Нормативные акты в сфере борьбы с утечками и инсайдерами

Алексей Доля

ФЗ «О персональных  данных»

Соглашение Basel II

Стандарт Банка России по ИT-безопасности

Кодекс ФСФР

Заключение

 

2006 год можно смело назвать той отправной точкой, когда наше государство начало постепенно закручивать гайки нормативного регулирования. При этом все указывает на то, что Россия вступила на тот же путь, по которому Европа и США идут уже несколько десятилетий. У нас появились собственные аналоги всемирно известных западных нормативов — это федеральный закон «О персональных данных», стандарт Банка России по ИT-безопасности (СТО БР ИББС-1.0-2006), соглашение Basel II и Кодекс корпоративного управления ФСФР. Причем, как указывают эксперты InfoWatch, это лишь начало. Шестеренки запущены, а аппетит, как известно, приходит во время еды.

Сегодня в России уже действуют несколько нормативов, которые имеют непосредственное отношение не только к ИТ-безопасности, но и к защите от инсайдеров и утечек. В связи с этим прежде всего необходимо отметить федеральный закон «О персональных данных». В сферу его действия попадают абсолютно все государственные и частные организации, на попечении которых находятся приватные сведения граждан. Этот закон предъявляет целый ряд требований к безопасности персональных данных, а также предусматривает ответственность для тех лиц, которые украли информацию или пытаются ею злоупотреблять. Все эти требования вступили в силу в феврале 2007 года.

Следующим очень важным нормативным актом является стандарт Банка России по ИТ-безопасности. В область его действия попадают все предприятия кредитно-финансовой сферы. Стандарт выдвигает большое количество требований к системе ИТ-безопасности финансовых компаний, объединяя положения международных нормативов и передовой опыт (best practices). Помимо всего прочего, норматив предусматривает внедрение системы защиты от инсайдеров и механизмов контроля над чувствительной информацией. Однако он носит рекомендательный характер и является необязательным для исполнения. Правда, лидеры банковского сектора ожидают перехода стандарта в разряд обязательных уже через два года.

Не менее важным нормативным актом для кредитно-финансовых организаций является соглашение Basel II, которое выдвигает целый ряд требований к резервированию капитала для покрытия рисков, системе управления рисками и т.д. В частности, оно предписывает всем банкам взять под контроль операционные риски, в состав которых входит угроза утечки и злонамеренных действий инсайдеров. Более того, положения соглашения Basel II являются обязательными для исполнения, хотя и с 2009 года. 

Наконец, публичные компании, представленные на российских фондовых биржах, сталкиваются с Кодексом корпоративного управления ФСФР, который содержит требования к системе внутреннего контроля над действиями инсайдеров. Этот норматив пока является рекомендательным. Правда, есть все основания полагать, что отдельные положения Кодекса ФСФР, включая внутренний контроль, скоро станут обязательными.

Таким образом, абсолютно все организации попадают под действие ФЗ «О персональных данных». Если компания представлена еще и на фондовой бирже, то должна обратить пристальное внимание на требования Кодекса ФСФР. В том случае, когда организация является банком, она, помимо всего прочего, попадает в сферу действия соглашения Basel II и стандарта ЦБ по ИТ-безопасности. Рассмотрим все эти нормативы подробнее.

ФЗ «О персональных  данных»

Согласно настоящему федеральному закону, персональные данные — это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». В качестве примера таких данных в законе приводятся ф.и.о., дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация. (Чтобы не путаться в терминологии, отметим, что далее в качестве синонима к персональным данным будут использоваться такие словосочетания, как приватные сведения, личная информация и т.д.) Во всех этих случаях речь будет идти именно о персональных данных, защищаемых новым федеральным законом. Кроме того, следует обратить внимание на то, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов компании InfoWatch, специализирующейся на защите от утечек и инсайдеров, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Прежде чем перейти к анализу основных положений этого федерального закона, следует рассмотреть еще два важных определения. Во-первых, оператор персональных данных — это «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Отметим, что понятие оператора приватных сведений включает любую реально существующую российскую организацию, так как в каждой структуре есть служащие и/или клиенты, чья личная информация находится на попечении организации.

Во-вторых, обработка персональных данных — это практически любые действия (операции) с приватными записями. В качестве примера в законе приводятся сбор, систематизация, хранение, использование, распространение, обезличивание, уничтожение персональных данных и т.п. Таким образом, ФЗ «О персональных данных» касается каждой организации и регулирует все аспекты обращения личной информации.

Рассмотрим теперь требования закона. Согласно части 2 статьи 5, «хранение [приватных сведений] должно осуществляться… не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже реализована, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Часть 4 статьи 21 устанавливает, что ставшие ненужными персональные данные должны быть уничтожены в течение трех рабочих дней. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные необязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможность аутсорсинга обработки персональной информации. В связи с этим в части 6.4 указано: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности… и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется статьей 7 закона.

Согласно этой статье «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их необязательно.

Особое внимание представители бизнеса должны уделить статье 19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно статье 19 части 1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, компаниям необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть позволяющий заблокировать действия, которые нарушают политику безопасности.

По мнению аналитического центра InfoWatch, некоторые трудности у организаций, осуществляющих обработку персональных данных своих клиентов, могут вызвать требования части 3 статьи 22, согласно которой компания должна направить в уполномоченный орган уведомление об этом факте. Напомним, что закон вступил в силу в феврале текущего года, но уведомление организация должна направить до 1 января 2008 года. В этом уведомлении, помимо всего прочего, следует указать меры, принимаемые для обеспечения безопасности приватных данных. Ряд исключений предусмотрен частью 2 статьи 22 (например, если компания имеет только приватные данные своих сотрудников, то уведомление направлять не следует).

В заключение остановимся на том, чем чревато нарушение закона. Итак, при нарушении требований ФЗ «О персональных данных» виновные лица (согласно статье 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, статья 17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещения убытков и/или компенсации морального вреда в случаях, когда оператор нарушает требования ФЗ.

Кроме того, остановимся на новых положениях Трудового кодекса РФ. В октябре прошедшего года вступил в силу федеральный закон от 30.06.2006 № 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в Трудовой кодекс самые многочисленные изменения за весь период его действия. Рассмотрим два изменения в Трудовом кодексе, касающиеся приватных сведений.

Прежде всего, новый ФЗ приравнял разглашение работником персональных данных другого работника, ставших известными ему в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. Такой проступок может повлечь увольнение виновного в разглашении приватных сведений работника. Соответствующий пункт есть в разделе «Прекращение трудового договора» Трудового кодекса.

Вдобавок установленный статьей 391 перечень индивидуальных трудовых споров, подлежащих рассмотрению в суде, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите их персональных данных. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала так, как того требует закон.

Соглашение Basel II

Соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.

Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. Исходя из ряда исследований российского кредитно-финансового сектора и опыта стран «большой десятки» именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Таким образом, под определение операционных рисков попадают прежде всего действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность). Разобраться в структуре операционных рисков позволяют результаты исследования «Соглашение Basel II в России 2006: операционные риски — основная проблема банков», при проведении которого компания InfoWatch и «Национальный Банковский Журнал» опросили более 30 российских банков и установили наиболее опасные компоненты операционного риска. Заметим, что варианты ответов были составлены точно в соответствии со структурой операционного риска в пункте 644 соглашения Basel II (рис. 1).

 

Наиболее опасные операционные риски

Рис. 1. Наиболее опасные операционные риски (источник:
«Соглашение Basel II в России 2006: операционные риски —
основная проблема банков», InfoWatch и «Национальный Банковский Журнал», 2006)

Данное исследование показало, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием за ними следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, поскольку кредитно-финансовые организации традиционно являются уязвимыми именно по отношению к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35%) и персоналом (который представляет основную угрозу — так считает 91% респондентов).

Можно сделать вывод, что именно угрозы ИT-безопасности, в особенности действия инсайдеров, представляют собой наиболее важную составляющую операционных рисков. При этом начиная с 2009 года каждая российская кредитно-финансовая организация должна внедрить систему управления данным видом рисков и резервировать под них капитал.

Стандарт Банка России по ИT-безопасности

Данный нормативный акт (СТО БР ИББС-1.0-2006) объединяет в себе основные положения стандартов по управлению ИT-безопасностью (ISO 17799 и 13335) и регламентирует описание жизненного цикла программных средств и критерии оценки ИT-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Свое место в стандарте нашли технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения британской методологии оценки информационных рисков CRAMM.

Стандарт насчитывает двенадцать глав, центральное место среди которых занимает пятая глава, описывающая исходную концептуальную схему (парадигму). В основу положена модель противоборства собственника и злоумышленника. Более того, стандарт сразу же расставляет акценты (пункт 5.4): «Наибольшими возможностями для нанесения ущерба [организации]… обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Таким образом, во главу угла авторы стандарта ставят именно защиту от инсайдеров.

Кроме того, в пункте 5.10 указано, что «…все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться». Заметим, что стандарт Центробанка не дает четких рекомендаций по механизмам внутреннего контроля, однако, как и многие американские и британские законы, требует, чтобы организации вели архив корпоративной корреспонденции. Так, пункт 8.2.6.4 гласит: «Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Таким образом, распространенная в мире практика обязательного использования централизованного и аутентичного архива электронных сообщений впервые нашла свое отражение в российском нормативном акте.

В настоящее время стандарт Банка России по ИT-безопасности носит рекомендательный характер. Другими словами, его положения применяются на добровольной основе, никто не обязывает российские банки обеспечивать совместимость с данным нормативным актом. Однако, учитывая существующие тенденции рынка (в том числе международного) по усилению контроля со стороны как государственных, так и отраслевых регуляторов и бизнес-сообществ, можно предположить, что ныне рекомендательный стандарт вскоре будет рассматриваться рынком как обязательный для исполнения.

Такого же мнения придерживается и российский банковский сектор. Согласно результатам исследования «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки», в ходе которого компания InfoWatch и проект Банкир.Ру опросили более 50 отечественных кредитных организаций, подавляющее большинство (72%) кредитно-финансовых организаций полагают, что стандарт перейдет из «рекомендательного» разряда в «обязательный» уже в ближайшие четыре года. Причем почти одна треть (31%) респондентов уверена, что это произойдет в течение 2006-2007 годов, а практически каждый второй (41%) считает, что этот процесс может растянуться на 2006-2009 годы (рис. 2).

 

Прогнозы лидеров банковского сектора относительно перехода стандарта Центробанка по информационной безопасности в разряд обязательных к соблюдению

Рис. 2. Прогнозы лидеров банковского сектора относительно перехода
стандарта Центробанка по информационной безопасности
в разряд обязательных к соблюдению (источник: «Стандарт Центробанка
по информационной безопасности 2006: регулятор воспитывает банки», InfoWatch и Банкир.Ру, 2006)

В аналитическом центре InfoWatch полагают, что мнение подавляющего большинства респондентов (72%) относительно четырехлетнего цикла по ужесточению регулирования основывается на том, что в 2009 году Россия планирует присоединиться к соглашению Basel II. Другими словами, именно 2009 год рассматривается банками как крайний срок, к которому необходимо успеть обеспечить эффективное управление операционными рисками. Вполне логично стремление Банка России трансформировать свой стандарт в обязательный для исполнения как раз к 2009 году, чтобы урегулировать проблему ИT-безопасности в преддверии вступления России в соглашение Basel II. При этом те кредитные компании, которые реализуют требования стандарта заранее, получат существенное преимущество по сравнению с теми, кто отложил совместимость на более поздний срок.

Таким образом, требования по защите от инсайдеров и предотвращению утечек могут стать обязательными для всех российских банков после того, как трансформируется характер стандарта ЦБ по ИT-безопасности.

Кодекс ФСФР

Кодекс корпоративного управления ФСФР представляет собой свод правил, основанный на семи основополагающих принципах. Наиболее актуальным в плане ИT-безопасности является принцип № 7: «Практика корпоративного поведения должна обеспечивать эффективный контроль над финансово-хозяйственной деятельностью общества с целью защиты прав и законных интересов акционеров». Данный принцип настолько важен, что ему посвящена отдельная (8-я) глава в кодексе — «Контроль над финансово-хозяйственной деятельностью общества». Она завершает требования всех остальных принципов и поднимает такие важные проблемы, как операционные риски, ИT-безопасность, мошенничество, аудит и т.д. По сути, эта глава дублирует требования чрезвычайно жесткого параграфа 404 из американского закона SOX.

Глава 8 Кодекса ФСФР требует, чтобы корпорация внедрила систему контроля над финансово-хозяйственной деятельностью. Не вызывает сомнений тот факт, что реализация всех компонентов системы внутреннего контроля без использования специализированных ИT-систем и привлечения профессиональных консультантов может оказаться дорогостоящей, неэффективной или даже безрезультатной. Например, операционные риски определяются как неадекватное функционирование внутренних процессов, так и случайные или преднамеренные вредительские действия персонала компании. Другими словами, угрозы ИT-безопасности, а в особенности инсайдерские, являются неотъемлемой частью операционных рисков. Между тем, согласно четвертому компоненту системы внутреннего контроля, необходимо обеспечить управление операционным риском.

Кроме того, с ИT-безопасностью неразрывно связано пресечение злоупотреблений со стороны директоров корпорации и обеспечение достоверности финансовых отчетов. Ведь для совершения мошенничества требуется внести изменения в важные документы, которые практически всегда представлены в электронной форме. Таким образом, наиболее целесообразным представляется построение именно информационной системы внутреннего контроля, позволяющей управлять рисками и обеспечивать безопасность корпоративной информации (цифровых активов, финансовых отчетов, интеллектуальной собственности и т.д.).

В заключение заметим, что по сравнению с американским законом SOX и британским Объединенным кодексом (Combined Code) российский Кодекс ФСФР является полностью добровольным и намного более подробным. Сама ФСФР объясняет столь высокий уровень детализации тем, что ее Кодекс пытается восполнить недостаточный объем действующей в России нормативно-правовой базы, регулирующей процесс корпоративного управления. При этом добровольный характер Кодекса ФСФР продиктован тем, что на момент его принятия в 2002 году в стране еще не сформировалась необходимая корпоративная культура, чтобы сделать такой документ обязательным. Тем не менее уже готовится новая редакция Кодекса ФСФР, которая должна быть принята в ближайшее время. Об этом в начале мая прошлого года на конференции «Три года развития корпоративного управления в России: практические результаты» сообщил Владимир Гусаков, заместитель главы ФСФР. По его словам, «директора стали понимать эффективность и выгодность публичной деятельности», поэтому ФСФР считает необходимым сделать часть требований кодекса обязательными для исполнения. Особое внимание при этом будет уделено принципам внутреннего контроля и аудита. Таким образом, хотя отечественные корпорации не обязаны внедрять принципы Кодекса ФСФР и вообще следовать его рекомендациям, на практике уже в ближайшее время требования к системе внутреннего контроля могут стать обязательными.

Заключение

Таким образом, нормативное регулирование утечек конфиденциальной и приватной информации в России пока довольно мягкое. Тем не менее отечественным организациям уже сегодня приходится иметь дело с несколькими актами и стандартами. Сложнее всего в этом плане приходится кредитно-финансовым организациям, так как они должны обеспечивать соответствие как соглашению Basel II и стандарту ЦБ по ИT-безопасности, так и ФЗ «О персональных данных». Однако банковская деятельность традиционно считается наиболее чувствительной к инсайдерским атакам и утечкам, так что жесткое нормативное регулирование финансовых компаний вполне оправданно. Кроме того, целесообразным выглядит требование к наличию системы внутреннего контроля в компаниях, чьи акции представлены на фондовой бирже, так как в этом случае необходимо защитить интересы акционеров.

По мнению аналитического центра InfoWatch, все остальные организации тоже должны с большой серьезностью относиться к изменению законодательной и нормативной среды. В первую очередь следует обратить внимание на ФЗ «О персональных данных», так как это наиболее важный нормативный акт, требующий обеспечить защиту приватной информации. В его сферу деятельности попадают абсолютно все организации, а сам закон вступил в силу в феврале 2007 года.

 

В начало В начало

КомпьютерПресс 3'2007

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует