Журнал «Директор» №10 (октябрь 2009) - "Защита без головной боли"

Федеральный закон «О персональных данных» вступил в силу 26 января 2007 года, и у операторов, обрабатывающих информацию, содержащую персональные данные остается все меньше времени до 1 января следующего года, чтобы привести свои информационные системы в соответствие с федеральным законом №152-ФЗ. Этот закон был необходим уже давно. Любой государственный или муниципальный орган, юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных, обязаны выстроить определенную политику безопасности.

Защищенная информационная система должна существовать независимо от принимаемых законов. К сожалению, во многих компаниях главенствовало несерьезное отношение к защите информации — незаконно распространяемые базы данных подтверждают это. Их руководство больше задумывалось о получении прибыли, нежели об этических вопросах или даже бизнес-репутации.

С момента публикации закона №152-ФЗ прошло немало времени, вполне достаточно, чтобы принять меры, направленные на приведение своей информационной инфраструктуры в соответствие с указанными требованиями, и пожелания ряда операторов персональных данных о переносе срока вступления закона в силу не имеют веских оснований.

«Если у компании существует адекватно защищенная система, соответствовать всем требованиям законодательства не составит труда», — уверен заместитель генерального директора по развитию бизнеса компании «Свемел» Вячеслав Федулов. Если же ее руководством ситуация в сфере безопасности фактически не контролировалась, то могут потребоваться существенные инвестиции.
Компания «Свемел» исторически специализируется в области защиты информации — будь то персональные данные, государственная и коммерческая тайна или любая другая информация ограниченного доступа. «В свое время мы нашли решение, позволяющее создавать системы с высокой степенью защиты», — говорит Федулов. Масштабируемое, легко тиражируемое и весьма эффективное решение построено на базе технологии тонкого клиента Sun Ray компании Sun Microsystems. Основная особенность этой технологии в том, что пользователь лишен привычного персонального компью тера. Современный компьютер — достаточно мощное средство, позволяющее совершать массу действий, в том числе и нежелательных. При наличии большого парка персональных средств вычислительной техники, контролировать действия пользователей корпоративной сети становится сложно.

Следует отметить, что в данном случае речь идет об использовании богатого международного опыта — в случае необходимости создания серьезной защиты большинство информационных систем строится именно на базе тонкого клиента.
Другой фактор, позволяющий успешно работать на российском рынке с информацией ограниченного доступа, вплоть до информации, содержащей сведения, составляющие гостайну, — наличие доверенной операционной среды.

«Мы вложили очень серьезные средства в свое будущее, купив у Sun Microsystems исходный код ОС семейства Solaris», — делится Федулов. Как выяснилось, компания не прогадала: доработав систему по отечественным требованиям информационной безопасности и добавив российскую криптографию, она создала решение — линейку сертифицированных по требованиям ФСТЭК и ФСБ России продуктов семейства «Циркон».

Типичное рабочее место пользователя представляет собой Sun Ray терминал — монитор, клавиатура, мышь. Терминальный доступ к системе осуществляется с помощью смарт-карт терминального доступа и аутентификации «логин-пароль», возможно подключение и других средств дополнительной аутентификации. Полномочия пользователя определяются его ролями, а его действия полностью контролируются.

Созданное решение ориентировано на самый широкий спектр организаций — от поликлиник до правительственных учреждений. В настоящее время основными заказчиками являются именно госструктуры.

Недостатка в заказах компания «Свемел», мягко говоря, не испытывает. Это привело к тому, что у нее остро встает кадровый вопрос. «Мы активно ведем набор персонала, пусть и несколько привередливы при отборе кандидатов», — отмечает Федулов.
У заказчиков «Свемел» головной боли о соответствии требованиям законодательства не предвидится. Разумеется, потраченные средства должны быть адекватны потребностям компании.

Предлагаемые решения имеют самый различный уровень, и если организации необходимо иметь систему уровня «совершенно секретно» или ИСПДн 1 класса, это выльется в солидную сумму, но во многих случаях оптимизация данных информационной системы позволяет создать эффективную защиту при умеренных расходах.
«Наши сотрудники провели анализ требований к операторам персональных данных и сравнили их с возможностями типовой системы начального уровня. Выяснилось, что даже относительно простое решение вполне им удовлетворяет», — подчеркивает Федулов.

Компания «Свемел» не ограничивается рамками создания защищенной информационной системы, а проводит весь комплекс работ по защите информации, который включает в себя проверку помещений и аттестацию рабочих мест, безопасное подключение к Internet, создание многконтурных систем, сервисное обслуживание, а также обеспечение заказчиков необходимыми документами, подтверждающими соответствие информационной системы требованиям законодательства.