|
|
Обозрение подготовлено
Государственные организации существенно отличаются от коммерческих компаний в плане обеспечения ИТ-безопасности. Это сказывается не только в том, что на попечении госструктур находится информация, составляющая государственную тайну, но еще и в том, что именно госсектору приходится иметь дело с гигантскими объемами персональных данных граждан, которые также должны быть защищены.
Специфика обеспечения ИТ-безопасности любой организации в первую очередь состоит в характере той информации, которую необходимо защитить. Например, в секторе телекоммуникаций компаниям необходимо сохранить конфиденциальность персональных данных клиентов, а также не допустить утечки информации, представляющей коммерческую тайну (финансовые отчеты, маркетинговые планы и т.д.). Если посмотреть на банковский сектор, то здесь компании точно так же озабочены защитой персональных данных клиентов, но к этому еще добавляется необходимость защитить финансовую информацию в соответствии с законом «О банковской тайне». В министерствах и ведомствах на первый план выходит защита государственной тайны и персональных данных граждан. Причем с секретной информацией государства все более или менее понятно, так как соответствующее законодательство существует уже давно. Вдобавок, еще во время бумажного документооборота были разработаны механизмы защиты государственной тайны, которые сегодня довольно жестко переносятся и используются в электронной сфере. Некоторым «новшеством» можно считать необходимость защищать персональные данные граждан. Соответствующий закон был принят в конце июля 2006 года, а вступил в силу лишь с февраля 2007 года. Рассмотрим его подробнее.
27 июля 2006 года В.В. Путин подписал закон «О персональных данных». Новые правила ставят вне закона торговлю приватными базами, обеспечивают контроль над оборотом личных сведений граждан и требуют от организаций обеспечить защиту персональных данных служащих, клиентов и т.д. Согласно ФЗ «О персональных данных», это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». В качестве примера таких данных закон приводит ФИО, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию. Чтобы не путаться в терминологии, отметим, что далее в статье в качестве синонима к персональным данным будут использоваться такие словосочетания, как приватные сведения, личная информация и т.д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых новым федеральным законом. Кроме того, следует обратить внимание, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, специализирующейся на защите от утечек и инсайдеров, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.
Прежде чем перейти к анализу основных положений ФЗ, следует рассмотреть еще два наиболее важных определения. Во-первых, оператор персональных данных — это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Отметим, что понятие оператора приватных сведений включает любую реально существующую российскую организацию, так как в каждой структуре есть служащие и/или клиенты, чья личная информация находится на попечении организации. Во-вторых, обработка персональных данных — это практически любые действия (операции) с приватными записями. В качестве примера закон указывает сбор, систематизацию, хранение, использование, распространение, обезличивание, уничтожение персональных данных и др. Таким образом, ФЗ «О персональных данных» касается каждой организации и регулирует все аспекты обращения личной информации.
Рассмотрим основные положения закона, требующие от госорганов принять соответствующие меры, чтобы защитить персональные данные. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Таким образом, госорганом придется обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, который позволяет заблокировать действия, нарушающие политику ИТ-безопасности.
Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных… только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения».
При нарушении требований закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.
Кроме того, остановимся на новых положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.
Прежде всего, новый ФЗ приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.
Собирая воедино все указанные выше требования ФЗ «О персональных данных» и изменения в ТК РФ, можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. По мнению экспертов компании InfoWatch, российским компаниям теперь придется иметь дело с новым классом данных. «Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый федеральный закон практически требует создать еще один класс информации — персональные данные (клиентов, служащих и т.д.). Однако организация — это взаимосвязанный организм. Поэтому изменение принципов классификации влечет за собой модификацию политики ИТ-безопасности. Другими словами, компании обязаны создать политику использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Наконец, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости», — считает Денис Зенкин, директор по маркетингу компании InfoWatch.
Помимо чисто организационных мер, связанных с классификацией данных и составлением политики использования персональных данных, каждой организации придется удовлетворить требованиям закона к защите приватной информации. Это не должно вызвать проблем у министерств и ведомств, так как на рынке уже присутствуют эффективные решения для предотвращения утечек и искажения персональных данных, мониторинга за неправомерными действиями инсайдеров при доступе к приватным сведениям и т.д. Более того, опыт внедрения таких технических решений есть у целого ряда известных системных интеграторов, так что проблем с внедрением и сопровождением не возникнет даже у крупнейших операторов персональных данных. Тем не менее, госструктурам следует обратить внимание на ряд критических дат, указанных в законе.
Критические даты закона «О персональных данных»
Дата | Расшифровка |
30 января 2007 года | ФЗ «О персональных данных» вступает в силу |
1 января 2008 года | Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего ФЗ и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22 (например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует). |
1 января 2010 года | Информационные системы персональных данных, созданные до дня вступления в силу настоящего ФЗ, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Другими словами, информационная система, включающая в себя базу персональных данных, а также информационные и технические средства для их обработки, должна соответствовать требованиям к защите конфиденциальности приватной информации (ст.19 ч.1). |
В заключение заметим, что контроль над выполнением требований ФЗ возложен на федеральный орган исполнительной власти (ст.19 ч.3). Это ФСТЭК России. Этот орган может установить свои собственные требования к безопасности персональных данных, которые могут быть оформлены в виде стандарта.
Обратимся теперь к результатам исследования «Внутренние ИТ-угрозы в госсекторе 2006», в ходе которого компания InfoWatch опросила почти 200 российских министерств и ведомств. Отвечая на самый первый вопрос, организации имели возможность обрисовать ландшафт самых опасных угроз. В результате, на первом месте оказалась кража информации (65%). Далее, на втором месте оказалась халатность сотрудников (51%). Третье место заняли вирусные атаки (46%), а на четвертой позиции оказались сбои в работе информационной системы (42%).
Наиболее опасные угрозы ИБ
Источник: InfoWatch, 2007
Между тем, если пересчитать результаты предыдущего вопроса, разделив все ответы на внутренние и внешние угрозы, то легко видеть, что инсайдеры превалируют над вирусами, хакерами и спамом. Для построения следующей диаграммы в категорию внутренних угроз были отнесены, халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних угроз вирусы, хакеры и спам. После этого суммарный рейтинг опасности каждой категории был нормирован, чтобы ограничить общую сумму ста процентами. Отметим, что угрозы кражи информации, различных сбоев и кражи оборудования специально не были отнесены ни к одной из групп. Дело в том, что они могут быть реализованы, как изнутри, так и снаружи или вообще без вмешательства человека (например, аппаратные сбои).
Судя по полученным результатам, респонденты значительно больше обеспокоены внутренней ИБ, чем защитой от внешних угроз. Кроме того, следует учитывать, что неклассифицированные риски, например, кражу информации или оборудования, чаще всего относят к внутренним угрозам. В данном случае это не было сделано, чтобы не придавать угрозам со стороны инсайдеров дополнительного веса. Однако как показали расчеты, даже в этом случае внешние риски существенно уступают внутренним угрозам.
Выяснив, что самые опасные угрозы ИБ исходят изнутри организации, вполне логично изучить структуру инсайдерских рисков. В рамках следующего вопроса респондентам снова предложили выбрать 3 наиболее опасные угрозы ИБ, но на этот раз рассматривались только внутренние риски. Как показали результаты опроса, в списке самых опасных внутренних угроз с огромным отрывом лидирует нарушение конфиденциальности информации (77%). Ближайший конкурент — утрата информации (62%) — отстал на целых 15 процентных пунктов. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы.
Самые опасные угрозы внутренней ИБ
Источник: InfoWatch, 2007
Отметим, что в общеотраслевом исследовании второе и третье место заняли искажение информации и саботаж. Они набрали 38,4% и 26,2% соответственно (см. «Внутренние ИТ-угрозы в России»). Однако госсектор судя по всему помимо всего прочего обеспокоен проблемой аппаратных и программных сбоев. В результате даже в списке самых опасных внутренних угроз ИБ утрата информации и сбои оказались на втором и третьем местах. Причем очевидна взаимосвязь между этими рисками, так как сбои в работе ИТ-инфраструктуры вызывают чаще всего именно утрату информации. Таким образом, именно риски утечки персональных данных и другой ценной информации госструктурам следует минимизировать в первую очередь.
Алексей Доля
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP