Персональные данные в негосударственных пенсионных фондах

Когда речь идет о проектах, связанных с приведением порядка обработки персональных данных в соответствие с федеральным законодательством, очень часто приходится слышать мнение, что дело это простое, шаблонное, думать особо не надо, требования закона одни для всех и т.д. То есть, проблем нет – взял в интернете любой шаблон, подставил нужное название – и все дела. С результатами такого подхода мы сталкивались не раз, когда после прочтения документов, уже имеющихся у клиентов и сделанных весьма солидными компаниями понять, чем занимается оператор, чьи данные, и зачем он обрабатывает, было абсолютно нельзя. Ну, когда торчат ушки другого заказчика, это понятно, тут и обсуждать нечего. А вот когда при всем желании нельзя определить, для кого написаны положение и политика – для банка, провайдера вычислительных услуг или трубного завода – случай уже клинический, хотя и не редкий.

Так получилось, что за прошедший год наше агентство сделало несколько проектов для негосударственных пенсионных фондов, промежуточным итогом которых стало участие в подготовке изменений законодательства, о котором я писал.

На примере этих проектов как раз и можно разобраться, насколько такая работа шаблонна, и чем один проект отличается от другого.

Первая и главнейшая задача – выявить все категории субъектов, чьи данные необходимы фонду для выполнения своих функций в соответствии с законом. В дополнение к традиционным категориям, характерным для каждого из операторов – работникам (в том числе бывшим), соискателям вакантных должностей, представителям контрагентов и посетителям  добавляются весьма специфические группы: вкладчики и участники фонда (а это не всегда одно и то же), застрахованные лица, заключившие договора об обязательном пенсионном страховании, и лица, в пользу которых заключены договора о создании профессиональной пенсионной системы, правопреемники участников фонда и застрахованных лиц (не будем забывать о бренности жизни и сроках, когда наступают выплаты), страхователи, представители субъектов, обращающиеся в фонд по их поручению и др.  

Для каждой такой категории необходимо четко определить правовые основания обработки данных, при необходимости – способы получения согласия на это субъектов (оно должно быть конкретным, информированным и сознательным, и при необходимости оператору придется это доказывать), сформулировать цель обработки персональных данных и конкретные группы сведений, которые необходимо обрабатывать фонду как оператору. Здесь не обойтись без анализа специальных законов. Кроме очевидного «О негосударственных пенсионных фондах» придется покопаться и в таких, как «Об обязательном пенсионном страховании в Российской Федерации», «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений», «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» и так далее... Эти законы очень важны для определения не только состава обрабатываемых персональных данных, но и сроков их хранения. Например, выяснится, что персональные данные, связанные с трансфер-агентской деятельностью, должны храниться в фонде 6 лет. Или что одной из целей обработки персональных данных работников и их близких родственников является предотвращение конфликтов интересов, для чего необходимы весьма специфические сведения – о наличии у должностных лиц фонда и их родственников в собственности ценных бумаг или долей в уставном капитале организаций, в которые инвестированы средства пенсионных накоплений и наличии заинтересованности в изменении их рыночной цены.

В каждом фонде появляется своя специфика, связанная, например, с размещением вычислительной инфраструктуры в коммерческом облаке или дата-центре по схеме SaaS, PaaS или IaaS (а это сегодня – сплошь и рядом, при этом регулирование отношений между провайдером и фондом может быть осуществлено по совершенно разным схемам), привлечением различного рода организаций – колл-центров, служб доставки, рекламных, ивент-агентств и т.д к работе с клиентами фонда (существующими и потенциальными), и опять-таки, необходимость оценки правовых оснований и условий передачи им персональных данных, наличием и содержанием поручения на обработку. Для агентов и брокеров, действующих в интересах пенсионного фонда, целью такого поручения может быть и сбор персональных данных для заключения фондом в дальнейшем договора пенсионного обеспечения с субъектом.

Все эти вопросы необходимо отразить в локальных актах фонда, в том числе – политике в отношении обработки персональных данных. Если фонд создает на своем сайте для клиентов такой популярный сервис, как личный кабинет, политика должна быть опубликована на сайте обязательно.

И заключительный момент – оценка необходимости направления фондом уведомления об обработке персональных данных в Роскомнадзор. По нашему опыту, под исключения, определенные частью 2 ст.22 ФЗ «О персональных данных», негосударственные пенсионные фонды не подпадают в силу наличия категорий субъектов, не являющихся участниками или выгодоприобретателями по договорам пенсионного страхования и обеспечения. К тому же фраза «персональные данные также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» и отсутствие в нем упоминания таких оснований для предоставления персональных данных, как случаи, предусмотренные федеральными законами, вообще ставит под сомнения существование исключений в принципе. И практика применения Роскомнадзором ст.19.7 КоАП такой вывод подтверждает.

Вот, если коротко, что такое учет специфики деятельности негосударственного пенсионного фонда оператора. А более подробно об этом можно будет поговорить 16 октября на конференции «Защита персональных данных и автоматизация на финансовом и пенсионном рынках», которую организует и проводит Национальная ассоциация негосударственных пенсионных фондов, пригласившая меня принять участие в мероприятии.

