CNEWS, №11-12, декабрь 2009
Проблемы с 152-ФЗ. Защищенный хостинг.
Несмотря на то что до вступления в силу закона «О персональных данных» осталось чуть больше месяца, споры о том, как обеспечить соответствие его требованиям с наименьшими временными и финансовыми затратами, не утихают. Нестабильная экономическая ситуация значительно осложнила реализацию предписанных мероприятий, но, вопреки ожиданиям противников закона, срок его вступления в силу не был перенесен. Эффективным способом решения проблемы может стать хостинг информационных систем персональных данных в коммерческом дата-центре.
Основными сложностями реализации требований 152-ФЗ остаются неясность отдельных положений закона, финансовые трудности, недостаток квалифицированных кадров и пр. В соответствии с 152-ФЗ каждый оператор персональных данных должен внедрить у себя полноценную подсистему безопасности. Это, по мнению специалистов компании «Информзащита», значительно усложняет топологию дата-центра, увеличивает нагрузку на сетевое оборудование, снижает производительность серверов и пропускную способность каналов. Так, на каждый сервер приложения потребуется свой межсетевой экран, своя система обнаружения вторжений и т. п.
В связи с этим сегодня уровень готовности компаний в части соответствия требованиям закона недостаточно высок. Большинство из них в силу ограниченности бюджета могут использовать лишь собственные ресурсы при обеспечении защиты информационных систем персональных данных (ИСПДн) либо привлечь внешних консультантов в помощь сотрудникам ИБ-подразделений. Совместную работу с консультантами чаще всего практикуют представители банковского, страхового и телекоммуникационного секторов — как правило, в их распоряжении достаточно средств, времени и квалифицированных кадров. Однако для компаний, чьи ИБ-бюджеты никогда не были большими и к тому же серьезно пострадали от кризиса, вопрос, как обеспечить соответствие нормам закона, остается открытым.
Можно ли обойтись «малой кровью»?
Одним из вариантов выполнения требований 152-ФЗ, позволяющим сэкономить временные и финансовые ресурсы, является хостинг приложений или колокация серверов в коммерческих дата-центрах. Законодательных препятствий к хранению ПДн в ЦОД нет: аутсорсер такого профиля уже имеет аттестованную инфраструктуру и необходимые лицензии. В центре обработки данных можно создать защищенный сегмент, в котором специалистами в области ИБ будут реализованы все организационные и технические требования закона «О персональных данных». Коммерческий дата-центр способен реализовать весь комплекс средств для обеспечения безопасности периметра — экранирование, антивирусную защиту, системы обнаружения вторжений и т.п. Также аутсорсинго-вый ЦОД в круглосуточном режиме осуществляет контроль доступа в помещения и к серверам, регулярно проводит анализ защищенности серверов и приложений клиентов, здесь выработаны единые подходы к предотвращению несанкционированного доступа к находящимся на хостинге серверам. Для удаленного доступа к приложениям применяются специальные каналы связи и криптографические средства. Кроме того, здесь обеспечивается бесперебойное электропитание, кондиционирование, резервирование каналов связи, при необходимости — резервное копирование.
Как отмечает генеральный директор компании «ДатаЛайн» Юрий Самойлов, перед тем как начать сотрудничество с коммерческим дата-центром, компании необходимо выработать свою методологию, обеспечивающую выполнение тех требований к защите информации, которые нельзя реализовать в дата-центре. В первую очередь это касается мер по предотвращению несанкционированного доступа к персональным данным, обрабатываемым приложениями, находящимися на компьютерах или серверах компании. Для этого вся информационная система ПДн (и серверная, и клиентская части) предприятия должна быть классифицирована, для нее необходимо создать модель угроз которая и является основой для выдвижения требований по защите информации.
Подключение каждого клиента коммерческий дата-центр осуществляет после реализации всех мер по обеспечению ИБ. При этом предусматривается обязательный инспекционный контроль дата-центра органом по аттестации на предмет выполнения требований ФЗ «О персональных данных», а также проведение, в случае необходимости, аттестационных испытаний информационной системы ПДн клиента (для классов K1 и К2).
По мнению экспертов, подобный подход позволяет существенно сократить совокупную стоимость владения подсистемой ИБ за счет централизации основных механизмов обеспечения безопасности в дата-центре и освобождения компании от необходимости капитальных вложений в дорогостоящие средства защиты информации. При этом обработка персональных данных в коммерческих ЦОД значительно снижает риски, связанные с санкциями органов по контролю и надзору за невыполнением требований закона
«О персональных данных»
По словам Юрия Самойлова, выбор подхода — строить систему информационной безопасности, соответствующую требованиям 152-ФЗ, собственными силами или передать эти функции на аутсорсинг — определяется текущим уровнем системы ИБ и ИКТ-инфраструктуры предприятия и материальной базой, которой он располагает. Так, если в компании уже развернута полноценная ИКТ-инфраструктура, включая систему ИБ, действуют политики в области ИБ, она может реализовать требования 152-ФЗ силами собственного ИТ-подразделения.
Если же компания приступает к выполнению требований закона, не имея комплексной системы информационной безопасности, ей целесообразнее обратиться в консалтинговую фирму, которая оказывает услуги в области защиты персональных данных, обладая полноценным штатом квалифицированных сотрудников. При выборе такой компании в первую очередь стоит обратить внимание на линейку предоставляемых услуг и партнерскую сеть. Необходимо, чтобы уже на этапе составления технического задания был предусмотрен ряд работ, который впоследствии перейдет на аутсорсинг в дата-центр. В этом случае обследование информационной системы персональных данных клиента и формирование эскизного проекта займет не более 6о дней. Все последующие работы по поддержке безопасности ИСПДн, согласованные рамками технического задания, будут осуществляться силами коммерческого дата-центра.