Персональные данные: думайте сами, решайте сами…

Вице-президент корпорации «Галактика», руководитель аналитического центра Александр Бургардт дал комментарии журналу «CIO» – ведущему российскому изданию для IT-директоров.

В первой части статьи «Персональные данные: думайте сами, решайте сами…» сентябрьского номер журнала «CIO» речь шла о том, что к 1 января 2011 года, моменту вступления в действие Федерального закона «О персональных данных» № 152-ФЗ, операторы ПДн обязаны привести в соответствие с ним средства защиты. В продолжение обсуждения, в № 10 журнала, были приведены примеры средств защиты информации от несанкционированных действий и рассматривались вопросы готовности применения таких инструментов операторами ПДн. Вице-президент корпорации «Галактика», руководитель аналитического центра Александр Бургардт прокомментировал сегодняшнее положение дел и дал свои рекомендации читателям журнала.

«…В связи с приближением последнего рубежа (01.01.2011) по закону № ФЗ-152 пользователи системы Галактика ERP стали все чаще обращаться в корпорацию «Галактика» с вопросами о соответствии встроенных средств защиты данных требованиям ФСТЭК по защите информационных систем при обработке персональных данных, а также о проведении комплекса организационных и технических мероприятий по обеспечению безопасности персональных данных.

При создании систем защиты персональных данных недостаточно просто закупить программные или аппаратные средства. Наличие у системы Галактика ERP сертификата для класса К2 включительно не означает, что оператору ничего не надо делать.

Проекты по построению системы защиты включают несколько этапов и уровней. Среди них – выявление информационных систем, относящихся к системам обработки ПДн, классификация системы, создание и утверждение внутренних процедур, внедрение программных и аппаратных решений, подготовка к аттестации, а также прохождение самой аттестации систем защиты персональных данных.

Корпорация «Галактика» совместно с сертифицированными партнерами имеет опыт проведения всего комплекса мероприятий по аудиту информационных систем обработки персональных данных, созданию и внедрению систем защиты и прохождению процедур их аттестации. Как правило, в первую очередь проекты по защите ПДн выполняются для систем управления персоналом. Такие системы есть практически у всех операторов, и именно эти ИСПДн и подвергнутся плановым и внеплановым проверкам регуляторов.

До 1 января 2011 года остается всего несколько месяцев, но еще далеко не все операторы построили свои системы защиты. Многие начинают выполнять такие работы самостоятельно и сталкиваются с множеством сложных вопросов и различных трудностей, когда без профессиональных знаний не обойтись. Как правило, пытаются присвоить своей ИСПДн как можно меньший класс — К3 или даже К4. При этом не учитывают, что их системы не типовые, а специальные: требуется разработать частную модель угроз — и только после этого определять класс системы. Все это связано с не совсем простой процедурой определения класса ИСПДн (особенно для специальных систем) и отсутствием подготовленных специалистов по защите информации у многих операторов персональных данных.

Наши рекомендации всем заказчикам – не откладывать проекты по построению систем защиты персональных данных на неопределенную перспективу, а начинать работы уже сейчас, ибо на такие проекты требуется не один месяц. А тем, кто считает, что у них уже построены такие системы защиты, советуем пригласить опытных специалистов и провести аудит используемых средств защиты, а также, что очень важно, проверить правильность разработки технической, нормативно-справочной и административно-распорядительной документации».

По материалам статьи «Персональные данные: думайте сами, решайте сами…»

Журнал CIO, № 10 октябрь 2010 г.