Самостоятельная организация инфраструктуры по 152-ФЗ или облачный аутсорсинг: плюсы и минусы

5 октября 2019

Выполнить требования российского законодательства в области защиты персональных данных (ПДн) можно двумя способами: самостоятельно или с помощью провайдера облачных услуг. У каждого из подходов есть свои преимущества и недостатки. Давайте разберемся, какой из вариантов больше подойдет именно вашей компании.

Когда компания доверяет данные третьей стороне, возникает естественное опасение, касающееся обеспечения их защиты. Как ни странно, в этом случае риски гораздо ниже, чем можно предположить. Дело в том, что у облачного провайдера есть штат компетентных специалистов, которые одновременно работают над обеспечением защиты персональных данных многих клиентов. К тому же, при заключении договора стороны подписывают соглашение о конфиденциальности.

Компания, специализирующаяся на защите сторонних данных, гарантированно обеспечит более высокий уровень безопасности информации. Хотя бы потому что обладает для этого всеми ресурсами. И если вы колеблетесь между операционными затратами ОРЕХ и капитальными затратами САРЕХ, выбор в пользу первых очевиден, так как эффективность услуг облачного провайдера сложно переоценить.

Работы по приведению информационных систем персональных данных (ИСПДн) в соответствие с требованиями законодательства выполняются в несколько этапов:

  1. обследование ИСПДн;

  2. определение уровня защищенности ИСПДн;

  3. разработка модели нарушителя и модели угроз;

  4. разработка организационно-распорядительной документации;

  5. разработка технического задания;

  6. разработка проектной документации системы защиты персональных данных;

  7. внедрение системы защиты персональных данных;

  8. аттестация ИСПДн.

Рассмотрим каждый этап в двух вариантах: если вы решили выполнить требования законодательства самостоятельно или привлекли с этой целью облачного провайдера.

1

Обследование

Так как владелец информационной системы ПДн обладает исчерпывающей информацией о ней, обследование превращается в систематизацию имеющихся данных, которые понадобятся на последующих этапах:

  1. Какие сведения обрабатываются в ИСПДн. Есть ли информация, относящаяся к биометрическим и специальным категориям персональных данных.

  2. Информация какого количества субъектов персональных данных обрабатывается в ИСПДн и до какого объема возможен рост в ближайшие несколько лет.

  3. Системное и прикладное программное обеспечение ИСПДн.

  4. Аппаратные платформы ИСПДн.

  5. Потоки персональных данных и обмен со смежными системами.

  6. Реализованные механизмы защиты.

  7. У кого есть привилегированный доступ и с правами на совершение каких действий.

Если вы решите привлечь облачного провайдера, в зависимости от сложности и размеров ИСПДн, потребуется выездное обследование или заполнение опросного листа.

Обработка персональных данных зачастую сконцентрирована не только на одном объекте и может выполняться как на собственных площадках, так и в «облаках».

Кроме того, существует неавтоматизированная обработка персональных данных (например, когда ПДн сотрудников хранятся в бумажном виде). Выполняя требования защиты персональных данных самостоятельно, вы можете охватить все процессы и информационные потоки, в которых есть такие данные.

Классическая услуга по защите ПДн в «облаке» обеспечивает, в первую очередь, соответствие требованиям законодательства в отношении тех информационных систем и обрабатываемых в них данных, которые расположены непосредственно в «облаке». Но ее можно также распространить на рабочие станции, серверы и другие компоненты ИСПДн на площадках клиентов. Кроме всего прочего, облачные провайдеры, — компания CorpSoft24 в частности, — предлагают комплексные услуги по обеспечению защиты всех персональных данных, которыми располагает клиент.

Распознать и чётко идентифицировать все информационные системы и потоки с персональными данными не так просто. Порой для этого требуются компетенции и опыт, которые есть далеко не у всех компаний. По этой причине для защиты персональных данных часто привлекают сторонние организации. Такой компанией может быть и облачный провайдер. Он охотно предоставит как классические облачные услуги (по отдельности и комплексно), так и исчерпывающий пакет услуг по защите персональных данных.

Рассмотрим пример компании, разрабатывающей компьютерные игры. Конечно, в ней есть не только программисты, но вот специалистов по информационной безопасности обычно нет. Сотрудники такой компании могут самостоятельно защитить свой программный продукт от копирования, а разобраться во всех хитросплетениях законодательства и привести все рабочие процессы в соответствие с ним не могут. Эта задача требует специфических компетенций, которые у разработчика компьютерных игр, скорее всего, отсутствуют.

Велика вероятность, что комплект документов, подготовленный самостоятельно, не будет удовлетворять всем требованиям законодательства. Результат — многочисленные замечания в ходе проверки регулятора, которые нужно будет оперативно устранить.

Обычно сами компании находят 3-5 процессов обработки персональных данных, упуская из виду целый ряд важных потоков ПДн. В итоге созданная система защиты охватывает не все персональные данные компании, а это, в свою очередь, влечет за собой переделку документов и доработку системы.

Самостоятельное выполнение требований законодательства на данном этапе, конечно же, позволит сэкономить на услугах сторонней компании, но, вероятнее всего, приведет к дополнительным затратам в будущем.
2

Определение уровня защищённости ИСПДн

На основании информации об ИСПДн, собранной на предыдущем этапе, и в чётком соответствии с Постановлением правительства № 1119 от 01 ноября 2011 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — ПП 1119) необходимо произвести определение уровня защищенности. Приказ о создании комиссии и акт об определении уровня защищённости ИСПДн подписываются самой компанией при любом формате выполнения работ. Облачный оператор может помочь в определении уровня защищенности ИСПДн, по возможности дать рекомендации относительно снижения затрат на обеспечение защиты ИСПДн и подготовить формы приказа и акта.

Самостоятельное выполнение работ на данном этапе, опять же, позволит сэкономить, но может повлечь дополнительные траты в будущем.
Требования ПП 1119 показаны на картинке ниже.

УЗ.png
3

Разработка модели нарушителя и модели угроз

Для качественного выполнения этого сложного этапа работ потребуется знание методических документов и опыт оценки угроз, поэтому обращение к облачному провайдеру поможет ускорить процесс разработки и сделать его более точным. За счет возможности рассмотрения нейтрализации ряда угроз с помощью применения организационных мер можно снизить стоимость системы защиты персональных данных. А вот самостоятельная разработка, наоборот, чревата увеличением стоимости этих процессов.

Разработка модели угроз осуществляется в соответствии с «Базовой моделью безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России от 15 февраля 2008 г.

Как разработать модель угроз?
4

Разработка организационно-распорядительной документации (ОРД)

ОРД включает в себя целый спектр политик, положений, регламентов, инструкций, журналов, перечней и других документов. Этот этап работ можно выполнить самостоятельно, но есть вероятность, что после проверки многое придется переделать. Часто компании берут за основу шаблоны из Интернета, а они обычно урезаны и не покрывают весь спектр нюансов, которыми интересуется проверяющая сторона.

Специалисты облачного провайдера, предоставляющего услуги по защите ИСПДн, умеют грамотно разрабатывать такие документы, а также зачастую имеют опыт прохождения проверок и сопровождения клиентов в процессе инспекции.

Скачать готовые шаблоны ОРД
5

Разработка технического задания на создание СЗПДн

В техническом задании (ТЗ) на создание СЗПДн прописываются требования, исходя из уровня защищенности ИСПДн и модели угроз. ТЗ необходимо для следующего этапа работ — разработки проектной документации. При приобретении услуг по защите ИСПДн у облачного провайдера техническое задание может не потребоваться, так как у специалистов есть типовые технические решения для разных уровней защищенности ИСПДн.

6

Разработка проектной документации на СЗПДн

Как и на предыдущем этапе, разработка проектной документации на СЗПДн имеет смысл, если вы приняли решение сделать это самостоятельно, а также при необходимости дальнейшей аттестации ИСПДн. Облачный провайдер предложит вам типовые решения, для развертывания которых проектная документация не потребуется.

Кроме мер защиты, предусмотренных 21-м приказом ФСТЭК, для комплексной и эшелонированной защиты иногда требуются дополнительные средства защиты. Они могут напрямую не относится к выполнению требований законодательства, но при этом быть строго рекомендованы для создания реально работающей комплексной системы защиты информации. Ведь персональными данными информация, которую необходимо защищать, не ограничивается. Например, для защиты Web-порталов могут потребоваться специализированные межсетевые экраны, предотвращающие Web-атаки, против которых не эффективны или даже бесполезны классические межсетевые экраны. В таком случае применяется так называемый Web Application Firewall (WAF). Его настройка зачастую требует не только весьма высокоуровневых компетенций в области информационной безопасности, но и глубокого понимания механизмов атак, протоколов и языков программирования, а также форматов запросов баз данных. Есть ещё средства защиты от DDoS-атак, которые тоже без квалифицированного персонала могут лишь греть воздух в серверной.

А вот для малых предприятий и для многих средних компаний приобретение подобных работающих сервисов в виде услуги — едва ли не единственный способ получить их.

Преимущественно крупные и иногда средние компании и организации могут выбирать и развивать собственные меры защиты информации или реализовывать их посредством аутсорсинга. А вот для малых предприятий и для многих средних компаний приобретение подобных работающих сервисов в виде услуги — едва ли не единственный способ получить их.

Для эффективного обнаружения, реагирования и расследования атак потребуется система сбора и корреляции событий информационной безопасности (SIEM). Её имеет смысл внедрять только при наличии зрелой ИТ и ИБ-инфраструктуры, а также сформированного и обученного высококвалифицированного подразделения специалистов по защите информации.

В нашем примере разработчику компьютерных игр потребуется потратить от 5 млн. рублей, чтобы получить данный комплекс высокоуровневых средств защиты информации.

7

Создание СЗПДн

При самостоятельной реализации СЗПДн в соответствии с проектной документацией необходимо закупить средства защиты информации, выполнить монтажные и пусконаладочные работы, после чего провести приемо-сдаточные испытания. Срок поставки некоторых СЗИ может составлять до 8 недель. Продолжительность работ по монтажу и пусконаладке зависит от размера ИСПДн, количества и удаленности площадок и ряда других факторов, но в среднем составляет около одного месяца.

Как в случае самостоятельного выполнения требований по защите данных, так и в случае приобретения соответствующих услуг у облачного провайдера, есть возможность поэтапного проектирования защиты персональных данных. Во втором случае вы получите ощутимое преимущество — более высокую скорость развертывания.

Например, разработчику компьютерных игр может потребоваться до полугода для проектирования, закупки и дальнейшего развертывания средств защиты. При приобретении услуги у облачного провайдера развертывание СЗПДн займёт не более одной недели.

Система защиты персональных данных (СЗПДн) состоит из целого комплекса подсистем, которые строятся на базе средств защиты информации. Они могут включать в себя:

  • средства защиты от несанкционированного доступа;
  • средства антивирусной защиты;
  • средство межсетевого экранирования;
  • средство обнаружения вторжений;
  • средство анализа защищенности;

  • средство защиты среды виртуализации.


Также должны быть реализованы меры физической безопасности. Обычно они являются частью всех услуг облачных провайдеров по умолчанию. Не важно — защищаете вы персональные данные или нет, — видеонаблюдение, бесперебойное питание, пожаротушение, контроль, управление доступом и ряд других мер будут обеспечены вашей компании в любом случае. При самостоятельной реализации данных мер компании или организации могут потребоваться дополнительные затраты, если эти меры не были реализованы до создания СЗПДн.

Кроме того, в рамках нашего сравнения нужно учесть и дальнейшую поддержку СЗПДн в рабочем состоянии. Для этого потребуются обученные специалисты, регулярное продление контрактов на техническую поддержу, наличие комплектов ЗиП, а со временем и обновление парка средств защиты информации.

В случае сотрудничества с облачным провайдером СЗПДн будет предоставляться как услуга, включающая все необходимые работы с участием высококвалифицированных специалистов. Возможен и гибридный вариант, при котором администрирование СЗПДн выполняется сотрудниками клиента. Такой сценарий иногда встречается в крупных компаниях и организациях, у которых есть собственные подразделения с подготовленными специалистами.

Зачастую стоимость организации СЗПДн с учетом всего жизненного цикла в формате аутсорсинга оказывается ниже, чем в случае самостоятельного создания и поддержания системы.

Для малых и ряда средних предприятий помощь облачного провайдера — порой единственный способ выполнить требования законодательства, так как далеко не каждая компания или организация имеет возможность приобрести необходимые средства и содержать отдел специалистов.

