На фоне жестких сроков вступления в полную силу Федерального закона РФ № 152-ФЗ «О персональных данных» и неясных его трактовок со стороны регуляторов операторы персональных данных разделились на тех, кто решил повременить с инициативами, и тех, кто решил

«Любой вопрос, так или иначе влияющий на доступность и бесперебойное функционирование систем, обрабатывающих персональные данные и используемых для автоматизации ключевых бизнес-процессов компании, рассматривается в РОСНО как критически важный», Сергей Пегасов, директор по ИТ компании «РОСНО»Сергей Пегасов

Возраст: 37 лет
Образование: МГУ, социологический факультет; бизнес-школа в Гренобле (Франция), MBA
Послужной список
2009 — настоящее время

СК «РОСНО», директор по ИТ
2006 — 2009
«Вимм-Билль-Данн», CIO
2003 — 2006
«Siemens Россия», CIO
2000 — 2003
ICN Pharmaceuticals, CIO

Решение о старте проекта по приведению информационных систем в соответствие требованиям закона о персональных данных в компании «РОСНО» было принято в начале 2009 года. Основным был вопрос выбора подхода к решению задачи, а также исполнителей проекта.

«Наш бизнес сильно зависит от систем, обрабатывающих персональные данные и используемых для автоматизации ключевых бизнес-процессов компании. И любой вопрос, так или иначе влияющий на доступность и бесперебойное функционирование таких систем, рассматривается в компании как критически важный. Кроме того, у одной из наших дочерних компаний, “РОСНО МС”, которая занимается обязательным медицинским страхованием, был риск попасть под проверку раньше других. После проведенного анализа и обсуждений (в том числе на уровне руководства компании) было принято решение начать проект для всей компании “РОСНО”», — рассказывает Сергей Пегасов, директор по ИТ компании «РОСНО».

К задаче приведения систем в соответствие требованиям закона о персональных данных серьезно отнеслись не только в центре информационных систем и технологий компании, который возглавляет Пегасов, но и в службе безопасности, выступившей одним из основных инициаторов проекта. Было принято решение, что в проекте будут принимать равное участие оба подразделения. «Руководителем проекта был назначен представитель службы безопасности. В его функции входили проработка методологической части, организация работы от начального этапа до перехода к внедрению и интеграционным работам. Эксперты со стороны ИТ-службы участвовали в проекте с самого начала, но в полном объеме подключались, когда нужно было давать экспертную оценку возможности реализации решения и его работоспособности. Также под контролем ИТ-службы проходило, все, что касалось непосредственно внедрения решений и их интеграции», — рассказывает Дмитрий Баранов, директор по информационной безопасности центра информационных систем и технологий компании «РОСНО».

Началу проекта предшествовала долгая дискуссия о том, на какой объем работ приглашать консультирующую компанию. В итоге внешнему консультанту решили доверить первичное обследование, анализ угроз, составление всей необходимой документации для прохождения аттестации, а также поддержку при ее прохождении. «Желательно, чтобы одна компания занималась и формулировкой требований, и аттестацией, потому что, если аттестацию проводит компания, не участвовавшая в формировании требований, то велика вероятность, что придется менять решение с учетом ее (компании – аттестационного центра) видения проблемы. Мы не стали изначально включать в набор задач для консультанта внедрение ИТ-решения, а поручили консультанту обследование информационных систем компании, составление модели угроз в соответствии с рекомендациями ФСТЭК, формирование требований, необходимых для соответствия законодательству, и уже на их основе рассмотреть варианты ИТ-решений», — вспоминает Пегасов. В результате проведенного тендера в качестве консультанта была выбрана компания «Информзащита». 

Партнеры и решения

«Наша компания работает в конкурентной среде, поэтому и до принятия федерального закона персональные данные у нас были довольно неплохо защищены», Дмитрий Баранов, директор по информационной безопасности центра информационных систем и технологий компании «РОСНО»Поначалу, пока не было ясности, какими средствами предстоит реализовывать защиту персональных данных в компании, доминировали две концепции. Первая предполагала защищать и сертифицировать функционал обеспечения безопасности каждой информационной системы в отдельности, правда, в этом случае пришлось бы проводить повторную ее ресертификацию всякий раз после изменения этого функционала. В основе второй концепции лежала защита систем персональных данных с помощью внешних (так называемых наложенных) средств защиты информации, общих для нескольких систем (либо для всего объекта информатизации). «Кроме того, нам предлагалось развернуть средства контроля на уровне конечных устройств (рабочих станций). Но от этого мы довольно быстро отказались. Стоит отметить, что в “РОСНО МС” по этому пути пошли, так как у них более строгие требования к безопасности данных», — поясняет Баранов.

В ходе первоначальной стадии проекта был сделан вывод о том, что информационные ресурсы компании могут быть классифицированы по второму классу (как специальные информационные системы персональных данных). Это означало, что корпоративные системы не подпадали под наиболее жесткие требования регуляторов. «Все регионы работают с централизованными системами, объемы информации, которые эти системы обрабатывают, достаточно велики. 

Использование средств криптографии неизбежно привело бы к задержкам в обработке информации и снизило производительность бизнес-процессов, поэтому мы старались избегать шифрования либо внедрять криптографические средства, оказывающие минимальное влияние на производительность систем», — отмечает Пегасов.