Информационная безопасность железных дорог

По просьбе журнала для менеджмента РЖД я написал статью о проблемах информационной безопасности, которые в первую очередь затрагивают интересы бизнеса транспортников. На мой взгляд, это безопасность АСУ ТП, особенно использующих интернет в качестве транспорта, персональные данные пассажиров, on-line бронирование и приобретение билетов, коммерческая тайна. Если покопаться в интернете, окажется, что сайты и информационные системы железных дорог – одни из самых атакуемых. И то, что ЧП там происходят в основном в силу человеческого фактора, как нам сообщают СМИ, – это еще большой вопрос. Упражнения на PH Days со SCADA от Siemens как-то такой уверенности не вселяют. Правда, в том же журнале менеджеры перевозчиков, довольно далекие от безопасности, уверяют, что все у них хорошо. Но показалось важным, что значительная часть номера весьма специфического журнала со специфической же аудиторией посвящена проблемам безопасности. Не антитеррористической деятельности, не транспортной безопасности и не кадровой даже. Информационной.

Говорят, журнал читает не просто менеджмент, а топ-менеджмент железнодорожного монополиста. Если так, может, кто-то действительно прочитает и задумается.

Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале Security Lab, где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных (здесь и здесь, например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.

Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.

С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:

·         характеризуют физиологические и биологические особенности человека;

·         на основании которых можно установить его личность;

·         которые используются оператором для установления личности субъекта персональных данных.

Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».

Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.

Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.

К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».

Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».

Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.

Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».

С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.

Базаданныхмания

Нас решили внезапно пересчитать, рубрицировать и систематизировать. Разложить по таблицам, полям и записям. Чтобы было о каждом все  учтено и записано. Те, кто писал базы данных, понимает.

За последний месяц (всего месяц!) количество инициатив, связанных со всевозможными формами учета недосчитанных жителей страны, просто зашкаливает. Причем на каждую отдельную базу есть разумное и убедительное обоснование.

ФМС совместно с Росфинмониторингом подготовили законопроект, в соответствии с которым предполагается создать единую базу данных граждан, в которой, помимо фамилии, имени и отчества, будут данные о регистрации и месте пребывания, паспортные данные (если гражданину меньше 14 лет – реквизиты свидетельства о рождении и (внимание!), если гражданин умер – данные свидетельства о смерти), номер индивидуального лицевого счета в системе обязательного пенсионного страхования и информация о судимости. Особенно радует последнее. Обосновывается тем, что отбывание наказания предполагает снятие с регистрационного учета.

Законопроект возлагает на ФМС обязанность вести адресно-справочную работу по предоставлению информации о регистрации граждан по месту пребывания и по месту жительства. Зато при его принятии госорганам будет запрещено требовать от заявителя документы, подтверждающие регистрацию по месту жительства. В открытом доступе законопроекта пока нет. Остается только догадываться, кому и как такая информация будет предоставляться. Среди просочившихся сведений – наличие доступа к этой базе банков, которые давно добиваются такой возможности. О том, смогут ли получить сведения из этой базы сами граждане, правительственный пресс-релиз скромно умалчивает. Депутат Госдумы Вадим Соловьев с коммунистической прямотой утверждает, что создание такой базы в отношении россиян – правильный шаг, она поможет отслеживать уклонение от армии, налогов, алиментов, штрафов.

Возможно существенное расширение круга сведений, включаемых в кредитные истории, а также источников их пополнения. Минэкономики опубликовало финальную версию изменений в закон «О кредитных историях», которая предусматривает введение обязанности передавать данные хотя бы в одно бюро кредитных историй (БКИ) для микрофинансовых организаций, коллекторов, приобретших долги, конкурсных управляющих при банкротстве кредитора. Право передавать данные в бюро получат любые лица, долг перед которыми подтвержден решением суда, а также кредитные кооперативы. Закон вводит обязанность передачи в БКИ сведений о кредитах и долгах индивидуальных предпринимателей, юрлиц – вообще без их согласия. Граждане пока устояли. Но это уже пустая формальность – попробуйте получить кредит без согласия на доступ к кредитной истории.

Руслан Гаттаров, глава комиссии Совета федерации по развитию информационного общества, предлагает создать в России …, естественно, единую базу данных. На этот раз – по запросам ведомств в отношении персональных данных граждан, что «позволит избежать злоупотреблений при использовании персональных данных россиян». Сенатор высказал предположение, что доступ к ней субъекты могли бы получить через личный кабинет на портале госуслуг. Главная проблема при создании такой базы – чтобы «подобная информация не мешала оперативно-разыскной деятельности».

И обращаться за электронными госуслугами, похоже, скоро будет можно только с помощью специально создаваемой электронной почты. Никаких там публичных сервисов и корпоративных ящиков. Обратная связь предполагается …, конечно, с участием «Почты России». Орган власти или местного самоуправления отправляют электронное сообщение на официальный электронный ящик получателя, а его копию — на официальный электронный ящик территориального отделения почтовой связи, ближайшего к адресу места жительства получателя. «Распечатка и конвертирование корреспонденции будет осуществляться на «Почте России» автоматически, в целях сохранения конфиденциальности». Без комментариев.

Минздрав создает базу данных историй болезни с «ограниченным доступом пациентов» через интернет. ФСИН создает базу дактилоскопических данных адвокатов, и при отказе адвоката предоставить пальчики администрация следственных изоляторов препятствует встрече с подзащитными.

Для обеспечения возможности перехода от одного оператора сотовой связи к другому с сохранением номера создадут единую базу этих самых номеров. Ну, а чтобы работа зря не пропала и был какой-никакой задел на будущее, базу создадут с небольшим запасом. Как сообщается, задачей оператора базы данных будет не только перенос номера, но и предоставление запрашиваемой информации как абонентам и операторам связи, так и опять-таки банкам и платежным системам. Общее количество запросов может достигать несколько миллиардов в день. Несколько неожиданно. Банки, платежные системы…

Глава удостоверяющего центра оператора Yota предложил Дмитрию Медведеву повсеместно внедрить сим-карты с поддержкой электронной подписи и, конечно же, данные обо всех сим-картах гражданина хранить в единой базе данных идентификации.

