Ищите цели среди компаний с менее недоверчивыми руководителями служб безопасности

Скандал с программой PRISM и, похоже, бесследно затерявшимся в «чистом» терминале аэропорта Шереметьево Эдвардом Сноуденом заставил пересмотреть свои базовые взгляды на безопасность во интернете не только граждан, но и бизнес.

То, что американские спецслужбы помогают американским же компаниям улучшать свое положение на мировом рынке, пишут давно часто. Естественно, что тотальный сбор данных во всемирной сети не мог не коснуться деловой информации – смешно было бы думать, что невод, заброшенный в интернет, имеет специально настраиваемые ячейки, задерживающие мелкую рыбешку сообщений граждан и пропускающий без помех косяки бизнес-информации.

На англоязычном сайте крупнейшего немецкого издания «Шпигель» появилась очень интересная и показательная статья о тревогах малого и среднего бундес-бизнеса, связанных с весьма вероятным попаданием коммерческих секретов в руки американских друзей немецких спецслужб, а от них – прямо к конкурентам за океаном. Пессимизма немецким бизнесменам добавила информация о каком-то уж слишком тесном сотрудничестве их государственной внешней разведки BND с американцами, в описании которой наиболее часто используется слово «рвение».

На своих курсах я всегда говорю о том, что мнение о необходимости режима коммерческой тайны только для крупного и крупнейшего бизнеса является не только ошибочным, но и опасным. Гиганты вроде американской AMD или российского «Фосагро», о краже секретов в которых я писал в своих постах, эту неприятность переживут. А вот для сегмента СМБ утечка технологий, наработок или клиентской базы может оказаться катастрофой, поскольку очень часто уникальность используемого «ноу-хау» - главный, а иногда и единственный их реальный актив. Именно поэтому значительное количество арбитражных дел в России, связанных с нарушением исключительного права на секреты производства, касается компаний именно этого сегмента экономики.

Примерно к такому же горькому выводу пришли и коллеги из мюнхенской консалтинговой компании Corporate Trust, которые отметили, что только одна из четырех немецких компаний сегмента СМБ имеет ИТ-стратегии безопасности, а большинство ограничивается при защите данных межсетевым экраном и антивирусной защитой, чего явно недостаточно для противодействия профессиональным хакерам, не говоря уже о Агентстве национальной безопасности США.

Немецкое Управление по защите конституции считает, что промышленный шпионаж наносит экономике Германии ежегодный ущерб от 30 до 60 млрд евро, но точную цифру не знает никто – бизнес отнюдь не горит желанием раскрывать сведения о кражах информации. Главных причин для этого две: опасение привлечь повышенное внимания хакеров к «хромым уткам», пострадавшим от взлома или кражи, и, следовательно, имеющими реальные уязвимости в системе защиты, и возможная потеря клиентов, узнавших об утечке.

В выше упомянутой мною статье рассказывается о Маркусе Штаудингере, эксперте по ИТ-безопасности семейной инжиниринговой компании Gustav Eirich со 150-летней историей. Много лет настаивавший на необходимости использования шифрования при передаче информации, внедривший такие средства даже на ноутбуках и смартфонах работников, работающих вне периметра (компания имеет представительства в 10 зарубежных странах, в том числе в России и СНГ), он, по его же собственным словам, выглядел в глазах коллег параноиком (ах, как все знакомо!). После откровений Сноудена о PRISM отношение коллег изменилось – секреты компании оказались защищены.

Директор по защите продуктов и ноу-хау немецкого машиностроительного объединения VDMA Райнер Глатц отмечает, что в прошлом предупреждения о возможных хакерских атаках, шпионаже малый и средний бизнес, опора германской экономики, пропускал мимо ушей. Сейчас же во многих во многих фирмах и их органах управления появилось понимание проблемы, и они думают о том, как защитить себя эффективнее.

Еще одним результатом последних событий стал рост популярности немецкихдата-центров для размещения чувствительной информации и приоритет использования национальных алгоритмов и программ шифрования, ключи которых, по мнению немецкого бизнеса, спецслужбы не получают, в отличие от продуктов компаний, находящихся в американской юрисдикции. Вырос спрос на доступ в дата-центры по оптическому волокну без использования интернета, а это тоже плюс для местных поставщиков услуг.

В статье делается справедливый вывод, что информацию можно снять с волоконного кабеля, а системы шифрования периодически взламываются и 100-процентую безопасность обеспечить нельзя. Штаудингер отмечает:. «Мы знаем, что есть остаточный риск. Но повышение уровня мер защиты заставит потенциальных злоумышленников искать более легкие цели среди компаний с менее недоверчивыми руководителями служб безопасности».

В заключение - еще одно занятное сообщение из Германии, касающееся той же проблемы. Как сообщает Н.Храмцовская, 16 июля 2013 года министр внутренних дел Германии Ханс-Петер Фридрих, выступая перед Парламентской контрольной комиссией, занимающейся контролем за деятельностью спецслужб, призвал граждан Германии самим серьезнее относиться к защите персональных данных. Он, в частности, сказал, что «следует уделять больше внимания программам шифрования и антивирусным программам, ведь технические возможности для шпионажа существуют и будут применяться». Граждане откликнулись. Доктор Ульрих Кампфмайер, специалист в области делопроизводства и архивного дела, захотел «поддержать прекрасную инициативу» и направил письмо лично министру, воспользовавшись сервисом государственных услуг на сайте министерства внутренних дел, в котором поставил простые и четкие вопросы:

●      Какие (бесплатные) программы шифрования можно использовать, чтобы ни федеральная разведывательная служба, ни военная контрразведка, ни другие специальные службы не могли расшифровать данные?

●      Какого поставщика мобильных устройств следует выбрать, чтобы ни федеральная разведывательная служба, ни военная контрразведка, ни другие специальные службы не могли прослушать телефонные переговоры?

