Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Регулирование и регуляторы

Регулирование и регуляторы

Регулирование и регуляторы


26.09.2008

Статья продолжает тему построения эффективной системы информационной безопасности, начатую в предыдущих публикациях автора ("Защищать сети, серверы, компьютеры или бизнес?", "Вооружен… Но защищен ли?").

В них уже затрагивались проблемы регулирования вопросов защиты информации как государством, так и негосударственными организациями, влияния регулирования на работу предприятий и организаций, рассматривались плюсы и минусы следования (или неследования) требованиям и рекомендациям регуляторов. Сегодня мы продолжим разговор на эту актуальную тему.

Кто, что и как регулирует

Рассматривать этот вопрос мы будем на близкой нам российской почве, при необходимости обращаясь к опыту зарубежному, не всегда применимому у нас, но, тем не менее, полезному.

Главным регулятором, естественно, является само государство.

Вопросы обеспечения информационной безопасности регулируются целым рядом федеральных законов Российской Федерации, постановлениями и распоряжениями Правительства, указами Президента, нормативными и методическими документами, принимаемыми органами исполнительной власти в пределах своей компетенции. К таким органам относятся:

    * федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, — Федеральная служба безопасности (ФСБ);

    * федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, — Федеральная служба по техническому и экспортному контролю (ФСТЭК).

В текущем году в соответствии с Постановлением Правительства РФ № 418 к перечисленным добавилось Министерство связи и массовых коммуникаций — федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно правовому регулированию в сфере информационных технологий и обработки персональных данных. Теперь оно имеет право принимать в виде нормативных правовых актов требования по информационной безопасности информационных систем, в том числе информационных систем персональных данных (за исключением информационных систем критически важных объектов), информационно телекоммуникационных сетей и других сетей связи. Как будут взаимодействовать эти ведомства в ходе регулирования — покажет время.

Вопросы обеспечения информационной безопасности организаций и предприятий могут регулироваться и другими органами:

    * национальными (в частности американским законом Сарбейнса Оксли (SOX) в случае вывода акций российской копании на американские фондовые биржи);

    * межнациональными (например, после ратификации Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных);

    * негосударственными объединениями (скажем, Советом по стандартам безопасности индустрии платежных карт — PCI SSC, разработавшим Стандарт безопасности данных индустрии платежных карт — PCI DSS, который обязателен для исполнения всеми банками, эмитирующими карты, а также предприятиями торговли и обслуживания, принимающими в качестве средств платежа пластиковые карты систем VISA, MasterCard, American Express, JCB и Discover);

    * негосударственными организациями (к примеру Банком России, разработавшим группу стандартов информационной безопасности банковской системы — СТО БР ИББС).

Документы регуляторов могут быть как обязательными для исполнения — федеральные законы, постановления Правительства, указы Президента, положения и приказы уполномоченных органов исполнительной власти и т. п., закон Сарбейнса Оксли, стандарт PCI DSS, так и носить рекомендательный характер — сегодня это государственные стандарты и стандарты Центробанка, соглашение Basel II, методические документы регуляторов и др.

К российской специфике, существенно отличающей нашу практику регулирования от западной, следует отнести и тот факт, что ряд нормативных документов регуляторов носит закрытый характер, и их правовой статус не очень понятен. Может ли организация выполнять требования, о существовании которых она не знает, а иногда и не может знать?

Законодательные лабиринты

Проблемы возникают уже с самого начала — на стадии законодательного регулирования. К основополагающим законам в области информационной безопасности необходимо отнести следующие:

    * Федеральный закон от 27 июля 2006 г. № 149 ФЗ "Об информации, информационных технологиях и о защите информации";

    * Гражданский кодекс РФ, в первую очередь четвертую его часть (от 18 декабря 2006 г. 230 ФЗ);

    * Федеральный закон от 29 июля 2004 г. № 98 ФЗ "О коммерческой тайне";

    * Федеральный закон от 27 июля 2006 г. № 152 ФЗ "О персональных данных";

    * Федеральный закон от 10 января 2002 г. № 1 ФЗ "Об электронной цифровой подписи".

Некоторые вопросы информационной безопасности регламентируются в других законах, но там они решают более частные задачи.

