09.12.2024
 
 

 

10 Способов Снизить Класс Ис Персональных Данных (Ис Пдн)
Автоматизация - Построение систем хранения данных

10 способов снизить класс ис персональных данных (ис пдн)

Чем ближе конец 2009 года, тем больше в прессе и на ИТ мероприятиях можно услышать фразу: «персональные данные (ПДн)». Эти два слова сейчас вызывают достаточно противоречивую реакцию у специалистов и руководителей различного уровня: многие удивлённо спрашивают «а что это?», часть хватается за голову и рассказывает о том, что государство придумало очередную идею, как выкачать из честных компаний деньги. Оставшееся же небольшое число специалистов уверенно и без существенной доли страха говорят об обозримой и вполне посильной задаче по приведению работы компаний в соответствие с требованиями, установленными федеральным законом 152-ФЗ от 27.07.2006 «О персональных данных», и требованиями, установленными в данной области прочими подзаконными актами правительства РФ, ФСБ РФ и ФСТЭК РФ. В настоящей статье мы не будем говорить о том, что такое персональные данные и как государство требует работать с ними операторов, а перейдём сразу к существу поднимаемого нами вопроса.

В чём заключаются основные страхи компаний, связанные с приведением деятельности в соответствие с требованиями законодательства? Основа этих страхов различна и базируется на тех недоработках или болезненных местах, которые есть у компаний в части финансового обеспечения, чистоты и прозрачности бизнеса, наличия квалифицированного персонала и эффективности действующих механизмов управления. К ключевым пугающим проблемам приведения деятельности в соответствие с требованиями обычно относят следующие:

· Отсутствие чёткого и публичного набора требований ответственных служб к информационным системам ПДн. Единственный камень все бросают в сторону ФСТЭК РФ, ответственной за регламентацию требований по технической защите персональных данных (за исключением применения средств криптографической защиты информации). До конца сентября 2009 года требования-рекомендации ФСТЭК существовали в виде так называемого в ИТ среде «четверокнижия», утверждённого ФСТЭК 15 февраля 2008 года и имеющего гриф ДСП (для служебного пользования). Чтобы обычной компании получить эти документы, необходимо было подавать письменный запрос в территориальное управление ФСТЭК по вашему региону и затем ожидать (для Москвы процесс занимал более двух месяцев, так как распечатка в основном происходила в Воронеже) сначала получения счёта за услуги по печати нормативного документа на бумажном носителе, а после оплаты ждать доставки «четверокнижия» специализированной связью. Здесь стоит отметить, что имели место множество фактов распечатки различных уточнённый версий документов, отличающихся на несколько слов, имеющих очень важное значение. Какая из версий истинная, видимо, не знал никто, так как документы до сих пор даже не опубликованы. Однако, в начале октября 2009 года ограниченные выписки из «четверокнижия» появились на официальном сайте федерального ФСТЭК РФ ( http://www.fstec.ru/ ). Сейчас они доступны для свободной загрузки.

· Необходимость получения даже оператором ИС ПДн лицензии ФСТЭК РФ на техническую защиту конфиденциальной информации (для ИС ПДн 1,2, 3(распределённые) классов). Такое требование устанавливается пунктом 3.14 документа «четверокнижия» ФСТЭК РФ «Основанные мероприятия по организации ….» (выписка). В пункте указывается ссылка на требования федерального закона № 128-ФЗ от 08.08.2001 «О лицензировании отдельных видов деятельности» и постановлением правительства № 504 от 16.08.2006 «О лицензировании деятельности по технической защите конфиденциальной информации». Ввиду отсутствия получивших широкую огласку судебных решений до сих пор идут споры о том, правомерно ли требовать наличие лицензии от оператора ПДн в том случае, когда он выполняет работы по приведению в соответствие своей деятельности сам (силами своих сотрудников и только для себя).  Ведь выполнение работ своими силами для собственных нужд не является видом деятельности в терминах гражданского законодательства РФ. В противном случае 100% компаний, использующих персональные компьютеры можно было бы при отсутствии лицензии ФСТЭК РФ на ТЗКИ привлечь к уголовной ответственности по ст. 171 УК РФ «Незаконное предпринимательство» просто за настройку паролей в операционной системе в купленном ПК, сервере или ноутбуке, так как это автоматически попадает под определение ТЗКИ при наличии требований ст.4 128-ФЗ «Критерии определения лицензируемых видов деятельности».