●      Какие программы следует установить, чтобы можно было обнаруживать и полностью удалять с компьютера внедрившиеся в него государственные программы слежения (немецкие или иностранные)?

Автор запроса попросил, чтобы по каждому вопросу было предложено несколько вариантов, а все рекомендованные программы были проверены и разрешены к распространению Федеральным ведомством по безопасности в сфере информационных технологий.

Интересно, будет ли ему направлен ответ? В Германии с порядком строго.

Ау, банкиры! До отчета перед Банком России об оценке соответствия осталось меньше полугода

Помните старую песенку: «Странно и смешно наш устроен мир»? Вот уж действительно – странно и смешно. Коллеги активно продолжают обсуждение начатой 6 с лишним лет назад темы персональных данных, придумывая все новые повороты сюжета. Вот и до рублевой, и до вербальной оценки вреда субъекту вчера добрались.

Сегодня перед профессионалами, работающими в финансовой сфере, стоит гораздо более насущная, срочная и сложная задача – оценка соответствия требованиям защиты информации в платежной системе. Появилась пара-тройка сообщений с констатацией факта выхода указания Банка России от 05.06.2013 № 3007-У, тему вяло пообсуждали, отметив, что на все про все есть полгода – до 10 января 2014 года оценку надо закончить и направить отчет в Банк России. Тема тихо угасла.

Между тем, по опыту наших проектов по оценке соответствия, работы там – выше крыши, причем привлекать придется практически все структурные подразделения банка, что, как обычно, бизнесу мало нравится и приводит к появлению дополнительного временного лага.

Первые две важнейшие задачи: определить состав объектов инфраструктуры, подпадающих под положение Банка России № 382-П, и детально сравнить приложение № 2 к нему с внутренними банковскими нормативными документами.

Автоматизированная банковская система (АБС) и система дистанционного банковского обслуживания (ДБО, клиент-банк) положению должны удовлетворять без вопросов, и не забудьте про системы обмена электронными сообщениями с Банком России (они, конечно же, удовлетворяют, но вот все ли сделал банк с точки зрения обеспечения безопасности работы в них?). А дальше все зависит от того, что за банк и какова топология его информационной системы.

Все 137 требований, сформулированных в приложении № 2 к 382-П, обязательны для всех подсистем, используемых для перевода денежных средств. Дали клиенту возможность выполнять операции со смартфона или голосом по телефону – будьте добры навести порядок и там.

Соотнесение внутренних локальных актов банка с 382-П – тоже задача весьма не тривиальная. Придется решать сложную головоломку: распространить требования Положения на всю подсистему информационной безопасности банка или часть требований применять только к объектам инфраструктуры, используемой для перевода денежных средств. Тем, кто уже приводил свое хозяйство в соответствие с СТО БР ИББС, будет, конечно, легче – почти все есть и в стандарте, но легче при одном существенном условии – работа была реальной, добротно сделанной, а не для галочки.

Почему я считаю, что распространить все требования 382-П на всю инфраструктуру банка может и не получиться? Потому что часть из них – крайне жесткие, и их реализация потребует очень больших ресурсов, как людских, так и финансовых.

Сразу отмечу, что небольшие банки, где нет самостоятельной службы информационной безопасности, разделенной с ИТ-подразделением, сразу окажутся в очень сложном положении (только не пишите в комментах, что таких банков нет. Плавали, знаем, и их не мало).

Они автоматически получат 3 нулевых оценки при расчете EV1_ПС и аж 14(!) при расчете EV2_ПС. Согласитесь, условия для старта совсем не комфортные. Корректирующий коэффициент k₂ сразу станет минимально возможным – 0,7, и рассчитывать на итоговую высокую оценку вряд ли придется.

Кстати, со службой ИБ в документе есть, на мой взгляд, один казус. В пункте 102, касающемся информирования службы об инцидентах, появляются слова «в случае ее наличия», что дает надежду оставить выполнение этого требования без оценки. Между тем во всех остальных 16 пунктах, касающихся службы, вопрос ставится императивно: осуществляет контроль, осуществляет планирование, согласовывает и т.д. А пункт 82 вообще тверд, как алмаз: «Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают формирование службы информационной безопасности, а также определяют во внутренних документах цели и задачи деятельности этой службы».

Особые проблемы возникают у банков, привлекающих платежных агентов и субагентов. На них ложится головная боль за обеспечение выполнения агентами (субагентами) требований к обеспечению защиты информации. Правда, это требование в приложение № 2 не вошло и при оценке учитываться вроде бы не должно, но как Банк России будет подходить к вопросу только время покажет.

И главное, что тоже почему-то не очень обсуждается. А что будет, если ничего не делать?

Теперь защита информации попала в область банковского надзора, потому ответ – в ст.74 ФЗ «О Центральном банке Российской Федерации (Банке России)»: штраф в размере до 300 тысяч рублей (0,1 процента минимального размера уставного капитала) либо ограничение проведения кредитной организацией отдельных операций на срок до шести месяцев. В данном случае, видимо, операций по переводу денежных средств.

А вы все говорите: «Персональные данные, персональные данные!».

Банки, ау!

P.S. Не забудьте про обязательность повышения осведомленности персонала в области информационной безопасности и памятки клиентам, использующим системы ДБО. К ним тоже требований много. 

О кроте, иностранных заказчиках и украденных тайнах

Очередное уголовное дело, связанное с разглашением коммерческой тайны, закончилось обвинительным приговором и осуждением инсайдера.

Материалов  дела в открытом доступе найти не удалось, поэтому излагать свое видение ситуации буду на основе публикаций на официальном сайте ГУ МВД по г. Москве (см. ссылку выше) и статьи в газете «Коммерсант», а также изысканий наших аналитиков на сетевых судебных ресурсах.

В деле есть все классические признаки детектива – «крот» в стане обладателей охраноспособных результатов интеллектуальной деятельности, иностранцы, покушающиеся на самое святое – секреты российской компании, бдительная служба безопасности, дотошные следователи двух ведомств, завязка, кульминация и развязка. 

В России, скажем честно, не так много компаний, конкурентоспособных на мировом рынке. Одна из них – «Фосагро», ведущий мировой производитель фосфорсодержащих удобрений, фосфатного сырья, в том числе – кормовых фосфатов.

Раз на мировом рынке – значит, у нее есть то, что интересно участникам рынка. В том числе партнерам и покупателям, и не только нашим. Ничего личного, только бизнес.

Каким образом подружились Т., бывший работник отдела продаж «Фосагро», и московское представительство швейцарской дочки транснациональной компании Transammonia, имеющей филиалы по всему миру, неизвестно, да и неважно. Скорее всего, первые контакты были чисто деловыми: задача одного – продавать, цель других – покупать и перепродавать.

Дружба «крота» и новых друзей крепла. Оставшись «за начальника», Т. получил доступ к его почтовому ящику и перенастроил его адресацию. Теперь все приходящее руководителю попадало и подчиненному, уже вахту сдавшему. А уж он, как сообщается в пресс-релизе московской полиции, сведения «об объёмах производства кормовых фосфатов, условия их продажи, ценах, взаимоотношениях с клиентами» передавал партнерам-покупателям. История обычная. В некогда нашумевшем аналогичном деле менеджера по продажам «Северстали» фабула была абсолютно та же. Знание внутренней кухни продавца очень способствует улучшению позиции покупателя на переговорах.

Служба безопасности «Фосагро» активность своего работника обнаружила, руководство компании обратилось в Службу экономической безопасности ФСБ, которая в ходе доследственной проверки подтвердила самые худшие опасения. Работника-«крота» по ст.81 ТК РФ уволили, а за дело взялось Главное следственное управление ГУ МВД России по г. Москве, возбудившее уголовное дело по частям первой и второй ст.183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Вторая часть статьи используется, видимо, потому, что доказательств получения Т. вознаграждения за передачу сведений в ходе следствия не получено.

Первый раз я сталкиваюсь со случаем, когда подозреваемому одновременно вменяется первая часть этой статьи – собирание сведений, составляющих коммерческую тайну, путем похищения документов, или иным незаконным способом, и вторая – незаконные разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе. Но по характеру деяний это логично – Т. не только передавал ставшие ему известные секреты, но и нелегально добывал их из почтового ящика своего непосредственного начальника.

Попытка Т. оспорить увольнение в суде закончилась неудачей. Гагаринский суд г. Москвы, куда он обратился с иском, перенаправил дело в Петроградский суд Санкт-Петербурга по месту государственной регистрации работодателя, который на предварительном судебном заседании иск отклонил в связи с пропуском истцом без уважительных причин срока исковой давности для защиты права и установленного федеральным законом срока обращения в суд. 20 февраля 2013 года решение суда вступило в законную силу.

А 21 января 2013 года ГСУ ГУ МВД по г. Москве предъявило Т. обвинение в совершении преступления, в феврале прокуратура утвердила обвинительное заключение, дело ушло в тот же Гагаринский суд Москвы, куда подозреваемый ранее обращался с гражданским иском. И второе дело для него также оказалось неудачным - суд признал подсудимого виновным в совершении преступлений, предусмотренных ст.183 УК РФ, и приговорил его к одному году и девяти месяцам исправительных работ.

Приговор обжалуется в апелляционной инстанции Мосгорсуда, однако, в случае его вступления в законную силу, не исключен еще один гражданский иск, теперь уже со стороны «Фосагро». В материалах уголовного дела присутствуют данные о нанесении ущерба в размере 2 миллионов долларов.

А ст.1472 Гражданского кодекса сурова: «Нарушитель исключительного права на секрет производства, в том числе лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, а также лицо, обязанное сохранять конфиденциальность секрета производства…, обязано возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом».

Интересную позицию высказал адвокат обвиняемого: «В любом случае он не отдавал себе отчет в том, что передача информации является уголовно наказуемым деянием». Однако, даже если это и так, то, как известно, основанием для освобождения от уголовной ответственности быть не может.

У современного детектива, как принято, появилась и боковая линия.

Некий московский интернет-ресурс (а вот здесь ссылку давать не буду, рекламировать его совсем не хочу) в лучших традициях российской конспирологии переименовал работника отдела продаж в топ-менеджера компании, несколько раз передернул опубликованную информацию и высказал предположение, что Т. был умышленно подставлен, чтобы скрыть работу владельца компании на американский империализм.

Поистине, в интернете есть все. И отделять информацию от дезинформации все труднее и труднее. Немного не договорить, немного придумать, немного предположить. И вот отражение в зеркале перестало походить на оригинал. Век «вчера по телевизору сказали» безвозвратно ушел.

Рабочий день читателей моего блога. Вчера

9.00-10.00 Москвы. Первый пик. Прибыли на работу. «Так, что там новенького в интернете пишут?».

10.00-11.00 «Надо бы и делами заняться… Что там нам навалили?».

11.00-13.00 Второй пик. Дела разгребли. «Так что там с новеньким в интернете, я забыл?».

13.00-17.00 Обед, совещания, обсуждения, выполнение прямых обязанностей.

17.00-18.00 Третий пик. «Уф, устал, сколько же пахать можно. А почитаем, что там новенького?».

18.00 и далее. Дверь на замок, пора домой. «Сколько же можно работать? День прошел не зря».

Если нет мифов [в информационной безопасности], их надо придумать

Тема мифотворчества в информационной безопасности – одна из самых популярных. Их, эти мифы, любят рассматривать и опровергать, аргументируя свою позицию ссылками на мировой и личный опыт. Их собирают и систематизируют, рассматривают под лупой и в целом.

Прочтение последнего, по времени появления, материала, очередного борца с иллюзиями, на этот раз – из глубоко уважаемой компании Gartner, натолкнуло меня на мысль, что эти мифы порой создаются не коллективным творчеством масс специалистов, заблудших в поисках ответов на бесконечные «вызовы времени», и ищущих пути защиты и спасения, а рождаются в тихих кабинетах аналитиков с целью опровергнуть их затем публично и успешно.

Судите сами. Примерно месяц назад в зарубежных ИТ- и ИБ-изданиях (например, здесь) активно цитировалась публикация Jay Heiser из упомянутой компании. Похоже, это изначально была даже не статья, а презентация, но найти ее на сайте Gartner мне не удалось. Перевели ее и российские «Открытые системы».

Обсуждения высказанной точки зрения практически не было, все просто перепечатывали текст. Свое мнение хотелось высказать сразу, но времени не было совсем. Коль скоро тема не обсуждалась, а актуальности не потеряла, думаю, это возможно сделать и сейчас.

В публикации приводятся и опровергаются 10 мифов. Почему 10? Число красивое! Но как-то сразу вызывает подозрения. Если бы их было 8 или 11, у меня лично это доверия вызвало бы больше. Но Gartner число 10 очень любит. Погуглите, кто не верит.

По прочтении материала появилось устойчивое впечатление, что так, как опровергаемые автором специалисты, я не думаю, и, самое главное, не думал никогда. Более того, из разговоров с моими коллегами, партнерами, клиентами, из того, что я слышу на конференциях и читаю в интернете, складывается мнение, что так никто вокруг меня тоже не думает.

Но если заблуждение не является массовым, то откуда могут появиться мифы? Только из пробирки.

Итак, по порядку. Перевод немного не совпадает с «Открытыми системами», да не обидятся на меня коллеги.

Миф № 1. Этого не случится со мной. Среди специалистов по информационной безопасности этот миф родиться просто не мог, иначе место работы автоматически закрывается. Среди мифотворцев автор упоминает еще загадочных «бизнес-менеджеров». Если речь идет о топах, влияющих на процесс, то там мифы совсем другие: «Жили без этого, и еще поживем», «Столько лет ничего не случалось, с чего вдруг это случится?» и т.д. Но «Со мной не случится» - это уже какой-никакой, а риск-менеджмент: выявление угрозы, оценка риска и принятие решения по управлению им. А реальные мифы основаны на самом отрицании наличия угрозы и необходимости противодействия рискам.

Миф № 2. Бюджет на ИБ – это 10% общих затрат на ИТ. Это не миф. Это известный каждому просителю бюджета аргумент, основанный на «лучших практиках». Все знают, что никто никогда этой величины не считал, статистики нет, но как-то обосновывать свою долю в ИТ-проекте надо. Если это проект чисто айтишный, все знают, что 10% не видать, как своих ушей без зеркала. Но если удастся убедить руководство в открытии ИБ-проекта, бюджет будет не 10, а все 100%.

Миф № 3. Риски безопасности могут быть оценены количественно. Можно было бы ограничиться коротким «ха-ха». Наличие мифа как такового, во всяком случае, в России, опровергается наличием в методике актуализации угроз ФСТЭКа слов «Вербальные градации вероятности реализации угрозы», «Вербальная интерпретация возможности реализации угрозы» и «Вербальный показатель опасности угрозы». Количественно, говорите?

Миф № 4. Мы обеспечили физическую безопасность (или SSL), и теперь вы знаете, что ваши данные в безопасности. Само наличие в английской версии местоимений «мы» и «вы» готовит о том, что миф распространяется кем-то, не пользователем. Заказчиков, которые поверили бы в достаточность только физических мер защиты или использования криптографии, (см. Миф № 10) я не встречал никогда. Даже когда сам начинал быть заказчиком. И совершенно не понимаю, из каких реальных условий такой миф мог бы родиться.

Миф № 5. Уменьшение срока действия пароля и его усложнение снижают риски. А вот тут стоп. Это вовсе не миф, пока, во всяком случае. Отнесение этого утверждения к мифу основывается на высокомерном утверждении, что сама идея использования паролей глубоко ошибочна, потому что они не ломаются, а перехватываются. Многофакторная аутентификация, токены и биометрия, одноразовые пароли генераторов случайных чисел и систем синхронизации времени – это все здорово, но зачем они там, где стоимость информации меньше, чем системы аутентификации. Поживем еще с паролями. А тогда и время действия пароля, и его длина, и сложность имеют значение. И снижают риски.

Миф № 6. Выделение ИБ из ИТ автоматически обеспечивает хорошую (в подлиннике – good) безопасность. Что, правда, кто-то когда-то так думал? Автоматически? Да, во многих случаях (не всегда!) переподчинение ИБ руководителю службы безопасности или даже первому лицу (зависит от бизнеса) способствует снижению рисков, почему – написано многобукв. Но никогда это не рассматривается как панацея. Никакая оргмера не может ею стать. И кому, как не Gartner, это знать. Да и многие компании, делающие бизнес исключительно на ИТ (дата-центры, например), не имеют служб ИБ. Не читают они мифов древней Греции нового Gartner.

Миф № 7. Следование безопасным практикам – проблема руководителя ИБ. Миф какой-то путаный, непоследовательный. Тут и переложение на CISO (по-русски – руководитель службы информационной безопасности) всех проблем, и его неспособность дать ответы на все вопросы. Но на самом деле – это тоже не миф, а суровая реальность. Если произойдет инцидент ИБ, и ответственный за ИБ будет доказывать, что он сделал, все, что мог, а его не слушали, ответом будет «Плохо убеждали». Проверено. Переложить ответственность на чужие плечи не удастся. ИБ – проблема CISO. И хороший CISO отличается от плохого не наличием международных сертификатов, а умением строить отношения в компании. C ИТ-подразделением. С финдиректором. С директором по рискам, если он есть. С гендиректором, если сможет выйти на этот уровень. Но отвечает за все он. И это не миф. 

Миф № 8. Покупка универсального средства решает все проблемы. Ага. Серебряная пуля. Волшебная кнопка. Философский камень. Нет такого. Даже самые наглые продавцы в ИБ не пытаются его продавать. А это говорит о многом.

