Выполнить требования российского законодательства в области защиты персональных данных (ПДн) можно двумя способами: самостоятельно или с помощью провайдера облачных услуг. У каждого из подходов есть свои преимущества и недостатки. Давайте разберемся, какой из вариантов больше подойдет именно вашей компании.
Когда компания доверяет данные третьей стороне, возникает естественное опасение, касающееся обеспечения их защиты. Как ни странно, в этом случае риски гораздо ниже, чем можно предположить. Дело в том, что у облачного провайдера есть штат компетентных специалистов, которые одновременно работают над обеспечением защиты персональных данных многих клиентов. К тому же, при заключении договора стороны подписывают соглашение о конфиденциальности.
Компания, специализирующаяся на защите сторонних данных, гарантированно обеспечит более высокий уровень безопасности информации. Хотя бы потому что обладает для этого всеми ресурсами. И если вы колеблетесь между операционными затратами ОРЕХ и капитальными затратами САРЕХ, выбор в пользу первых очевиден, так как эффективность услуг облачного провайдера сложно переоценить.
Работы по приведению информационных систем персональных данных (ИСПДн) в соответствие с требованиями законодательства выполняются в несколько этапов:
- обследование ИСПДн;
- определение уровня защищенности ИСПДн;
- разработка модели нарушителя и модели угроз;
- разработка организационно-распорядительной документации;
- разработка технического задания;
- разработка проектной документации системы защиты персональных данных;
- внедрение системы защиты персональных данных;
- аттестация ИСПДн.
Рассмотрим каждый этап в двух вариантах: если вы решили выполнить требования законодательства самостоятельно или привлекли с этой целью облачного провайдера.
Обследование
Так как владелец информационной системы ПДн обладает исчерпывающей информацией о ней, обследование превращается в систематизацию имеющихся данных, которые понадобятся на последующих этапах:
- Какие сведения обрабатываются в ИСПДн. Есть ли информация, относящаяся к биометрическим и специальным категориям персональных данных.
- Информация какого количества субъектов персональных данных обрабатывается в ИСПДн и до какого объема возможен рост в ближайшие несколько лет.
- Системное и прикладное программное обеспечение ИСПДн.
- Аппаратные платформы ИСПДн.
- Потоки персональных данных и обмен со смежными системами.
- Реализованные механизмы защиты.
- У кого есть привилегированный доступ и с правами на совершение каких действий.
Если вы решите привлечь облачного провайдера, в зависимости от сложности и размеров ИСПДн, потребуется выездное обследование или заполнение опросного листа.
Обработка персональных данных зачастую сконцентрирована не только на одном объекте и может выполняться как на собственных площадках, так и в «облаках».
Кроме того, существует неавтоматизированная обработка персональных данных (например, когда ПДн сотрудников хранятся в бумажном виде). Выполняя требования защиты персональных данных самостоятельно, вы можете охватить все процессы и информационные потоки, в которых есть такие данные.
Классическая услуга по защите ПДн в «облаке» обеспечивает, в первую очередь, соответствие требованиям законодательства в отношении тех информационных систем и обрабатываемых в них данных, которые расположены непосредственно в «облаке». Но ее можно также распространить на рабочие станции, серверы и другие компоненты ИСПДн на площадках клиентов. Кроме всего прочего, облачные провайдеры, — компания CorpSoft24 в частности, — предлагают комплексные услуги по обеспечению защиты всех персональных данных, которыми располагает клиент.
Распознать и чётко идентифицировать все информационные системы и потоки с персональными данными не так просто. Порой для этого требуются компетенции и опыт, которые есть далеко не у всех компаний. По этой причине для защиты персональных данных часто привлекают сторонние организации. Такой компанией может быть и облачный провайдер. Он охотно предоставит как классические облачные услуги (по отдельности и комплексно), так и исчерпывающий пакет услуг по защите персональных данных.
