Правовые уязвимости информационной безопасности

Мероприятия по обеспечению информационной безопасности предполагают определенные вложения. На эту статью затрат и так не очень-то охотно тратятся средства, а тут еще и регулирующие органы вынуждают вкладывать дополнительное деньги, чтобы обеспечить соответствие требованиям законодательства. И судя по всему, с каждым годом таких требований будет все больше и больше. Правда, в России затраты на информационную безопасность составляют очень небольшую часть общих затрат компании. А уж выделение средств на поддержание информационной безопасности в актуальном состоянии с точки зрения законодательства совсем маловероятно.

По мнению Михаила Емельянникова, заместителя коммерческого директора НИП «Информзащита», эту ситуацию не стоит излишне драматизировать: «По результатам глобального исследования, проведенного компанией Ernst & Young, в 2007 году главной движущей силой построения систем информационной безопасности было как раз стремление следовать требованиям регуляторов (в том числе государственных). Около 64% опрошенных компаний назвали выполнение требований регуляторов главным фактором развития информационной безопасности. Для сравнения: стремление обеспечить конфиденциальность и защиту данных в качестве движущей силы развития информационной безопасности назвали 58% респондентов, собственно бизнес-задачи — 48%. Требования регуляторов являются не чем иным, как обобщением лучшего опыта, накопленного в соответствующей области, с одной лишь поправкой: так, как это понимает и считает правильным регулятор. Возможные санкции со стороны регуляторов вполне способны стимулировать выделение средств и закупку нужных систем, поэтому для части российских компаний и организаций ссылка на требования ФСТЭК или, скажем, ЦБ РФ, могут быть единственным существенным для руководства аргументом в пользу выделения ресурсов на информационную безопасность».

Примечательно, что год назад на заседании программного комитета конференции Infosecurity Russia 2007 представители кредитно-финансовой сферы признавались, что если в 20 самых крупных российских банках положение дел в области информационной безопасности вполне благополучное, в 200 самых крупных — приемлемое, то в остальных не делается практически ничего в этом направлении. Но ситуация меняется буквально на глазах.

«За последние два года наметились явные сдвиги. Если раньше даже такие, казалось бы, надежные и стабильные организации, как банки, далеко не всегда имели простейшую политику информационной безопасности, то сейчас интерес к подобным вопросам перестает носить преимущественно теоретический характер, — считает Дмитрий Слободенюк, коммерческий директор группы компаний “Антивирусный центр”. — Многие крупные организации, в особенности созданные с участием западного капитала, уже в значительной мере соответствуют самым высоким современным требованиям. Но общую погоду по стране определяют все-таки не они, а огромное количество предприятий и организаций среднего размера. Вполне вероятно, что в течение ближайших полутора-двух лет и их теоретический интерес перерастет в практический. Начнется все с внедрения систем защиты от утечек конфиденциальных данных (этот процесс уже идет во многих организациях), затем системы информационной безопасности будут эволюционировать в сторону более масштабных решений».

Практика закона о защите персональных данных

Требования государства к защите персональных данных граждан вовсе не случайны и вполне обоснованны. Вот лишь один пример: сегодня редкая сводка криминальных новостей обходится без сюжета об оформлении кредита на третье лицо без его ведома и согласия. Закон, призванный защитить персональные данные граждан, был принят больше года назад, однако до сих пор никаких результатов он не дал (о реальной практике его применения практически ничего не слышно).