Миф № 9. Примем политику, и все проблемы будут решены. Даже самые замшелые консервативные адепты бумажной безопасности (ну вроде меня) никогда не говорили, что сама по себе политика решает проблемы безопасности. Проблемы решают выстроенные, в соответствии с политикой, процедуры и применяемые в соответствии с ней же средства. Миф высосан из пальца.

Миф № 10. Шифрование является лучшим способом сохранить ваши важные данные в безопасности. Никто из практиков так не думает и не думал. Никогда. А уж у нас, учитывая специфику использования средств шифрования, к ней прибегают только тогда, когда обойтись без нее решительно невозможно. С автором не поспоришь в том, что для применения криптографии надо иметь соответствующий опыт и знания. Но вот в то, что это «чаша Грааля» или «волшебная пуля» может поверить только дилетант, начитавшийся кривых учебников по криптографии. Если наивные до такой степени дилетанты в сфере ИБ вообще существуют.

Так зачем творить несуществующие мифы, спросите вы меня. Читайте сигнатуры аналитика к снадобьям от мифов (Cure в тексте): выявление первопричин проблем системы безопасности, создание программы информационной безопасности внутри корпоративной культуры, методический анализ рисков и приоритетов, многолетние планы обеспечения безопасности и т.д.

У вас еще есть вопросы?

На смерть банковской тайны

Похоже, основной формой моего блога становится панегирик (см. русскую Википедию – до 18-го века литературный жанр, представляющий собой речь, написанную по случаю чьей-либо смерти). Смерть приватности в самом широком смысле этого слова мы уже обсуждали и затрагивали тему банковской тайны. Тенденция получила ожидаемое развитие.

Активное обсуждение законов о защите чувств верующих и пропаганде нетрадиционности в личной жизни для меня выглядят дымовыми шашками для гораздо более интересного Федерального закона от 28.07.2013 № 134-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям». 38 листов закона содержат поправки в 26 законодательных актов и прямо касаются,  абсолютно каждого из нас.

Анализировать все в одном блоге невозможно и бессмысленно, да и многие поправки выходят далеко за пределы тематики моих обычных постов.

Но вот на то, что впрямую касается информационной безопасности в самом широком смысле, посмотреть стоит очень внимательно.

Самое главное, как мне кажется, с точки зрения обеспечения конфиденциальности, - банковской тайны в привычном понимании теперь у нас больше нет. В соответствии со ст.1 134-ФЗ, изменяющей закон «О банках и банковской деятельности», сведения о наличии счетов, вкладов (депозитов), об остатках денежных средств на счетах, вкладах (депозитах), по операциям на счетах, по вкладам (депозитам) организаций, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, физических лиц предоставляются кредитной организацией налоговым органам в порядке, установленном законодательством Российской Федерации о налогах и сборах. Новый закон тут же заботливо расписывает, а что это за порядок такой. Статья 10, меняющая Налоговый кодекс, определяет следующую процедуру: для получения налоговиками банковской тайны никакого решения суда, в отличие от субъектов оперативно-розыскной деятельности, не требуется.

Банки теперь обязаны выдавать налоговым органам все эти сведения в течение трех дней просто по мотивированному запросу налогового органа в случаях проведения налоговых проверок, при вынесении решения о взыскании налога, принятии решений о приостановлении или отмене операций по счетам и переводов электронных денежных средств. Для физлиц такая возможность немного ограничена – на запрос требуется согласие руководителя вышестоящего органа или руководителя (зама) ФНС, а повод ограничивается проведением налоговых проверок.

Кроме того, в соответствии с изменениями, внесенными в «антиотмывочный» 115-ФЗ, расширяется круг лиц, обязанных предоставлять информацию Росфинмониторингу – это требование теперь относится не только к органам власти и местного самоуправления, Банку России, но и к ПФР, ФОМС и ФСС, госкорпорациям и иным организациям, созданным государством на основании федеральных законов и для выполнения задач, поставленных перед государственными органами. И не просто предоставлять, но и обеспечивать автоматизированный доступ к своим базам данных, видимо, по смыслу закона – on-line, хотя прямо этого и не сказано.

Предоставление всей этой информации «не является нарушением служебной, банковской, налоговой, коммерческой тайны и тайны связи (в части информации о почтовых переводах денежных средств), а также законодательства Российской Федерации в области персональных данных».

Для интересующихся темой персональных данных есть еще одна тема для размышлений. Закон экспоненциально расширяет круг лиц, имеющих ограничения в связи с наличием судимости и, соответственно, число организаций имеющих право и обязанность такие сведения о гражданах обрабатывать. К руководителям банков, их филиалов и отделений, их замам, главбухам и замам в банках, ОАО, внебюджетных фондах, педагогическим работникам в один момент добавились члены советов директоров, топ-менеджеры, главбухи и даже акционеры (есть масса конкретных нюансов, но общая норма – более 10% акций) лизинговых компаний, инвестфондов, микрофинансовых организаций, субъектов страхового дела, профессиональных участников рынка ценных бумаг, негосударственных пенсионных фондов,

А не про персональные данные – это про электронный документооборот и его значимость.

Предприятия и организации, обязанные представлять налоговую декларацию в электронной форме (а это теперь практически все), должны обеспечить получение от налогового органа в электронной форме по каналам связи необходимых документов и передать налоговикам квитанцию об их приеме в электронной форме в течение 6 дней со дня их отправки налоговым органом. А если через 10 дней такая квитанция не поступит, руководитель налогового органа или его зам имеет право принять решение о приостановлении операций налогоплательщика-организации по его счетам в банке и переводов его электронных денежных средств.

Вообще, приостановление операций по счетам – одна из главных фишек нового закона. Такое право и обязанность теперь предоставлено руководителям налоговых органов и их замам, организациям, осуществляющим операции с денежными средствами или иным имуществом в случаях, определенных 115-ФЗ, с административной ответственностью за невыполнение требований до 500 тысяч рублей.

Есть там и масса других интересных нововведений. Но об этом (особенно о бенефициарах) – позже, если руки дойдут J. 

Взгляд из-за океана: персональные данные – что это?

Европа и Америка готовятся к пересмотру подходов к защите персональных данных. Это, в общем-то, логично. Европейская Конвенция, из-за желания следовать которой (не вполне добровольного) родился российский закон «О персональных данных», была принята в далеком 1981 году, когда интернета, соцсетей и электронной коммерции в современном понимании не было. Да и пластиковые и электронные деньги для большей части населения земли были экзотикой.

Жизнь изменилась, должны меняться и законы. Россия тоже не в стороне от этого процесса. Уполномоченный орган, один известный сенатор и один не менее известный думец постоянно говорят о необходимости достаточно радикального изменения закона и дороге к европейским нормам.

К процессу выработки новых правил активно подключились глобальные интернет-компании, последнее время находящиеся в центре бесконечных скандалов, связанных с приватностью, использованием попавших в их руки данных о гражданах, доступом спецслужб к их серверам, а, следовательно, и к нашим данным. Естественно, что лоббируется максимальная либерализация правил, определяющих порядок использования персональных данных, в первую очередь – доступа к ним, передачи третьим лицам и хранения в течение неограниченного времени без согласия клиентов. Даже одиозный CISPA, головную боль Банка России, и не только его, Google, Microsoft, Yahoo, Cisco, Oracle и Marvell дружно поддержали.

Евгений Бартов разместил перевод весьма интересной статьи Вильяма Бэйкера (William B. Baker) и Энтони Матьяшевски (Anthony Matyjaszewski) ««Персональные данные» и «неперсональные данные»», опубликованной на сайте International Association of Privacy Professionals (IAPP), в которой представлен заокеанский взгляд на то, что же на самом деле требует защиты из неопределенной массы «любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу». Специалисты IAPP изучили определения персональных данных в 36 законах о защите данных 30 стран.

Для начала я бы обратил внимание, что в «Директиве Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных» после слов про «прямо и косвенно», так глянувшихся нашим депутатам, идут слова про определение этого самого лица через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности. А в Европейской конвенции речь идет о «конкретном или могущем быть идентифицированным лице». Все-таки европейские нормы говорят, в первую очередь, именно об идентификации, а не просто об информации, относящейся к кому-то. Она вся к кому-то относится.

Но самое интересное – это вывод авторов о том, что ни один из рассмотренных в исследовании законов не требует, чтобы лицо действительно было идентифицировано. Они либо оставляют такую возможность, используя термин identifiable (поддающийся идентификации), либо конкретизируют, что данные являются персональными, если по ним можно идентифицировать субъекта или с их помощью субъект ПДн поддается идентификации. Таким образом, даже малейшая возможность идентификации лица может быть достаточной для того, чтобы отнести данные к ПДн.

А теперь, после затравки, - про статью. Главный ее посыл в том, что, прежде чем говорить о защите персональных данных, необходимо определиться, что защищать надо, а что вовсе в этом не нуждается. С подачи Джулии Брилл, члена Федеральной торговой комиссии США, использовавшей вынесенные в заголовок термины «персональные данные» (personally identifiable information, PII) и «неперсональные данные» (non-PII) авторы статьи препарируют блюдо, пытаясь разделить в нем собственно котлету и мух.

В результате анализа законодательства уже упомянутых 30 стран (!) авторы приходят к неожиданному для нас с вами выводу, что во всех законах, даже размытых европейских, речь всегда идет об идентифицирующих данных. Вот кто бы это объяснил нашим законотворцам и применителям. За рубежом законодатели иногда даже опускаются до унылого перечисления всего того, что к таким данным относится, создавая фактически исчерпывающие перечни. Порадовал вывод: «Гибкие формулировки [определения ПДн] позволяют адаптироваться к будущим изменениям, но при этом создают неопределенность».

Следующие важнейшие вопросы касаются того, надо ли защищать только зафиксированные на материальном носителе данные, или любые, в том числе, например, просто произнесенные, и какие способы их фиксации влекут необходимость защиты. Нам бы их проблемы. У нас бабушку с внучкой в больнице не принимают, считая, что бабушке без нотариальной доверенности на представление интересов ребенка про ОРЗ внучки знать нельзя.

Следующая глобальная проблема – надо ли защищать ложные сведения о субъекте? Без комментариев. Надо, думают в некоторых странах. И фиксируют это в законах.

Отдельная тема – про публичные личности. Где граница допустимости обработки персданных Барака Обамы (в переводе – Владимира Путина :-)) и есть ли она?

Очень интересный вопрос – рабочая контактная информация. В документах наших клиентов приходилось видеть такие шикарные формулировки, как «допустимость использования имени (имени и отчества) при личном обращении к субъекту на территории предприятия и согласие на это». Это уже жесть, что называется «довели народ до кондиции». Кстати, вопрос использования адреса электронной почты и отнесения почтовых систем к ИСПДн остается весьма нетривиальным.

А как вам персданные только живых или неживых людей, в том числе не рожденных?

Мы в своей практике уже не раз сталкивались с оценкой правомерности обработки персданных умерших субъектов, являвшихся стороной договора с оператором, и оценки правомерности обработки данных их правопреемников, наследников и выгодоприобретателей. И мало не показалось никому.

В оценке идентифицирующих данных крайне интересными являются подходы к отнесению к этой категории данных IP-адресов, как статических, так и динамических, цифровых отпечатков или, например, конфигурации компьютера субъекта, особенностей использования браузеров, шрифтов или кликов мышью.

А как насчет ваших данных, сдаваемых управляющим и ресурсопоставляющим компаниям, операторам связи и прочее-прочее? Они вас идентифицируют? По каким признакам?