Рассмотрим пример компании, разрабатывающей компьютерные игры. Конечно, в ней есть не только программисты, но вот специалистов по информационной безопасности обычно нет. Сотрудники такой компании могут самостоятельно защитить свой программный продукт от копирования, а разобраться во всех хитросплетениях законодательства и привести все рабочие процессы в соответствие с ним не могут. Эта задача требует специфических компетенций, которые у разработчика компьютерных игр, скорее всего, отсутствуют.
Велика вероятность, что комплект документов, подготовленный самостоятельно, не будет удовлетворять всем требованиям законодательства. Результат — многочисленные замечания в ходе проверки регулятора, которые нужно будет оперативно устранить.
Обычно сами компании находят 3-5 процессов обработки персональных данных, упуская из виду целый ряд важных потоков ПДн. В итоге созданная система защиты охватывает не все персональные данные компании, а это, в свою очередь, влечет за собой переделку документов и доработку системы.
Самостоятельное выполнение требований законодательства на данном этапе, конечно же, позволит сэкономить на услугах сторонней компании, но, вероятнее всего, приведет к дополнительным затратам в будущем.
Определение уровня защищённости ИСПДн
На основании информации об ИСПДн, собранной на предыдущем этапе, и в чётком соответствии с Постановлением правительства № 1119 от 01 ноября 2011 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — ПП 1119) необходимо произвести определение уровня защищенности. Приказ о создании комиссии и акт об определении уровня защищённости ИСПДн подписываются самой компанией при любом формате выполнения работ. Облачный оператор может помочь в определении уровня защищенности ИСПДн, по возможности дать рекомендации относительно снижения затрат на обеспечение защиты ИСПДн и подготовить формы приказа и акта.
Самостоятельное выполнение работ на данном этапе, опять же, позволит сэкономить, но может повлечь дополнительные траты в будущем.
Разработка модели нарушителя и модели угроз
Для качественного выполнения этого сложного этапа работ потребуется знание методических документов и опыт оценки угроз, поэтому обращение к облачному провайдеру поможет ускорить процесс разработки и сделать его более точным. За счет возможности рассмотрения нейтрализации ряда угроз с помощью применения организационных мер можно снизить стоимость системы защиты персональных данных. А вот самостоятельная разработка, наоборот, чревата увеличением стоимости этих процессов.
Разработка модели угроз осуществляется в соответствии с «Базовой моделью безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России от 15 февраля 2008 г.
Разработка организационно-распорядительной документации (ОРД)
ОРД включает в себя целый спектр политик, положений, регламентов, инструкций, журналов, перечней и других документов. Этот этап работ можно выполнить самостоятельно, но есть вероятность, что после проверки многое придется переделать. Часто компании берут за основу шаблоны из Интернета, а они обычно урезаны и не покрывают весь спектр нюансов, которыми интересуется проверяющая сторона.
Специалисты облачного провайдера, предоставляющего услуги по защите ИСПДн, умеют грамотно разрабатывать такие документы, а также зачастую имеют опыт прохождения проверок и сопровождения клиентов в процессе инспекции.
Разработка технического задания на создание СЗПДн
В техническом задании (ТЗ) на создание СЗПДн прописываются требования, исходя из уровня защищенности ИСПДн и модели угроз. ТЗ необходимо для следующего этапа работ — разработки проектной документации. При приобретении услуг по защите ИСПДн у облачного провайдера техническое задание может не потребоваться, так как у специалистов есть типовые технические решения для разных уровней защищенности ИСПДн.
Разработка проектной документации на СЗПДн
Как и на предыдущем этапе, разработка проектной документации на СЗПДн имеет смысл, если вы приняли решение сделать это самостоятельно, а также при необходимости дальнейшей аттестации ИСПДн. Облачный провайдер предложит вам типовые решения, для развертывания которых проектная документация не потребуется.
Кроме мер защиты, предусмотренных 21-м приказом ФСТЭК, для комплексной и эшелонированной защиты иногда требуются дополнительные средства защиты. Они могут напрямую не относится к выполнению требований законодательства, но при этом быть строго рекомендованы для создания реально работающей комплексной системы защиты информации. Ведь персональными данными информация, которую необходимо защищать, не ограничивается. Например, для защиты Web-порталов могут потребоваться специализированные межсетевые экраны, предотвращающие Web-атаки, против которых не эффективны или даже бесполезны классические межсетевые экраны. В таком случае применяется так называемый Web Application Firewall (WAF). Его настройка зачастую требует не только весьма высокоуровневых компетенций в области информационной безопасности, но и глубокого понимания механизмов атак, протоколов и языков программирования, а также форматов запросов баз данных. Есть ещё средства защиты от DDoS-атак, которые тоже без квалифицированного персонала могут лишь греть воздух в серверной.
А вот для малых предприятий и для многих средних компаний приобретение подобных работающих сервисов в виде услуги — едва ли не единственный способ получить их.
Преимущественно крупные и иногда средние компании и организации могут выбирать и развивать собственные меры защиты информации или реализовывать их посредством аутсорсинга. А вот для малых предприятий и для многих средних компаний приобретение подобных работающих сервисов в виде услуги — едва ли не единственный способ получить их.
Для эффективного обнаружения, реагирования и расследования атак потребуется система сбора и корреляции событий информационной безопасности (SIEM). Её имеет смысл внедрять только при наличии зрелой ИТ и ИБ-инфраструктуры, а также сформированного и обученного высококвалифицированного подразделения специалистов по защите информации.
В нашем примере разработчику компьютерных игр потребуется потратить от 5 млн. рублей, чтобы получить данный комплекс высокоуровневых средств защиты информации.
Создание СЗПДн
При самостоятельной реализации СЗПДн в соответствии с проектной документацией необходимо закупить средства защиты информации, выполнить монтажные и пусконаладочные работы, после чего провести приемо-сдаточные испытания. Срок поставки некоторых СЗИ может составлять до 8 недель. Продолжительность работ по монтажу и пусконаладке зависит от размера ИСПДн, количества и удаленности площадок и ряда других факторов, но в среднем составляет около одного месяца.
Как в случае самостоятельного выполнения требований по защите данных, так и в случае приобретения соответствующих услуг у облачного провайдера, есть возможность поэтапного проектирования защиты персональных данных. Во втором случае вы получите ощутимое преимущество — более высокую скорость развертывания.
Например, разработчику компьютерных игр может потребоваться до полугода для проектирования, закупки и дальнейшего развертывания средств защиты. При приобретении услуги у облачного провайдера развертывание СЗПДн займёт не более одной недели.
Система защиты персональных данных (СЗПДн) состоит из целого комплекса подсистем, которые строятся на базе средств защиты информации. Они могут включать в себя:
- средства защиты от несанкционированного доступа;
- средства антивирусной защиты;
- средство межсетевого экранирования;
- средство обнаружения вторжений;
- средство анализа защищенности;
- средство защиты среды виртуализации.
Также должны быть реализованы меры физической безопасности. Обычно они являются частью всех услуг облачных провайдеров по умолчанию. Не важно — защищаете вы персональные данные или нет, — видеонаблюдение, бесперебойное питание, пожаротушение, контроль, управление доступом и ряд других мер будут обеспечены вашей компании в любом случае. При самостоятельной реализации данных мер компании или организации могут потребоваться дополнительные затраты, если эти меры не были реализованы до создания СЗПДн.
Кроме того, в рамках нашего сравнения нужно учесть и дальнейшую поддержку СЗПДн в рабочем состоянии. Для этого потребуются обученные специалисты, регулярное продление контрактов на техническую поддержу, наличие комплектов ЗиП, а со временем и обновление парка средств защиты информации.
В случае сотрудничества с облачным провайдером СЗПДн будет предоставляться как услуга, включающая все необходимые работы с участием высококвалифицированных специалистов. Возможен и гибридный вариант, при котором администрирование СЗПДн выполняется сотрудниками клиента. Такой сценарий иногда встречается в крупных компаниях и организациях, у которых есть собственные подразделения с подготовленными специалистами.
Зачастую стоимость организации СЗПДн с учетом всего жизненного цикла в формате аутсорсинга оказывается ниже, чем в случае самостоятельного создания и поддержания системы.
