Обозрение подготовлено

версия для печати
Защитить данные от утечек должно государство

Защитить данные от утечек должно государство

Никто другой, кроме государства не в состоянии решить задачу обеспечения ИБ в полном объеме. Оно должно создать некую систему самосохранения, которая автоматически приводила бы в движение защитные механизмы при возникновении в экономике форс-мажорных обстоятельств. Это в полном объеме относится и к защите данных от утечек.

Как защищать документы, имеющие гриф секретности, понятно. А как определить — инсайдер или нет тот или иной сотрудник в структурах, не имеющих отношения к государственной тайне? Есть, конечно, понятие коммерческой тайны и масса иных документов. Но как не переборщить с защитой данных и не попасть в суд, где в качестве пострадавшего будет выступать, тот, кого, благодаря положениям корпоративной политики безопасности, причислили к «инсайдерам»?

В России пока не было громких судебных процессов, связанных с защитой чести и достоинства граждан, пострадавших в результате непонимания компаниями того, что есть четкая нормативная база, основываясь на которой бизнес может внедрять и эксплуатировать подобные системы. Но то, что эти тяжбы случатся в скором времени, причем в массовом количестве, ни у кого сомнений не вызывает, поскольку рынок систем DLP быстро развивается.

Что лежит в основе взглядов на проблему обеспечения ИБ?

В основе сложившейся системы взглядов на проблему обеспечения информационной безопасности России лежит исходное положение о том, что обеспечение макроэкономической безопасности является исключительно прерогативой государства. Никто другой не в состоянии решить эту задачу в полном объеме. Государство должно создать некую систему самосохранения, которая автоматически приводила бы в движение защитные механизмы при возникновении в экономике форс-мажорных обстоятельств.

Однако на практике имеет место несколько досадных недоработок в этом вопросе, что порой позволяет вольно трактовать некоторые моменты. Во-первых, это недостаточная координация деятельности органов государственной власти по формированию и реализации единой госполитики в области обеспечения ИБ РФ. Далее — недостаточная проработанность нормативной правовой базы, регулирующей отношения в информационной сфере. И, наконец, задержки в разработке и принятии необходимых нормативных правовых и технических документов в области ИБ. Все это следует рассматривать как угрозы информационной безопасности государства, источники которых лежат во внутренней организационно-правовой сфере жизнедеятельности госорганов.

Какие сведения не подлежат несанкционированному распространению?

Система федерального законодательства включает несколько десятков законодательных и подзаконных актов в области защиты информации ограниченного распространения, не содержащей государственную тайну, ни один из которых не выполняет функции упорядочения нормативно-правовой базы в области защиты информации.

Из приведенной ниже таблицы видно, что только описание категорий сведений, не подлежащих несанкционированному распространению, и видов тайн, которые они могут составлять, можно встретить в двадцати пяти актуальных актах законодательства и подзаконных актах федерального уровня. Кроме общеизвестных понятий служебной и коммерческой тайны, мы найдем в них упоминание еще шестнадцати видов тайн.