Общий вывод и совет интересующимся проблемой. Почитайте. Крайне интересно. Вдруг среди вас окажутся пишущие законы… И мы включимся в общемировой процесс обсуждения этих проблем. Их же все-таки надо решать.

Изменения в законодательстве о персональных данных: почему 14, а не 23 или 17?

Принятый Думой 26 апреля сразу во втором и третьем чтении после почти 8-летнего нахождения под сукном и подписанный 7 мая 2013 г. Президентом Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”» в конечном итоге оказался не очень похож на тот, который прошел первое чтение.

Первоначально предполагалось, что изменения будут внесены в 23 закона, в конечно варианте таковых оказалось чуть больше половины – 14 (в том порядке, как они расположены в законе):

●      «О прокуратуре Российской Федерации»

●      «Об актах гражданского состояния»

●      «О негосударственных пенсионных фондах»

●      «О государственной дактилоскопической регистрации в Российской Федерации»

●      «О государственной социальной помощи»

●      «О государственном банке данных о детях, оставшихся без попечения родителей»

●      Трудовой кодекс Российской Федерации

●      Гражданский процессуальный кодекс Российской Федерации

●      «О системе государственной службы Российской Федерации»

●      «О связи»

●      «О лотереях»

●      «О государственной гражданской службе Российской Федерации»

●      «О муниципальной службе в Российской Федерации»

●      «Об образовании в Российской Федерации».

Какие законы в конечную редакцию не попали? Список тоже очень интересный:

●      «О Федеральной службе безопасности»

●      «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

●      Воздушный кодекс Российской Федерации

●      «О воинской обязанности и военной службе»

●      «О статусе военнослужащих»

●      Кодекс Российской Федерации об административных правонарушениях

●      «Об электронной цифровой подписи»

●      «Об обязательном страховании гражданской ответственности владельцев транспортных средств»

●      «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации»

●      «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»

●      "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации"

●      «О выборах Президента Российской Федерации»

●      «О Государственной автоматизированной системе Российской Федерации "Выборы"».

А вот изменения в этих законах, попавших в итоговый документ, при первом чтении вообще не рассматривались:

●      «О государственной социальной помощи»

●      Гражданский процессуальный кодекс Российской Федерации

●      «О муниципальной службе в Российской Федерации»

●      «Об образовании в Российской Федерации».

Можно достаточно долго и подробно рассуждать  на тему, почему это произошло, как отличаются первоначальные предложения от принятых в законе и к чему это ведет, но времени и места для этого нет. Детально с последствиями принятия закона будем разбираться на курсах и семинарах, ближайший из которых пройдет в Учебном центре «Информзащита» 27-28 мая.

Все внесенные изменения я бы разделил на три основных части:

1)    локальные, касающиеся ограниченной группы субъектов, и не влияющие на деятельность основной массы операторов;

2)    уточняющие нормы специальных законов;

3)    носящие принципиально новый характер и изменяющие условия обработки персональных данных.

К первой группе относятся корректировки законов о прокуратуре, о системе государственной службы, о государственной гражданской службе, о муниципальной службе, об актах гражданского состояния, которые уточняют конкретные нормы доступа к персональным данным для соответствующих категорий служащих и их обработки.

Ко второй группе я бы отнес изменения в закон о дактилоскопической регистрации. Однако изменения эти минимальны (теперь прямо сказано, что дактилоскопическая информация – это биометрические персональные данные, и сообщено об обязанности обеспечивать их безопасность и об ответственности за нарушения требований закона, как будто это прямо не вытекает из существовавших уже норм). А вот противоречия в основаниях для обязательной обработки дактилоскопии между частью 2 ст.11 ФЗ «О персональных данных» и ст.9 закона о дактилоскопической регистрации никак не устранены. Жаль, а можно было. Сюда же попадают и изменения в закон «О государственном банке данных о детях, оставшихся без попечения родителей».

Во вторую группу включаю очень полные и подробные новые нормы закона «О лотереях», регламентирующие обработку персданных участников. Чувствуется уверенная рука лоббистов!

Третья группа включает изменения в закон о негосударственных пенсионных фондах, достаточно радикально решающие вопросы получения согласия субъектов персональных данных и передачи их обработки третьим лицам, я об этом достаточно подробно уже писал ранее.

Такого же уровня и значимости изменения внесены и в закон «О связи», освобождающие оператора связи от обязанности получать согласие абонента на передачу его данных иным лицам с целью заключения и исполнения договора.

К этой же группе я отношу изменения в закон «О государственной социальной помощи», наделяющие орган, осуществляющий ведение Федерального регистра лиц, имеющих право на получение государственной социальной помощи (Пенсионный фонд Российской Федерации), полномочиями по определению правил ведения регистра и доступа к информации в нем.

И сюда же, в третью группу, я бы включил и изменения в Трудовой кодекс. Они кажутся минимальными и техническими, но отмена ст.85, определяющей понятие персональных данных работника, представляется весьма неудачной и даже опасной.  В утратившей силу статье обработка персональных данных работодателем четко ограничивалась трудовыми отношениями и конкретным работником, применение же расширительного толкования определения из 152-ФЗ ничего, кроме головной боли, операторам не добавит.

Новая часть ст.29 Гражданского процессуального кодекса наделяет субъекта персональных данных правом подавать иски о защите прав, в том числе о возмещении убытков и компенсации морального вреда по месту жительства истца, что также весьма важно, учитывая количество нарушений, приходящихся на область интернет-коммерции. Вот только активного использования этого права в стране пока не наблюдается.

Отдельного пояснения заслуживают изменения в закон «Об образовании». Уточняя часть 4 ст.98 в части порядка формирования и ведения федеральной информационной системы, региональных информационных систем в системе образования, закон исключает из этой статьи все нормы, предусматривавшие возможность обработки персданных в рамках ЕГЭ без согласия участвующих в процессе субъектов. Это изменение можно было бы только приветствовать, но при одном условии – если бы в нем, наконец, появилась норма, ясно и четко говорящая о том, что для реализации возложенных законом на образовательное учреждение функций и полномочий не требуется получения согласия участников процесса обучения на обработку их персональных данных, необходимых для этого. Очевидно, что школа не может работать без персданных учеников, их родителей и законных представителей. Всем очевидно. Кроме законодателей. И школы, детские сады, колледжи и вузы который год собирают какие-то бессмысленные и нарушающие права граждан согласия на обработку.