И наконец, на МВД возложено ведение списка лиц (читай – базы данных), которым запрещено посещение официальных спортивных соревнований. Информация о таких лицах будет предоставляться в Министерство спорта РФ. Организаторы официальных спортивных соревнований теперь должны вместе с собственниками или пользователями стадионов и прочих объектов установить требования к продаже входных билетов, препятствующие попаданию на матчи, соревнования и пр. лиц из «черных списков». «Билеты болельщикам «Зенита» на ближайший матч с «Динамо» будут продаваться только по предъявлению паспортов». Стартовали.

Уже вижу вопросы в комментах: «А что, Вы против? Порядка, честности, доступности и т.д.?»

Нет, я за. Но у меня есть условие. Как у субъекта и гражданина. Тот, кто решил эти базы создавать, должен сделать так, чтобы ими не торговали. А если они попадут в продажу – так, чтобы виновные сидели в тюрьме, а организации, этими данными владевшие (а возможно, и их защищавшие) – оказались банкротами или были расформированы.

Напоследок – бинго. «Национальная служба взыскания», безуспешно судившаяся со своим бывшим сотрудником, рассказавшим о методах работы коллекторов правоохранительным органам, активно использовала в своей деятельности базы данных. Перечисляю названия: «Магистраль», «Поток», «Розыск», ЗИЦ, ЦАБ ГУВД Москвы. Вы не знаете, чьи это базы, и где коллекторы их взяли? А теперь добавьте к ним все те, о которых я рассказал выше (болельщиков-буянов для чистоты картины можно не считать). И представьте, что они есть не только у коллекторов. Я думаю, богатого воображения для этого не надо.  

Инциденты с персональными данными: почувствуйте разницу

Всего три сухих сообщения последнего месяца.

Проверка транспортной прокуратуры подтвердила факт публикации на одной из страниц официального сайта ОАО «Тюменское центральное агентство воздушных сообщений» персональных данных пассажиров с указанием их фамилии, имени, отчества, даты рождения, места проживания, паспортных данных, маршрутов полетов и прочих личных данных за период с 20 июля 2005 года по 26 июня этого года (8 лет!). Организации придется выплатить штраф – 5000 рублей (!). Виновные в нарушении закона были привлечены к дисциплинарной ответственности, а выявленные нарушения закона о персональных данных обществом устранены.

Американская страховая компания WellPoint Inc, которая специализируется на медицинском страховании, согласилась выплатить $1,7 млн (!) штрафа за утечку персональных данных более 612 тыс. своих клиентов. Личные данные о клиентах из базы данных страховщика попали в Интернет в период с октября 2009 г. по март 2010 г. (полгода!). В результате в свободном доступе оказались имена, даты рождения, адреса, номера социального страхования и мобильных телефонов, а также информация о состоянии здоровья клиентов.

Нью-йоркский велопрокат Citi Bike уведомил своих пользователей о том, что их персональные данные были размещены в общем доступе в интернете и, теоретически (!), могли быть украдены злоумышленниками. Личная информация, включая имена, даты рождения, номера банковских карт, сроки их действия и секретные коды, содержалась в «журнале ошибок» (error log), который был опубликован на сайте Citi Bike 9 мая 2013 года. Об этом говорится в письме, разосланном велосипедистам администрацией сервиса 19 июля.

Помимо размеров штрафов, можно заметить и еще ряд существенных отличий.

Тюмень: количество пострадавших никого не волнует, равно как и их уведомление об инциденте, на взгляд, весьма существенном. Кто, куда, когда и с кем летал – тема более чем интимная. Никто не собирается извиняться перед пострадавшими.

Если посмотреть сообщения о других аналогичных инцидентах «у нас» и «у них», можно увидеть и массу других отличий. Наши суды в своих решениях о привлечении к ответственности никогда не заявляют о праве каждого пострадавшего обратиться с индивидуальным иском о компенсации ущерба и морального вреда. Никто не предлагает после этого потерпевшим оказание в этом помощи (потому как бесполезно). Органы, уполномоченные по защите прав субъектов, не выступают инициаторами исков в защиту интересов неопределенного (или определенного) круга лиц, чьи данные в результате недостаточных действий или бездействия оператора стали общедоступными.

Можно ли после этого говорить, что наш закон направлен на защиту интересов субъекта персональных данных?   

Вопросы риторические. Ответы все знают.

Но разницу все-таки надо почувствовать.

В частную жизнь нельзя вмешиваться. Но некоторые ее меняют на скидку

Очередной интересный перевод Евгения Бартова - статья Линды Мастхайлер «Privacy Double Standard: You Can Track Online But Not On Foot» натолкнул на ряд мыслей. Если коротко, суть статьи в том, что покупатели интернет-магазинов уже фактически смирились с отслеживанием их деятельности в сети и на конкретном сайте в частности, однако когда аналогичные действия пытаются выполнить владельцы обычных магазинов с полками и тележками, это вызывает резкое неприятие. Фиксация местоположения покупателя и времени нахождения рядом с каким-либо товаром (с использованием Wi-Fi) и реакция на этот товар (мимика лица, фиксируемая веб-камерой и анализируемая специальной программой) большинством граждан расценивается как недопустимое вмешательство в частную жизнь.