Список правовых актов и регулируемых ими видов тайн


п.п.
Вид тайны Сведения, подлежащие защите Правовой акт
1 Коммерческая тайна Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
2 Служебная тайна* Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами
3 Служебная и коммерческая тайна Информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и обладатель которой принимает меры к охране её конфиденциальности Гражданский кодекс (ГК) РФ от 30 ноября 1994 г. № 51-ФЗ, ст. 139;
Гражданский процессуальный кодекс (ГПК) РФ от 14 ноября 2002 г. № 138-ФЗ;
Арбитражный процессуальный кодекс (АПК) РФ от 24 июля 2002 г. № 95-ФЗ;
Налоговый кодекс (НК) РФ, ст. 102;
Уголовный процессуальный кодекс (УПК) РФ от 18 декабря 2001 г. № 174-ФЗ;
ФЗ от 26 июля 2006 г. № 135-ФЗ «О защите конкуренции», ст. 14
и др.
4 Банковская тайна Сведения о клиенте;
сведения о банковском счете и банковском вкладе клиента;
сведения об операциях по счету клиента;
сведения о конкретных сделках;
сведения об операциях из отчетов кредитных организаций, полученные Банком России в результате исполнения им лицензионных, надзорных и контрольных функций;
аналогичные сведения, полученные аудиторскими организациями в ходе проводимых ими проверок;
банковская тайна бюро кредитных историй, источников формирования кредитных историй, субъектов кредитных историй и пользователей кредитных историй
ГК РФ от 30 ноября 1994 г. № 51-ФЗ, ст. 857;
ФЗ от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности»
5 Тайна кредитной истории  Содержание кредитной истории субъекта кредитной истории — физического лица;
содержание кредитной истории субъекта кредитной истории — юридического лица;
код субъекта кредитной истории
ФЗ от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях»
6 Тайна страхования Сведения о страхователе;
сведения о застрахованном лице;
сведения о выгодоприобретателе;
сведения о состоянии здоровья страхователя, застрахованного лица и выгодоприобретателя;
сведения об имущественном положении страхователя, застрахованного лица и выгодоприобретателя
ГК РФ от 30 ноября 1994 г. № 51-ФЗ, ст. 946;
ФЗ от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности»
7 Тайна завещания Сведения, касающиеся содержания завещания, его совершения, изменения или отмены ГК РФ от 30 ноября 1994 г. № 51-ФЗ, ст. 1123
8 Налоговая тайна Налоговая тайна бюро кредитных историй, источников формирования кредитных историй, субъектов кредитных историй и пользователей кредитных историй;
любые сведения о налогоплательщике, полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом, за исключением сведений:
1) разглашенных налогоплательщиком самостоятельно или с его согласия;
2) об идентификационном номере налогоплательщика;
3) о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;
4) предоставляемых другим государствам в соответствии с международными договорами (соглашениями);
5) предоставляемых избирательным комиссиям в соответствии с законодательством о выборах
НК РФ, ст. 102;
Приказ МНС РФ от 3 марта 2003 г. № БГ-3-28/96 «Порядок доступа к конфиденциальной информации налоговых органов»;
Приказ МВД РФ от 26 декабря 2003 г. № 1033
9 Тайна усыновления ребенка Сведения об усыновлении (удочерении) ребенка Семейный кодекс (СК) РФ от 29 декабря 1995 г. № 223-ФЗ, ст. 139
10 Врачебная тайна Информация:
о факте обращения за медицинской помощью;
о состоянии здоровья гражданина;
о диагнозе заболевания гражданина;
иные сведения, полученные при обследовании и лечении гражданина
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
Основы законодательства РФ об охране здоровья граждан от 22 июля 1993 г. № 5487-1, ст. 35, 61;
Методические рекомендации Федерального фонда ОМС от 27 октября 1999 г.
11 Медицинская тайна Результаты обследования лица, вступающего в брак СК РФ от 29 декабря 1995 г. № 223-ФЗ, ст. 15
12 Тайна связи Информация об адресных данных пользователей услуг почтовой связи;
содержание переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи на территории Российской Федерации;
сведения о почтовых отправлениях, о почтовых переводах денежных средств, о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях и иных сообщениях, входящих в сферу деятельности операторов почтовой связи
Конституция РФ,
ст. 23, п.2;
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
ФЗ от 7 июля 2003 г. № 126-ФЗ «О связи»,
ст. 63;
ФЗ от 17 июля 1999 г. № 176-ФЗ «О почтовой связи»;
ФКЗ от 30 января 2002 г. № 1-ФКЗ «О военном положении»;
ГПК РФ от 14 ноября 2002 г. № 138-ФЗ
13 Аудиторская тайна Сведения об операциях аудируемых лиц и лиц, которым оказывались сопутствующие аудиту услуги;
сведения и документы, получаемые и (или) составляемые аудиторами при осуществлении аудиторской деятельности
ФЗ от 7 августа 2001 г. № 119-ФЗ «Об аудиторской деятельности»,
ст. 8
14 Тайна следствия и судопроизводства Сведения, составляющие тайну следствия и судопроизводства («тайна совещательной комнаты» и др.), а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ;
сведения о личности потерпевшего, его представителя, свидетеля, их близких родственников, родственников и близких лиц
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
ФЗ от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»;
ГПК РФ от 14 ноября 2002 г. № 138-ФЗ;
АПК РФ от 24 июля 2002 г. № 95-ФЗ, ст. 167;
УПК РФ от 18 декабря 2001 г. № 174-ФЗ, ст. 298
15 Адвокатская тайна Сведения, предметы и документы, полученные в ходе оперативно-розыскных мероприятий или следственных действий, входящие в производство адвоката по делам его доверителей;
обстоятельства, ставшие известными адвокату в связи с обращением к нему за юридической помощью или в связи с её оказанием
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
ФЗ от 31 мая 2002 г. № 63-Ф3 «Об адвокатской деятельности и адвокатуре в Российской Федерации», ст. 8;
УПК РФ от 18 декабря 2001 г. № 174-ФЗ, ст. 56, п. 3
16 Нотариальная тайна Тайна совершения нотариальных действий Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
Основы законодательства Российской Федерации о нотариате от 11.02.1993 № 4462-1, ст. 16, 28
17 Профессиональная тайна Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности ФЗ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
18 Личная (семейная) тайна и персональные данные Личная информация гражданина, касающаяся его частной жизни и частной жизни членов его семьи;
любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Конституция РФ,
ст. 23, п.1;
ФЗ от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния»;
ФЗ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
УПК РФ от 18 декабря 2001 г. № 174-ФЗ, ст. 182;
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
19 Тайна исповеди Сведения и обстоятельства, которые стали известны священнослужителю из исповеди ФЗ от 26.09.1997 № 125-ФЗ «О свободе совести и о религиозных объединениях», ст. 3;
УПК РФ от 18 декабря 2001 г. № 174-ФЗ, ст. 56, п. 3

Источник: Leta, 2007

* Главным отличием информации, составляющей служебную тайну, от информации, составляющей коммерческую тайну, является недопустимость её несанкционированного распространения, устанавливаемая нормами федерального законодательства. При этом служебная информация может как иметь коммерческую ценность и составлять коммерческую тайну, так и не иметь коммерческой ценности.

Отдельные федеральные законы содержат нечетко определенные нормы, допускающие их неоднозначное толкование. Так, ФЗ «О кредитных историях» (ст.7, п.2) требует обеспечивать «защиту информации при её обработке, хранении и передаче сертифицированными средствами защиты в соответствии с законодательством Российской Федерации», тогда как ни законодательство, ни нормативно-методические документы ФСТЭК (Гостехкомиссии) России не предусматривают обязательного применения сертифицированных средств защиты при хранении и обработке конфиденциальной информации. Обязательным является применение сертифицированных средств криптографической защиты информации при её передаче по открытым каналам связи.

Нужно ли стандартам быть обязательными к исполнению?

Известно, что некоторые государственные стандарты не носят обязательного характера. В соответствии с федеральным законом «О техническом регулировании» обязательны к применению Технические регламенты. Программа разработки технических регламентов, утвержденная распоряжением Правительства РФ от 29 мая 2006 г. № 781р, до сих пор не реализована, работы над регламентами в области безопасности информационных технологий (СТР-45, СТР-46) не принесли ожидаемого результата. Технические регламенты в области защиты информации в Российской Федерации до сих пор отсутствуют.

Основным нормативно-методическим документом в области защиты конфиденциальной информации являются «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». Опубликованный в интернете проект СТР-К изобилует нечеткими формулировками, не содержит требований и рекомендаций по некоторым важнейшим областям информационной безопасности, а также норм и процедур, позволяющих коррелировать их с международными стандартами в области ИБ. В нем даже не упоминаются такие понятия, как система управления информационной безопасностью (СУИБ), управление рисками и другие, широко применяемы в международной практике. В ряде мест документа понятия «требования» и «рекомендации» употреблены таким образом, что невозможно однозначно определить, является ли определенная норма документа обязательной или рекомендательной.

Окончательный вариант СТР-К был утвержден и введен в действие еще в 2002 году. Будучи заявленным как документ рекомендательного характера при проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., СТР-К носит гриф служебного, распространяется в строго ограниченном порядке и не может служить в качестве базового при самостоятельном построении систем информационной безопасности предприятиями частного сектора.

Не справившись с задачей доведения до совершенства федеральной нормативной базы документов в области защиты конфиденциальной информации, не содержащей государственную тайну, государственные регулирующие органы РФ увлеклись идеей формирования новой системы документов, регламентирующих порядок обращения с информацией ограниченного распространения, использующей международные стандарты в области управления информационной безопасностью. Почти одновременно с СТР-К был принят руководящий документ «Критерии оценки безопасности информационных технологий», известный как «Общие критерии», созданный на основе серии международных стандартов ISO/IEC 15408-1:2005.

В дополнение к «Общим критериям» в 2003 году были приняты в качестве руководящих документов Гостехкомиссии России «Положение по разработке профилей защиты и заданий по безопасности», «Руководство по формированию семейств профилей защиты», «Руководство по разработке профилей защиты и заданий по безопасности» и «Руководство по регистрации профилей защиты».

С введением данных документов появилась возможность проводить аттестационные испытания объектов информатизации по требованиям безопасности информации в иной, чем прежде, системе норм и требований, раздавались заявления о скором переводе всей государственной системы сертификации и аттестации на новую нормативную базу, соответствующую «Общим критериям». С 1 января 2004 года «Общие критерии» введены в действие как государственные стандарты серии Р ИСО/МЭК.

В последующем в качестве ГОСТ Р ИСО/МЭК были приняты еще ряд стандартов, в том числе ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Закончено публичное обсуждение и ожидается принятие ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы безопасности. Система управления безопасностью информации. Требования».

Кому нужно двоевластие в ИБ?

Таким образом, в стране сформировались и параллельно действуют две системы нормативно-методических документов в области информационной безопасности. Старая, основанная на Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам (1993 г.) и Положении по аттестации объектов информатизации по требованиям безопасности информации (1994 г.), включающая в себя всю совокупность отечественных положений, норм и методик в области технической защиты информации.  И новая, содержащая в себе документы, изданные в разное время на основе документов разных международных систем стандартизации (Национального института стандартов и технологий США — NIST, Британского института стандартов — BSI, Международной организации по стандартизации — ISO, Международного электротехнического комитета — IEC и др.).

Прямое применение признанных на международном уровне стандартов типа ISO 17799 и 27001 является добровольным и не признаётся государственной системой защиты информации РФ. Переводы международных стандартов на русский язык не проходят процедур авторизации и имеют подчас существенные отличия от оригиналов. Их введение в качестве ГОСТ Р ИСО/МЭК проходит без участия международных организаций по стандартизации и в свою очередь не признаётся международным сообществом.

Меры управления информационной безопасностью, описываемые международными стандартами, предусматривают обязательность выполнения всех требований национального законодательства. И, напротив, в законодательстве РФ нормы, каким бы то ни было образом отражающие отношение государства к международной системе стандартизации в области информационной безопасности, отсутствуют.

