Выстраиваем облачную защиту

Как компаниям выгоднее хранить персональные данные

Правильное хранение личной информации становится важной задачей для любого бизнеса. Процедура сбора, обработки и передачи персональных данных (ПД) согласно законодательству, требует от компаний рационального использования инфраструктуры и кадровых ресурсов. Как экономно выстроить процессы и избежать скрытых издержек, – RSpectr рассказал менеджер по информбезопасности компании Linxdatacenter Георгий Беляков.


ИЗБЕЖАТЬ УЩЕРБА

Персональные данные стали сегодня неотъемлемым компонентом бизнес-моделей, IТ-сервисов и продуктов. Анализ ПД с помощью современных цифровых инструментов обеспечивает новый уровень функциональности IТ-услуг и продвинутый клиентский опыт.

Обратной стороной развития в этом направлении становятся новые требования к бизнесу по обеспечению процедур сбора, хранения, обработки и передачи персональных данных согласно законодательным требованиям. Несоответствие им чревато штрафами и репутационным ущербом в случае утечки. Негативный шлейф может тянуться за нарушителем очень долго, даже в случае оперативного устранения причин и последствий из-за огласки таких эпизодов в СМИ.

Однако это не значит, что у бизнеса нет других видов мотивации для «прокачки» процедур, связанных с защитой ПД в соответствии с федеральным законом №152. Помимо «карательной» перспективы (75 тыс. рублей штрафа за обнаружение и неустранение нарушений), существуют также операционные и экономические стимулы.

Ущерб для бизнеса несет нерациональное использование инфраструктурных, кадровых и финансовых ресурсов при обработке данных

В сумме эти факторы на текущий момент значительно перевешивают последствия мер со стороны Роскомнадзора, а также возможные репутационные потери, связанные с утечкой ПД клиентов и потерей доверия.

Рассмотрим, из чего и как именно складываются эти скрытые издержки.


ТРИ КИТА БЕЗОПАСНОСТИ ПД

Сегодня требования федерального закона «О персональных данных» выполняются за счет того, что у компаний разработаны все необходимые документы и регламенты в сфере информбезопасности (ИБ) в целом и ПД в частности. Реализованы технические и организационные меры защиты, а все ответственные за эти задачи кадры имеют необходимые компетенции.

В целом, совокупность базовых факторов обеспечения безопасной работы с ПД можно объединить в три базовых группы.

Прежде всего, это прямые финансовые затраты на приобретение базового IТ-оборудования и софта, а также средств ИБ и сетевых компонентов. Далее идут кадровые издержки – создание штата сотрудников, ответственных за выполнение всех задач, связанных с ПД. Их нужно найти, привлечь, иногда дообучить, и далее – удерживать в компании. Третье направление – временные ресурсы, которые необходимо потратить сотрудникам для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент полной занятости сотрудников компании, позволяющий определить уровень вовлеченности работников в трудовой процесс.

Если FTE равняется единице – это означает полную загруженность сотрудника выполнением поставленной задачи (работе c ПД в нашем случае). При показателе 0,5 – загрузка составляет примерно половину рабочего дня.

Эффективное управление тремя базовыми компонентами обеспечения ПД-соответствия в огромной степени зависит от выбора модели развертывания всего комплекса мер. Их две – собственными силами компании (on-premises) или в защищенном облаке сервис-провайдера.


САМИ С УСАМИ?

Возьмем юридический аспект обеспечения соответствия закону о ПД.

Задача требует разработки документации, регламентов, их поддержания в соответствии с изменениями в требованиях регулятора, проведения обучения для сотрудников. Отдельно стоит добавить юридическое сопровождение, к которому относятся экспертиза договоров, взаимодействие с регуляторами, подрядчиками, клиентами. Вне зависимости от того, размещает ли бизнес все IТ-системы и данные on-premises или в облаке у сервис-провайдера, он должен разработать все эти документы самостоятельно.

Затраты на юридическую компетенцию при самостоятельной проработке соответствия федеральному закону и через привлечение третьей стороны, будут полностью одинаковы для обеих моделей. То же самое справедливо и в отношении ИБ-документации.