После долгих дискуссий была принята концепция защиты наложенными средствами, которая позволяет избежать сертификации каждой системы в отдельности. Дополнительный функционал защиты данных планировалось реализовать лишь там, где это необходимо, — между определенными сегментами корпоративной системы. «Кое-где нам все же пришлось внести небольшие изменения в системы, но эти изменения не идут ни в какое сравнение с тем, что нам пришлось бы проделать, чтобы пройти их сертификацию в обозначенные законом сроки. К тому же внедрение средств защиты для каждой из систем очень серьезно повлияло бы на их производительность», — считает Пегасов. 

В качестве программно-аппаратного решения выбор остановили на Cisco Firewall Services Module для уже установленного действующего ядра системы в головном офисе. Для второго офиса предполагается использовать Check Point UTM-1. Также применяются системы Oracle Information Rights Management и Oracle Identity and Access Management Suite. Кроме того, на серверы подсистемы терминального доступа, используемой для доступа региональных сотрудников, устанавливаются электронные замки для контроля целостности их операционной системы и приложения. Это позволяет гарантировать, что функционал контроля доступа региональных пользователей не подвергся несанкционированному изменению.

На страже мобильных пользователей

Мобильные пользователи компании, в первую очередь страховые агенты, используют ноутбуки и системы собственной разработки РОСНО, которые позволяют им работать в двух режимах. В первом случае они работают автономно, а потом передают (синхронизируют) все данные в офис, при этом персональная информация не хранится постоянно на устройстве агента. Во втором — они работают через Web-интерфейс, и после отправки данных в центральный офис на их устройствах вообще ничего не сохраняется. По словам Пегасова, никакой уязвимости с точки зрения утечки персональных данных в данном случае не возникает. Кроме того, агент получает через эту систему доступ к персональным данным в очень ограниченном объеме — только к данным тех клиентов, которых сам обслуживает.

Другое дело — развитая региональная сеть представительств и офисов РОСНО. В компании был запущен проект по централизации операционной деятельности и консолидации ИТ. В результате в регионах нет собственных (децентрализованных) систем, которые оперируют с персональными данными. «Наверное, какие-то таблицы с накопленными контактами у кого-то могут быть, но вот именно системы с большими массивами информации находятся только в центральном офисе. Доступ к ним регионы получают через защищенную терминальную ферму. Такая схема оказалась хорошим подспорьем при прохождении проверки ФСТЭК в одном из регионов», — добавляет Баранов.

Мобильным пользователям из числа топ-менеджеров компании, как правило, вообще не требуется доступ к персональным данным клиентов. Кроме того, в информационной системе имеются механизмы защиты от массового копирования клиентских данных пользователями. Для этого, во-первых, осуществляется мониторинг действий пользователей со стороны службы безопасности и, во-вторых, у пользователей закрыты порты для подключения внешних устройств.

Но пока в РОСНО не ощутили в полной мере всей нагрузки, которая придет после того как будет закончен проект по внедрению всех средств защиты. Возможно придется увеличивать штат администраторов ИБ, которым предстоит выполнять большой объем операционной работы по изменению прав доступа. Что же касается ответственности в регионах, то сейчас за выполнение требований по защите персональных данных ответственность лежит на региональных сотрудниках ИТ-служб.

«Мы проектировали решение так, чтобы оно не повлияло на изменения в штатном расписании персонала. Каким оно окажется в действии, мы увидим после окончательного ввода его в эксплуатацию», — отмечает Пегасов.

Требования сертификации

В настоящий момент проект находится на стадии тестирования работы основных систем защиты. На этом этапе отрабатывается взаимодействие с основными корпоративными ресурсами и идет поиск типичных ошибок. Кроме того, подготовлена вся методологическая документация (модели угроз, аргументация классификации систем, технических проектов и пр.). На ее основе производится интеграция средств защиты. Для сертификации готового решения должны быть подготовлены акты классификации систем, созданные на основе моделей угроз. Аттестационному центру необходимы будут результаты испытаний, плюс комплект документов технического проекта.

Как показал опыт аудита в одном из региональных отделений РОСНО, представители контролирующих органов интересуются данными и тем, как они обрабатываются, выясняют, как построены бизнес-процессы и каким образом они автоматизированы, затем интересуются, что было сделано в этом конкретном автоматизированном процессе для обеспечения защиты персональных данных. «Отчет ФСТЭК содержит детальное описание всего того, что было нами сделано к этому моменту, а также экспертное мнение о том, что, например, вот это соответствует требованиям законодательства, а это не выполняется. 

С типовыми системами все просто, а вот класс специальной (с точки зрения проверяющих) системы, равно как и выбор средств для ее защиты должен быть нами обоснован. Проверка в регионе, причем не самом крупном, заняла у них две недели», — рассказывает Пегасов.

«Когда мы уже входили в фазу реальных действий, нам стало понятно, что завершить все инициативы к январю 2010 года не удастся, — вспоминает он. — Но мы для себя решили, что мы делаем все, что наметили. Так или иначе, к январю у нас уже была вся документация, план проекта, модели угроз и ожидаемые сроки окончания проекта. Когда было принято решение о переносе сроков вступления закона в действие, мы решили двигаться в намеченном направлении с теми же сроками, что для себя и наметили».