Секретные материалы: какую информацию заставят защищать

Приключения «Мегафона» и нескольких интернет-магазинов стали едва ли не главным сетевым «триллером» этого лета. После массовой утечки персональных данных в мировую паутину в стране всерьез заговорили об усилении защиты информации. Летом в Федеральный Закон «О персональных данных» внесли поправки, которые ужесточают требования. Однако далеко не многие кировские организации готовы работать по-новому. Документ напрямую затрагивает тысячи предприятий, которые регистрируют сведения о людях в компьютерных базах данных. Это поликлиники, медицинские центры, операторы мобильной связи, банки, страховые компании, инвестиционные фонды, гостиницы и турагентства. – Массовые утечки показали, насколько серьезно необходимо подходить к вопросу безопасности и к защите информации. Меры по ужесточению закона о защите информации являются вполне обоснованными и оправданными, – уверен Борис Марамчин, региональный управляющий директор «Tele2 Киров». – Наши абоненты уже сейчас могут быть уверены в полной конфиденциальности данных: информация передается по защищенному каналу и не сохраняется на сайте. Защищайтесь, сударь! В соответствии с новым документом операторы персональных данных должны разработать правила доступа к своей информации, наладить регистрацию всех действий, совершаемых с ней, фиксировать факты несанкционированного доступа к информации и восстанавливать ее. При этом они должны соблюдать технические требования по защите информации. И использовать только сертифицированные программы, одобренные ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК). И хотя пока ни один из подзаконных документов, усиливающих меры, правительством и регуляторами не принят, в бизнес-среде началось волнение. Некоторые даже обратились с письмом к президенту с просьбой отклонить изменения. – Ужесточение мер может привести только к резкому и довольно сильному снижению безопасности, – считает Андрей Коротков, ведущий специалист сектора информационной безопасности ОАО КБ «Хлынов». – Регуляторами выдвигаются требования о том, чтобы все средства защиты информации проходили оценку соответствия в установленном порядке. «Установленный порядок» в нашей стране существует только один – сертификация. Что это значит? То, что все средства защиты информации, имеющиеся у операторов, должны пройти проверку их уполномоченными на то организациями (а их по последним данным 9, так что на проверку потребуется не менее 1 года). В результате проверки изделие (программно-аппаратный комплекс) получает документ и может эксплуатироваться. Но при этом в его аппаратную или программную часть запрещено вносить изменения. Данное условие не позволяет нам устанавливать в операционных системах пакеты обновлений от разработчика, необходимые для устранения уязвимостей – проще говоря, недоработанных компонентов, несущих угрозу до момента сертификации данного обновления. Процедура занимает около 4 месяцев, а сообщения от разработчиков о новых уязвимостях и пакетах появляются практически ежедневно. Итогом становится то, что «хакеры» пойдут впереди информационной безопасности, и разрыв составит порядка 4‑6 месяцев. Пока одни критикуют изменения, параллельно принимая меры по усилению защиты информации, другие предпочитают ничего не делать. Некоторые руководители подсчитали, что дешевле заплатить штраф, чем нести затраты на усовершенствование систем защиты. К слову, компанию «Мегафон» за утечку личных sms-сообщений оштрафовали на 30 тысяч рублей. По мнению представителей малого бизнеса, им и не требуются серьезные методы защиты. И все же страх наказания мешает им открыто об этом говорить. – Изменений в нашей работе не произошло, пункт о согласии на обработку персональных данных в нашем договоре присутствовал до принятия поправок, – комментируют в одном из кировских турагентств. – Однако, честно говоря, закон неоднозначный. Конкретных указаний к его применению не разработано. С одной стороны, мы попадаем под пункт 22.2, с другой – непонятно, как на это смотрит Роскомнадзор. Управление Роскомнадзора по Кировской области пока никак не выражает своей позиции. На запрос «Навигатора» ведомство прислало ответ с просьбой о двухнедельной отсрочке. Цена вопроса После принятия поправок в июле этого года специалист компании Cisco привел расчеты на страницах своего блога: «стоимость приведения компании со 100 компьютерами, тремя серверами и десятью офисами, подключенными через Интернет, в соответствие с требованиями принятых поправок составит не менее 5 млн рублей в год (без стоимости лицензирования)». – Не все могут выделить необходимые деньги, – поясняет Андрей Коротков. – Большинство операторов будет просто «прятать» часть своих систем от регулятора, а те деньги, что могли быть потрачены на комплексные и всеохватывающие, но не сертифицированные средства защиты, направлять на сертификацию «видимых». На обеспечение безопасности скрытого оборудования средств просто не останется, ведь для большинства компаний малого и среднего бизнеса эта сумма превышает годовой доход. К тому же, подчеркивает сотрудник банка, даже если средство сертифицировано, не в каждой компании найдется специалист, способный его обслуживать. В итоге получится беззащитная система, которая совсем не застрахует от утечек. Есть еще один пункт, который может увеличить затраты операторов персональных данных. – Требование по организации технической защиты информации предполагает получение лицензии. Это навязывают регуляторы, даже если речь идет о технической защите, которая применяется лишь для собственных нужд и не является источником дохода, – продолжает Андрей Коротков. – Тут есть два выхода: либо получение лицензии, что стоит порядка 10‑12 млн рублей, либо-аутсорсинг. А это услуга весьма недешевая, к тому же далеко не каждая сторонняя организация сможет построить адекватную ИБ, которая не будет мешать бизнесу и защитит информацию. Получается, что проще закрыться, чем пытаться соответствовать закону? В противном случае можно «нарваться» на серьезное наказание. К существующим мерам ответственности добавилась одна, которая может «выстрелить» в самом неожиданном месте. – В новой редакции закона приняты меры и к усилению ответственности. В частности, субъекту персональных данных в случае незаконного распространения сведений о нем предоставлено право требовать возмещения морального вреда. И это не зависит от факта возмещения имущественного вреда, – подчеркивает Анна Лебедева, ассистент консультанта агентства «Вятюрсервис», ГК «ПроБизнесКонсалтинг». Надзорные органы в Кирове пока не спешат с проверками выполнений новых требований, однако во избежание недоразумений юристы советуют поскорее определиться с политикой безопасности. То есть назначить сотрудников, ответственных за обработку персональных данных, организовать систему внутреннего аудита и, если этого не было, начать регистрировать все факты неправомерных действий в отношении персональных данных. Интересно, что от госорганов подобных действий законодатель почему‑то не требует, хотя, по мнению представителей бизнеса, именно они хранят гораздо более интересные базы данных. Человеческий фактор – гарантия безопасности
Специалисты по информационным технологиям сомневаются, что новое законодательство само по себе сможет уберечь персональную информацию от неразглашения. Оно затрагивает техническую сторону работы. Но зачастую сведения о людях попадают в открытый доступ по вине так называемого «человеческого фактора». Нередко сами сотрудники копируют и передают данные. В Кирове уже начинают использовать методы, которые учитывают это. – Самое простое – как минимум два раза в неделю менять пароль, – говорит Андрей Кононов, системный администратор компании «Кластер». – Но способ этот не очень эффективен: пароли, как правило, хранятся под клавиатурами. Другой способ – купить ноутбук, который вместо пароля использует отпечатки пальцев человека. Способ пока тоже не очень популярный в городе. А вот использование USB-token набирает популярность, особенно в банках. В последнее время они начали переходить на устройства, похожие на флешку. Информация там хранится в зашифрованном виде, а чтобы отправить платеж, бухгалтеру достаточно вставить token в компьютер, и в банке автоматически произойдет авторизация. Такой ключ сложно взломать, подобрать, его можно только физически потерять. По словам Андрея Кононова, в последнее время выходят новые более защищенные операционные системы, внедрение которых на предприятии – задача системного администратора. Именно от его квалификации, а иногда даже от его самочувствия, как правило, и зависит защищенность персональных данных на предприятии. Так что дело любого руководителя – найти такого специалиста, который не подведет. Эксперт
Светлана Бушмелева, официальный представитель Управления ФСБ РФ по Кировской области О том, предстоят ли в ближайшее время проверки соблюдения новых правил работы с информацией и насколько законопослушно кировские предприятия обращаются с персональными данными, рассказывает Светлана Бушмелева, официальный представитель Управления ФСБ РФ по Кировской области. Кто и как будет контролировать соблюдение новых правил закона «О персональных данных»? – Уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор России. На Федеральную службу по техническому и экспортному контролю и ФСБ России возложены функции по контролю и надзору за выполнением требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. В нашей области такими полномочиями наделены, в частности, Роскомнадзор по Кировской области и УФСБ России по Кировской области. Проверки предпринимателей осуществляются органами ФСБ России только по согласованию с органами прокуратуры. Планирует ли ведомство провести проверки соблюдения новых правил обращения с ПД? – При проведении проверок Роскомнадзором рассматриваются вопросы организационного характера, а ФСБ России и ФСТЭК России – специальные вопросы технической защиты информационных систем персональных данных. Изменение требований в связи с принятием поправок, предъявляемых к операторам персональных данных со стороны органов безопасности, не произошло. При нарушении требований закона «О персональных данных» виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.