Но если мы переходим к такой области соответствия, как техническое обеспечение, то здесь 

ПД в облаке выигрывают за явным преимуществом. Никаких прямых затрат бизнес не несет, потому что все необходимые средства защиты уже включены в cloud-сервис

Если же бизнес решает обойтись здесь своими силами, то ему нужно будет покупать «железо», лицензии на ПО, продлевать их по мере истечения, проводить настройку и обновление всех компонентов. Также, в какой-то момент придется решать задачу утилизации устаревших IТ-активов.

В облаке весь аппаратный уровень – физические серверы и инфраструктурное ПО, сеть – реализуется силами провайдера. Бизнесу остается сфокусироваться на прикладном уровне бизнес-приложений в виртуальном окружении. Ближайшая аналогия из повседневного опыта: покупка фильма на физическом носителе в бессрочную собственность или аренда в онлайн-кинотеатре, а также опция бессрочной покупки контента в онлайне, но без физического носителя.

Эта аксиома нарушается только в том случае, если бизнес решает докупить какое-то специальное «железо» или ПО для особых задач: это могут быть продвинутые типы VPN или Next Generation Firewall, специальное сетевое оборудование, которое требуется для работы виртуальной инфраструктуры.

Также, в облаке бизнес не тратит деньги на инженерные системы жизнеобеспечения серверных компонентов: источник бесперебойного питания, системы кондиционирования воздуха. Отсутствуют расходы на обслуживание серверных помещений и шкафов. Если спуститься еще глубже на уровень ИБ, то при миграции ПД-задач в облако, также отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».


В ФОКУСЕ КАДРЫ

Кадровый вопрос по своей важности в работе с ПД не уступает комплексу инфраструктурных моментов и задачам настройки программного-аппаратного взаимодействия. 

Кроме юриста в штате, нужны ИБ-эксперты, а также IТ-специалист, который обслуживает базовую инфраструктуру решения по защите личных данных

Что касается ИБ, то здесь от специалистов требуется сочетание компетенций в области написания документации с практическими навыками развертывания и настройки инструментов информбезопасности и технических средств.

На рынке не так просто найти универсального специалиста – чаще доступны люди только с одним набором навыков. Если бизнес решает заниматься обработкой ПД в защищенном облаке, то все технические моменты отдаются на откуп провайдеру. Соответственно, найти ИБ-специалиста в штат компании, который будет заниматься только документацией – намного проще и, возможно, не дорого.

Что касается IТ-специалиста, то в облачном сценарии бизнесу также не нужно иметь в штате дорогого профессионала для обслуживания аппаратных компонентов: серверов, кластеров, систем хранения данных и сети.


ОПЫТ ПОБЕЖДАЕТ

В целом, сложность управления процессами ПД и выделяемой для них IТ-инфраструктурой такова, что при больших объемах этих задач при выборе модели «все делаем сами» весь IТ-отдел, «безопасники» и юристы значительную часть времени будут загружены только ПД.

То есть тот самый показатель FTE у них будет равняться единице, ни на что другое времени и внимания не останется.

«Безопасникам» и IТ-специалистам придется тратить на ПД-задачи не менее 50% своего времени, а в случае крупного бизнеса вплоть до 100%

Либо придется расширить штат, либо значительно доплачивать за сверхурочную работу. Иначе это приведет к отставанию компании по IТ-направлению в развитии.

Однако если организация переводит ПД-нагрузку в защищенное облако, то ее шансы на гармоничное развитие серьезно возрастают. По нашим расчетам, основанным на опыте работы с клиентами по всему спектру работ с персональными данными, при облачном развертывании FTE коэффициент ИБ-специалистов падает с 0,5-1 до 0,15. Это примерный средний расчет, на математическую точность он не претендует, но общую картину отражает максимально близко к реальности.

Для IТ-специалистов при модели самостоятельной защиты ПД характерен показатель FTE на уровне как минимум 0,5, но после переезда в облако он падает в среднем до 0,17.

То есть,

профильные специалисты начинают тратить как минимум в три раза меньше времени на ПД, по сравнению с самостоятельной схемой

Сегодня любая организация может самостоятельно построить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным взаимодействие с подрядчиком, который съел на этом «не одну собаку» в ходе реализации других проектов.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Производительность труда повысят IT-платформами
Российские предприятия получат доступ к сервисам для цифровизации бизнес-процессов