Первый парадокс заключается в том, что определения информационной безопасности нет ни в одном законе. В лучшем случае, речь идет о защите информации, которая существенно сужает общепринятое в мировой практике понятие информационной безопасности (information security), присутствующее, к примеру, в международных стандартах ISO 27001 и 27002, переводы которых приняты и как российские стандарты. В то же время в Доктрине информационной безопасности, подписанной Президентом Российской Федерации 9 сентября 2000 г., дано развернутое определение этого термина, не совпадающее с международными стандартами, но значительно расширяющее его по сравнению с ISO.

Второй парадокс состоит в том, что в законах нет понятия конфиденциальной информации. Деятельность по технической защите конфиденциальной информации предусмотрена Федеральным законом "О лицензировании отдельных видов деятельности", однако само определение конфиденциальной информации отсутствует. Есть сведения конфиденциального характера, но не в законах, а в Указе Президента РФ 1997 г. № 188. Правда, в соответствии с распоряжением Правительства РФ 2007 г. № 1055 р еще в третьем квартале прошлого года должен был появиться Указ Президента Российской Федерации о признании утратившими силу указов по вопросам защиты сведений конфиденциального характера, но каких — пока не ясно. Автору известны всего два открытых указа по этой теме — упоминавшийся № 188 и № 351 от 17 марта 2008 г. "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена".

Вместо понятия "конфиденциальная информация" в законах используется "информация ограниченного доступа" (вводит его ФЗ "Об информации, информационных технологиях и о защите информации", получивший в среде профессионалов наименование "Трехглавый закон"). Таким образом, не ясно, на техническую защиту какой именно информации необходимо получать лицензию в соответствии с законом о лицензировании и Постановлением Правительства РФ 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации".

Попутно выясняется, что к информации ограниченного доступа не относятся сведения, составляющие коммерческую тайну, которые, с легкой руки законодателей, с 1 января 2008 г. (после вступления в силу четвертой части Гражданского кодекса и новой редакции ФЗ "О коммерческой тайне") стали объектом интеллектуальной деятельности. А в первой же статье "Трехглавого закона" указывается, что его положения "не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности". Поставив знак равенства между информацией, составляющей коммерческую тайну, и секретом производства, закон к тому же, с одной стороны, лишил права обладать коммерческой тайной непроизводственные организации, с другой — расширил понятие секрета производства до такой степени, что под него можно подвести фактически любые сведения ("…сведения любого характера — производственные, технические, экономические, организационные и другие, в том числе о результатах интеллектуальной деятельности в научно технической сфере, а также сведения о способах осуществления профессиональной деятельности". — Выд. авт.). Уж какое тут производство…

Выполнять требования закона приходится не юристам теоретикам, а специалистам практикам, для которых блуждания в законодательных дебрях — сущая каторга. Слушатели учебных курсов по защите коммерческой тайны и персональных данных постоянно задают вопросы, касающиеся выполнения базовых требований законодательства. Например, как правильно сформировать перечень информации, составляющей коммерческую тайну, в страховой, рекламной компании или в банке, где сведения, имеющие коммерческую ценность и не известные на законном основании третьим лицам (т. е. обладающие "родовыми признаками" коммерческой тайны), безусловно, есть, а производства (и "секретов производства" соответственно) нет.

Законы, регулирующие проблемы обеспечения информационной безопасности, устанавливают наиболее общие требования, обязательные для всех участников возникающих при этом отношений, не раскрывая содержания мероприятий и конкретных правил. Примерами подобных требований являются:

    * ограничение доступа к информации только на основании федеральных законов (кстати, что такое в данном случае "служебная тайна" и ограничительный гриф "Для служебного пользования"?);

    * установление режима коммерческой тайны для всех обладателей исключительных прав на секрет производства как обязательного условия предоставления им правовой помощи со стороны государственных институтов (ФЗ "О коммерческой тайне");

    * обязанность операторов персональных данных принимать необходимые организационные и технические меры для их защиты от неправомерных действий, получать согласие субъекта на обработку и направлять уведомления об обработке в уполномоченный орган (ФЗ "О персональных данных");

    * применение только сертифицированных средств электронной цифровой подписи в информационных системах общего пользования (ФЗ "Об Электронной цифровой подписи).