· Необходимость обязательной аттестации по требованиям безопасности информации (для ИС ПДн классов 1 и 2) устанавливается п. 3.11 документа «четверокнижия» ФСТЭК РФ «Основанные мероприятия по организации ….» (выписка). На сегодняшнем рынке РФ аттестация является изрядно дорогостоящей процедурой, сопровождающейся существенным количеством мероприятий, которые необходимо провести. По нашим оценкам, средняя стоимость аттестации одного рабочего места колеблется в интервале 60-100 тысяч рублей. Можете себе представить в какую сумму выльется аттестация рабочих даже для небольшой компании. Если же к сумме за услуги по аттестации добавить стоимость сертифицированных компонентов и средств защиты информации, а затем добавить стоимость обслуживания и обновления таких сертифицированных компонентов в течение ожидаемого срока эксплуатации АРМ, то сумма может вырасти ещё процентов на 50-70. Возникает резонный вопрос об оправданности расходов по сравнению с ущербом, который могут создать инциденты информационной безопасности.

· Читая и сопоставляя между собой раздел 4 документа «четверокнижия» ФСТЭК РФ «Основанные мероприятия по организации ….» и руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» невольно возникает весьма обоснованное мнение о том, что требования к ИС ПДн классов 1 и 2 выходят в раздел требований к информационным системам, работающим с государственной тайной, секретной и совершенно секретной информацией, что далеко не всегда является обоснованным для оператора ИС ПДн. Однако, не стоит сразу отчаиваться, так как конкретные требования к системе защиты информации могут обосновываться оператором на базе построения моделей угроз по требованиям ФСБ РФ и ФСТЭК РФ.

· Любая деятельность требует наличия у компании специалистов, которые могут, как минимум, организовывать и контролировать работу внешних компаний-аутсорсеров, либо же, как максимум, самостоятельно решать задачи по приведению в соответствие деятельности к требованиям по работе с ПДн. В таких проектах потребуются и безопасники и инженеры и проектировщики и технические писатели и юристы общего профиля и ИТ юристы и руководство компании. Кто из них важнее и кто может сыграть главную роль в проекте? Вопрос достаточно дискуссионный и зависит от подхода к решению общей задачи приведения деятельности в соответствие.

· Осознавая свою неспособность самостоятельно привести деятельность по работе с ПДн в соответствие с требованиями закона, операторы выбирают оставшуюся из двух возможных альтернатив – привлечение сторонней компании. Исходя из условий рынка и специфики России, сторонняя компания во многих случаях будет предлагать и обосновывать Вам максимальный комплекс услуг по поставке средств защиты информации и аттестации всего и вся. По нашим наблюдением таких компаний большинство за очень редким исключением. Здесь возникает обычная борьба интересов между заказчиком и исполнителем. Причём заказчик, часто не обладая должной компетенцией и пугаясь объёмов нормативных документов, вынуждено соглашается с большинством предложений исполнителя, неосознанно вступая на путь излишних и больших затрат ресурсов как на первоначальном этапе, так и на этапе эксплуатации решения. По-сути стороны в договоре находятся в заведомо не равном положении.

Эти страхи, конечно же, имеют под собой существенные основания, оформленные в строках нормативных документов в области работы с персональными данными. Но так ли страшен чёрт, как его малюют? Здесь, опять же, есть две группы мнений.

