Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.
Работая юристом в сфере ИБ (а современный безопасник, как известно, юрист как минимум на 33%), каждый специалист ИБ невольно наталкивается на множество актуальных проблем и конфликтов в правовой сфере, которые не разрешаются методом "почитать побольше законов и комментариев к ним". А в свете повсеместного введения процедур защиты персональных данных практически во всех компаниях (включая защиту ПДн в интернет-магазинах), вопросы правового регулирования сферы ИБ встают перед нами очень явственно. Как быть с постоянно меняющейся номративной базой? Как защищать ПДн в условиях постоянной динамики законодательства? Как решать проблемы с регуляторами ИБ в сфере их деятельности (ФСБ, Роскомнадзор, ФСТЭК)? Почему вообще у нас такое странное законодательство? Поговорим об этом подробнее. А за основу возьмём старое законодательство по защите ПДн (на нём хорошо видна суть; что же касается актуальных проблем ПДн, то сравнительный анализ старой и новой нормативной базы, а также новый порядок действия оператора приведены в соответствующих статьях). Продолжение следует...
Проблемы правового решулирования в России
Начнём с перечисления проблем:
1. Отсутствие рациональности некоторых нормативных актов. Угроза – отсутствие обеспечения требуемого реального уровня информационной безопасности при растратах трудовых и материальных ресурсов впустую.
Часто случается так, что государство, разрабатывая определённый нормативный документ, преследует благие цели, направленные на защиту интересов тех или иных частей общества: физических и юридических лиц, работающих в различных сферах. Создаётся проект соответствующего документа, возможно, утверждается и принимается, а дальше начинаются неописуемые последствия. Мало того, что проект закона часто принимается «сырым» – с кучей неопределённостей, неточностей, а зачастую и противоречий (проблема №1.1 – таков уж российский менталитет), так ещё и разрабатывается заинтересованными в сфере действия документа лицами (проблема №1.2). Классический пример – проект нового закона «О полиции», разработанный по поручительству Президента никем иным, как Рашидом Нургалиевым – министром внутренних дел. Хорошо, что перед ратификацией его успели прочитать и вычистить оттуда самые безумные идеи наподобие презумпции законности любых действий полиции. Если же закон принят, утверждён в ГД и вступил в силу, то он либо не работает, как таковой (об это ниже), либо работает не так, как надо (тоже ниже), либо работает, но эта работа совершенно лишена здравого смысла. А дело в том, что, видя обычно всю несостоятельность первой версии какого-либо федерального закона, государство начинает выпускать целый вагон подзаконных актов, приказов, а часто и ФЗ с красноречивым началом «О внесении изменений…», а если вдобавок в этом ФЗ/его подзаконных актах затрагиваются сферы других нормативных документов, а стало быть, возникает немало противоречий, то бардак начинается серьёзный. Применительно к классическому случаю 152-ФЗ «О персональных данных», говорить можно почти бесконечно. Очевидно, чьи интересы этот ФЗ должен защищать, но защищает ли на самом деле? В его первоначально версии 2006 года его просто никто не исполнял, но хотя бы был какой-то порядок (до выхода «приказа трёх», «О внесении изменений» в 128-ФЗ и т.д.), и смысл текста закона прослеживался хорошо. А что сейчас? А сейчас – начиная со знаменательной даты 1 июля – мы не можем даже определить класс системы (бардак с биометрией), очень «красиво» сочетается с ПП-781 и 58-ым приказом, которые либо надо выбросить из рассмотрения, либо признать, что логики в комплексе этих документов просто нет. Об этом так же чуть позже. Главное заключается в том, что погоня за этими многочисленными исправлениями приводит к потере реальной цели закона, к потере того, ради чего он создавался, – защищать конституционные интересы граждан, прописанные в ст. 23-25 Конституции РФ. Тут закон о ПДн не совсем в тему, потому как в нём изначально заложена структурная ошибка: во-первых, часто люди готовы торговать своими конфиденциальными данными (анкеты на скидки, накопительные программы, получение доступа к сайтам, форумы, а часто: (анонимная) покупка в интернет-магазинах (шикарная тема в плане ПДн! О ней чуть позже); во-вторых, люди обычно (!!!) сами нерационально распоряжаются своими ПДн, раздавая их кому попало (в итоге, закон сводится к ситуации: богатый человек нанимает отряд бывших спецназовцев ГРУ для своей защиты, а сам каждый вечер любит прогуляться в одиночестве по ночному Петербургу – заказчику не надо валить охрану: ему надо просто дождаться вечера – абсолютная глупость, но тем не менее в этом часто заключается психология российских законов). И вот, кстати, я упомянул о ещё одной вытекающей отсюда угрозе со стороны государства в отношении уже не операторов ПДн, а субъектов: этот закон иногда мешает самим субъектам (ради которых он и создавался): интернет-магазины – важная и актуальная проблема! Операторами владельцы таких магазинов чаще всего являются, персональные данные клиентов хранят (причём, в некоторых случаях, ПДн 1 класса!), соответственно, все требования выполнять должны. В итоге, совершить анонимную покупку становится невозможным. Кроме того, всё это дело уничтожает один из главных плюсов электронной коммерции – стоимость услуг. Сравнение интернет-магазинов с обычными магазинами: практически нет амортизации и соответственных расходов, нет кассового обслуживания, нет большого объёма аренды (только складская). В итоге, при наложении на компании, основной сферой деятельности которых является электронная коммерция, общая/средняя стоимость их услуг возрастает (в силу добавки постоянных затрат на создание и поддержания ИСПДн, которые, как известно, на ряду с амортизацией и прочими постоянными затратами завязываются в плюс к переменным). Чьи в итоге интересы соблюдены и защищаются? Вопрос риторический. Ничьи.
Так вот, касательно 152-ФЗ, имеем проблему (и вытекающую отсюда угрозу) нерациональности самого закона, как такового. Применительно к общей практике, имеем потерю рациональности с течением времени и выпуском кучи связанной нормативно-правовой базы (применительно к 152-ФЗ это тоже видно), а так же – проблему №2 – выявление кучи противоречий.
К сожалению, мировая практика показывает те же тенденции с разницей только в степени отставания реализации нужных нормативно-правовых документов с текущими потребностями во времени. Мы можем лишь попытаться сократить этот разрыв. Наиболее ярким данный разрыв стал благодаря тому, что в последнее время очень и очень многие государства приходят к идеям и попыткам законодательного регулирования интернета (яркие примеры можно найти в Австралии и Китае), но в силу того, что сама по себе интернет-сеть создавалась, как военная автономная сеть с высокой степенью живучести, которая, к тому же, действует абсолютно децентрализовано и на территории практически всего земного шара, находясь в совершенно различных правовых полях, регулировать её каким-либо способом будет практически невозможно. Отсюда и безуспешность всех попыток создания такой нормативной регулирующей системы.
Укажем некоторые конкретные проблемы, связанные с правовым регулированием кибер-преступлений. Проблема №1: что считать местом преступления? К примеру, есть соц. Сеть facebook, сервера которой находятся, допустим, в США, а владелец – в Великобритании, зарегистрированный пользователь из России, и хакер, взломавший аккаунт и рассылающий спам (или иные действия) от его имени, сидящий в Папуа-Новая Гвинея. Сразу же вытекает проблема №2: по каким законам судить преступника? Выше перечислено 4 государства. Правовые нормы всех 4-ёх должны быть согласованы для успешного проведения расследования, так как требуют участия в данном расследовании участников из всех 4 стран. Всё это порождает естественную потребность: создать единую международную (включающую не только ЕС, или НАТО), признанную всеми странами мощную и полную нормативно-правовую базу, отражающую собой некое «информационное право». Без этого, все попытки урегулировать отношения, касающиеся информационного права, будут безуспешными. А все современные попытки государства внести какое-то законодательное регулирование в информационное пространство представляют собой ни что иное, как попытку перенести свой предыдущий опыт – опыт из других областей жизни или деятельности – в текущую, так как опыта работы в текущей деятельности у государства просто нет. Обычно это или опыт защиты государственной тайны, который в полной мере никак не может применяться к защите привычной нами информации, особенно – персональных данных (это что касаемо той информации, которая, как уже говорилось, «развешана на каждом заборе»), или любой другой опыт, не связанный никак со спецификой деятельности человека в интернете (авторское право, противоречащее практически всем трём задачам защиты информации).
2. Противоречия в законодательстве. Угроза неправильного понимания и соответственно – исполнения.
Немало соответствующих примеров было приведено в описании проблемы №1. Приведу один из другой сферы. У Центробанка (Банка России) есть такой интересный документ, как СТО БР ИББС, который выпускается в различных редакциях, как я могу видеть, с 2007 года. Если посмотреть на текущую обстановку в области нормативного регулирования ПДн, то в соответствии с ч.3 ст. 1 261-ФЗ "О внесении изменений..." Центробанк имеет право создавать такие отраслевые нормативые документы, регулирующие как раз банковскую деятельность в России, но с очевидным условием: эти акты должны соответствовать ФЗ. Под понятие информационной системы персональных данных, приведенное в ФЗ-152, попадают все АБС, обрабатывающие персональные данные, без исключения, а в п. 7.10.9 СТО БР ИББС-1.0-2010 прямо указано: «АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн». Прямое противоречие с федеральным законом. Что интересно, Банк России пошёл по пути: сразу сделать пометку «специальная система», что в соответствии с тем же «приказом трёх» даёт возможность классифицировать систему, во-первых, исходя лишь из модели угроз, а во-вторых, осуществлять собственную классификацию. Т.е. разработать модель угроз, чисто по желанию – привести его в соответствии с требованиями 58 приказа по «методам и способам защиты» (а можно и не приводить, т.к. он носит рекомендательный характер), а дальше ввести свои классы защиты, указать всё это в акте классификации, отправить на согласование с ФСТЭК и дело сделано. В итоге, ЦБ уже успешно прошёл все согласования с регулирующими органами. Как объяснить эту ситуацию? С позиции законности, никак – противоречие есть и от него никуда не деться, вопрос лишь в том, что и в соответствии с какими критериями выбирать. Об этом речь пойдёт как раз в следующей проблеме.
Также в 152-ФЗ содержится немало других интересных моментов. Если сравнить анализ правового поля персональных данных, проведённого в мае 2010 года (Приложение 1) и современную обстановку, то обнаружится немало разительных отличий. Подход до июля 2011 года. Получаем классифицированную информацию (проблем определить её класс тогда не было никаких), операторы обязаны выполнить ряд требований нормативно-правовых актов по обеспечению конфиденциальности. Подробно этот путь и проблемы описаны в «Приложение 1». Далее был путь, при котором нормативные документы ФСТЭК задавали набор возможных для данного класса информации и ИСПДн угроз, оператор должен был выбрать из них актуальные, составив модель актуальных угроз и обеспечив соответственные меры. В июле 2011 года вышел документ, который помимо существовавшей верхней границы угроз, определит угрозы для конкретных отраслей деятельности организации, региональных особенностей и конкретных отраслей использования информации, определяя в зависимости от этого вред субъекту ПДн. В итоге, это привело к тому, что единый стандарт построения моделей угроз и системы ИСПДн просто исчез. Законодатель при этом не указал, классифицируя угрозы по отраслям, что эти угрозы являются минимально возможным набором для данной отрасли. В итоге, понять это можно методом: пойти по второму вышеописанному пути: взять максимально возможный набор угроз и вычеркнуть ненужные. В итоге, то, чего хотел добиться законодатель, кануло в лету. А что касается ПДн, то фактически есть 2 пути, по которым можно идти:
1. Провести предварительную классификацию по "приказу трёх", после чего составить модель угроз (в соответствии с требованиями ФСТЭК и ФСБ) и подправить требования к СЗИ в соответствии с ней и требованиями 58 приказа для типовых ИСПДн (силу он не утратил; соответственно, могут добавиться цели (а могут и не добавиться), помимо конфиденциальности), после чего поставить отметку "Кi, специальная" и отправить акт на регистрацию в РКН.
2. На классификацию «приказа трёх» не смотреть, а сделать пометку "специальная" сразу, что в соответствии с тем же приказом даёт возможность классифицировать систему, во-первых, исходя лишь из модели угроз, а во-вторых, осуществлять собственную классификацию. Т.е. разработать модель угроз, чисто по желанию – привести его в соответствии с требованиями 58 приказа по "методам и способам защиты" (а можно и не приводить, т.к. он носит рекомендательный характер), а дальше ввести свои классы защиты, указать всё это в акте классификации (естественно, класс защиты там должен быть указан), отправить на согласование с ФСТЭК.
В итоге, новая редакция закона фактически смягчила требования по оценке соответствия ИСПДн. Но мало того, первая проблема, как говорилось, не обошла мимо и эту часть законотворчества: бардак с классификацией (биометрия) тем не менее остался, а точнее, появился: одно уходит, другое приходит, но касаемо 152-ФЗ пришло больше плохого, чем хорошего.
Радует тот факт, что некоторые члены законодательной власти в России создают блоги, твитеры, интернет-приёмные, ГД предлагают всем желающим высказать своё мнение по поводу того, каким должен быть проектируемый закон (ярким примером является деятельность ФАС).
3. Проблема недостаточности описания некоторых областей в IT. Угроза недостаточного понимания закона и соответственно нарушение его исполнения.
Классически прослеживается в 152-ФЗ. Как говорилось выше, есть определённый регламент возможных угроз по классам системы, который включает в себя 4 основных категории угроз: несанкционированный доступ к системе, сетевые угрозы/перехват трафика, угрозы математического воздействия, угрозы, обусловленные свойствами физического мира (видовые, аудиальные, ПЭМИН). Не хватает некоторых угроз: угрозы доступности; угрозы, связанные с социальной инженерией; угрозы, связанные с современными технологиями (облачные вычисления, виртуализация и т.д.).
4. Проблема низкой квалификации регуляторов. Угроза натолкнуться на некачественную работу проверяющих при соответствии всех действий нормативным документам. Угроза выполнения действий (построение системы), которые регуляторами признаются «не соответствующими…» (угроза потери средств на проектирование СЗИ).
Примеров много. Вот один из них. Если почитать «приказ трёх», то легко прийти к вопросу о лицензировании ТЗКИ – нужно ли? Есть 128-ФЗ "О лицензировании отдельных видов деятельности", в котором сказано о необходимости лицензирования деятельности операторами ИСПДн при обработке классов ИСПДн К1-К3. Но во-первых, таких ИСПДн, как теперь ясно, уже нет, а во-вторых, в ст. 2 ГК дано определение деятельности, как действий, направленных на систематическое получение прибыли. А ст. 49 ГК определено, что отдельные виды деятельности (имеется в виду всё той же – предпринимательской) подлежат лицензированию. А значит, лицензию по ТЗКИ обязаны получать лишь те организации, которые осуществляют предпринимательскую деятельность по ТЗКИ. Соответственно, обычным операторам ИСПДн, целью которых коммерческая выгода от ТЗКИ не является, указанную лицензию получать не надлежит. Но ФСТЭК решительно говорит «нет, лицензию получать нужно». А за аргументами обращаться к ним смысла мало.
Эта проблема создаёт угрозу того, что даже при построении рациональной системы, соответствующей всем ФЗ и подзаконным актам (что, вообще говоря, маловероятно, исходя из моей проблемы №2 и №3, но допустим), мы можем получить ситуацию, когда РКН или ФСТЭК найдёт эту систему «не соответствующей …». А причины простые: интерпретация многих наших актов неоднозначна изначально – это раз; регуляторы – народ сложный, а главное, творческий: обладают недюжими способностями в области интерпретации того или иного нормативного документа (особенно, если во главе стоит экономическая заинтересованность). Вторая проблема куда как важнее – она основная, так как заработные платы у сотрудников ФСТЭК весьма не высокие, что и влечёт за собой соответственные последствия. В итоге, угроза проблемы равна угрозе потери всего бюджета на создание СЗИ ИСПДн. Решение простое: смотреть, как подобную ситуацию видит регулятор, смотреть, что он требует и соответствовать (сами законы тут отходят на второй план: видимо, тоже сказывается наш менталитет). При чём, смотреть это надо конкретно в том регионе, в котором оператор собирается действовать (в силу того, что прецедентного права в России нет, а отношение регуляторов в разных регионах очень разнообразное, другого пути нет).
5. Огромная динамика законодательства. Угроза потери средств на выполнение деятельности по ТЗКИ (проектирование/внедрение СЗИ).
Ситуация почти та же: посмотрели, как на похожие ситуации смотрит регулятор, создали систему, вложили кучу средств, а через месяц выходит какое-нибудь ПП, или ФЗ «О внесении изменений…» (взгляды регуляторов, само собой, тоже изменятся) и систему надо создавать заново. Это так же создаёт необходимость (для некоторых – соответственную угрозу) операторам ПДн и специалистам по ИБ в целом постоянно следить за законодательством, анализировать его, смотреть на правоприменительную практику в конкретных регионах и постоянно самообразовываться (юридическое образование тут будет неплохим бонусом). В данный текущий момент – в такой сильной правовой неопределённости строить конкретные СЗИ очень опасно в виду того, что потом может понадобиться всё переделывать, а значит, терять средства.
Лысяк Александр
