152-ФЗ: клиент попросил аудит - начинаем с инвентаризации
До января 2010 осталось меньше двух лет. Клиент из торговли попросил разобраться, что у него есть с персданными, - начинаем с инвентаризации систем и классификации.
Приближение срока обязательного приведения информационных систем в соответствие с 152-ФЗ «О персональных данных» - организации начинают подготовку
В январе 2010 года организации обязаны привести информационные системы персональных данных в соответствие с 152-ФЗ. Два года - звучит как много. На практике, судя по первому же клиенту, который к нам обратился, - нет.
Клиент из розничной торговли: несколько магазинов, центральный офис, пара серверов с 1С и самописная база для программы лояльности. Запрос простой - «скажите, что нам нужно сделать». Мы объяснили, что прежде чем говорить о мерах, надо понять, что именно защищать. Клиент согласился, и мы начали с аудита.
Откуда берётся проблема
152-ФЗ вступил в силу ещё в 2006 году, но операторам дали время на приведение в соответствие - до января 2010. Требования к техническим мерам конкретизированы двумя регуляторами: ФСТЭК отвечает за защиту от несанкционированного доступа, ФСБ - за криптографию, если данные передаются по открытым каналам или хранятся в зашифрованном виде. Набор документов у обоих ведомств вышел в прошлом году, и там достаточно конкретики, чтобы начать планировать.
Проблема не в том, что требования непонятны. Проблема в том, что большинство организаций не знают, где у них вообще хранятся персональные данные. Это не преувеличение - это первый вопрос, который мы задаём на каждом объекте, и почти всегда ответ начинается с паузы.
Инвентаризация: с чего начали
Первый день - обход систем и интервью с руководителем IT и бухгалтерией. Не потому что бухгалтерия разбирается в защите информации, а потому что именно там, как правило, знают, в каких системах живут данные сотрудников и контрагентов.
По итогу выяснилось следующее:
- 1С: Бухгалтерия - ФИО, ИНН, паспортные данные, адреса сотрудников. Классика, никого не удивляет.
- База программы лояльности - имена, телефоны, email, история покупок. Самописная, живёт на отдельном сервере, резервируется раз в неделю на внешний диск в тумбочке. Сюрприз номер один.
- Excel на рабочих станциях HR - два файла с паспортными данными при приёме на работу, которые «временно» лежат на десктопе уже несколько лет. Сюрприз номер два.
- Почта - пересылка сканов паспортов внутри компании при оформлении корпоративных карт. Без шифрования, через внешний почтовый сервер провайдера.
- Бумажные анкеты - лежат в шкафу в отделе кадров, частично заполненные. Формально тоже персданные, формально тоже регулируются.
Это один средний клиент. Пять источников ПДн, три из которых не были на радаре у IT-отдела вообще.
Классификация: что это меняет
По приказу ФСТЭК все информационные системы персональных данных (ИСПДн) делятся на классы - от К4 (минимальные риски) до К1 (максимальные). Класс определяет набор обязательных технических мер. Чем выше класс - тем больше требований: сертифицированные средства защиты, аттестация, журналирование и так далее.
Классификация зависит от нескольких факторов: категория данных (специальные - это здоровье, национальность, биометрия - или обычные), количество субъектов, и может ли нарушение конфиденциальности нанести им вред. База программы лояльности с телефонами клиентов - это, скорее всего, К3 или К4 в зависимости от объёма. А вот если в ней хранятся сведения о здоровье (например, аллергии для доставки продуктов) - уже К2 с другим набором требований.
Для нашего клиента классификацию придётся проводить по каждой из выявленных систем отдельно. Это не быстро, но без этого шага непонятно, что именно строить.
Что дальше
Мы сформировали реестр ИСПДн - пока в виде таблицы с описанием каждой системы, составом данных и предварительным классом. Следующий шаг - частная модель угроз по методике ФСТЭК, которая определит актуальные угрозы для каждой системы и станет основой технического задания на защиту.
Параллельно клиент уже сам убрал сканы паспортов с рабочих станций и поставил вопрос о шифровании почты - не потому что мы заставили, а потому что увидел своими глазами, как оно выглядит на бумаге.
Два года до срока - это одновременно много и мало. Организационные меры, обучение сотрудников, приведение договоров с обработчиками в порядок, техническая защита систем, возможно аттестация - это не квартальный проект. Те, кто начнёт в конце 2009-го, получат очередь и отсутствие выбора по исполнителям.
Мы начали в феврале 2008-го. Посмотрим, как пойдёт.