При таком подходе подрядчик самостоятельно следит за своевременным обновлением документации, когда выходят новые требования и постановления регуляторов, отслеживает своевременное обновление СЗИ и т. п.».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Лучше всего помогает здоровое отношение к вопросам ИБ в компании и согласованность действий между ИБ, ИТ и бизнесом.

В части продуктов и упрощения выстраивания процессов защиты могут помочь решения, позволяющий автоматизировать инвентаризацию ИТ-активов ИСПДн, их классификацию, моделирование угроз безопасности, управление оценкой соответствия требованиям. Такие задачи могут решать продукты класса Security GRC или более узконаправленные продукты, заточенные, например, только под классификацию/ категорирование, в частности такой продукт есть в портфеле ГК– Innostage KII».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Самое важное – провести полную инвентаризацию информационных ресурсов, поэтому для меня полезными кажутся инструменты автоматической инвентаризации».

Максим Степченков, совладелец компании RuSIEM:

«Не буду делать рекламу конкретного ПО, так как их очень много сейчас. Давайте просто поймем, что на рынке есть огромное количество ПО и сервисов по автоматизации процессов по защите информации».

Источник публикации