Многие считают, что закон "О персональных данных" вынуждает компании внедрять новые средства защиты - сертифицированные - взамен традиционных. Однако при грамотно составленной сопроводительной документации в большинстве случаев удовлетворить требованиям закона можно и со старой защитой - правильному составлению документов учат сейчас различные консультанты. Но решения, которые они предлагают, могут потребовать изменения архитектуры корпоративной информационной системы.
Вопросы о том, что нужно делать для обеспечения соответствия ФЗ-152, не связаны только с организацией защиты. Это целый комплекс мер; к некоторым из них нужно прибегнуть в самое ближайшее время. Эти меры и были предметом обсуждения на конференции "Защита персональных данных на предприятии: от законодательных актов - к практическим шагам", организованной 24 сентября агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия.
Самым значительным пробелом регуляторов в реализации требований закона "О персональных данных" является отсутствие упоминания во всех подзаконных актах основного средства предотвращения утечек - технологии DLP (Data Leakage Protection). Дело в том, что ФСТЭК до сих пор не имеет сформулированного набора требований к подобным продуктам и поэтому не вправе требовать их использования для защиты персональных данных. В то же время технология DLP имеет существенное отличие от средств защиты, предписанных методиками: DLP - это класс продуктов, которые ориентированы на управление данными предприятия, а не на защиту от вредоносных программ или действий злоумышленников, как большинство других систем защиты. Поэтому функционально заменить DLP-решения антивирусами и межсетевыми экранами невозможно. Пикантность же ситуации в том, что закон "О персональных данных" должен защищать именно от утечек, но самих систем защиты от утечек в требованиях нет.
С другой стороны, в законе есть требование предоставлять информацию о конкретной персоне в строго отведенный для этого срок - три дня. Не имея системы поиска персональных данных, компании будет нелегко удовлетворить требование Роскомнадзора, если это ведомство будет расследовать жалобы сразу нескольких человек, - такое мероприятие некоторые эксперты оценивают как своеобразную DoS-атаку. Механизмы поиска персональных данных, которые интегрированы в современные DLP-продукты, позволяют быстро реагировать на проверки регулятора. Эти же инструменты дают возможность быстро удалить данные любого человека в случае, если такое предписание будет выдано в результате проверки.
Например, в новой версии McAfee DLP появился специальный механизм для категоризации и поиска конфиденциальной информации. В ассортименте продуктов Symantec DLP есть для этих целей специальный продукт - Discovery. Проблемы с поиском и удалением информации могут возникнуть, например, в почтовой системе. Хотя консультанты рекомендуют вывести электронную почту из-под действия закона ФЗ-152, объявив, что цель ее работы не связана с обработкой персональных данных, тем не менее проверяющие Роскомнадзора могут потребовать данные в том числе и из почтовой системы. И тогда уже без соответствующего модуля DLP будет сложно обойтись.
В любом случае для реализации рекомендаций консультантов компании встанут перед необходимостью выделить в своей информационной системе фрагменты, где будут обрабатываться персональные данные и доступ к которым понадобится адекватно защищать. Скорее всего, в таких системах придется отказаться от удаленного доступа к базам данных в пользу терминального доступа к приложениям. Такое решение, базирующееся на технологии Sun Ray, предложила на конференции компания Sun Microsystems. Технология прошла сертификацию во ФСТЭК, причем это ведомство не только проверило безопасность технологии, но и само использует терминалы Sun Ray в своей информационной системе. Терминалы позволяют подключаться с помощью одного устройства как к защищенной среде, так и к открытой. Описанные проблемы показывают, что закон "О персональных данных" может потребовать внедрения не только средств защиты, но и решений по управлению корпоративными данными и альтернативных систем доступа к ним.