20.01.2021

Выстраиваем облачную защиту

Как компаниям выгоднее хранить персональные данные Правильное хранение личной информации становится важной задачей для любого бизнеса. Процедура сбора, обработки и передачи персональных данных (ПД) согласно законодательству, требует от компаний рационального использования инфраструктуры и кадровых ресурсов. Как экономно выстроить процессы и избежать скрытых издержек, – RSpectr рассказал менеджер по информбезопасности компании Linxdatacenter Георгий Беляков

ИЗБЕЖАТЬ УЩЕРБА

Персональные данные стали сегодня неотъемлемым компонентом бизнес-моделей, IТ-сервисов и продуктов. Анализ ПД с помощью современных цифровых инструментов обеспечивает новый уровень функциональности IТ-услуг и продвинутый клиентский опыт.

Обратной стороной развития в этом направлении становятся новые требования к бизнесу по обеспечению процедур сбора, хранения, обработки и передачи персональных данных согласно законодательным требованиям. Несоответствие им чревато штрафами и репутационным ущербом в случае утечки. Негативный шлейф может тянуться за нарушителем очень долго, даже в случае оперативного устранения причин и последствий из-за огласки таких эпизодов в СМИ.

Однако это не значит, что у бизнеса нет других видов мотивации для «прокачки» процедур, связанных с защитой ПД в соответствии с федеральным законом №152. Помимо «карательной» перспективы (75 тыс. рублей штрафа за обнаружение и неустранение нарушений), существуют также операционные и экономические стимулы.

Ущерб для бизнеса несет нерациональное использование инфраструктурных, кадровых и финансовых ресурсов при обработке данных

В сумме эти факторы на текущий момент значительно перевешивают последствия мер со стороны Роскомнадзора, а также возможные репутационные потери, связанные с утечкой ПД клиентов и потерей доверия.

Рассмотрим, из чего и как именно складываются эти скрытые издержки.

 

ТРИ КИТА БЕЗОПАСНОСТИ ПД

Сегодня требования федерального закона «О персональных данных» выполняются за счет того, что у компаний разработаны все необходимые документы и регламенты в сфере информбезопасности (ИБ) в целом и ПД в частности. Реализованы технические и организационные меры защиты, а все ответственные за эти задачи кадры имеют необходимые компетенции.

В целом, совокупность базовых факторов обеспечения безопасной работы с ПД можно объединить в три базовых группы.

Прежде всего, это прямые финансовые затраты на приобретение базового IТ-оборудования и софта, а также средств ИБ и сетевых компонентов. Далее идут кадровые издержки – создание штата сотрудников, ответственных за выполнение всех задач, связанных с ПД. Их нужно найти, привлечь, иногда дообучить, и далее – удерживать в компании. Третье направление – временные ресурсы, которые необходимо потратить сотрудникам для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент полной занятости сотрудников компании, позволяющий определить уровень вовлеченности работников в трудовой процесс.

Если FTE равняется единице – это означает полную загруженность сотрудника выполнением поставленной задачи (работе c ПД в нашем случае). При показателе 0,5 – загрузка составляет примерно половину рабочего дня.

Эффективное управление тремя базовыми компонентами обеспечения ПД-соответствия в огромной степени зависит от выбора модели развертывания всего комплекса мер. Их две – собственными силами компании (on-premises) или в защищенном облаке сервис-провайдера.

 

САМИ С УСАМИ?

Возьмем юридический аспект обеспечения соответствия закону о ПД.

Задача требует разработки документации, регламентов, их поддержания в соответствии с изменениями в требованиях регулятора, проведения обучения для сотрудников. Отдельно стоит добавить юридическое сопровождение, к которому относятся экспертиза договоров, взаимодействие с регуляторами, подрядчиками, клиентами. Вне зависимости от того, размещает ли бизнес все IТ-системы и данные on-premises или в облаке у сервис-провайдера, он должен разработать все эти документы самостоятельно.

Затраты на юридическую компетенцию при самостоятельной проработке соответствия федеральному закону и через привлечение третьей стороны, будут полностью одинаковы для обеих моделей. То же самое справедливо и в отношении ИБ-документации.

Но если мы переходим к такой области соответствия, как техническое обеспечение, то здесь

ПД в облаке выигрывают за явным преимуществом. Никаких прямых затрат бизнес не несет, потому что все необходимые средства защиты уже включены в cloud-сервис

Если же бизнес решает обойтись здесь своими силами, то ему нужно будет покупать «железо», лицензии на ПО, продлевать их по мере истечения, проводить настройку и обновление всех компонентов. Также, в какой-то момент придется решать задачу утилизации устаревших IТ-активов.