Среди этих общих требований иногда, опять таки с точки зрения специалиста практика, появляются несколько странные. Например, ФЗ "О коммерческой тайне" определяет, что меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя. Любому студенту, добросовестно посещавшему курс по информационной безопасности в вузе, известно, что управление безопасностью — это управление рисками, которых можно избежать (не вводя режим коммерческой тайны), минимизировать, ограничить возможность реализации, но вот исключить…

За пределами законодательного поля

Детализация требований, в общем виде изложенных в законах, осуществляется Правительством РФ (в виде постановлений) и органами исполнительной власти, уполномоченными в области безопасности. Зона ответственности разделена между двумя ведомствами — ФСБ и ФСТЭК: все, что связано с криптографией (средства шифрования и ЭЦП), регулируется ФСБ России, а разработка и применение всех остальных средств защиты информации — прерогатива ФСТЭК. Для регулирования используются три основных механизма: лицензирование деятельности, сертификация продуктов и аттестация объектов информатизации и помещений, где ведутся работы с информацией ограниченного доступа.

Регулирование производится путем выдвижения обязательных для выполнения требований (с установлением области их применения) и разработки рекомендаций и методических материалов по их выполнению (тоже, как правило, с определением сферы использования).

Примером обязательных требований является сертификация средств защиты информации, составляющей государственную тайну, а также предназначенных для защиты персональных данных; рекомендательных — стандарты банка России по информационной безопасности или соглашение Basel II.

Область применения требований и/или рекомендаций устанавливается исходя из определенных законами и соответствующими положениями полномочий органов исполнительной власти. Так, Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ 2005), утвержденное приказом ФСБ России, обязательно в случаях, если информация конфиденциального характера подлежит защите в соответствии с российским законодательством (персональные данные), а также для государственных органов и организаций, выполняющих государственные заказы. Для организаций, занимающихся защитой информации, доступ к которой ограничивается обладателем (коммерческая тайна), для общедоступных и открытых ресурсов, для применения ЭЦП в документообороте, информация которого не относится к конфиденциальной, ПКЗ 2005 носит рекомендательный характер.

Область применения отдельных нормативных и методических документов регуляторов существенно ограничивается тем, что эти документы имеют закрытый характер.

Хорошо или плохо?

Многие специалисты категорично заявляют, что регулирование в вопросах обеспечения безопасности информации, не составляющей государственную тайну, не нужно, никакой пользы оно не приносит, часто ведет к излишним неоправданным расходам без существенных результатов для обладателя (в первую очередь это касается бизнеса, направленного на получение прибыли). На мой взгляд, в ряде случаев регулирование как государственными, так и негосударственными институтами не только полезно, но и необходимо.

Крах седьмой по величине американской компании Enron и доткомов (компаний, бизнес которых целиком лежал в Интернете), значительные убытки и даже разорение людей, инвестировавших в эти компании, стали толчком к созданию закона Сарбейнса Оксли, статья 404 которого (SOX 404) требует организовать эффективную систему внутреннего контроля, в том числе в информационной системе организации, направленную на предотвращения искажения финансовой отчетности. По данным исследования, проведенного компанией Ernst & Young, 71% опрошенных ожидают от реализации требований SOX 404 улучшений в своей ИТ инфраструктуре.

Безусловно, повышению безопасности электронных транзакций с использованием пластиковых платежных карт способствует приведение поддерживающей их информационной системы в соответствие стандарту PCI DSS, включая аудит на соответствие стандарту, ежегодный тест на проникновение в систему и ежеквартальные сканирования защищенности системы. Кроме всего прочего, эти мероприятия повышают доверие потребителей к банкамэмитентам, обслуживающим платежные карты, и предприятиям торговли, принимающим платежи с их использованием, прошедшим аудит и имеющим положительное заключение по его результатам.

Есть надежда, что реализация предусмотренных ФЗ "О персональных данных" и Постановлением Правительства 2007 г. № 781 требований по обеспечению безопасности обработки персональных данных будет способствовать прекращению беспредела в незаконном распространении сведений о российских гражданах в виде контрафактных баз, активно продаваемых до настоящего времени на всевозможных "радиорынках" и через Интернет.

