Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Россия присоединилась к мировым практикам нормативных актов

Россия присоединилась к мировым практикам нормативных актовСегодня в России существует ряд нормативных актов, так или иначе регламентирующих вопросы защиты персональных данных или конфиденциальной информации. Это ФЗ «О персональных данных», Стандарт Банка России по IT-безопасности (СТО БР ИББС-1.0-2006), соглашение BaselII и Кодекс корпоративного управления ФСФР.

В отличие от США и Евросоюза, в России долгое время не было законодательных актов, которые бы защищали приватные сведения граждан и накладывали бы хоть какую-то ответственность на организации и физических лиц за то, что те скомпрометировали чужую информацию. Однако в конце июля 2006 года Президент РФ подписал федеральный закон «О персональных данных», который фактически меняет правовой ландшафт в области защиты приватных сведений и значительно приближает Россию к странам Запада.

С точки зрения обязательности исполнения и области применения, ФЗ «О персональных данных» — наиболее важный нормативный акт, требующий обеспечить защиту приватной информации. Тем не менее, отдельные отрасли экономики регулируются предписаниями со стороны надзорных органов. Например, организации кредитно-финансового сектора должны подчиняться требованиям соглашения Basel II, которое в нашей стране вступит в силу с 2009 года. Кроме того, Банк России рекомендует внедрить свой стандарт по ИТ-безопасности, также ориентированный на проблему инсайдеров и утечек. Наконец, публичные компании, представленные на российских фондовых биржах, сталкиваются с Кодексом корпоративного управления ФСФР, который содержит требования к системе внутреннего контроля и пока что является рекомендательным. Правда, есть все основания полагать, что отдельные положения Кодекса ФСФР, включая внутренний контроль, с 2007 года станут обязательными.

Российские нормативные акты в сфере защиты от утечек

Название Область действия Характер

ФЗ «О персональных данных»

Все государственные и частные организации, на попечении которых находятся персональные данные

Закон обязателен для исполнения с февраля 2007 года

Соглашение Basel II

Все кредитно-финансовые организации

Соглашение обязательно для исполнения с 2009 года

Стандарт ЦБ по ИТ-безопасности

Все кредитно-финансовые организации

Стандарт носит рекомендательный характер, хотя российские банки не исключают его трансформации в обязательный для исполнения уже в ближайшие 2 года

Кодекс корпоративного управления ФСФР

Все публичные компании, чьи акции котируются на российских фондовых биржах

Кодекс ФСФР носит рекомендательный характер, но его отдельные положения могут стать обязательными уже в 2007 году

ФЗ «О персональных данных»

Согласно ФЗ, персональные данные это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». В качестве примера таких данных закон приводит ФИО, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию. Чтобы не путаться в терминологии, отметим, что далее в качестве синонима к персональным данным будут использоваться такие словосочетания, как приватные сведения, личная информация и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых новым федеральным законом. Кроме того, следует обратить внимание, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Прежде чем перейти к анализу основных положений ФЗ следует рассмотреть еще два наиболее важных определения. Во-первых, оператор персональных данных – это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Отметим, что понятие оператора приватных сведений включает любую реально существующую российскую организацию, так как в каждой структуре есть служащие и/или клиенты, чья личная информация находится на попечении организации. Во-вторых, обработка персональных данных – это практически любые действия (операции) с приватными записями. В качестве примера закон указывает сбор, систематизацию, хранение, использование, распространение, обезличивание, уничтожение персональных данных и др. Таким образом, ФЗ «О персональных данных» касается каждой организации и регулирует все аспекты обращения личной информации.

Перейдем теперь к требованиям закона. Прежде всего, следует обратить внимание на ст.5 ч.2.: «хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» персональная информация «подлежит уничтожению». Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ст.21 ч.4 длиной в три рабочих дня. Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Хотя, конечно, никто не запрещает создавать учетные записи и сохранять на сервере компании персональные сведения, но при этом электронный магазин должен ясно заявить, что эти данные собираются не для осуществления продажи товара (одной конкретной транзакции), а для длительного хранения. Однако речь здесь идет именно о персонифицированной информации, если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, никто не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Согласно ст.7, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно. Правда, особое внимание представители бизнеса должны уделить требованиям ст.19 – «Меры по обеспечению безопасности персональных данных при их обработке». Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Более того, согласно ст.19 ч.2, Правительство РФ должно установить требования «к обеспечению безопасности [приватных сведений] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации».

Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».

По мнению аналитического центра InfoWatch, некоторые трудности у организаций, осуществляющих обработку персональных данных своих клиентов, могут вызвать требования ч.3 ст.22, согласно которым компания должна направить в уполномоченный орган уведомление об этом факте. Напомним, что закон вступает в силу с февраля 2007 года, но уведомление организация должна направить до 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимаемые для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания имеет только приватные данные своих сотрудников, то уведомление направлять не следует).

Требования ФЗ «О персональных данных» к ИТ-безопасности

Номер статьи и пункта Расшифровка
Ст.5 ч.2, Ст.21 ч.4 Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня.
Ст.19 ч.1 Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
Ст.19 ч.4 Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

При нарушении требований ФЗ «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступил в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

Соглашение Basel II

Соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Basel II предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.

Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. Исходя из неоднократных исследований российского кредитно-финансового сектора и опыта стран «большой десятки»,  именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок, низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Под определение операционных рисков попадают, прежде всего, действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность).

По результатам исследования «Соглашение Basel II в России 2006: операционные риски – основная проблема банков», в ходе которого было опрошено более 30 российских банков, наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами – на них пришлось 35%) и персоналом (который представляет основную угрозу – так считает 91% респондентов).

Наиболее опасные операционные риски

Источник: InfoWatch, 2006

Можно резюмировать: именно угрозы ИТ-безопасности, в особенности действия инсайдеров, представляют собой наиболее весомый компонент операционных рисков. При этом, начиная с 2009 года, каждая российская кредитно-финансовая организация должна внедрить систему управления этим видом рисков и резервировать под них капитал.

Стандарт Банка России по ИТ-безопасности

26 января 2006 года Банк России ввел в действие вторую версию своего стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0–2006). Данный стандарт предъявляет жесткие требования к системе ИТ-безопасности кредитно-финансовых организаций для повышения эффективности управления операционными рисками.

Областью применения стандарта Банка Росси по ИТ-безопасности являются все российские коммерческие банки и сам ЦБ. Данный нормативный акт объединяет в себе основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентирует описание жизненного цикла программных средств и критерии оценки IT-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Свое место в стандарте нашли технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения британской методологии оценки информационных рисков CRAMM.

Стандарт насчитывает двенадцать глав, центральное место среди которых занимает пятая глава, описывающая исходную концептуальную схему (парадигму). В основу положена модель противоборства собственника и злоумышленника. Более того, стандарт сразу же расставляет акценты (пункт 5.4): «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Таким образом, во главу угла авторы стандарта ставят именно защиту от инсайдеров.

Для борьбы с угрозами стандарт рекомендует не только проверенные временем методики типа моделирования угроз, создания политики и системы управления ИТ-безопасностью, но и выделение службы ИТ-безопасности в отдельное подразделение. Не обошли своим вниманием авторы стандарта и средства внутреннего контроля, знакомые многим по 404 параграфу закона SOX (Sarbanes-Oxley Act of 2002). Например, в пункте 5.10 указано: «…все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться».

Заметим, что стандарт Центробанка не дает четких рекомендаций по механизмам внутреннего контроля, однако так же, как многие американские и британские законы требует, чтобы организации вели архив корпоративной корреспонденции. Так, пункт 8.2.6.4 гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Таким образом, распространенная в мире практика обязательного использования централизованного и аутентичного архива электронных сообщений впервые нашла свое отражение в российском нормативном акте.

На сегодняшний день стандарт Банка России носит рекомендательный характер. Другими словами, его положения применяются на добровольной основе, и никто не обязывает российские банки обеспечивать совместимость с данным нормативным актом. Вместе с тем в первой главе документа авторы указывают: «Настоящий стандарт может быть введен в действие организаций банковской системы РФ в качестве обязательного к исполнению в случае, если такая необходимость существует». Другими словами, учитывая существующие тенденции рынка (в том числе международного) по усилению контроля как со стороны государственных, так и отраслевых регуляторов и бизнес-сообществ, можно предположить, что данный стандарт из разряда «рекомендательный» вскоре будет рассматриваться рынком как «обязательный для исполнения».

Точно такого же мнения придерживается и российский банковский сектор. Согласно результатам исследования «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки». Подавляющее большинство (72%) кредитно-финансовых организаций полагают, что стандарт перейдет из разряда «рекомендательный» в «обязательный» уже в ближайшие четыре года. Причем почти одна треть (31%) респондентов уверена, что это произойдет в течение 2006-2007 годов, а практически каждый второй (41%) считает, что этот процесс может растянуться на 2006-2009 годы.

Когда вы ожидаете трансформации добровольного характера стандарта ЦБ по ИТ-безопасности в разрад обязательных для исполнения

Источник: InfoWatch и Банкир.ру

Мнение подавляющего большинства (72%) относительно четырехлетнего цикла по ужесточению регулирования во многом основывается на приближении даты вступления России в соглашение Basel II. Другими словами, именно ключевой 2009 год рассматривается банками как финишная черта, к которой необходимо успеть обеспечить эффективное управление операционными рисками. Вполне логично стремление Банка России трансформировать свой стандарт в обязательный для исполнения как раз к 2009 году, чтобы урегулировать проблему ИТ-безопасности в преддверии соглашения Basel II. При этом те кредитные компании, которые реализуют требования стандарта заранее, получат существенное преимущество по сравнению с теми, кто отложил совместимость на более поздний срок.

Таким образом, требования к защите от инсайдеров и предотвращению утечек могут стать обязательными для всех российских банков после того, как трансформируется характер стандарта ЦБ по ИТ-безопасности.

