Претерпевшее в 2013 году заметные изменения российское законодательство по-прежнему несовершенно, но связанные с ним риски достаточно велики, и оставлять без внимания меры по выполнению требований регуляторов в области ИБ явно не стоит.
Инициаторы внесения изменений в законы и подзаконные акты не обошли в уходящем году своим вниманием и сферу информационной безопасности. Некоторые изменения, имеющие прямое или косвенное отношение к ИБ, произошли в финансовой отрасли, в секторе критически важных объектов информационных систем, в лицензировании деятельности по защите информации и криптографии, в области оценки соответствия средств защиты информации, в сфере функционирования удостоверяющих центров и использования электронной подписи, а также в области защиты персональных данных. Учесть их необходимо, чтобы, по крайней мере, минимизировать юридические риски организаций.
В законотворческом порыве
Стоит отметить, что органы государственной власти стараются реагировать на критику и дорабатывают несовершенные законы, внося в них весьма регулярно поправки и дополнения. При этом причастные к законотворческому процессу структуры все чаще привлекают к своей деятельности экспертов. Однако нередко получается так, что обсужденные и принятые поправки искажаются до неузнаваемости в процессе утверждения и на выходе получается еще одна далекая от совершенства версия, требующая новой редакции.
Алексей Волков, начальник отдела эксплуатации средств защиты информации управления по защите информации компании «Северсталь», отмечает, что ряд обновлений этого года «носят стратегический характер — например, «Концепция информационной безопасности детей» от Роскомнадзора, обсуждаемая в настоящее время». Однако многие поправки и новые редакции «к сожалению (или к счастью) до сих пор находятся в стадии проектов», некоторые продолжают пребывать в ней с 2012 года. Есть и «двойники», описывающие разные подходы к одинаковой проблематике, — например, имеются два разных законопроекта об увеличении штрафов за нарушения правил в области обработки персональных данных. Поэтому количественное изобилие поправок в сфере ИБ повлечет за собой не так уж много качественных изменений.
По мнению Романа Кобцева, директора департамента развития и маркетинга «ЭЛВИС-Плюс», вопросы регулирования можно сгруппировать в несколько основных направлений: информационная безопасность и кибербезопасность государства, защита информации в государственных информационных системах, безопасность персональных данных, безопасность национальной платежной системы.
Гибко, но смутно
Самое «шумное» законотворческое направление года связано с персональными данными. Закон 152-ФЗ пережил уже несколько редакций, и каждая из них неизменно сопровождалась критикой. Притом что под действие закона подпадают все организации, так или иначе аккумулирующие персональные данные (по данным Роскомнадзора, в России более 5 млн операторов таких данных), многие его положения кажутся спорными или вовсе непонятными компаниям из разных секторов экономики. Свежие поправки призваны систематизировать неразбериху и помочь операторам в обработке ПДн.
Волков отмечает три документа, которые окажут существенное влияние на положение дел в данной сфере в ближайшие месяцы: приказ ФСТЭК РФ № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»; приказ Роскомнадзора № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и совсем недавно вышедший Федеральный закон от 02.12.2013 № 341-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Как пояснил Волков, требования первого документа нужно выполнять тем «коммерсантам», кто обрабатывает персональные данные, второго — тем, кто обрабатывает, но не хочет тратить много денег на создание системы защиты, а третий документ (закон) устанавливает ответственность за нарушение правил защиты информации, определенных федеральными законами и подзаконными актами (в том числе и первыми двумя документами).
Елена Козлова, руководитель направления центра информационной безопасности компании «Инфосистемы Джет», считает, что регуляторы хотя и ужесточили режим защиты, но при этом уделили должное внимание пересмотру подхода к защите персональных данных в целом: «В результате он стал более гибким, так как учитывает особенности инфраструктуры той или иной компании, применяемых для обработки персональных данных технологий, а также последние тенденции развития угроз информационной безопасности и позволяет заменять ряд технических мер компенсирующими».
Кобцев особо выделяет появление Приказа № 21 ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», отменяющий аналогичный предыдущий Приказ ФСТЭК № 58. Кобцев согласен с тем, что документ стал более гибким — скорее всего, потому, что к его созданию регулятор активно привлекал экспертное сообщество. К примеру, оценка эффективности мер по обеспечению безопасности персональных данных и по форме итоговых документов теперь проводится оператором самостоятельно.
Если говорить о компаниях, далеких от ИТ, то им намного легче не стало. Неспециалисту по-прежнему нелегко разобраться в уровнях защищенности и в том, какой именно пакет документов ждет регулятор — Роскомнадзор. При этом угрозы выборочных проверок и внушительные суммы штрафов за несоблюдение закона (недавно они были еще увеличены) стимулируют к активной деятельности лучше любых уговоров.
Некоторое время назад специалисты банковской отрасли активно заговорили о необходимости обезличивания персональных данных, поскольку существующие требования властей мешают им нормально работать. Банкам нужно регулярно обмениваться друг с другом информацией о клиентах, в том числе для предотвращения мошенничества. Необходимость в обезличивании персональных данных есть и у провайдеров облачных сервисов. Средствами шифрования осуществить такую задачу сложно, поскольку требуются серьезные технические ресурсы, и к тому же может быть спровоцировано искажение данных. Как вариант, эксперты предлагают вывести из законодательства «простейшие» персональные данные, включая ФИО и дату рождения. В ответ на пожелания отрасли Роскомнадзор выпустил приказ «Об утверждении требований и методов по обезличиванию персональных данных», а также рекомендации и по обработке биометрических данных, которые, правда, не являются официальными. ФСБ ответила лишь проектом приказа.
Побороть мошенников
Самые заметные и содержательные перемены произошли в банковской сфере. Кобцев считает знаковым событием появление у нас в стране «мегарегулятора» в финансовой сфере в лице Банка России, что отразилось и на сфере ИБ: «В этом году ЦБ выпустил целый пул регулирующих документов, из них особо можно отметить новую редакцию постановлений Банка России 382-П и 2831-У».
Александр Виноградов, начальник управления ИБ «Златкомбанка», подчеркивает, что в банковской системе «произошло кардинальное изменение в области нормативной документации ЦБ — появилось Положение
№ 382-П, которое, в отличие от стандарта Банка России, стало обязательным к исполнению. Также появились две формы отчетности: по инцидентам (раз в месяц) и самооценка (раз в два года)». Значимым для специалистов стал официальный перевод на русский язык стандарта PCI DSS.
Нет сомнений, что вступление в силу с января 2014 года статьи 9 ФЗ «О национальной платежной системе» существенно повлияет на отношение банков к денежным переводам. Поправки накладывают на банки достаточно серьезное бремя по возвращению средств после мошеннических транзакций. В связи с этим специалисты поговаривают о возможном всплеске атак на банковские системы со стороны злоумышленников. Козлова не сомневается, что новые требования приведут к необходимости построить рациональный и надежный процесс использования электронных средств платежей с учетом возможных рисков как для банков, так и для их клиентов. «Банкам следует заняться построением эффективной системы противодействия мошенничеству», — подчеркивает она.
Эту тенденцию следует считать сегодня самой серьезной в банковской сфере — основные усилия банков в наступающем году будут направлены именно на борьбу с мошенниками и на предотвращение хищений денежных средств клиентов. Центробанк в течение 2013 года активно задействовал экспертов в работе над стандартом «Безопасность банковских приложений на всех этапах жизненного цикла». Соответствующий набор рекомендаций ЦБ недавно поступил на обсуждение в ТК 122 и стал доступен банковскому сообществу для изучения. Илья Медведовский, генеральный директор компании Digital Security, привлеченной к работе над стандартом, полагает, что данный документ ЦБ РФ, определяющий цикл безопасной разработки и эксплуатации банковского ПО, начнет действовать в следующем году и с течением времени окажет на практике серьезное положительное влияние на безопасность банковских приложений в РФ. Основной риск, минимизировать который призван данный стандарт, — это целенаправленные атаки злоумышленников на ключевые системы банков: не только на системы дистанционного банковского обслуживания, а прежде всего на автоматизированные банковские системы.
В новом году всем организациям, для которых имеет значение собственная информационная безопасность или безопасность своих контрагентов, придется значительно внимательнее отнестись к выполнению инструкций государства. Санкции за их невыполнение значительно ужесточились: повысились штрафы, в отдельных случаях появилась административная и даже уголовная ответственность за нарушение законодательства. Так что поневоле придется вооружиться не только терпением, но и необходимыми знаниями в этой сфере, а также — главное — разработать и осуществить меры, чтобы избежать неприятных сюрпризов, связанных с невыполнением требований регуляторов.