2016/11/30 17:32:52

Как организовать защиту данных
в облаке и пройти проверку
Роскомнадзора, ФСБ и ФСТЭК

TADетали

Как при помощи современных технологий реализовать организационные меры по защите информации в государственных информационных системах (ГИС) и системах обработки персональных данных и всегда быть в полной готовности к поверкам Роскомнадзора, ФСБ и ФСТЭК России. Об этом рассказываем в рубрике TADетали.

Содержание

Информационные технологии прочно вошли в нашу жизнь. С каждым годом стремительно возрастает объем информации, обрабатываемой в различных информационных системах, совершенствуются технологии, и увеличивается скорость передачи информации по сети Интернет. Не стоят на месте и технологии хищения информации, в том числе путем взлома информационных ресурсов для ее использования в корыстных целях.

Развиваются формы и методы реализации различного рода атак, целью которых является общая дестабилизация экономики в стране путем организации сбоев в работе важных государственных и коммерческих сайтов и порталов. В условиях непростой внешнеполитической ситуации тема защиты информации в России приобрела особую актуальность: государство уделяет все больше внимания регулированию вопросов информационной безопасности, разрабатывает новые законы, стандарты, подзаконные акты на уровне государственных регуляторов, строго контролирует соблюдение установленных требований.

В настоящее время уже достаточно детально проработаны вопросы защиты данных в государственных информационных системах (ГИС) и информационных системах, обрабатывающих персональные данные (ИСПДн). Контролирующие органы – Роскомнадзор, ФСБ и ФСТЭК России - регулярно проводят проверки выполнения установленных требований по защите информации и привлекают нарушителей к ответственности, как правило, административной.

Необходимость выполнения требований законодательства и регуляторов ставит перед организациями целый ряд непростых задач, первоочередная из которых – принятие организационных мер по защите информации: проведение внутреннего аудита, назначение ответственных лиц, разработка организационно-распорядительной, технической документации и поддержание ее в актуальном состоянии, определение требований по технической защите информации применительно к конкретным информационным системам.

Кому поручить аудит и разработку документации

Традиционно провести аудит и разработать документацию по защите информации организации пытаются либо своими силами, либо привлекают для этого стороннюю организацию. Квалифицированных специалистов по информационной безопасности в штате, как правило, нет, или они загружены другими задачами, поэтому самостоятельную разработку документации поручают системным администраторам, кадровикам или юристам. Это негативно сказывается на качестве документации, что, в свою очередь, может привести к наложению штрафов по итогам проверок.

При привлечении для разработки документации организации-подрядчика у заказчика часто возникают трудности с оценкой адекватности стоимости предлагаемых работ: цены на подобные услуги могут варьироваться от 5-10 до нескольких сотен тысяч рублей за один пакет документов.Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149 т

Результат в обоих случаях получается разовый: законодательство, штат организации, информационная инфраструктура постоянно меняются, и, соответственно, документация быстро теряет свою актуальность. Поэтому через небольшой промежуток времени снова возникает необходимость либо выделять сотрудников на обновление документации, либо заплатить подрядчику.

В последнее время для решения задач по защите информации организации стали чаще обращаться к онлайн-сервисам, которые автоматизируют реализацию организационных мер с применением современных технологий. Наиболее заметным подобным инструментом на российском рынке, пожалуй, можно назвать сервис «АльфаДок».

Рис.1 Сервис «АльфаДок» обладает простым и интуитивно понятным интерфейсом

Облачный специалист по информационной безопасности в штате организации

В сервисе «АльфаДок» организации в автоматическом режиме разрабатывают комплект документации по защите персональных данных и информации, содержащейся в ГИС, в том числе техническое задание, технический паспорт, модель угроз и действий нарушителя, матрицу доступа и другие. Чтобы создать пакет документов, система пошагово «ведет» пользователя, предлагая ему ответить на вопросы и ввести необходимые данные. Пошаговые справки и консультации со специалистами по горячей линии позволяют сотрудникам разработать серьезный пакет документов без глубоких знаний в области защиты информации.

Рис.2. Система пошагово ведет пользователя для формирования необходимого пакета документов

Разработка документации – важная, но далеко не единственная задача, которую сервис помогает решать пользователям. Если в законодательстве или требованиях регуляторов происходят изменения, то документы в сервисе обновляются автоматически. Специалисты «АльфаДок» следят за изменениями законодательства, снимая эту проблему с пользователя. При изменениях внутри самой организации (например, прием и увольнение сотрудников, закупка или списание оборудования, средств защиты информации) пользователю достаточно внести в сервис новую или изменившуюся информацию, и необходимые документы автоматически обновятся. Таким образом, документация постоянно поддерживается в актуальном состоянии, что позволяет пользователям быть всегда готовыми к плановым и внеплановым проверкам регуляторов.

Кстати, о плановой проверке пользователи «АльфаДок» узнают заранее: специалисты службы поддержки сервиса отслеживают появление информации о проверках на официальных сайтах регуляторов и импортируют найденную информацию в сервис.

Пользователь может самостоятельно оценить готовность своей организации к проверкам регуляторов с помощью специального функционала. При этом он не только видит, какие меры уже приняты, но и получает рекомендации со списком действий, которые необходимо предпринять для полной готовности к проверке.

Рис.3 «АльфаДок» позволяет не только сформировать необходимый пакет документов, но и контролировать свою готовность к проверкам регуляторов

Одна из ключевых особенностей «АльфаДок» – квалифицированный консалтинг по вопросам информационной безопасности. По горячей линии, почте и онлайн-консультанту пользователи сервиса оперативно получают поддержку при прохождении проверок, получении запросов регуляторов, обращении граждан с жалобами по поводу обработки их персональных данных, принятии технических мер по защите информации и, конечно, по вопросам работы в сервисе.