Рассмотрим ситуацию на примере разработчика компьютерных игр. В «облаке» размещено три информационные системы персональных данных, суммарно на двух виртуальных машинах, для работы с ПДн используется 20 автоматизированных рабочих станций.

Пример расчета стоимости:

Самостоятельная организация инфраструктуры по 152-ФЗ

С учетом стандартной годовой технической поддержки как минимум потребуются:

Средства защиты от НСД: 8000 x 22 = 176 000 рублей.
Средства антивирусной защиты: 3000 x 22 = 66 000 рублей.
Межсетевой экран и криптошлюз, включая систему управления: 400 000 рублей.
Система обнаружения вторжений: 400 000 рублей.

Криптоклиенты: 7 500 x 20 = 150 000 рублей.
Средство анализа защищенности: 100 000 рублей.

Средство защиты среды виртуализации: 160 000 рублей.

Итого: 1 452 000 рублей.

За техническую поддержку и продление лицензий каждый год нужно будет отдавать не менее 20%, то есть примерно 290 400 рублей. Кроме того, придется нанять специалиста, который будет администрировать созданную СЗПДн, а это ещё не меньше 1 000 000 рублей ФОТ в год. Затраты за 10 лет могут составить не менее 14 356 000 рублей.

А вот услуга облачного оператора будет стоить:

Ед. изм. Кол-во Цена руб. в мес. Сумма руб. в мес.
Средства защиты от НСД шт. 2 1000,00 2000,00
Средства антивирусной защиты шт. 2 500,00 1000,00
Межсетевой экран и криптошлюз, включая систему управления шт. 1 2800,00 2800,00
Система обнаружения вторжений шт. 1 1700,00 1700,00
Криптоклиенты шт. 2 900,00 1800,00
Средство анализа защищенности шт. 1 800,00 800,00
Средство защиты среды виртуализации шт. 4 250,00 1000,00
11100,00


Что составит 133 200.00 в год.

Или 1 332 000 за 10 лет.

Таким образом мы видим, что если у в штате компании уже есть специалист по информационной безопасности, то на горизонте планирования 10 лет, расходы на покупку СЗИ и на приобретение СЗИ как услуги примерно сравняются. В случае же если такого специалиста нет, то его придется нанять. В этом случае разница в стоимости резко смещается в пользу облачного варианта.

Хранение персональных данных в защищенном облаке Corpsoft24
8

Аттестация (опционально для ряда компаний)

Аттестация требуется в основном для ИСПДн государственных структур. Для коммерческих компаний данный этап опционален, но его можно выполнить в случае желания обладать одним документом, который можно предъявлять клиентам для подтверждения, что все требования выполнены. Самостоятельно аттестацию компания может осуществить только если у неё есть лицензия ФСТЭК России на техническую защиту конфиденциальной информации с разрешением на работы по аттестации. Количество таких лицензиатов невелико, поэтому высока вероятность необходимости привлечения сторонней компании для выполнения работ по аттестации.

У некоторых облачных провайдеров зачастую есть уже аттестованный сегмент «облака», а также лицензия и соответствующие услуги для аттестации ИСПДн клиентов.

Самостоятельно реализовать большую часть работы по приведению информационных систем персональных данных (ИСПДн) в соответствие с требованиями законодательства вполне реально. Вопрос в том, готовы ли вы к предстоящим в этом случае рискам? Первая же проверка выявит все недочеты, на устранение которых потребуется не только время, но и значительные финансовые средства. Подобные траты могут ощутимо превзойти стоимость услуг облачного провайдера, опыт и ресурсы которого позволят закрыть все вопросы, касающиеся защиты ПДн, быстро и эффективно.

Как взаимодействовать с гос. органами во время проверки?
Хостинг ИСПДн
Защита
персональных
данных

Остались вопросы?

Напишите нам и мы вам ответим
Демьян Раменский
Руководитель направления 
Хостинг ИСПДн CorpSoft24
Ваше сообщение
успешно отправлено
Мы ответим вам в ближайшее время
CorpSoft24
127473, РФ, МОСКВА, УЛ. СЕЛЕЗНЕВСКАЯ, Д.32
загрузка карты...