Дмитрий Шепелявый, Oracle, СНГ: "Заказчик чувствует себя уверенно, используя прошедшие сертификацию решения "

- Каково различие российских и зарубежных подходов к защите информации в целом и персональных данных в частности?

- Россия, безусловно, отличается более жестким подходом к защите персональных данных. За рубежом информационная безопасность основана, в первую очередь, на рисках и процессах. В политике безопасности компании, обрабатывающей персональные данные, должно содержаться описание основных бизнес-процессов безопасности, а управление безопасностью должно быть основано на модели угроз и рисков.

Зарубежные организации ориентируются на европейские, международные стандарты защиты информации, которые, в основном, не предписывают конкретных технологических решений - этот выбор отдан на откуп конечному пользователю. Единственное требование - решения должны быть обоснованы с точки зрения моделей угроз, рисков, политик, основанных на международных стандартах.

Российский же подход является комбинированным. С одной стороны, он включает в себя процессную составляющую: касающиеся персональных данных документы и подзаконные акты требуют создания модели нарушителя, моделей угроз. С другой стороны, такой подход содержит в себе и конкретные рекомендации по использованию технических средств защиты. Это относится и к антивирусам, межсетевым экранам, системам обнаружения вторжений, система защиты от НСД, аудита, мониторинга и т.д.

Таким образом, наши заказчики, пользователи, которые обрабатывают персональные данные, поставлены в более жесткие условия, потому что им четко предписано, какие средства защиты, сертифицированные по какому классу они должны использовать. С другой стороны, это дает им больше определенности. И меньше шансов ошибиться при выборе технологии защиты персональных данных, тем более если компания выходит на аттестацию. Все четко и ясно: какие средства, какой класс защищенности, какие сертификаты установленного образца нужны. Так что компания заранее будет знать, пройдет ли она аттестацию или нет.

- Как в крупных компаниях принято учитывать требования международного законодательства и требования РФ в области ИБ?

- Для соответствия регулирующим нормам международного законодательства разработки глобальных корпораций, в том числе Oracle, проходят сертификацию и по Common Criteria, и по различным национальным стандартам. В России практика может отличаться. Это зависит, ведется ли компанией разработка в России, насколько официальная сертификация РФ в области информационной безопасности необходима для продаж продуктов, является ли этот фактор критическим требованием потенциальных заказчиков. Для государственного сектора это, безусловно, так. Поэтому мы, например, придерживаемся той же практики, что и штаб-квартира Oracle, сертифицируя наши средства защиты в соответствии с требованиями российского законодательства, которые со своей стороны государство предъявляет российским компаниям. Получение сертификатов соответствия служит дополнительным подтверждением надежности и безопасности продукта и в дальнейшем позволит расширить сферу его использования, особенно в тех компаниях, которые в своей деятельности руководствуются требованиями регулирующих органов, предписывающих использование сертифицированных средств защиты информации. Заказчик чувствует себя более уверенно, когда все решения, обеспечивающие информационную безопасность на его предприятии,
прошли сертификацию. Это и решения для централизованного управления IT-привилегиями и контроля доступа (identity and access management), и технологии однократной аутентификации пользователей (enterprise single sign-on), и системы защиты баз данных, и системы защиты электронного документооборота (information rights management).

- Каковы Ваши рекомендации по организации защиты ПДн для бизнес-приложений?

- Производителям программного обеспечения часто задают вопрос: "Когда вы будете сертифицировать тот или иной продукт?" Бизнес-приложений очень много, и немалая их часть при конкретном применении может обрабатывать в том числе конфиденциальную информацию. Сертифицировать каждый из несколько тысяч продуктов на соответствие безопасности может оказаться дорого, долго и неоправданно. Безусловно, дополнительные расходы в результате отразятся на стоимости лицензий бизнес-приложений. И вряд ли заказчики простят это поставщику. Один из подходов, который мы можем предложить для соблюдения буквы закона и выполнения требований по защите персональных данных в бизнес-приложениях, - сертификация средств защиты информации. Класс таких решений включает решения для централизованного управления IT-привилегиями и контроля доступа, технологии однократной аутентификации пользователей, системы защиты баз данных, системы защиты электронного документооборота и др. Эти средства используются в том числе и для защиты бизнес-приложений. Применив сертифицированное средство защиты, заказчик в итоге получит автоматизированную систему, которая может быть аттестована как комплекс по требованиям безопасности информации.