«
По сути, наши пользователи получают на год в штат специалиста по информационной безопасности, которого у них не было, - отмечает технический директор сервиса «АльфаДок» Максим Сорокин.
»

Функционал сервиса постоянно расширяется: например, в 2016 году в нем появились такие возможности, как автоматическое формирование и отправка уведомлений/информационных писем в Роскомнадзор, ведение плана внутренних проверок и журналов по информационной безопасности в электронном виде. Эти функции призваны значительно упростить работу ответственного за защиту информации сотрудника.

Защита информации в «дочках» и «подведах» под контролем

Для мониторинга и контроля сети подведомственных или курируемых организаций в «АльфаДок» предусмотрен специальный модуль. С его помощью куратор получает в режиме онлайн сведения о наличии и актуальности документов, степени готовности к проверкам регуляторов, информацию об используемых программных комплексах и средствах защиты информации, включая актуальность их сертификатов соответствия, и так далее.

Рис.4 Куратор в режиме онлайн получает в сервисе информацию о выполнении требований законодательства в сети подведомственных учреждений

Таким образом, головная организация видит объективную картину состояния защиты информации в курируемых организациях и может контролировать выполнение ими обязательных требований законодательства.

Как сэкономить средства, купив подписку на сервис

Есть два способа внедрения сервиса «АльфаДок». Первый вариант – клиент покупает лицензию на право пользования сервисом и пошагово вводит в него всю необходимую информацию, получая консультации от специалистов «АльфаДок» в рамках информационной поддержки. Таким образом, организация платит только за лицензию, стоимость которой варьирует от 35 до 85 тыс. рублей в год в зависимости от типа организации, ее информационных систем (ИСПДн, ГИС) и потребности в разработке технической документации.

Второй вариант – внедрение «под ключ» - включает в себя выезд в организацию специалиста для проведения аудита: внесение данных в сервис, форматирование документации в соответствии с требованиями инструкции по делопроизводству и предоставление заказчику профиля с разработанным пакетом документов, готовых к утверждению и подписанию. При таком варианте к стоимости лицензии добавляется стоимость аудита, которая зависит от масштаба организации, числа сотрудников, количества информационных систем и ряда других параметров и всегда рассчитывается индивидуально. К примеру, для компаний с численностью штата 500-600 человек стоимость аудита составит от 80 тыс. до 250 тыс. рублей. В случае внедрения «под ключ» ответственность за качество и полноту внесенных сведений ложится на плечи специалистов «АльфаДок».

Благодаря автоматизации процессов, сервис позволяет организации сэкономить значительные средства. В сравнении с приемом в штат выделенного сотрудника по защите информации или периодическим привлечением сторонней организации, которым придется платить регулярно, пользователи «АльфаДок» за один платёж получают 12 месяцев готовности к проверкам: актуальный пакет документации и экспертную поддержку. При этом расходы на реализацию организационных мер становятся прозрачными и прогнозируемыми, т.к. стоимость лицензии фиксированная.

Кому подходит «АльфаДок»

Среди основных пользователей сервиса «АльфаДок» - федеральные и региональные органы исполнительной власти (преимущественно в сфере здравоохранения, образования, информатизации и финансов), администрации городов, районов и округов, больницы, школы и другие учреждения.

В числе клиентов – Министерство культуры и туризма Калужской области, Министерство образования и науки Удмуртской Республики, АУ «Многофункциональный центр предоставления государственных и муниципальных услуг» Минэкономразвития Чувашии, ГБУ Республики Марий Эл «Республиканская клиническая больница», Финансовое Управление Администрации города Тынды, ПАО «ТНС энерго Марий Эл» и многие другие. Реализуются и масштабные проекты: недавно сразу 48 медицинских организаций Калужской области стали пользователями сервиса «АльфаДок» под кураторством регионального МИАЦ, который теперь получает актуальную информацию о выполнении требований законодательства в своих подведомственных учреждениях в режиме реального времени.

Почему организации выбирают «АльфаДок»

В отличие от существующих на рынке предложений с функционалом схожей направленности, «АльфаДок» – это не просто «набивалка» или примитивный генератор документов, после которых необходимо долго «шлифовать» документацию. Высокоинтеллектуальные алгоритмы, заложенные в основу сервиса, и настройка оформления документации позволяют пользователю сервиса разработать документацию по защите информации экспертного уровня полностью готовую к распечатке.

Не стоит забывать, что документация – это лишь один элемент в процессе обеспечения информационной безопасности: необходимо проводить внутренние мероприятия, вести учет средств защиты информации и паспорта информационных систем, принимать технические меры по защите информации и многое другое. Сервис «АльфаДок» помогает в этом пользователям, потому что развивается как экспертная система, предоставляя возможность реализовать максимально возможный комплекс требуемых регуляторами организационных мер по защите информации и повышать уровень знаний специалистов при помощи обучающих вебинаров и консультаций с экспертами.

«
Мы стремимся к созданию мощного и удобного инструмента, который максимально упрощает ежедневную работу специалиста по информационной безопасности, освобождает его от рутины и необходимости постоянного мониторинга изменений нормативно-правовой базы, перечней проверок и различных реестров регуляторов, предупреждает, когда и какие меры необходимо принять. Мы постоянно усовершенствуем и расширяем функционал сервиса, стремимся качественно дополнить пакет разрабатываемой документации, предоставляем новые аналитические инструменты с учетом пожеланий наших пользователей. И, конечно, стараемся оказать нашим пользователям экспертную поддержку в любой сложной ситуации, связанной с защитой информации, - отмечает Максим Сорокин.
»

Партнерский материал

79