Для малых и ряда средних предприятий помощь облачного провайдера — порой единственный способ выполнить требования законодательства, так как далеко не каждая компания или организация имеет возможность приобрести необходимые средства и содержать отдел специалистов.
Рассмотрим ситуацию на примере разработчика компьютерных игр. В «облаке» размещено три информационные системы персональных данных, суммарно на двух виртуальных машинах, для работы с ПДн используется 20 автоматизированных рабочих станций.
Пример расчета стоимости:
Самостоятельная организация инфраструктуры по 152-ФЗ
С учетом стандартной годовой технической поддержки как минимум потребуются:
Средства защиты от НСД: 8000 x 22 = 176 000 рублей.Средства антивирусной защиты: 3000 x 22 = 66 000 рублей.
Межсетевой экран и криптошлюз, включая систему управления: 400 000 рублей.
Система обнаружения вторжений: 400 000 рублей.
Криптоклиенты: 7 500 x 20 = 150 000 рублей.
Средство анализа защищенности: 100 000 рублей.
Средство защиты среды виртуализации: 160 000 рублей.
Итого: 1 452 000 рублей.
За техническую поддержку и продление лицензий каждый год нужно будет отдавать не менее 20%, то есть примерно 290 400 рублей. Кроме того, придется нанять специалиста, который будет администрировать созданную СЗПДн, а это ещё не меньше 1 000 000 рублей ФОТ в год. Затраты за 10 лет могут составить не менее 14 356 000 рублей.
А вот услуга облачного оператора будет стоить:
| Ед. изм. | Кол-во | Цена руб. в мес. | Сумма руб. в мес. | |
|---|---|---|---|---|
| Средства защиты от НСД | шт. | 2 | 1000,00 | 2000,00 |
| Средства антивирусной защиты | шт. | 2 | 500,00 | 1000,00 |
| Межсетевой экран и криптошлюз, включая систему управления | шт. | 1 | 2800,00 | 2800,00 |
| Система обнаружения вторжений | шт. | 1 | 1700,00 | 1700,00 |
| Криптоклиенты | шт. | 2 | 900,00 | 1800,00 |
| Средство анализа защищенности | шт. | 1 | 800,00 | 800,00 |
| Средство защиты среды виртуализации | шт. | 4 | 250,00 | 1000,00 |
| 11100,00 |
Что составит 133 200.00 в год.
Или 1 332 000 за 10 лет.
Таким образом мы видим, что если у в штате компании уже есть специалист по информационной безопасности, то на горизонте планирования 10 лет, расходы на покупку СЗИ и на приобретение СЗИ как услуги примерно сравняются. В случае же если такого специалиста нет, то его придется нанять. В этом случае разница в стоимости резко смещается в пользу облачного варианта.
Аттестация (опционально для ряда компаний)
Аттестация требуется в основном для ИСПДн государственных структур. Для коммерческих компаний данный этап опционален, но его можно выполнить в случае желания обладать одним документом, который можно предъявлять клиентам для подтверждения, что все требования выполнены. Самостоятельно аттестацию компания может осуществить только если у неё есть лицензия ФСТЭК России на техническую защиту конфиденциальной информации с разрешением на работы по аттестации. Количество таких лицензиатов невелико, поэтому высока вероятность необходимости привлечения сторонней компании для выполнения работ по аттестации.
У некоторых облачных провайдеров зачастую есть уже аттестованный сегмент «облака», а также лицензия и соответствующие услуги для аттестации ИСПДн клиентов.
Самостоятельно реализовать большую часть работы по приведению информационных систем персональных данных (ИСПДн) в соответствие с требованиями законодательства вполне реально. Вопрос в том, готовы ли вы к предстоящим в этом случае рискам? Первая же проверка выявит все недочеты, на устранение которых потребуется не только время, но и значительные финансовые средства. Подобные траты могут ощутимо превзойти стоимость услуг облачного провайдера, опыт и ресурсы которого позволят закрыть все вопросы, касающиеся защиты ПДн, быстро и эффективно.