При этом факт ведения видеосъемки в общественных местах – на улицах, в магазинах, в метро, в банках или на территории предприятий давно никаких отрицательных эмоций не вызывают. В этом отношении примечательна много раз обсуждавшаяся ст.152.1 ГК РФ: «Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи …) допускаются только с согласия этого гражданина. Такое согласие не требуется в случаях, когда … изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения…». Никаких ограничений на использование результатов видеосъемки без их обнародования здесь не просматривается.

Но речь в данном случае не об этом. Возмущение сходит на нет, если только что резко осуждавшееся «вмешательство в частную жизнь» сопровождается выдачей «печеньки». Дама, о которой упоминается в этой же статье, заявила, что «она была бы счастлива, если бы на ее телефон сразу приходил соответствующий скидочный купон». Т.е. задержался у витрины, вскинул бровями – и тут же скидка. Тем более, что технологии слежения развиваются быстро, и куда-то же их применять все равно надо.

Вот, например, англичане придумали «умные урны» RENEW ORB, фиксирующие и отслеживающие MAC-адреса мобильных устройств прохожих и вовсю их тестируют на улицах Лондона. А в московском метро появятся датчики, которые позволят следить за пассажирами при помощи считывания информации с SIM-карт, установленных в их мобильных телефонах, и станут частью интеллектуальной системы безопасности. В новосибирском метро решили пойти дальше и установить на станциях видеосистему, которая позволит распознавать лица людей из баз данных, например, находящихся в розыске. Слово «например» в этом сообщении для меня ключевое. Сразу вспоминается Отец Кабани из бессмертного «Трудно быть богом» братьев Стругацких: «Колючки от волков?! Это я, дурак, — от волков… Рудники, рудники оплетать этими колючками… Чтобы не бегали с рудников государственные преступники». Но как только появляется «печенька», все это может перестать иметь значение. По данным, полученным в ходе исследования компанией Infosys, потребители готовы делиться своими персональными данными, если получат в обмен понятные и прозрачные преимущества. Легче всего персональные данные своих потребителей получить докторам, банкирам и продавцам – 90%, 76% и 70% пользователей соответственно готовы предоставить дополнительную информацию, если это поможет им получить что-то взамен. Авторы публикации называют это «очень хорошим звоночком для всех компаний, которые тратят гигантские деньги на сбор и анализ данных о своих клиентах» и идут еще дальше, высказывая мысль, что 78% потребителей мечтают о том, чтобы реклама была должным образом таргетирована. Сделаем скидку на возможного заказчика исследования, но все равно… 

А вот и результат подобных выводов. Крупнейший американский оператор связи - компания AT&T объявила, что начнёт, подобно Verizon, Facebook и другим своим конкурентам (всем можно, а нам нельзя?), использовать данные пользователей в маркетинговых целях. В ближайшие недели компания планирует изменить политику приватности: она начнёт направлять пользователям рекламу, основываясь не только на том, какие приложения они используют, но и где, согласно данным GPS, они находятся. Как отказаться от такого сервиса, компания не сообщила.

Но я не думаю, что желающих отказаться или пожаловаться будет много. Особенно, если вместе с сообщением о ближайшем кинотеатре придет и скидочка процентов на 10 на билет. В таких условиях очень важно оставить пользователю возможность быстро и просто отказаться от подобного рода сервисов.

Кто имеет право знать наши тайны?

Весенняя сессия Государственной Думы в очередной раз расширила права органов власти получать информацию, доступ к которой ограничен федеральным законодательством, для осуществления своих функций и реализации возложенных полномочий.

Ситуация выглядит парадоксальной – в стране порядка пятидесяти видов различных тайн, установленных законами, но как только вопрос коснется полномочий того или иного властного института, оказывается, что для него получить скрываемые на законном основании сведения не составляет никакой проблемы. Да и ответственность за неправомерные действия с защищаемыми сведениями в большинстве случаев лишь декларируется, а на деле ограничивается почти не работающей статьей 13.14 КоАП «Разглашение информации с ограниченным доступом» со смешными по нынешним временам максимальными штрафами в 1000 рублей для граждан и 5000 рублей для должностных лиц, да статьей 81 ТК РФ, допускающей увольнение за такое однократное грубое нарушение трудовых обязанностей, как разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника. Кстати это сразу вызывает вопрос о последствиях разглашения персональных данных не-работника, а, например, клиента. Это тоже охраняемая законом тайна, но зачем-то ведь работника отметили отдельно?

Ситуация с тайнами, доступом и ответственностью давно требует серьезной систематизации, осмысления и изменения нормативного регулирования, а пока несколько «заметок на полях законов».

В Рунете активно обсуждался Федеральный закон от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с уточнением полномочий органов прокуратуры РФ по вопросам обработки персональных данных», наделяющий прокуратуру правами доступа к врачебной тайне без согласия субъекта и судебного решения, но лишь немногие обратили внимание на гораздо более серьезное изменение в законе «О прокуратуре», которое касается не только врачебной тайны, но вообще любых охраняемых законом сведений и наделяет надзорный орган правом получать необходимую для осуществления прокурорского надзора информацию, доступ к которой ограничен в соответствии с федеральными законами. То есть фактически – к любой! Есть там, правда, слова «в установленных законодательством Российской Федерации случаях», но проверка и надзор и есть установленные законом случаи. А вот знакомить гражданина с материалами проверки, затрагивающими его права и свободы, но содержащимисведения, составляющие охраняемую законом тайну, нельзя ни при каких обстоятельствах.

Обязательность представления тем или иным органам власти сведений, доступ к которым органичен законом, регулируется очень большим количеством актов, часто не соответствующих друг другу и противоречивых, и разобраться в них совсем не просто.

