версия для печати
Что принес 2009 год в законодательство по ИБ?

Что принес 2009 год в законодательство по ИБ?

Последние годы проходят в отрасли информационной безопасности под обсуждение закона «О персональных данных». В его развитие было принято много различных "технических" актов. В то же время продолжалась работа и над другими аспектами законодательства, также связанными с направлением информационной безопасности.

Сегодняшнее состояние законодательного обеспечения рынка информационной безопасности в России продолжает оставаться проблемным полем в силу того, что оно затрагивает защиту и персональных данных, и коммерческой информации, и финансовых транзакций, и производственных циклов. По мнению Алексея Лукацкого, менеджера по развитию бизнеса Cisco, наибольший интерес представляют не технические или подзаконные акты, принимаемые в развитие ФЗ-152 «О защите персональных данных», а те, принятие которых начнет сказываться в ближайшем будущем. К ним относятся, в первую очередь, Постановления Правительства 336 от 15 мая 2010 года и 455 от 17 июня 2010 года.

Первое требует согласования любого нормативного акта федеральных органов исполнительной власти с Минэкономразвития с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности. Хотя в постановлении речь идет о требованиях, предъявляемых к продукции на всех стадиях ее изготовления (начиная с изысканий) и ничего не говорится об обеспечении информационной безопасности в этих процессах, эксперты полагают, что подзаконные акты, выпускаемые регуляторами  в сфере ИБ, также будут подлежать согласованию в соответствии с этим постановлением.

Второе постановление имеет непосредственное отношение к сфере информационной безопасности и связано с требованиями, предъявляемыми к органам сертификации и испытательным лабораториям. Впервые появилось требование о том, что сертификационные лаборатории должны руководствоваться нормативными актами, принятыми на основе не национальных, а международных норм в области стандартизации. Определение международных стандартов было дано несколько ранее в виде изменений, внесенных в Федеральный закон "О техническом регулировании". Понятно, что новые нормативные акты не могут быть разработаны и введены в практику мгновенно, для этого требуется определенное время, возможно, и не один год.

Правительством рассмотрен и принят еще один законопроект. Он направлен на формирование инновационной, конкурентоспособной и хорошо управляемой национальной платежной системы, механизмов контроля со стороны государства, создание единых четких правил для всех институтов и платежных систем на территории страны. Речь идет не только о безналичных расчетах по банковским картам, но и о так называемых "электронных деньгах", которыми с каждым годом пользуется все большее число людей. Но если для банковских карт есть как минимум нормативные документы Центрального Банка, то обращение электронных денег законодательно не регулируется, отсутствуют и требования по защищенности этих систем.

Первый блин

Очень важен принятый в июле 2010 года Федеральный закон "Об организации предоставления государственных и муниципальных услуг" и, в особенности, изменения, внесенные в связи с его принятием в законодательные акты. Эти изменения устанавливают, в первую очередь, порядок обращения граждан в исполнительные органы и предоставления им услуг в электронной форме. Это и трудовые отношения, и пенсионное обеспечение, и лицензирование отдельных видов деятельности, государственную регистрацию юридических лиц и индивидуальных предпринимателей и многое иное. Все эти действия должны предусматривать и обеспечение информационной безопасности, обеспечить как ее достоверность и юридическую значимость, так и недоступность к личной информации посторонних лиц.

Тем не менее, техническая реализация таких услуг вызывает некоторые сомнения. Так, некоторое время назад Федеральная налоговая служба запустила сервис, призванный облегчить участь налогоплательщиков. На нем любой гражданин мог получить информацию о своих долгах как налогоплательщика по имущественному, транспортному, земельному налогам, налогу на доходы физических лиц, выписать квитанцию и оплатить. Однако система не проводила проверку подлинности номера паспорта (оказалось возможным ввести произвольный номер), таким образом, данные об ИНН и долгах налогоплательщика мог узнать любой желающий. Сервис проработал несколько месяцев, но был закрыт из-за обнаружения этой ошибки, наличие которой нарушает требования ФЗ "О персональных данных".

Защита беззащитных

Требования регуляторов (ФСБ, ФСТЭК, Минсвязи) в части исполнения Закона о защите персональных данных требуют от субъектов, оперирующих такой информацией, проведения значительного комплекса работ, связанных с разработкой и реализацией организационно-технических мероприятий. За прошедшие с момента принятия Закона время требования к его реализации менялись уже несколько раз. Последние изменения были приняты в этом году. Это Приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", согласно которому было принято новое Положение, а предыдущие документы, показавшие свою несостоятельность, отменены. По мнению Алексея Раевского, генерального директора SECURIT, новое Положение несколько упростило жизнь операторов персональных данных.

Однако внесенные изменения не привели к существенным изменениям в готовности операторов к вступлению положений Закона в полном объеме. Михаил Дрожжевикин, глава российского офиса ESET, считает, что хотя ситуация и меняется в лучшую сторону, но отсутствие четкого понимания всех требований закона не позволяет говорить о стопроцентной готовности операторов персональных данных. Статистика подтверждает данное предположение. Так, в реестре операторов в Роскомнадзоре по состоянию на середину октября 2010 года зарегистрировалось только 139 тыс. организаций, то есть примерно около 3%. Таким образом, темпы реализации закона пока еще относительно низки.

Затраты на приведение информационных систем в соответствие с требованиям ФЗ весьма существенны – по данным отчета Leta-IT company, в 2010 году на подобные процедуры компании потратят порядка 20% от всех бюджетов на ИБ. По некоторым оценкам, к примеру, Екатеринбургу пришлось бы израсходовать порядка 500 миллионов рублей на то, чтобы привести в соответствие с требованиями закона информационные системы всех муниципальных учреждений, занимающихся обработкой персональных данных.

С этим согласен и Алексей Лукацкий, отметивший, что в России мало кто пытается в  полной мере реализовать требования регуляторов ввиду их невыполнимости в современных условиях ведения  бизнеса и использования ИТ. Все внимание операторов персональных данных сконцентрировалось в подготовке собственной нормативной базы и поиске путей оптимизации своих усилий по приведению себя в соответствие с 152-ФЗ.

Более корректным путем решает эту задачу Банк России. С целью реализации требований ФЗ-152 был подготовлен собственный стандарт по информационной безопасности СТО БР ИББС, согласованный с ФСТЭК, ФСБ и Роскомнадзором. Аналогичный стандарт разрабатывается и для предприятий отрасли связи, где сконцентрированы ведущие операторы, работающие с персональными данными.

Недостатки 152-ФЗ и технических требований анализировались неоднократно. Последний год характерен резким увеличением числа предлагаемых услуг в виде SaaS-сервисов. Добавив к этому широко представленный рынок хостинга виртуальных серверов, а также использования виртуальных машин и сред, мы получим громадный кусок информационной среды, для которой отсутствует и описание рисков, и методики борьбы с ними, особенно для среднего и малого бизнеса. Такой пробел в методических нормативных актах необходимо решать в кратчайшие сроки.

Куда двигаться дальше

За прошедший год и законодатели, и регуляторы выполнили большой объем работ. Принято несколько базовых законодательных актов, приводились в порядок технические требования, проводилась сертификация программно-аппаратных средств защиты, но многое еще осталось невыполненным.

По мнению специалистов, основная проблема связана с отсутствием комплексного подхода в области информационной безопасности. В современных условиях парадигмы, принятые для защиты государственной  тайны и борьбы с иностранными техническими разведками, уже устарели и не отвечают нынешним потребностям многих заказчиков. Все законодательство у нас говорит в первую очередь об обеспечении конфиденциальности, в то время как не последнее значение стали приобретать целостность информации (в АБС и системах ДБО) и доступность информационных систем. Также пора менять устаревший подход к сертификации средств защиты и ответственность за преступления в сфере ИБ. По мнению Александра Писемского, директор по расследованию ИТ-инцидентов «Группа информационной безопасности: Group-IB», необходима доработка статей УК, которые отвечают за преступления, связанные с высокими технологиями, поскольку имеющиеся три статьи не в состоянии покрыть то разнообразие преступлений, которое совершается сегодня в информационной сфере, несмотря на наличие ФЗ-149 "Об информации, информационных технологиях и о защите информации".

Михаил Абрамзон

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS