Многие считают, что закон «О персональных данных» вынуждает компании внедрять новые средства защиты — сертифицированные — взамен традиционных. Однако при грамотно составленной сопроводительной документации в большинстве случаев удовлетворить требованиям закона можно и со старой защитой — правильному составлению документов учат сейчас различные консультанты. Однако решения, которые они предлагают, могут потребовать изменения архитектуры корпоративной информационной системы.
Вопросы о том, что нужно делать для обеспечения соответствия ФЗ-152, не связаны только с организацией защиты. Это целый комплекс мер; к некоторым из них нужно прибегнуть в самое ближайшее время. Эти меры и были предметом обсуждения на конференции «Защита персональных данных на предприятии: от законодательных актов — к практическим шагам», организованной 24 сентября агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия.
Самым значительным пробелом регуляторов в реализации требований закона «О персональных данных» является отсутствие упоминания во всех подзаконных актах основного средства предотвращения утечек — технологии DLP (Data Leakage Protection). Дело в том, что ФСТЭК до сих пор не имеет сформулированного набора требований к подобным продуктам и поэтому не вправе требовать их использования для защиты персональных данных. В то же время технология DLP имеет существенное отличие от средств защиты, предписанных методиками: DLP — это класс продуктов, которые ориентированы на управление данными предприятия, а не на защиту от вредоносных программ или действий злоумышленников, как большинство других систем защиты. Поэтому функционально заменить DLP-решения антивирусами и межсетевыми экранами невозможно. Пикантность же ситуации в том, что закон «О персональных данных» должен защищать именно от утечек, но самих систем защиты от утечек в требованиях нет.
С другой стороны, в законе есть требование предоставлять информацию о конкретной персоне в строго отведенный для этого срок — три дня. Не имея системы поиска персональных данных, компании будет нелегко удовлетворить требование Роскомнадзора, если это ведомство будет расследовать жалобы сразу нескольких человек, — такое мероприятие некоторые эксперты оценивают как своеобразную DoS-атаку. Механизмы поиска персональных данных, которые интегрированы в современные DLP-продукты, позволяют быстро реагировать на проверки регулятора. Эти же инструменты дают возможность быстро удалить данные любого человека в случае, если такое предписание будет выдано в результате проверки.
Например, в новой версии McAfee DLP появился специальный механизм для категоризации и поиска конфиденциальной информации. В ассортименте продуктов Symantec DLP есть для этих целей специальный продукт — Discovery.
В любом случае для реализации рекомендаций консультантов компании встанут перед необходимостью выделить в своей информационной системе фрагменты, где будут обрабатываться персональные данные и доступ к которым понадобится адекватно защищать. Скорее всего, в таких системах придется отказаться от удаленного доступа к базам данных в пользу терминального доступа к приложениям. Такое решение, базирующееся на технологии Sun Ray, предложила на конференции компания Sun Microsystems. Технология прошла сертификацию во ФСТЭК, причем это ведомство не только проверило безопасность технологии, но и само использует терминалы Sun Ray в своей информационной системе. Терминалы позволяют подключаться с помощью одного устройства как к защищенной среде, так и к открытой. Описанные проблемы показывают, что закон «О персональных данных» может потребовать внедрения не только средств защиты, но и решений по управлению корпоративными данными и альтернативных систем доступа к ним.