Например, в соответствии с законами «О рекламе» и «О защите конкуренции» коммерческие и некоммерческие организации обязаны представлять в антимонопольный орган по его мотивированному требованию в установленный срок информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну. Слово «иную» означает так же, как и в случае с прокуратурой, фактически любую. А в случае отказа такая информация истребуется путем обязания ее предоставления судебным решением. Мотивированность же запроса – понятие относительное и не главное. 

Не захотел, к примеру, в 2007 году «Псковпищепром» предоставлять запрошенные Управлением ФАС по Псковской области сведения об объеме реализации алкогольной продукции и организациях, чья доля составляет на рынке более 10% от общего объема продаж, а суды в первой, апелляционной и кассационной инстанциях с ним не согласились, обязав представить сведения, составляющие на законном основании коммерческую тайну, в УФАС. В отношении мотивированности запроса Федеральный арбитражный суд Северо-Западного округа постановил, как отрезал: «По смыслу положений ст.1, 22, 23 и 25 ФЗ «О защите конкуренции», а также ст.6 ФЗ «О коммерческой тайне», степень конкретизации имеющих правовое значение критериев (мотив, цель, правовое основание запроса) как оценочная категория представляется юридически подчиненной общим задачам и целям соответствующего запроса, равно как и пределам полномочий антимонопольного органа». Чего там мотивировать…

Для многих будет, наверное, неожиданностью, что в отличие от антимонопольных органов права налоговиков на доступ к охраняемым законом сведениям очень ограничены. Если к банковской тайне, как я уже писал, теперь доступ у них фактически неограниченный, то с коммерческой тайной ситуация другая. При проверке налоговиками документов, связанных с исчислением и уплатой обязательных платежей, не являющихся налогами или сборами, пенями, штрафами, предусмотренными Налоговым кодексом, они могут получать необходимые объяснения, справки и сведения, за исключением сведений, составляющих коммерческую тайну, определяемую в установленном законодательством порядке. Т.е. тех, в отношении которых владельцем установлен режим коммерческой тайны.

Например, ООО «Баренц-Алко» при проведении налоговой проверки отказалось ознакомить налоговиков с результатами проведенного по их заказу маркетингового исследования рынка, которое посчитало составляющим коммерческую тайну. Налоговая инспекция требовать ознакомления не стала, а просто посчитала неправомерным отнесение стоимости исследования на расходы, т.к. в договоре на проведение работ отсутствовала цена, а акт выполнения работ и калькуляция не соответствовали требованиям закона «О бухгалтерском учете», и доначислила налоги. И суд кассационной инстанции с инспекцией согласился.

В соответствии с законом «Об организации страхового дела в Российской Федерации» Банк России, получивший функции надзорного органа в отношении субъектов страхового дела, тем не менее не вправе получать (во всяком случае, пока) от страховых компаний сведения, составляющие банковскую тайну.

А вот Агентство страхования вкладов вправе получать информацию, составляющую служебную, коммерческую и банковскую тайну банка, в отношении которого наступил страховой случай, необходимую для осуществления им функций, установленных законом «О страховании вкладов физических лиц в банках Российской Федерации».

Напоследок еще один забавный случай. Истребовала инспекция ФНС по Ленинскому административному округу Омска у местного филиала «Промсвязьбанка» информацию, которую банк посчитал составляющей банковскую тайну. Банк запрос удовлетворить отказался, ссылаясь на то, что запрос таких сведений требует особого подтверждения подлинности, а печать налоговики на письме не поставили.

Инспекция попыталась привлечь банк к административной ответственности за отказ в предоставлении информации, однако банк оспорил это в суде, и во всех трех инстанциях суды с банком согласились. Я, правда, до сих пор не понимаю, почему на письмо нельзя было поставить печать и не доводить рассмотрение этого сложного вопроса до окружного федерального арбитражного суда.

Ну, и рецепт. Читайте внимательно законы, особенно регламентирующие деятельность вашей конкретной организации. Может оказаться, что предоставлять информацию органу власти по его запросу вы не только не обязаны, но и получать такую информацию запрашивающий орган права не имеет.  

Ищите цели среди компаний с менее недоверчивыми руководителями служб безопасности

Скандал с программой PRISM и, похоже, бесследно затерявшимся в «чистом» терминале аэропорта Шереметьево Эдвардом Сноуденом заставил пересмотреть свои базовые взгляды на безопасность во интернете не только граждан, но и бизнес.

То, что американские спецслужбы помогают американским же компаниям улучшать свое положение на мировом рынке, пишут давно часто. Естественно, что тотальный сбор данных во всемирной сети не мог не коснуться деловой информации – смешно было бы думать, что невод, заброшенный в интернет, имеет специально настраиваемые ячейки, задерживающие мелкую рыбешку сообщений граждан и пропускающий без помех косяки бизнес-информации.

На англоязычном сайте крупнейшего немецкого издания «Шпигель» появилась очень интересная и показательная статья о тревогах малого и среднего бундес-бизнеса, связанных с весьма вероятным попаданием коммерческих секретов в руки американских друзей немецких спецслужб, а от них – прямо к конкурентам за океаном. Пессимизма немецким бизнесменам добавила информация о каком-то уж слишком тесном сотрудничестве их государственной внешней разведки BND с американцами, в описании которой наиболее часто используется слово «рвение».

На своих курсах я всегда говорю о том, что мнение о необходимости режима коммерческой тайны только для крупного и крупнейшего бизнеса является не только ошибочным, но и опасным. Гиганты вроде американской AMD или российского «Фосагро», о краже секретов в которых я писал в своих постах, эту неприятность переживут. А вот для сегмента СМБ утечка технологий, наработок или клиентской базы может оказаться катастрофой, поскольку очень часто уникальность используемого «ноу-хау» - главный, а иногда и единственный их реальный актив. Именно поэтому значительное количество арбитражных дел в России, связанных с нарушением исключительного права на секреты производства, касается компаний именно этого сегмента экономики.

Примерно к такому же горькому выводу пришли и коллеги из мюнхенской консалтинговой компании Corporate Trust, которые отметили, что только одна из четырех немецких компаний сегмента СМБ имеет ИТ-стратегии безопасности, а большинство ограничивается при защите данных межсетевым экраном и антивирусной защитой, чего явно недостаточно для противодействия профессиональным хакерам, не говоря уже о Агентстве национальной безопасности США.

Немецкое Управление по защите конституции считает, что промышленный шпионаж наносит экономике Германии ежегодный ущерб от 30 до 60 млрд евро, но точную цифру не знает никто – бизнес отнюдь не горит желанием раскрывать сведения о кражах информации. Главных причин для этого две: опасение привлечь повышенное внимания хакеров к «хромым уткам», пострадавшим от взлома или кражи, и, следовательно, имеющими реальные уязвимости в системе защиты, и возможная потеря клиентов, узнавших об утечке.

В выше упомянутой мною статье рассказывается о Маркусе Штаудингере, эксперте по ИТ-безопасности семейной инжиниринговой компании Gustav Eirich со 150-летней историей. Много лет настаивавший на необходимости использования шифрования при передаче информации, внедривший такие средства даже на ноутбуках и смартфонах работников, работающих вне периметра (компания имеет представительства в 10 зарубежных странах, в том числе в России и СНГ), он, по его же собственным словам, выглядел в глазах коллег параноиком (ах, как все знакомо!). После откровений Сноудена о PRISM отношение коллег изменилось – секреты компании оказались защищены.

Директор по защите продуктов и ноу-хау немецкого машиностроительного объединения VDMA Райнер Глатц отмечает, что в прошлом предупреждения о возможных хакерских атаках, шпионаже малый и средний бизнес, опора германской экономики, пропускал мимо ушей. Сейчас же во многих во многих фирмах и их органах управления появилось понимание проблемы, и они думают о том, как защитить себя эффективнее.

Еще одним результатом последних событий стал рост популярности немецкихдата-центров для размещения чувствительной информации и приоритет использования национальных алгоритмов и программ шифрования, ключи которых, по мнению немецкого бизнеса, спецслужбы не получают, в отличие от продуктов компаний, находящихся в американской юрисдикции. Вырос спрос на доступ в дата-центры по оптическому волокну без использования интернета, а это тоже плюс для местных поставщиков услуг.

В статье делается справедливый вывод, что информацию можно снять с волоконного кабеля, а системы шифрования периодически взламываются и 100-процентую безопасность обеспечить нельзя. Штаудингер отмечает:. «Мы знаем, что есть остаточный риск. Но повышение уровня мер защиты заставит потенциальных злоумышленников искать более легкие цели среди компаний с менее недоверчивыми руководителями служб безопасности».

В заключение - еще одно занятное сообщение из Германии, касающееся той же проблемы. Как сообщает Н.Храмцовская, 16 июля 2013 года министр внутренних дел Германии Ханс-Петер Фридрих, выступая перед Парламентской контрольной комиссией, занимающейся контролем за деятельностью спецслужб, призвал граждан Германии самим серьезнее относиться к защите персональных данных. Он, в частности, сказал, что «следует уделять больше внимания программам шифрования и антивирусным программам, ведь технические возможности для шпионажа существуют и будут применяться». Граждане откликнулись. Доктор Ульрих Кампфмайер, специалист в области делопроизводства и архивного дела, захотел «поддержать прекрасную инициативу» и направил письмо лично министру, воспользовавшись сервисом государственных услуг на сайте министерства внутренних дел, в котором поставил простые и четкие вопросы:

●      Какие (бесплатные) программы шифрования можно использовать, чтобы ни федеральная разведывательная служба, ни военная контрразведка, ни другие специальные службы не могли расшифровать данные?

●      Какого поставщика мобильных устройств следует выбрать, чтобы ни федеральная разведывательная служба, ни военная контрразведка, ни другие специальные службы не могли прослушать телефонные переговоры?

●      Какие программы следует установить, чтобы можно было обнаруживать и полностью удалять с компьютера внедрившиеся в него государственные программы слежения (немецкие или иностранные)?

Автор запроса попросил, чтобы по каждому вопросу было предложено несколько вариантов, а все рекомендованные программы были проверены и разрешены к распространению Федеральным ведомством по безопасности в сфере информационных технологий.

Интересно, будет ли ему направлен ответ? В Германии с порядком строго.

Ау, банкиры! До отчета перед Банком России об оценке соответствия осталось меньше полугода

Помните старую песенку: «Странно и смешно наш устроен мир»? Вот уж действительно – странно и смешно. Коллеги активно продолжают обсуждение начатой 6 с лишним лет назад темы персональных данных, придумывая все новые повороты сюжета. Вот и до рублевой, и до вербальной оценки вреда субъекту вчера добрались.

Сегодня перед профессионалами, работающими в финансовой сфере, стоит гораздо более насущная, срочная и сложная задача – оценка соответствия требованиям защиты информации в платежной системе. Появилась пара-тройка сообщений с констатацией факта выхода указания Банка России от 05.06.2013 № 3007-У, тему вяло пообсуждали, отметив, что на все про все есть полгода – до 10 января 2014 года оценку надо закончить и направить отчет в Банк России. Тема тихо угасла.

