Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита персональных данных предприятиями малого и среднего бизнеса

Защита персональных данных предприятиями малого и среднего бизнеса

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита персональных данных предприятиями малого и среднего бизнеса

Максим Захаренко
руководитель направления Parking.ru
компании ООО "Гарант-Парк-Интернет"

1 января 2011 г. наступает час "х", когда абсолютно все системы, обрабатывающие персональные данные, должны быть защищены в соответствии с законодательством. Уже сегодня всем понятно, что этого не произойдет.

Причины торможения

Федеральный закон № 152 "О персональных данных" был принят еще в 2006 г., однако полное введение его в действие постоянно откладывалось по причине неготовности информационных систем, обрабатывающих персональные данные (ИСПДн). Особенно большая неготовность наблюдается в компаниях малого и среднего бизнеса, которые в лучшем случае слышали о необходимости проведения каких-то мероприятий, но разобрались в вопросе и провели их единицы. Между тем закон затрагивает практически все компании и практически все необходимые в бизнесе системы (CRM, ERP, включая 1С и т.д.).

Причин такой ситуации несколько. Основная из них – это несоответствие по-прежнему очень жестких требований, предусмотренных законом и подзаконными актами. Предприятия малого и среднего бизнеса не могут самостоятельно разобраться с "непростыми", но обязательными к исполнению методиками ФСТЭК, и вынуждены обращаться к консультантам. Работы по защите информации могут проводить только компании-лицензиаты ФСТЭК. Этих компаний, во-первых, не так много, а во-вторых, они всегда были ориентированы на крупный бизнес и государственные организации. В условиях ажиотажа, когда основные крупные клиенты требуют срочного выполнения мероприятий по защите и записываются в очередь "на май", эти компании просто физически не в состоянии обеспечить консультации по защите миллиону мелких клиентов. Не последнюю роль играет стоимость услуг компаний-лицензиатов. Они привыкли к миллионным проектам, стоимость которых обусловлена в первую очередь высокой трудоемкостью выполнения мероприятий. В крупном бизнесе и госсекторе это все логично и оправдано, но что делать компаниям малого и среднего бизнеса?

Пути выхода из тупика

Основной путь выхода из данной ситуации – упрощение требований и выработка простых и понятных методик защиты ИСПДн для небольших организаций, изменение системы классификации ИСПДн и, возможно, вывод типовых массовых ИСПДн с небольшим количеством ПДн из-под действия закона. Но это пока фантазии. Есть ли у предприятия малого бизнеса вариант не нарушать закон?

Оказывается, есть. Второй путь – передать ИСПДн на аутсорсинг.

Например, обеспечение физической безопасности в стандартном офисе или практически полное отсутствие на предприятиях малого бизнеса резервного копирования как системы. Техническая защита каждой из размещенных ИСПДн выполняется провайдером по типовому сценарию. Например, внедрение "правильного" межсетевого экрана и возможность защиты с его помощью десятков, а то и сотен ИСПДн. Клиенту с технической точки зрения остается только обеспечить защиту клиентских рабочих мест, что уже на порядок проще комплексных мер.

Сервис-провайдер, обладая технической инфраструктурой, может реализовать систему защиты ПДн, удовлетворяющую всем требованиями закона, и разместить ИСПДн клиентов в уже подготовленной с технической точки зрения инфраструктуре. В том числе провайдером выполняются существенные с точки зрения закона технические мероприятия по обеспечению физической безопасности оборудования, внедрению межсетевого экранирования, резервному копированию, сканированию, автоматизированному ведению журналов и аудита и т.д. Эти мероприятия являются естественными для сервис-провайдера, которые он обычно и так выполняет, а для предприятия малого бизнеса эти мероприятия трудновыполнимые в принципе.

Но этого недостаточно. Существенной частью работ является проведение административных изменений, таких как создание комиссии и назначение ответственных, составление модели угроз, разработка концепции и политики информационной безопасности, определение режимов обработки ПДн, инструктирование персонала и т.п. Все эти административные  мероприятия также являются фактически типовыми для клиентов. Вполне можно создать типовой набор таких документов и методик, требующих лишь незначительных изменений для каждого из клиентов провайдера.

Таким образом, за счет унификации и разделяемого режима использования средств защиты достигается снижение сроков и стоимости выполнения мероприятий по защите ПДн до приемлемого для любого бизнеса уровня. Предприятиям остается выполнить только то, что не требует непосредственного углубления в детали технической реализации.

Может возникнуть вопрос, что такой удаленный режим неудобен в повседневной работе предприятий, но это не более чем предубеждение. При современном развитии ШПД и наличии множества вариантов подключения к Интернету вопрос качества, скорости и стоимости каналов уже не является лимитирующим. Наоборот, возможность избавиться от проблем поддержки собственной IT-инфраструктуры как дает существенный экономический эффект, так и высвобождает силы и время на решение основных бизнес-задач предприятия.

Таким образом, как это ни парадоксально, закон дает положительный импульс к развитию многих современных аутсорсинговых направлений IT, таких как SaaS, облачные вычисления и т.д.

Похоже, полное введение в действие закона может отложиться еще на год. По крайней мере в момент написания статьи соответствующий законопроект уже внесен на рассмотрение в Госдуму.

В общем, это еще далеко не конец истории. Запасаемся попкорном и продолжаем следить за развитием событий в захватывающем сериале "Приключения персональных данных в России".

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2010
Посещений: 7222

Приобрести этот номер или подписаться
  Автор

Максим Захаренко

Максим Захаренко

Руководитель направления Parking.ru
компании ООО "Гарант-Парк-Интернет"

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций