Защита персональных данных: теория и практика

Валерий Васильев, обозреватель PC Week/Russian: «Осень нынешнего года обещает быть жаркой для операторов персональных данных (ПД).»

Перед уходом на летние каникулы Госдума приняла закон «О внесении изменений в Федеральный закон „О персональных данных“», а президент страны 25 июля подписал его. Отныне все информационные системы персональных данных (ИСПДн) должны соответствовать требованиям закона «О персональных данных» (ЗоПД), и никаких переносов сроков его введения больше не предвидится.

Тема соответствия вновь на слуху. Осень нынешнего года обещает быть жаркой для операторов персональных данных (ПД). Их в стране около 7 млн., а с выполнением требований ЗоПД, как считают эксперты, дела у них обстоят, мягко говоря, неважно. Так, согласно данным, опубликованным на сайте Роскомнадзора, из общего числа операторов ПД зарегистрировалось на сегодня в этой организации около 3% .

Основные итоги пятилетки закона

Напомним, что ЗоПД был принят еще в 2006 г, и за прошедшие пять лет законодательные власти страны дважды переносили сроки его полностатейного введения. Время подвести итоги пятилетней практики применения закона.

Эксперты, к которым мы обратились за комментариями по данной теме, единодушно признают важность ЗоПД, отмечая при этом масштабность и глубину его влияния. Генеральный директор компании S-terra CSP Сергей Рябко видит в нем «благое намерение демократического толка, актуальное как декларация гуманистических ценностей в России». Руководитель группы ИБ управления правовой информатизации Верховного Суда РФ Владимир Чаплинский считает, что из всех законов, регулирующих ИТ, только этому удалось «разбудить» информационное сообщество страны, стать толчком для развития технологий ИБ гражданского назначения и экономики ИБ. Руководитель сектора продакт-менеджмента компании «Доктор Веб» Вячеслав Медведев называет ЗоПД «первым в истории современной России документом, реально повлиявшим на уровень ИБ страны». Заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов считает ЗоПД одним из главных драйверов развития российской ИТ-индустрии в последние пять лет.

Активная общественная деятельность, развернувшаяся вокруг ЗоПД, которую отмечает руководитель отдела консалтинга компании Positive Technologies Дмитрий Кузнецов, привела, по его наблюдениям, к следующим значимым результатам: у граждан появилась практическая возможность защищать свое конституционное право на неприкосновенность частной жизни; специалисты в области ИБ осознали себя экспертным сообществом, увидев, что критика нормативных документов приносит плоды и госрегуляторы прислушиваются к их аргументированному мнению; развивается практика публичного обсуждения проектов регулирующих документов, причем обсуждения инициируют сами регуляторы.(...)

Парад сертификатов

ЗоПД породил волну сертификации ИБ-продуктов на соответствие его требованиям. Мнения наших экспертов по поводу этого явления не совпадают. Так, г-н Славин считает, что сертификация тормозит внедрение современных средств защиты и затрудняет применение международных стандартов защиты информации в стране.

Если следовать нормативным документам, то, как полагает старший аудитор департамента аудита компании «Информзащита» Алексей Бабенко, средства защиты ПД должны в обязательном порядке пройти процедуру оценки соответствия требованиям закона. Однако на данный момент требования и порядок такой оценки, по его мнению, не установлены и формально ни одно из существующих средств защиты не может использоваться для обеспечения безопасности ПД. Тем не менее компании для защиты ПД часто выбирают средства, сертифицированные ФСТЭК, что, несомненно, ведет к дополнительным затратам на замену уже существующих систем защиты и ограничениям выбора сертифицированных продуктов, в частности для нетиповых операционных систем.

Г-н Кузнецов тоже рассматривает ситуацию с оценкой соответствия как неоднозначную. «Есть несколько форм оценки соответствия — от добровольной декларации до обязательной сертификации. В результате конкретная форма оценки соответствия для средств защиты ПД не определена. Большая часть средств защиты сертифицирована сегодня на соответствие неким техническим условиям, причем эти ТУ пишут сами разработчики средств защиты, включая в них произвольные требования по своему вкусу», — заметил он.

Свое понимание процедур оценки соответствия требованиям ЗоПД директор по методологии компании «Инфосекьюрити Сервис» Михаил Левашов изложил так: «Сейчас в законодательстве есть только понятие „применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации“. Общедоступных документов по этой процедуре нет, и это должна быть не только сертификация. В зависимости от потребностей оператора и субъекта ПД должен использоваться широкий спектр решений, определяемый лицензиатами, реализующими эти решения. И это могут быть не только „сертифицированные“ решения».

Существенная проблема заключается, по мнению г-на Кузнецова, в том, что обеспечить защиту данных наложенными средствами, пусть даже и сертифицированными, без использования штатных функций безопасности самих информационных систем, технически невозможно. Отсюда он заключает, что требование сертификации средств защиты ПД превращается в фикцию, а в некоторых случаях в инструмент конкурентной борьбы и административного ограничения рынка средств ИБ.

Оппонирует этой позиции г-н Медведев: «Сегодня практически все производители имеют необходимые сертификаты, и операторы ПД могут строить ИСПДн любых типов, используя только сертифицированные продукты. При этом цены на них, как правило, не отличаются от цены несертифицированных решений».

Столь же оптимистичен в оценке насыщенности рынка сертифицированными предложениями г-н Сабанов: «Решений и продуктов, сертифицированных по различным требованиям, на сегодняшний день достаточно. Можно выбрать любое, подходящее к модели угроз, модели нарушителя и концепции ИБ, принятой в компании. Внедрять подходящие решения и защищать данные можно, но почему-то этого не происходит, во всяком случае, в массовом порядке».

Г-н Кобцев разъясняет отсутствие массового внедрения сертифицированных ИБ-средств так: «Для защиты ИСПДн не всегда нужны именно сертифицированные средства защиты. В первую очередь дело за правильной категоризацией информационных ресурсов и построением адекватной модели угроз. Да, сертифицированных средств, как отечественных, так и зарубежных, предостаточно. Что же касается их доступности, то это смотря для кого. Крупных операторов ПД вообще вряд ли чем напугаешь, зато у малого и среднего бизнеса любое дополнительное обременение вызывает ужас и негодование».

По мнению г-на Рябко, сертифицированных ИБ-продуктов сегодня в стране недостаточно, как и до принятия ЗоПД. «Россия не производит функционально полного комплекса продуктов защиты информации. Наши ИБ-продукты не конкурентны на мировом рынке (исключение — разработки „Лаборатории Касперского“). Национальный производитель опирается на протекционизм в виде требований сертификации (что не есть плохо само по себе — государство тем самым поддерживает отечественного разработчика в области критических для себя технологий). В итоге все-таки необходимый минимум для защиты набирается. Цены на сертифицированную продукцию выше, поскольку, во-первых, рынок для амортизации затрат на ее разработку никак не мировой, а только национальный, и, во-вторых, производитель сам обременен дополнительными затратами на лицензирование и сертификацию», — комментирует он ситуацию с сертификацией.

Г-н Чаплинский обращает внимание на то, что наличие сертификата не означает, что продукт актуальный, передовой, эффективный. Сертификация средств ИТ и ИБ, по его мнению, не дает пользователям полной гарантии на этот счет. «Есть примеры сертифицированных средств ИБ, которые в плане выполнения функций защиты, возможно, достаточно хороши, но как ИТ-продукты являются сырыми, — сказал он. — По-настоящему оценить эффективность ИБ-продуктов можно только эксплуатируя их некоторое время в реальных условиях, причем, чтобы был выбор, надо пробовать несколько продуктов. И здесь сертификация не помощник, поскольку она не оценивает эффективность и оптимальность применения в конкретных условиях».

По мнению заместителя генерального директора компании InfoWatch Рустэма Хайретдинова, хотя технологий и продуктов защиты любой информации сегодня достаточно, следует еще учитывать, насколько быстро сертифицируются по требованиям ЗоПД продукты, уже имеющие другие государственные сертификаты, например по гостайне или отсутствию НДВ (расшифровать). Что же касается ценовых вопросов, то, поскольку сам процесс сертификации требует денег, сертифицированные продукты, возможно, считает он, и станут дороже, но не настолько, чтобы говорить об изменении уровня их доступности.

Требование использовать специально сертифицированные продукты г-н Хайретдинов назвал самым опасным недостатком ЗоПД: «Это ограничивает возможности операторов ПД и облегчает задачу взлома злоумышленникам. Принципиальным недостатком закона, по его мнению, является также отсутствие ответственности оператора ПД за раскрытие ПД — он отвечает только за их ненадлежащую защиту. В результате задача защиты данных подменяется задачей прохождения аттестации ИСПДн по требованиям ЗоПД, и аттестованные системы считаются защищенными. Разница тут такая же, как между знанием математики и сдачей ЕГЭ: хорошая оценка вовсе не означает реальных знаний. Эта коллизия проявится достаточно быстро — как только из аттестованных систем начнут утекать данные, и встанет вопрос: «Кто виноват?» — заявил он.

Летняя редакция ЗоПД — что же изменилось?

Как считает г-н Левашов, в измененном в июле законе уточнены почти все определения. Так, ИСПДн в новой редакции определена как «совокупность содержащихся в базах данных персональных данных», что по его мнению, имеет фундаментальное значение, так как теперь любая информационная система, содержащая ПД, является ИСПДн. В соответствии с этим новым определением придется корректировать некоторые отраслевые стандарты безопасности ПД — те, в которых указывается, что содержащие ПД информационные системы, установленные не в целях обработки ПД, не являются ИСПДн. Внесены важнейшие, на его взгляд, изменения в определение сроков хранения ПД, устраняющие один из главных недостатков предыдущей редакции, связанный с ограничением сроков хранения ПД. Конкретизированы и расширены возможности обработки ПД, на которую не требуется согласие субъекта ПД. Значительно расширены возможности по форме предоставления субъектом ПД согласия на их обработку, по продолжению обработки ПД после отзыва субъектом согласия на это. Уточнены сроки повторных обращений субъектов ПД к операторам ПД, что затрудняет злоупотребления этим. Госрегуляторы (кроме Роскомнадзора) теперь имеют право проверять только государственных операторов ПД, правда, как исключение — обоснованно (?) — могут прийти и к негосударственным.

К фундаментальным изменением в ЗоПД г-н Левашов относит появление новой статьи, основу которой составляет тезис о том, что оператор ПД самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ЗоПД. Однако при этом регуляторы оставили за собой контроль нескольких важных направлений деятельности операторов ПД, из которых, по мнению г-на Левашова, вопрос вызывает упомянутая выше процедура оценки соответствия средств защиты информации в установленном порядке. Он считает целесообразным передать полномочия по проведению таких оценок соответствия лицензированным организациям.

После внесения изменений и ввода в действие всех статей в законе, по мнению г-на Сабанова, все еще отсутствует полнота и самодостаточность: без подзаконных актов не всегда можно понять, что регуляторы имеют в виду и как выполнять их требования. «В законе осталось много размытых формулировок и „белых пятен“, допускающих разные толкования, многие положения не доведены до конца. Тем не менее новый вариант в целом лучше предыдущего — мы все-таки сделали очередной шаг вперед. Многие формулировки взяты из мирового опыта, и это радует. В целом движение идет в правильную сторону, и, мне кажется, это не последняя версия закона», — считает он.

Г-н Кобцев критикует концепцию закона, предлагая смещать акценты на повышение ответственности операторов ПД за утечки. «О недостатках данного конкретного закона бессмысленно говорить, когда нужно устранять недостатки всей правовой системы в стране, — заявил он. — Как прежняя, так и новая редакции позволяют субъекту ПД обратиться в суд и потребовать возмещение ущерба, понесенного вследствие утечки его ПД, на основании ГК РФ. Но на практике судебная тяжба с крупным телеком-оператором, не говоря о ГИБДД или ФМС, — дело трудное». (..)

За что боролись? Оценка состояния защищенности ПД в стране

Оценивая общее состояние защищенности ПД в стране, наши эксперты практически единодушно признают ее низкой. В качестве аргумента они ссылаются на то, что у нас свободно продаются базы данных с ПД граждан.

Единственным оптимистом среди наших экспертов оказался г-н Рябко, который оценивает защищенность ПД как нормальную: «Конфиденциальность информации в целом по стране обеспечивается. Небогато, но удовлетворительно, и ПД в этом отношении ничем от другой конфиденциалки не отличаются.»

По мнение большинства экспертов, ЗоПД на реальную защищенность ПД влияет слабо. Некоторые из них не связывают это с технической стороной организации защиты ПД. Так, г-н Чаплинский оценивает техническую составляющую организации защиты ПД как неплохую — есть технологии, оборудование, ПО, грамотные специалисты. Однако это, по его мнению, нивелируется малым опытом тех же специалистов, недооценкой организационных мер и мероприятий по ИБ в целом, озабоченностью руководителей «более насущными» вопросами.

Г-н Кузнецов указывает на наличие в информационных системах российских коммерческих и государственных структур нескольких классов уязвимостей, использование которых, как правило, позволяет нарушителю преодолевать защиту сетевого периметра и получать доступ к обрабатываемым данным. В первую очередь он называет слабые пароли, уязвимости ПО на рабочих местах и уязвимости веб-приложений.

Как считает г-н Славин, ИБ прежде всего зависит от прозрачности и управляемости бизнес-процессов, связанных с обработкой ПД, а не от использования сертифицированных средств передачи и обработки данных. Пока же культура процессного управления в российских компаниях, по его оценке, невысока.

Согласно наблюдениям г-на Сабанова, на те структуры, которые и до появления ЗоПД занимались защитой ПД, закон повлиял положительно: уровень защищенности ПД у них был достаточно хорошим, а с принятием закона повысился, поскольку они стали руководствоваться изданными в рамках ЗоПД документами, докупили и внедрили сертифицированные ИБ-средства. Для тех же компаний, которые не знали о том, что нужно в принципе заниматься вопросами ИБ и защищать ПД, многие требования закона оказались совершенно новыми. Так как сами они, заметил г-н Сабанов, не разбираются в вопросах ИБ, то привлекают лицензиатов ФСТЭК, которые, как правило, рекомендуют некоторые организационные меры и предоставляют нормативную документацию, чего на начальном этапе, по его мнению, бывает достаточно. И тем не менее его вывод таков: реальной защищенности ПД у большей части операторов ПД как не было, так и нет и в ближайшее время не будет.

ЗоПД и электронные госуслуги

Самым крупным оператором ПД в стране является государство. То, что среди похищенных баз данных с ПД граждан нередко встречаются и базы данных госструктур, дает г-же Алехиной упрекнуть госрегуляторов в том, что некорректно требовать с коммерческих предприятий то, что не удается исключить у себя.

На слабую защищенность ПД в государственных учреждениях, особенно муниципального уровня в небольших городах, указывает и г-н Хайретдинов. Как некоторое оправдание этому, по его словам, можно рассматривать отсутствие у них бюджетного обеспечения проектов по защите ПД.

Построение информационного общества актуализирует задачу построения электронного государства, подразумевающую в том числе и создание системы электронных госуслуг для населения. О нынешней ситуации с организацией защиты ПД при оказании электронных госуслуг г-н Рябко рассказал, отталкиваясь от личного опыта: «Получал я недавно реквизиты для доступа к госуслугам. Просят подписать декларацию о моих ПД. В ней написано, что я фактически отказываюсь от всякой их защиты в пользу оператора. Я спрашиваю: „А оператор какие обязательства на себя в этой связи берет (в тексте декларации по этому поводу — ни слова)?“ Мне говорят: „Вопрос не к нам, а в юрслужбу. Можете не подписывать, ежели не нравится“. Получается, что одной рукой государство издает закон, а другой государственный оператор открещивается от его исполнения, прикрывая свое мягкое место согласием владельца ПД».

Положение дел усугубляется, если учесть, что именно программы построения электронного государства могут стать полигоном для широкого внедрения в стране таких технологий, как виртуализация и облачные вычисления.

Как отметил ведущий эксперт по вопросам технической защиты информации компании «Код Безопасности» Александр Лысенко, российские компании уже оценили преимущества использования виртуализации, поэтому вопросы приведения виртуальных инфраструктур в соответствие законодательству, регулирующему ИТ, становятся актуальными. ПД не перестают быть таковыми при их переносе в виртуальную среду обработки, и защищенность виртуальной инфраструктуры тоже должна соответствовать требованиям ЗоПД. Сегодня закон не делает различий между физической и виртуальной средой обработки, однако приведение виртуальной инфраструктуры в соответствие ЗоПД имеет свои особенности. По мнению г-на Лысенко, выручить могут сертифицированные программные средства защиты ПД в виртуальной среде.

Как отметил г-н Сабанов, вопросы защиты ПД должны учитываться уже при запуске любого государственного ИТ-проекта, несмотря на то что существует мнение, что это тормозит их исполнение. «Я считаю, что обеспечение ИБ электронных госуслуг —обоснованное требование. Мошенничества в данной сфере будут и в отношении объектов недвижимости, и в отношении интеллектуальной собственности. Если мы не будем учитывать прав граждан на защиту ПД, то вот тут-то как раз развитие электронного государства и информационного общества может серьезно затормозиться», — заявил он.

По мнению г-на Чаплинского в этой области гораздо большее значение, чем простое соблюдение формальных требований законов, имеет понимание руководителями и специалистами госструктур ответственности как перед государством, так и перед обществом.

Источник: PCWEEK