Подводя итоги этого обзора, который, к сожалению, не получился коротким, пора ответить на вопрос, вынесенный в заголовок. Отвечаю. А не почему. Просто так получилось. У нас более сотни законов и 250 постановлений Правительства, так или иначе регулирующих обработку персональных данных. Исправили (да и то фрагментарно) 14. Нашлись силы, которые добились изменения именно в них. На остальные, видимо, «толкачей» не объявилось. И когда теперь появятся – неизвестно.

Особого внимания заслуживает тот факт, что внесенные изменения все-таки не коснулись Кодекса об административных правонарушениях, ужесточения наказания не произошло, новых составов правонарушений не появилось, а функции по привлечению нарушителей к ответственности инспекторам Роскомнадзора не переданы. Я отношу это к традиционным для Думы сдержкам и компенсациям. Жизнь некоторым операторам упрощена, изменения сделаны – пока можно ограничиться и этим.

Между тем изменения, и гораздо более серьезные, давно нужны. Несоответствие 152-ФЗ и других законов в части получения согласия субъектов, в том числе – на передачу третьим лицам, а также информирования субъектов о начале обработки данных, полученных от других лиц, коллизии с банковской и врачебной тайной, невозможность реализации своих полномочий без обработки персданных в некоторых видах деятельности и отсутствие оснований их обрабатывать в статьях 6,10, 11 и 12 закона «О персональных данных» требуют регулирования именно законами. И противоречивая практика правоприменения лишь обостряет эти проблемы.

Об искусстве, информации и пропаганде

Насколько далеко можно идти, определяя допустимую и недопустимую информацию для наших детей, да и для нас тоже? Следуя логике наших законодателей, возникает вопрос, а должен ли быть запрещен к распространению, например, роман Л.Н.Толстого «Анна Каренина», суицид в котором – одно из центральных мест, определяющих нравственную позицию главной героини, а также все возможные вариации романа – экранизации, балеты, электронные версии в интернет-библиотеках и т.п.? Допустима ли пропаганда ненависти к социальной группе ростовщиков (банкиров), материальным воплощением которой стал удар топором Раскольникова?

Попытки подменить цензуру, запрещенную российской Конституцией, на многочисленные черные списки со ссылками на еще более жесткое зарубежное законодательство, которое, впрочем, даже не цитируются при обосновании необходимости дальнейшего регулирования (ограничения) контента ресурсов в Интернете, наводят на эти мысли постоянно.

Есть такой город в Черногории – Будва. Фактически центр туристического бизнеса со всеми его атрибутами: отличными многокилометровыми адриатическими пляжами, пиниевыми рощами, бесчисленными ресторанами и ресторанчиками, и, наконец, старым городом, история которого насчитывает две с половиной тысячи лет.

А главным преданием древнего города является легенда о двух влюбленных, давшая имя городу. Искусный каменотес Марко полюбил девушку Елену, родители которой воспротивились браку с неровней. Несчастные влюбленные бросились с городской стены в море, но боги смилостивились над ними и превратили в рыб. Кто-то при этом воскликнул «Ко едно нек буду два!» - «Пусть одним будут эти двое», отсюда и Будва – «буду два». Появилась странная рыба, состоящая из двух половинок, ставшая эмблемой города и размещенная на городской стене (предание, заметьте, никто не запретил по причине наличия суицида).  

В этом году в городе среди прочих бесчисленных летних праздников уже прошел карнавал. А предшествовал ему конкурс детского рисунка на тему городских «духовных скреп», как теперь говорят у нас.

Результаты конкурса вывешены перед крепостной стеной, традиционно являющейся декорацией для главных городских событий. 

Центральное место в экспозиции заняли иллюстрации детей к главной городской легенде и символу города.

Вот, например, признание в любви, слезы отчаяния и принятие трагического решения о смерти вдвоем.  

А вот - последнее мгновение перед шагом с городской стены в море. 

Судя по рисункам, авторы – еще дошкольники.

Наверное, организаторы конкурса тоже думали о детской психике, о недопустимости пропаганды суицида, о нравственном здоровье. Но посчитали все это возможным, и даже важным и полезным. И не было никаких сообщений, что после конкурса кто-то пытался повторить столь радикальное решение вопроса о допустимости встреч юных влюбленных, хотя наверняка не всем родителям черногорских ромео и джульет нравятся избранники их любимых чад. И не одно поколение городских жителей эту легенду с детства знает, и туристам, и туристам, и семьям с детьми тоже рассказывают.

Я к тому, что, может, не стоит запрещать все то, что кажется опасным для детской психики людям, уполномоченным на то государством? Может, родители сами разберутся с допустимостью чтения Шекспира, временем и возможностью знакомства с судьбой бедной Лизы и Катюши Масловой? Ведь выросли же на этих произведениях и мы с вами тоже…

И Интернет здесь совсем ни при чем. В созданных веками произведениях искусства – книгах, фильмах, живописи, гораздо больше того, что подходит под определение ресурсов, доступ к которым в сети должен быть ограничен, чем в созданных специально для размещения на интернет-сайтах. И «Курение мака» Грема Джойса или советские «Вам и не снилось» Галины Щербаковой (повесть) и Ильи Фрэза (фильм) – совсем не про пропаганду наркотиков и смерть (хотя цензура вмешалась в советскую повесть про влюбленных и тогда).  

Может, не надо запрещать так много? Запретный плод вызывает интерес. Провести грань между искусством, информацией и пропагандой иногда очень сложно. Но очень важно в конечном итоге.