"Система ОМС выполняет функцию государства - не только обрабатывает ПДн всего населения, но и организует оказание ему медпомощи. У меня возникает вопрос: почему бы не создать специальную госструктуру, которая бы отвечала за защиту этого государственного информационного ресурса? Причем не только в области медицины. Государство выдвигает все новые требования, часто забывая о том, что оно же и должно обеспечивать эту защиту", – поставил вопрос начальник отдела ИБ Федерального фонда обязательного медицинского страхования Владимир Поихало.

Оценку состояния защиты ПДн в частной медицинской компании дал специалист по ИБ "Независимой лаборатории ИНВИТРО" Дмитрий Нечаев: "При служебном обмене информацией между нашими многочисленными филиалами используется VPN, но часть данных о результатах проводимых анализов приходится передавать по публичным каналам связи. Подписывая договор, наши клиенты соглашаются сделать свои данные публичными, другого выхода для частной медкомпании мы пока не нашли. Лаборанты, проводящие более 1000 видов анализов, имеют дело только с обезличенными путем штрих-кодирования данными, сопоставление же результатов анализов с пациентом происходит внутри защищенной АИС".

"Финансовые затраты будут значительными, если мы станем проводить аттестацию и защищать каждую ИС в каждом органе исполнительной власти, каждом ведомстве" – прокомментировала ситуацию начальник отдела ИБ Центра ИТ Республики Татарстан Эльмира Гатиятуллина. На местах не хватает квалифицированных специалистов, что создает сложности уже на этапе сбора информации об имеющихся ИС. Общий счет ключевых ИСПДн с вероятным классом не ниже 2-го идет в Татарстане на десятки, а АРМ – на десятки тысяч. Часть из них созданы достаточно давно и вопросами защиты данных в этих ИС никто никогда должным образом не занимался.

"Мы недавно оценили стоимость защиты одной такой системы: даже если не включать в расчет затраты на аттестацию, то, по самым скромным подсчетам, нам придется потратить около 30 млн. руб." – привела оценку г-жа Гатиятуллина.

Большой опыт маленького оператора

Бизнес-процессы по защите ПДн представляют ценность в том случае, если они учитывают отраслевую специфику, максимально задействуют и дают стимул развивать имеющуюся инфраструктуру, служат логичным продолжением уже ведущейся в компании, учреждении или целом регионе систематической работы по повышению общего уровня ИБ. Такой подход, в частности, позволяет максимально сблизить интересы государства, стремящегося привести свою законодательную базу в вид, пригодный для вступления в ВТО, и коммерческие интересы конкретной компании.

Конкретный алгоритм преодоления "последней мили", позволяющий внедрить высокие законодательные принципы в конкретные бизнес-процессы компании, был описан в докладе начальника отдела защищенного электронного документооборота (ЗЭДО) "Смолтелекома" Надежды Ковалевой. "Смолтелеком" - относительно небольшая (с численностью сотрудников 90 чел.) компания. Еще в 2003 г. при открытии направления ЗЭДО в "Смолтелекоме" было создана служба защиты информации из 2 человек. После выхода первой редакции 152-ФЗ были назначены ответственные за обработку ПДн (коммерческий, финансовый директор и др.), проведено обследование, разработан пакет соответствующих документов и прочее. В процессе этой работы был ограничен круг лиц, имеющих доступ к ПДн, сокращено число требующих специальной защиты информационных систем персональных данных (ИСПДн) путем обезличивания обрабатываемых данных и проведены другие мероприятия. "Недавно в "Смолтелекоме" прошла плановая проверка "Роскомнадзора" по ПДн, которую, скажу без ложной скромности, мы выдержали достойно, - сообщила докладчица. - Сейчас у нас заканчивается внутренний аудит приведения деятельности в соответствие с изменившимися требованиями второй редакции 152-ФЗ и другими законами и нормативными актами.

"Большой" телеком хочет конвергенции

Тема практической необходимости конвергенции ИБ и защиты ПДн отчетливо прозвучала и в докладах крупных компаний высокотехнологичной телеком-телекоммуникационной отрасли, где сегодня этот тренд видно, пожалуй, лучше всего. Однако акценты ведущие игроки этого рынка расставляют по-своему. Им интересны не конкретные алгоритмы и детальные инструкции, а конвергенция на уровне концептуального понимания и сближения практик, совместной разработки законов, стандартизации.

"Хотя мы сегодня и пытаемся доработать закон о ПДн под Европейскую конвенцию, его требования в области ИБ не согласованы с международными стандартами. Помимо прочего, в Европе снижают конкретику, а у нас она усиливается, там - рекомендации, а у нас - требования, – считает член консультативного совета при уполномоченном органе по защите прав субъектов ПДн, аналитик МТС Павел Сундеев. - Практически невозможно полноценно учесть отраслевые требования к средствам защиты информации, закон дает возможность разрабатывать лишь дополнительные модели угроз. Намечается усиление ответственности операторов до 500 тыс. руб. за каждое нарушение, увеличение срока давности, передача функций по возбуждению административных дел "Роскомнадзором". Европа тоже, в принципе, идет по этому пути, но непонятно, почему у нас не снижают общеобязательные требования по обеспечению безопасности?" – недоумевает докладчик.