В облаке весь аппаратный уровень – физические серверы и инфраструктурное ПО, сеть – реализуется силами провайдера. Бизнесу остается сфокусироваться на прикладном уровне бизнес-приложений в виртуальном окружении. Ближайшая аналогия из повседневного опыта: покупка фильма на физическом носителе в бессрочную собственность или аренда в онлайн-кинотеатре, а также опция бессрочной покупки контента в онлайне, но без физического носителя.

Эта аксиома нарушается только в том случае, если бизнес решает докупить какое-то специальное «железо» или ПО для особых задач: это могут быть продвинутые типы VPN или Next Generation Firewall, специальное сетевое оборудование, которое требуется для работы виртуальной инфраструктуры.

Также, в облаке бизнес не тратит деньги на инженерные системы жизнеобеспечения серверных компонентов: источник бесперебойного питания, системы кондиционирования воздуха. Отсутствуют расходы на обслуживание серверных помещений и шкафов. Если спуститься еще глубже на уровень ИБ, то при миграции ПД-задач в облако, также отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».

 

В ФОКУСЕ КАДРЫ

Кадровый вопрос по своей важности в работе с ПД не уступает комплексу инфраструктурных моментов и задачам настройки программного-аппаратного взаимодействия.

Кроме юриста в штате, нужны ИБ-эксперты, а также IТ-специалист, который обслуживает базовую инфраструктуру решения по защите личных данных

Что касается ИБ, то здесь от специалистов требуется сочетание компетенций в области написания документации с практическими навыками развертывания и настройки инструментов информбезопасности и технических средств.

На рынке не так просто найти универсального специалиста – чаще доступны люди только с одним набором навыков. Если бизнес решает заниматься обработкой ПД в защищенном облаке, то все технические моменты отдаются на откуп провайдеру. Соответственно, найти ИБ-специалиста в штат компании, который будет заниматься только документацией – намного проще и, возможно, не дорого.

Что касается IТ-специалиста, то в облачном сценарии бизнесу также не нужно иметь в штате дорогого профессионала для обслуживания аппаратных компонентов: серверов, кластеров, систем хранения данных и сети.

 

ОПЫТ ПОБЕЖДАЕТ

В целом, сложность управления процессами ПД и выделяемой для них IТ-инфраструктурой такова, что при больших объемах этих задач при выборе модели «все делаем сами» весь IТ-отдел, «безопасники» и юристы значительную часть времени будут загружены только ПД.

То есть тот самый показатель FTE у них будет равняться единице, ни на что другое времени и внимания не останется.

«Безопасникам» и IТ-специалистам придется тратить на ПД-задачи не менее 50% своего времени, а в случае крупного бизнеса вплоть до 100%

Либо придется расширить штат, либо значительно доплачивать за сверхурочную работу. Иначе это приведет к отставанию компании по IТ-направлению в развитии.

Однако если организация переводит ПД-нагрузку в защищенное облако, то ее шансы на гармоничное развитие серьезно возрастают. По нашим расчетам, основанным на опыте работы с клиентами по всему спектру работ с персональными данными, при облачном развертывании FTE коэффициент ИБ-специалистов падает с 0,5-1 до 0,15. Это примерный средний расчет, на математическую точность он не претендует, но общую картину отражает максимально близко к реальности.

Для IТ-специалистов при модели самостоятельной защиты ПД характерен показатель FTE на уровне как минимум 0,5, но после переезда в облако он падает в среднем до 0,17.

То есть,

профильные специалисты начинают тратить как минимум в три раза меньше времени на ПД, по сравнению с самостоятельной схемой

Сегодня любая организация может самостоятельно построить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным взаимодействие с подрядчиком, который съел на этом «не одну собаку» в ходе реализации других проектов.

News and publications

You may also be interested in

How can we help you?
Request Demo Access
client:

BEST, money transfer and payments operator

business challenge

The customer faced a technical issue with a persistent BGP session flag with Linxdatacenter hardware. We examined the problem and found out that one of customer’s hosts was under a DDoS attack.

Because of the distributed nature of the attack, traffic couldn’t be filtered effectively, and disconnecting the host from the external network wasn’t an option. The attack stopped after changes in the server configuration, but resumed the day after. A 5.5 Gbps attack overloaded the junctions with internet providers, affecting other Linx Cloud users. To mitigate the effects of the attack, we employed a dedicated DDoS protection service.

Solution

To ensure the continuous availability of resources hosted in Linx Cloud, we rerouted all the customer’s traffic through StormWall Anti-DDoS system. The attack was stopped within half an hour. To prevent future cyberattacks, we organized all connections to the customer’s resources through the StormWall network.

Thank you for your inquiry, we will get back to you shortly!