Кодекс ФСФР

Кодекс корпоративного управления ФСФР представляет свод правил, основанный на семи основополагающих принципах. Наиболее актуальным с точки зрения ИТ-безопасности является принцип №7: «Практика корпоративного поведения должна обеспечивать эффективный контроль над финансово-хозяйственной деятельностью общества с целью защиты прав и законных интересов акционеров». Данный принцип настолько важен, что ему посвящена отдельная (восьмая) глава в Кодексе: «Контроль над финансово-хозяйственной деятельностью общества». Она завершает требования всех остальных принципов и адресует такие важные проблемы, как операционные риски, ИТ-безопасность, мошенничество, аудит и т.д. По сути, эта глава дублирует требования чрезвычайно жесткого параграфа 404 из американского закона SOX.

Глава 8 Кодекса ФСФР требует, чтобы корпорация внедрила систему контроля над финансово-хозяйственной деятельностью. В отличие от своих иностранных аналогов, российский Кодекс конкретизирует, что именно должна делать такая система. Пять основных задач системы внутреннего контроля представлены ниже.

Кодекс ФСФР: задачи системы внутреннего контроля


задачи

Расшифровка

1

принятие и обеспечение исполнения финансово-хозяйственного плана;

2

установление и обеспечение соблюдения эффективных процедур внутреннего контроля;

3

обеспечение эффективной и прозрачной системы управления в обществе, в том числе предупреждение и пресечение злоупотреблений со стороны исполнительных органов и должностных лиц общества;

4

предупреждение, выявление и ограничение финансовых и операционных рисков;

5

обеспечение достоверности финансовой информации, используемой либо раскрываемой обществом.

Каждое из этих положений раскрывается Кодексом детально в 8 гл. Не вызывает сомнений, что реализация всех компонентов системы внутреннего контроля без использования специализированных ИТ-систем и привлечения профессиональных консультантов может оказаться дорогостоящей, неэффективной или даже безрезультатной. Например, операционные риски определяются, как неадекватное функционирование внутренних процессов, так и случайные или преднамеренные вредительские действия персонала компании. Другими словами, угрозы ИТ-безопасности, а в особенности инсайдерские угрозы, являются неотъемлемой частью операционных рисков. Между тем, согласно четвертому компоненту системы внутреннего контроля, необходимо обеспечить управление операционным риском.

Кроме того, с ИТ-безопасностью неразрывно связано пресечение злоупотребления со стороны директоров корпорации и обеспечение достоверности финансовых отчетов. Ведь для совершения мошенничества требуется внести изменения в важные документы, которые практически всегда представлены в электронной форме. Таким образом, наиболее целесообразным представляется построение именно информационной системы внутреннего контроля, позволяющей управлять рисками и обеспечивать безопасность корпоративной информации (цифровых активов, финансовых отчетов, интеллектуальной собственности и т.д.).

В заключение заметим, что по сравнению с американским законом SOX и британским Объединенным Кодексом (Combined Code), российский Кодекс ФСФР является полностью добровольным и намного более подробным. Сама ФСФР объясняет такой высокий уровень детализации тем, что ее Кодекс пытается восполнить недостаточный объем действующей в России нормативно-правовой базы, регулирующей процесс корпоративного управления. При этом добровольный характер Кодекса ФСФР продиктован тем, что на момент принятия в 2002 году, в стране еще не сформировалась необходимая корпоративная культура, чтобы сделать такой документ обязательным. Тем не менее, уже сегодня готовится новая редакция Кодекса ФСФР, которая ориентировочно будет принята до конца 2006 года. Об этом в начале мая сообщил Владимир Гусаков, замглавы ФСФР, на конференции «Три года развития корпоративного управления в России: практические результаты». По его словам, «директора стали понимать эффективность и выгодность публичной деятельности», поэтому ФСФР считает необходимым сделать часть требований Кодекса обязательными для исполнения. Особое внимание при этом будет уделено принципам внутреннего контроля и аудита. Таким образом, хотя отечественные корпорации не обязаны внедрять принципы Кодекса ACAH и вообще следовать его рекомендациям, на практике уже в ближайшее время требования к системе внутреннего контроля могут стать обязательными.

Осталось меньше полугода

Можно резюмировать: несмотря на относительно мягкое нормативное регулирование сферы утечек, российским организациям уже сегодня приходится иметь дело с несколькими актами и стандартами. Сложнее всего в этом плане приходится кредитно-финансовым организациям, так как они должны обеспечить соответствие, как соглашению Basel II и Стандарту ЦБ, так и ФЗ «О персональных данных». Однако банковская деятельность традиционно считается наиболее чувствительной к инсайдерским атакам и утечкам. Так что жесткое нормативное регулирование финансовых компаний вполне оправдано. Между тем, всем остальные организации тоже должны с большой серьезностью относиться к изменению законодательной и нормативной среды. В первую очередь следует обратить внимание на ФЗ «О персональных данных», так как это наиболее важный нормативный акт, требующий обеспечить защиту приватной информации. В его сферу деятельности попадают абсолютно все организации, а сам закон вступает в силу уже с февраля 2007 года.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS