• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Олимпийские надежды информационной безопасности

Информационная безопасность – понятие широкое. Его определение во многом зависит от ситуации и рода занятий того, кто его трактует. Для одних это средства защиты данных, а вот, например, государство, видит в нем собственную безопасность со всеми вытекающими для граждан последствиями.

Информационная безопасность – состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в организации, на предприятии. Информационная безопасность РФ – состояние защищенности национальных интересов в информационной сфере, определяющихся сбалансированной совокупностью интересов личности, общества и государства. Источник: Википедия

Многообразие проблем, связанных с разными сторонами ИБ, отразилось и в программе Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, август 2008 г.). Правда, крен наблюдался в сторону «государственного» подхода к ИБ. Во-первых, к традиционному организатору конференции в лице Академии информационных систем в этом году присоединился Аппарат Совета безопасности РФ; во-вторых, на большинстве секций и заседаний тон задавали государственные чиновники, представители регулирующих и «компетентных» органов. Кстати, в новом Министерстве связи и массовых коммуникаций, в отличие от бывшего Мининформсвязи, должен появиться отдел ИБ, который войдет в состав департамента научно-технического и стратегического развития отрасли.

От Россвязьохранкультуры к Россвязькомнадзору

Федеральный закон «О персональных данных» № 152-ФЗ, как известно, был принят в июле 2006 г., вступил в силу в январе 2007 г., но реально должен был заработать лишь после утверждения «Порядка проведения классификации информационных систем персональных данных» (совместный приказ № 55/86/20 от 13.02.2008 ФСТЭК, ФСБ и тогдашнего Мининформсвязи). Для разъяснения «Порядка...» ФСТЭК и ФСБ разработали 6 документов, определяющих требования к обеспечению безопасности персональных данных и меры, которые должен предпринимать для этого оператор персональных данных. Несколько месяцев попыток применения всех этих документов, подзаконных актов регуляторов и самого закона «О персональных данных» показали, что их надо дорабатывать.

В соответствии с этим законом любая организация или физическое лицо, осуществляющее и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту. Однако, по оценке ФСБ и ФСТЭК, таких «операторов» в России сейчас около 7 млн. И это на 140 млн населения, включая пенсионеров и грудных младенцев!

Информационные системы (ИС) персональных данных по характеристикам безопасности подразделяются на типовые, где требуется обеспечение только конфиденциальности персональных данных, и на специальные, в которых дополнительно к конфиденциальности нужно обеспечить хотя бы еще одну из характеристик безопасности. Но если строго следовать определению, то все информационные системы получатся «специальными», ведь в них содержатся не только ФИО граждан, но и другие их личные данные. Если таких информационных систем 7 млн (по числу потенциальных «операторов»), то для обеспечения их защиты никаких денег не хватит.

Согласно тому же закону, деятельность операторов персональных данных с 1 января 2008 г. считается легализованной лишь при их регистрации в реестре, который ведется Уполномоченным органом по защите прав субъектов персональных данных (до последней реорганизации правительства РФ это была Россвязьохранкультура, а сейчас – Россвязькомнадзор). Оператор обязан уведомить Россвязькомнадзор о своем намерении осуществлять обработку персональных данных до начала их обработки. Конечно, к этой дате реестр был практически пуст, но обработку персональных данных никто из-за этого не прекратил и вроде бы никого за это не наказали. Подавать заявки на включение в реестр операторы персональных данных все же начали (главным образом благодаря «просветительской» работе Россвязькомнадзора). На момент написания этой статьи в реестре было зарегистрировано 17 287 операторов, причем, по словам Л. Васильевой, начальника управления по защите прав субъектов персональных данных Россвязькомнадзора, еще 2 месяца назад их было вдвое меньше. К функциям Россвязькомнадзора относится также прием от граждан жалоб на действия операторов персональных данных и представление их интересов в суде. Судя по уже поступившим обращениям, больше всего претензий субъекты персональных данных предъявляют к банковским учреждениям, операторам мобильной связи и организациям, связанным с оплатой услуг ЖКХ.

Россвязькомнадзор считает, что ситуация с нарушением прав граждан как субъектов персональных данных должна улучшиться после того, как Госдума примет ФЗ «О внесении изменений в некоторые законодательные акты Российской Федерации», который предусматривает внесение поправок в 23 законодательных акта. Поправки касаются установления правил обработки персональных данных в различных сферах деятельности и ответственности за нарушение этих правил.

Самообслуживание операторов

В нынешнем виде ФЗ «О персональных данных» требует от операторов этих данных принятия всех решений, касающихся классификации, создания и защиты информационных систем персональных данных. Как рассказал начальник ГНИИ проблем технической защиты информации ФСТЭК России В. Герасименко, пользуясь вышеупомянутыми требованиями и методическими документами ФСТЭК и ФСБ, оператор должен самостоятельно или с привлечением сторонних организаций провести обследование своих ИС, классифицировать их в зависимости от объема ИС и угроз безопасности, уведомить о своей классификации Россвязькомнадзор и подать заявку на внесение в реестр операторов. Затем на основе своей классификации он должен определить требования к своей ИС и потом их выполнять. И все сам. Однако, как предупредил Ю. Аксененко, председатель ООО «Центр безопасности информации», такая самостоятельность может выйти боком. Оператор сам, по доброй воле, определил модель угроз и построил систему безопасности, израсходовав на эти цели немалые средства. Потом приходят контролеры из регулирующих органов и выясняется, что оператор еще в самом начале неправильно задал модель угроз и соответственно неправильно построил систему защиты, а потраченные на это деньги вылетели в трубу. Поэтому оператор стремится к общению с регулятором на более ранних этапах работ. В принципе регулятор не против такой постановки вопроса. Как рассказал В. Герасименко, ФСТЭК готов включиться в работу по «ликвидации неграмотности» руководителей организаций, которые обрабатывают персональные данные, и уже подготовил типовую программу обучения.

Дело о 0,5%

Организации, обрабатывающие персональные данные, конечно, не в восторге от того, что им приходится (или придется) тратиться на средства защиты информации. Однако цена информационной безопасности у нас не так уж велика: 0,5% от затрат на информационные технологии. Однако и эти деньги далеко не всегда расходуются эффективно. Выступавшие на конференции отметили целый ряд факторов, сдерживающих развитие систем защиты информации (в первую очередь региональных). В их числе бессистемность построения информационных систем, отсутствие единых стандартов для ИС и их несовместимость друг с другом, а также существенно разные уровни развития информационных инфраструктур субъектов РФ, их обеспеченности современными сертифицированными средствами защиты информации и квалифицированными специалистами. Правда, в регионах, где идет активная информатизация, так же активно растет киберпреступность. Как подчеркнул Б. Мирошников (МВД России), если развитие информационных сетей не сопровождается развитием средств защиты, то оно только способствует распространению киберпреступлений.

Китайская защита от олимпийской информации

Впервые в программу конференции был включен вопрос об обеспечении ИБ в процессе подготовки и проведения зимних Олимпийских игр 2014 г. в Сочи. Правда, обсуждался он с позиций «государственного» определения информационной безопасности страны, т.е. с точки зрения защиты «национальных интересов» в информационной сфере. Эти интересы наши силовые структуры видят в том, чтобы максимально ограничить распространение «негативной» информации. Примером в этом вопросе для них, похоже, является Китай (именно к опыту Поднебесной аппелировало большинство выступающих). Там в ходе подготовки к Олимпийским играм еще в начале 2007 г. была введена жесткая цензура в сети Интернет, заблокирован доступ к национальным и зарубежным сайтам «антикитайской» направленности, закрыты многие интернет-кафе, введены санкции в отношении СМИ и журналистов за «нарушения» при публикации материалов.

Что же касается «технических» аспектов информационной безопасности, то до известного времени в оргкомитете Олимпийских игр-2014 ответственным за ИБ и создание ИТ-инфраструктуры был тогдашний замминистра Мининформсвязи Б. Антонюк. Во вновь образованном Минкомсвязи распределение функций между заместителями министра еще не закончено. Концепции обеспечения ИБ, базирующейся на концепции формирования информационной инфраструктуры Олимпийских игр, пока нет (во всяком случае специалистам о ней ничего не известно). До Олимпиады еще 5 с лишним лет. Ждем-с.