Между тем, по опыту наших проектов по оценке соответствия, работы там – выше крыши, причем привлекать придется практически все структурные подразделения банка, что, как обычно, бизнесу мало нравится и приводит к появлению дополнительного временного лага.

Первые две важнейшие задачи: определить состав объектов инфраструктуры, подпадающих под положение Банка России № 382-П, и детально сравнить приложение № 2 к нему с внутренними банковскими нормативными документами.

Автоматизированная банковская система (АБС) и система дистанционного банковского обслуживания (ДБО, клиент-банк) положению должны удовлетворять без вопросов, и не забудьте про системы обмена электронными сообщениями с Банком России (они, конечно же, удовлетворяют, но вот все ли сделал банк с точки зрения обеспечения безопасности работы в них?). А дальше все зависит от того, что за банк и какова топология его информационной системы.

Все 137 требований, сформулированных в приложении № 2 к 382-П, обязательны для всех подсистем, используемых для перевода денежных средств. Дали клиенту возможность выполнять операции со смартфона или голосом по телефону – будьте добры навести порядок и там.

Соотнесение внутренних локальных актов банка с 382-П – тоже задача весьма не тривиальная. Придется решать сложную головоломку: распространить требования Положения на всю подсистему информационной безопасности банка или часть требований применять только к объектам инфраструктуры, используемой для перевода денежных средств. Тем, кто уже приводил свое хозяйство в соответствие с СТО БР ИББС, будет, конечно, легче – почти все есть и в стандарте, но легче при одном существенном условии – работа была реальной, добротно сделанной, а не для галочки.

Почему я считаю, что распространить все требования 382-П на всю инфраструктуру банка может и не получиться? Потому что часть из них – крайне жесткие, и их реализация потребует очень больших ресурсов, как людских, так и финансовых.

Сразу отмечу, что небольшие банки, где нет самостоятельной службы информационной безопасности, разделенной с ИТ-подразделением, сразу окажутся в очень сложном положении (только не пишите в комментах, что таких банков нет. Плавали, знаем, и их не мало).

Они автоматически получат 3 нулевых оценки при расчете EV1_ПС и аж 14(!) при расчете EV2_ПС. Согласитесь, условия для старта совсем не комфортные. Корректирующий коэффициент k₂ сразу станет минимально возможным – 0,7, и рассчитывать на итоговую высокую оценку вряд ли придется.

Кстати, со службой ИБ в документе есть, на мой взгляд, один казус. В пункте 102, касающемся информирования службы об инцидентах, появляются слова «в случае ее наличия», что дает надежду оставить выполнение этого требования без оценки. Между тем во всех остальных 16 пунктах, касающихся службы, вопрос ставится императивно: осуществляет контроль, осуществляет планирование, согласовывает и т.д. А пункт 82 вообще тверд, как алмаз: «Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают формирование службы информационной безопасности, а также определяют во внутренних документах цели и задачи деятельности этой службы».

Особые проблемы возникают у банков, привлекающих платежных агентов и субагентов. На них ложится головная боль за обеспечение выполнения агентами (субагентами) требований к обеспечению защиты информации. Правда, это требование в приложение № 2 не вошло и при оценке учитываться вроде бы не должно, но как Банк России будет подходить к вопросу только время покажет.

И главное, что тоже почему-то не очень обсуждается. А что будет, если ничего не делать?

Теперь защита информации попала в область банковского надзора, потому ответ – в ст.74 ФЗ «О Центральном банке Российской Федерации (Банке России)»: штраф в размере до 300 тысяч рублей (0,1 процента минимального размера уставного капитала) либо ограничение проведения кредитной организацией отдельных операций на срок до шести месяцев. В данном случае, видимо, операций по переводу денежных средств.

А вы все говорите: «Персональные данные, персональные данные!».

Банки, ау!

P.S. Не забудьте про обязательность повышения осведомленности персонала в области информационной безопасности и памятки клиентам, использующим системы ДБО. К ним тоже требований много. 

О кроте, иностранных заказчиках и украденных тайнах

Очередное уголовное дело, связанное с разглашением коммерческой тайны, закончилось обвинительным приговором и осуждением инсайдера.

Материалов  дела в открытом доступе найти не удалось, поэтому излагать свое видение ситуации буду на основе публикаций на официальном сайте ГУ МВД по г. Москве (см. ссылку выше) и статьи в газете «Коммерсант», а также изысканий наших аналитиков на сетевых судебных ресурсах.

В деле есть все классические признаки детектива – «крот» в стане обладателей охраноспособных результатов интеллектуальной деятельности, иностранцы, покушающиеся на самое святое – секреты российской компании, бдительная служба безопасности, дотошные следователи двух ведомств, завязка, кульминация и развязка. 

В России, скажем честно, не так много компаний, конкурентоспособных на мировом рынке. Одна из них – «Фосагро», ведущий мировой производитель фосфорсодержащих удобрений, фосфатного сырья, в том числе – кормовых фосфатов.

Раз на мировом рынке – значит, у нее есть то, что интересно участникам рынка. В том числе партнерам и покупателям, и не только нашим. Ничего личного, только бизнес.

Каким образом подружились Т., бывший работник отдела продаж «Фосагро», и московское представительство швейцарской дочки транснациональной компании Transammonia, имеющей филиалы по всему миру, неизвестно, да и неважно. Скорее всего, первые контакты были чисто деловыми: задача одного – продавать, цель других – покупать и перепродавать.