К первой группе мы относим мнения представителей органов исполнительной власти, которые как в ответах на открытые письма различных ассоциаций и в своих выступлениях настойчиво говорят о предоставлении достаточного времени для приведения своей деятельности в соответствие с законодательством, об отсутствии видимых проблем и преград для приведения деятельности в соответствие, о возможности перейти на работу с персональными данными на бумажных носителях и о необходимости более внимательно читать предлагаемые ими нормативные документы.

Ко второй группе мнений мы относим мнения «остальных», которые указывают на множество законодательных коллизий при осуществлении специфической работы с персональными данными, о излишней жестокости требований ФСТЭК, сравнимых с уровнем защиты государственной тайны, с неоднозначностью процедур контроля исполнения требований закона со стороны Россвязьнадзора, ФСБ РФ, ФСТЭК РФ, и о многих других проблемах, решение которых либо видится им просто невозможным в действующим правовом поле РФ, либо затраты на их решение будут несоразмерно высоки.

Выслушав и проанализировав различные мнения о том, как представители компаний воспринимают задачу по приведению работы с ПДн в соответствие с законодательством, можно сделать, пожалуй, единственный вывод о том, что достаточно много компаний решают или планируют решать эту задачу в лоб, не вчитываясь в формулировки действующих законов и не привлекая ещё до принятия окончательного решения к работе ИТ юристов, которые понимая технические требования могут обеспечивать качественный юридический анализ задачи в совокупности юридических, организационных, общих программных и технических факторов.

Вопрос о том, имеет ли смысл отдельно привлекать ИТ юристов, если можно организовать тендер на оказание услуг по приведению деятельности в соответствие с требованиями законодательства и силами лицензиатов ФСТЭК РФ по технической защите конфиденциальной информации, аккредитованных аттестационных центров по требованиям безопасности обеспечить оказание таких услуг является весьма дискуссионным. Ключевой смысл в том, что проведя скрупулезный юридический анализ и обоснование работы с каждым реквизитом персональных данных, а также, раскрыв технологию автоматизированной обработки персональных данных правильным образом в нормативной, проектно-конструкторской и организационно-распорядительной документации, можно:

· существенно снизить класс вашей ИС ПДн;

· сократить или вовсе избавиться от необходимости самостоятельного получения лицензии ФСТЭК РФ на осуществление мероприятий и (или) оказание услуг по технической защите конфиденциальной информации со всеми вытекающими из этого «облегчениями»;

· сократить или вовсе избавиться от затрат на аттестацию ИС ПДн в целом или отдельных её компонентов, для которых аттестация является обязательной по рекомендациям ФСТЭК РФ (опубликованные выписки из «четверокнижия»)

Всё это однозначно приведёт к существенному сокращению как первоначальных затрат денежных средств и времени на весь проект, так и обеспечит существенное упрощение и удешевление его поддержки и сопровождения. Но для этого необходимо сначала «подумать», а потом уже бросаться в бой, объявляя тендеры и заключая договора с внешними исполнителями.

Предлагаем Вашему вниманию десятку, на наш взгляд, интересных и эффективных способов из практики реализации требований комплекса нормативов по работе с персональными данными, того, как снизить класс ваших ИС ПДн и как следствие снизить большинство сопутствующих затрат.

 


Читайте:


Добавить комментарий


Защитный код
Обновить

Диспетчеризация пунктов:

АВТОМАТИЗИРОВАННАЯ СИСТЕМА КОММЕРЧЕСКОГО УЧЕТА ОТПУСКА ПИТЬЕВОЙ ВОДЫ ПОТРЕБИТЕЛЯ

News image

Заказчик: Комитет по управлению Жилищно-коммунальным хозяйством Администрации г. Новороссийск Объект: I-я очередь системы, включающая потребителей одной из зон водоснабжения (110 узлов учета). ...

Система диспетчеризации распределенных объектов Курганводоканала

News image

Объект: городские сети водоснабжения, пункт водозабора, насосные станции третьего подъема, канализационные насосные станции. Для сбора данных с объектов используется радиоканал. Система диспетчер...

АСУ ТП ГОЛОВНЫХ ВОДОЗАБОРНЫХ СООРУЖЕНИЙ

News image

Описание технологического процесса: Объектом управления и контроля является технологическое оборудование артезианских скважин (общее число 80 скважин), находящееся в павильонах над артезианскими ск...

 

Теория АСУ:

Автоматизация котельных

News image

Современную котельную невозможно представить себе без систем автоматики, объединивших все последние достижения в области управления тепловыми потоками. Примечательно, что для большинства людей до си...

Регулятор в современных АСУ ТП. ПИД-регулятор

News image

Что такое регулятор? Этот термин пришел из теории автоматизированного управления. Регулятором называется устройство, которое следит за функционированием объекта управления и, постоянно анализируя ег...

Теория автоматического управления ТАУ

News image

Теория автоматического управления (ТАУ) изучает принципы построения систем автоматического управления и закономерности протекающих в них процессов, которые она исследует на динамических моделях дейс...

Управление отношением (ratio control)

News image

Иногда стабилизация отношения между двумя или большим количеством переменных процесса более значима, чем стабилизация их абсолютных значений. В таких случаях используются системы пропорционального у...

Схемы обвязки котельной и принципы управления контурами

News image

Для того чтобы организовать работу одного или нескольких отопительных контуров в гидравлической системе, их необходимо присоединить к теплогенератору-котлу. Эту задачу можно решить разными способами...

 
 

Программные решения в автоматизации:

Сущность упомянутых расширенных сервисов, доступных только в

News image

· Global Date быстрая синхронизация данных между любыми TF-компонентами и интеллектуальными устройствами других производителей. Каждое устройство и...

Пример применения: виртуальный практикум на базе INTERBUS

News image

С февраля 2001 года в высшей технической школе города Дюссельдорфа действует виртуальный лабораторный практикум для изучения основ технологии INTERB...

Соответствует ли исполнительная среда Java требованиям встро

News image

По всей видимости, независимость от аппаратных платформ не является решающим фактором для разработчиков программного обеспечения встраиваемых систем...

Пакет программного обеспечения Intouch - система мониторинга

News image

С развитием вычислительной техники развивалась и автоматизация различных областей промышленности. На первых её этапах внедрялись релейные схемы, поз...

Динамическая платформа управления производством

News image

Для интеграции возможно применение динамической платформы управления производством, благодаря которой данные свободно перемещаются между ключевыми у...

Индикатор алармов (Alarm Clock)

News image

С помощью меню System Редактора проектов (Project Editor) для сервера алармов определяются алармы. В Citect различаются четыре типа алармов: цифровы...

 

Примеры удачного внедрения:

ERP-системы и специализированные пакеты

До недавнего времени исчерпывающей функциональностью в области автоматизации управления предприятиями обладали ERP-системы, особенно крупные. Но,...

Совместное производство как результат взаимодействия систем

Для совместного производства (C-Manufacturing — collaborative manufacturing) необходима более тесная интеграция имеющейся на предприятии информации....

Внедрение информационной системы управления предприятием, ос

АСУП - автоматизированная система управления предприятием или информационная система управления предприятием, то, что сейчас называется по-английски...

Система изнутри

Чтобы не получилось как у М. Жванецкого - снаружи уже можем, теперь бы изнутри , проанализируйте использованные при разработке системы информационн...

Совокупная стоимость владения

Покупая автомобиль, опытный шофер обязательно поинтересуется, каков расход топлива на 100 км, какое именно топливо и масло нужно и сколько оно стоит...

ПТК ОУ

Программно-технический комплекс управления общестанционным вспомогательным оборудованием – ПТК ОУ предназначен для управления и контроля за состояни...