Уровень взаимодействия РФ с ведущими мировыми институтами в этой области не отвечает велениям времени. Отечественные нормативно-правовые акты и руководящие документы в области информационной безопасности недостаточно скоординированы, сориентированы в основном на внедрение технических мер защиты, не дают представления о месте и роли управления в системе информационной безопасности компаний, не отработана методология и технология их применения. В результате лишь немногие наши предприятия уделяют серьёзное внимание проблеме ИБ, и только единицы из них имеют международные сертификаты соответствия требованиям по информационной безопасности.

Недостатки старой системы нормативно-методических документов в области информационной безопасности и необходимость её переработки представляются вполне очевидными. Скрупулезный анализ структуры и содержания некоторых международных документов и их сравнение с действующей старой системой, основанные на опыте применения обеих систем, даёт результат не в пользу последней.

Жесткие рамки федерального законодательства и ведомственных инструкций, ограниченность бюджетного финансирования и бюрократическая система контроля, парализующие инициативу госслужащих, быстро устаревающие нормы и методики инструментального контроля давят на системы информационной безопасности, снижая их эффективность. Напротив, молодые, интенсивно развивающиеся компании частного сектора, исповедующие приверженность международной системе, используя все преимущества свободы распоряжаться собственными активами, создают порой уникальные по своей эффективности модели систем информационной безопасности, обеспечивающие требуемый уровень безопасности и устойчивости бизнеса.

Парадоксы из мира обеспечения ИБ в России

Парадоксально, но факт: реально достижимый уровень защиты конфиденциальной информации в системе международных стандартов может оказаться намного выше, чем в системе федерального законодательства.

Движущие силы процессов, обеспечивающих эффективность защиты

Движущие силы процессов, обеспечивающих эффективность защиты

Источник: Leta, 2007

Следует отметить, что информационная безопасность предприятий частного сектора как фактор обеспечения устойчивости и непрерывности бизнеса выгодна не только самим частным компаниям, но и государству в целом.

Государственные организации и предприятия, в частности предприятия оборонного комплекса, ведут подчас интенсивную коммерческую деятельность. В сфере компетенции органов по защите информации этих предприятий лежит защита не только информации, составляющей государственный информационный ресурс, но и коммерческой тайны предприятия, причем предпочтение отдаётся последней. Устаревшая система нормативно-методических документов в области информационной безопасности в ряде случаев неприменима для предприятий государственного сектора, ведущих самостоятельную хозяйственную деятельность, что вынуждает их отдавать предпочтение нормам и методикам иностранного происхождения.

Несмотря на то, что направленность результирующего вектора развития системы нормативно-методических документов в сторону признанных на международном уровне стандартов и методологий не может не признаваться как положительный факт, введение отдельных международных стандартов в качестве ГОСТ Р ИСО/МЭК не только не решает проблемы отставания России в формировании современной государственной системы ИБ, но даже усугубляет её. Это происходит потому, что не будучи авторизованными в переводе и имея множество неточностей и расхождений, данные стандарты не признаются международным сообществом и вряд ли смогут послужить основой для построения систем информационной безопасности в организациях частного сектора.

Информационная безопасность бизнеса является фактором укрепления ИБ государства и должно находиться в сфере его пристального внимания.

Обеспечение информационной безопасности бизнеса — государственная задача, часть системы обеспечения экономической безопасности государства и должна регулироваться тщательно проработанной системой государственных нормативно-методических документов. И область их применения должна распространяться, как на защиту государственных информационных ресурсов (служебная тайна, персональные данные и т.д.), так и на защиту коммерческой тайны. И в приложении к последней, содержать в себе все современные нормы и методы контроля (управления), имеющих максимальный уровень корреляции с международными стандартами в области ИБ, в том числе в разделе защиты от утечек. От того, в каком направлении пойдет дальнейшее формирование системы нормативно-методических документов в области информационной безопасности, во многом зависит место и роль России в международном информационном пространстве.

Николай Конопкин

Toolbar | КПК-версия | Подписка на новости  | RSS