«Любой закон искажается, попадая на почву российской действительности. Очевидно, что ужесточение законов может привести к ряду негативных последствий, например, к увеличению взяточничества, не говоря уже об отвлечении службы информационной безопасности от своих непосредственных обязанностей, — считает Вероника Софткова, руководитель направления инфраструктурных решений компании “Поликом Про”. — На мой взгляд, наши законы могут быть благополучно реализованы при двух условиях: во-первых, закон должен быть создан в команде специалистов, которые связаны с зоной применения нового закона, а во-вторых, реализация должна быть в руках очень грамотных ИТ-руководителей на местах. С последним условием в России дела обстоят даже хуже, чем с воплощением первого пункта. Здесь очень мало ИТ-руководителей в классическом западном понимании — CIO, тех, кто находится в совете директоров в своих компаниях, действительно руководит стратегией развития ИТ в организациях, осваивает свой бюджет на требуемые проекты и кому не приходится ходить за финансистами, чтобы его получить. Таких ИТ-руководителей всего 5—7% от общего числа. Именно они могут воплотить в жизнь этот сложный тандем, обеспечить планы ИТ-развития и следование правовым обязанностям, накладываемым странами, в которых присутствует компания».

По словам Алексея Пастоева, управляющего партнера компании Kerberus, «законодательство в России не только противоречивое, но и мутное: требование “защищать” не сопровождается требованием выполнения конкретных действий, поэтому и наказать не за что».

Пример с законом о защите персональных данных свидетельствует, что существуют данные, которые следует защищать и которые государство требует обезопасить. Но, по сути, ничего более детального в этом законе нет. «Если предприятие не желает проводить мероприятия по защите информации, то его почти никогда не останавливает наличие или отсутствие соответствующих законов. Единственная категория организаций, где законы на что-то влияют, — это госструктуры, — убежден Илья Трифаленков, директор по развитию бизнеса информационной безопасности компании “Инфосистемы Джет”. — Если в этих структурах не желают проводить те или иные мероприятия по защите данных, то они говорят: раз в законе это не прописано, то мы и делать не будем. Бизнес-структуры такого себе не позволяют. Они очень редко отталкиваются от требований законодательства. Правда, закон от них может потребовать то, чего они сами бы делать, может быть, и не стали, например, применять какой-то особый метод криптографии там, где предприятие могло обойтись решениями, используемыми повсюду в мире, но законодательное требование обязывает использовать отечественное. Иногда зарубежные средства криптографии просто удобнее даже с точки зрения пользовательского интерфейса, продуманности административных процедур, взаимодействия с зарубежными партнерами и т.д.».

Руководитель стратегических проектов компании Aladdin Сергей Белов считает, что закон все же дал положительный результат: «Не стоит утверждать, что принятие закона ни к чему не привело. Закон есть, в нем закреплены определенные понятия, права, обязанности и предусмотрена возможность наказания за несоблюдение установленных требований. Отсутствие громких прецедентов объясняется латентностью преступлений в этой области. Между тем утечки происходят постоянно и рано или поздно с кражами баз данных будет вестись полномасштабная борьба на государственном уровне».

С другой стороны, никто не освобождает само государство от необходимости отслеживать соблюдение законов. И с этим согласен Емельянников: «Двигателем законоприменения могут быть только госорганы и сами граждане. Но граждане своими правами пока пользоваться не умеют, а государство им не особенно помогает. Госорганы, как обычно, “раскачиваются” медленно. Требования к обеспечению безопасности персональных данных появились только в конце марта, а до этого нельзя было ни строить систему защиты, ни проверять выполнение требований. Другими словами, государственная система контроля и надзора, прописанная в законе, просто не работала. Вот и все причины. Начнут Россвязьохранкультура, ФСБ и ФСТЭК проверять выполнение закона и наказывать виновных в утечках — закон заработает, не начнут — так все и останется по-прежнему».

Международная мотивация

Помимо российских законов существуют также требования международного сообщества, к которым приходится прислушиваться компаниям, работающим на мировых рынках или задумывающимся о выходе на IPO. В подобных случаях придется приводить свою ИТ-инфраструктуру и, в частности, систему информационной безопасности в соответствие с законодательством стран, где компания присутствует. Законы стран Америки, Европы или Азии сильно различаются, следовательно, затраты на то, чтобы обеспечить соответствие их требованиям, будут увеличиваться.

«Для IPO, скажем в Нью-Йорке, состояние информационной безопасности является критически важным параметром. Если информационная безопасность не приведена в соответствие с правилом 404 закона Сарбейнса—Оксли, и это соответствие не подтверждено независимым аудитором, на биржу компанию просто не пустят, а если не заметят сразу отсутствие соответствия, то потом привлекут к уголовной ответственности. Аналогичные требования готовятся и для Лондонской биржи. Для всех участников мирового рынка есть ISO 27001 — стандарт, который особенно активно применяется в Японии. Следование всем этим стандартам требует значительных вложений в систему информационной безопасности и проведение аудитов, подтверждающих выполнение требований», — подтверждает эту точку зрения Емельянников. С ним согласен Слободенюк: «Опыт многих российских компаний говорит о том, что внедрению серьезных систем безопасности способствовало желание повысить свой статус в глазах западных партнеров, выйти на акционирование и т.д».

Но не только выход на иностранные биржи и рынки вынуждает компании приводить системы информационной безопасности к соответствию требованиям, подобным закону Сарбейнса—Оксли. Для кого-то подобные вопросы соответствия международным требованиям законодательства могут стать препятствием к оказанию особого рода услуг и на своем рынке. По оценке руководителя центра компетенции компании Trend Micro в России Михаила Кондрашина, «в настоящий момент все банки, которые подключаются к таким глобальным платежным системам, как VISA, стараются соответствовать требованиям PCI DSS. А при выходе на биржу главное предъявляемое к компании требование — это открытость, а не совершенство системы безопасности, хотя, конечно, различные ее аспекты все равно регламентируются».

На фоне рейдерства

В отечественной практике известны случаи, когда под видом благих целей осуществлялись нечистоплотные методы ведения конкурентной борьбы. Известны случаи, когда борьба с нелегальным использованием программных продуктов на практике оказывалась банальной разновидностью рейдерских захватов. Уместен вопрос: не станет ли законодательство, в частности закон о защите персональных данных, еще одной уловкой, чтобы нечестно вести конкурентную борьбу?

Участники рынка информационной безопасности эти опасения не разделяют. По мнению Трифаленкова, борьба с пиратством и защита информации — разные процессы: «Борьба с пиратством может быть использована для причинения неприятностей конкуренту. Невыполнение закона о защите персональных данных можно, конечно, использовать для аналогичных целей, но сложнее. Во-первых, в этом случае достижение заметного результата в конкурентной борьбе растянется на неопределенный срок, при этом другие ее варианты будут гораздо эффективнее. Во-вторых, с пиратством все по-другому. Пиратство — это кража чужого, его легче выявить и доказать технически. Доказать, что кто-то не исполняет закон о защите персональных данных, хранящихся в информационной системе, будет крайне сложно. Для этого понадобятся эксперты, и не факт, что они есть в данном регионе. Непонятен и вопрос, на чьи средства будет проведен этот аудит. В итоге механизм получается сложный и долгий».

Не склонен драматизировать ситуацию и Емельянников: «Использовать в качестве средства конкурентной борьбы можно все, что угодно, это и происходит на практике. Инструментами рейдеров выступают коррумпированные госорганы, неправедные суды, “телефонное право” и много еще чего. Роль требований регуляторов в части информационной безопасности в этом процессе очень и очень второстепенная. Можно, конечно, заявить, что кто-то не выполняет закон о персональных данных, организовать проверку и т.п., однако это слишком мелко и незначительно, тогда как недобросовестные конкуренты располагают целым арсеналом средств. Напротив, выполнение и декларирование требований регуляторов (по защите персональных данных, стандартов ЦБ РФ, ISO 27001, PCI DSS) может стать как раз конкурентным преимуществом. Компания может заявить своим партнерам и клиентам: вы заботитесь о приватности ваших данных и защите ваших секретов? Мы делаем для этого все, что подтверждается независимыми аудиторами!».