Никакого иного способа подтверждения заявленных характеристик средств защиты информации, кроме их сертификации, пока не найдено.

Конечный пользователь оценить качество средств защиты не в состоянии.

Должна ли она быть обязательной или добровольной — другой вопрос.

Скорее всего, обе имеют право на существование: для тех средств, которые используются в госорганах, в критически важных инфраструктурах, там, где обрабатывается информация, составляющая государственную тайну, — обязательная; там, где доступ к информации ограничивается и она защищается по решению обладателя, — добровольная. И тогда пользователь будет сам решать, устанавливать сертифицированное средство с подтвержденными качествами или поверить производителю на слово.

Если этот производитель имеет имя на рынке и им дорожит, сертификат его продукции, возможно, и не понадобится.

Когда все это работает

Для эффективной работы системы регулирования необходимо выполнение целого ряда условий. Без этого даже самые благие намерения регуляторов останутся намерениями, и не более.

Прежде всего, о том, какими должны быть выдвигаемые требования:

    * разумными — результат их реализации должен соответствовать заявленным целям, для достижения которых требования выдвигались;

    * выполнимыми — существующие средства защиты информации должны обеспечить выполнение этих требований без нарушения функционирования информационной системы (требования безопасности не должны блокировать или существенно затруднять обработку той информации, которую надо защитить);

    * прозрачными — владельцу информационной системы должно быть понятно, для чего эти требования выдвигаются и на предотвращение каких конкретно нежелательных последствий они направлены;

    * проверяемыми — должен быть создан доступный механизм, описывающий процедуру оценки соответствия требованиям, и критерии, позволяющие дать оценку на уровне "требования выполнены — не выполнены".

Следующим условием функционирования системы регулирования является эффективный контроль и надзор за выполнением требований.

Если реализация обязательных требований не проверяется уполномоченными регуляторами (не важно, государством или негосударственными органами), выполнять эти требования никто не будет. Особо беспокоит эффективность контроля над обработкой персональных данных.

Вроде бы и создана система — в ней, помимо ФСБ и ФСТЭК, еще и Россвязькомнадзор, да и Министерство связи и массовых коммуникаций к системе подтягивается. Но пока не начались проверки и наказания операторов, не выполняющих этот закон, никто деньги в создание системы защиты вкладывать не хочет: "авось, переживем…", "строгость российских законов компенсируется их невыполнением" и т. п. На почтовые ящики продолжают приходить письма с предложениями типа "комплект из более чем 600 баз, объединенных в единую систему поиска на жестком диске 500Gb. Стоимость комплекта 37 000 руб. Подробности по телефону…".

Примером "работающей" системы регулирования является уже упоминавшееся правило SOX 404. Обязательность аудита на соответствие закону, колоссальные штрафы и даже перспектива тюремного заключения руководителей компаний — игроков американских бирж, не выполнивших требования закона, приводит к тому, что значительные средства на создание системы контроля в ИТ инфраструктуре выделяются, а сама система функционирует. По данным американских специалистов, приведение информационной системы в соответствие SOX 404 обходится в среднем в 2 млн долл., однако владельцы компаний идут на эти расходы!

Угрозы штрафов и запрета на эмиссию пластиковых карт в случае отсутствия подтверждения соответствия стандарту PCI DSS сработали — к организациям, имеющим право проводить аудит, выстроились очереди.

И еще одно условие. К системе регулирования должно быть доверие представителей той сферы деятельности, которая регулируется.

Полная безответственность изготовителя, сертификационной лаборатории, сертификационного органа за негативные последствия, наступившие в результате несрабатывания сертифицированного средства защиты, приводит к тому, что сертификация зачастую воспринимается не как подтверждение соответствия требованиям, а как косвенный налог. Требования лицензировать деятельность по технической защите коммерческой тайны, к которой ограничивает доступ обладатель исключительных прав на результаты интеллектуальной деятельности, ставит под сомнение саму необходимость сертификации.

Пока эти проблемы решить не удастся, эффективным регулирование не станет.

Источник: cio-world.ru
www.cio-world.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"