Дружба «крота» и новых друзей крепла. Оставшись «за начальника», Т. получил доступ к его почтовому ящику и перенастроил его адресацию. Теперь все приходящее руководителю попадало и подчиненному, уже вахту сдавшему. А уж он, как сообщается в пресс-релизе московской полиции, сведения «об объёмах производства кормовых фосфатов, условия их продажи, ценах, взаимоотношениях с клиентами» передавал партнерам-покупателям. История обычная. В некогда нашумевшем аналогичном деле менеджера по продажам «Северстали» фабула была абсолютно та же. Знание внутренней кухни продавца очень способствует улучшению позиции покупателя на переговорах.

Служба безопасности «Фосагро» активность своего работника обнаружила, руководство компании обратилось в Службу экономической безопасности ФСБ, которая в ходе доследственной проверки подтвердила самые худшие опасения. Работника-«крота» по ст.81 ТК РФ уволили, а за дело взялось Главное следственное управление ГУ МВД России по г. Москве, возбудившее уголовное дело по частям первой и второй ст.183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Вторая часть статьи используется, видимо, потому, что доказательств получения Т. вознаграждения за передачу сведений в ходе следствия не получено.

Первый раз я сталкиваюсь со случаем, когда подозреваемому одновременно вменяется первая часть этой статьи – собирание сведений, составляющих коммерческую тайну, путем похищения документов, или иным незаконным способом, и вторая – незаконные разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе. Но по характеру деяний это логично – Т. не только передавал ставшие ему известные секреты, но и нелегально добывал их из почтового ящика своего непосредственного начальника.

Попытка Т. оспорить увольнение в суде закончилась неудачей. Гагаринский суд г. Москвы, куда он обратился с иском, перенаправил дело в Петроградский суд Санкт-Петербурга по месту государственной регистрации работодателя, который на предварительном судебном заседании иск отклонил в связи с пропуском истцом без уважительных причин срока исковой давности для защиты права и установленного федеральным законом срока обращения в суд. 20 февраля 2013 года решение суда вступило в законную силу.

А 21 января 2013 года ГСУ ГУ МВД по г. Москве предъявило Т. обвинение в совершении преступления, в феврале прокуратура утвердила обвинительное заключение, дело ушло в тот же Гагаринский суд Москвы, куда подозреваемый ранее обращался с гражданским иском. И второе дело для него также оказалось неудачным - суд признал подсудимого виновным в совершении преступлений, предусмотренных ст.183 УК РФ, и приговорил его к одному году и девяти месяцам исправительных работ.

Приговор обжалуется в апелляционной инстанции Мосгорсуда, однако, в случае его вступления в законную силу, не исключен еще один гражданский иск, теперь уже со стороны «Фосагро». В материалах уголовного дела присутствуют данные о нанесении ущерба в размере 2 миллионов долларов.

А ст.1472 Гражданского кодекса сурова: «Нарушитель исключительного права на секрет производства, в том числе лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, а также лицо, обязанное сохранять конфиденциальность секрета производства…, обязано возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом».

Интересную позицию высказал адвокат обвиняемого: «В любом случае он не отдавал себе отчет в том, что передача информации является уголовно наказуемым деянием». Однако, даже если это и так, то, как известно, основанием для освобождения от уголовной ответственности быть не может.

У современного детектива, как принято, появилась и боковая линия.

Некий московский интернет-ресурс (а вот здесь ссылку давать не буду, рекламировать его совсем не хочу) в лучших традициях российской конспирологии переименовал работника отдела продаж в топ-менеджера компании, несколько раз передернул опубликованную информацию и высказал предположение, что Т. был умышленно подставлен, чтобы скрыть работу владельца компании на американский империализм.

Поистине, в интернете есть все. И отделять информацию от дезинформации все труднее и труднее. Немного не договорить, немного придумать, немного предположить. И вот отражение в зеркале перестало походить на оригинал. Век «вчера по телевизору сказали» безвозвратно ушел.

Рабочий день читателей моего блога. Вчера

9.00-10.00 Москвы. Первый пик. Прибыли на работу. «Так, что там новенького в интернете пишут?».

10.00-11.00 «Надо бы и делами заняться… Что там нам навалили?».

11.00-13.00 Второй пик. Дела разгребли. «Так что там с новеньким в интернете, я забыл?».

13.00-17.00 Обед, совещания, обсуждения, выполнение прямых обязанностей.

17.00-18.00 Третий пик. «Уф, устал, сколько же пахать можно. А почитаем, что там новенького?».

18.00 и далее. Дверь на замок, пора домой. «Сколько же можно работать? День прошел не зря».

Если нет мифов [в информационной безопасности], их надо придумать

Тема мифотворчества в информационной безопасности – одна из самых популярных. Их, эти мифы, любят рассматривать и опровергать, аргументируя свою позицию ссылками на мировой и личный опыт. Их собирают и систематизируют, рассматривают под лупой и в целом.

Прочтение последнего, по времени появления, материала, очередного борца с иллюзиями, на этот раз – из глубоко уважаемой компании Gartner, натолкнуло меня на мысль, что эти мифы порой создаются не коллективным творчеством масс специалистов, заблудших в поисках ответов на бесконечные «вызовы времени», и ищущих пути защиты и спасения, а рождаются в тихих кабинетах аналитиков с целью опровергнуть их затем публично и успешно.

Судите сами. Примерно месяц назад в зарубежных ИТ- и ИБ-изданиях (например, здесь) активно цитировалась публикация Jay Heiser из упомянутой компании. Похоже, это изначально была даже не статья, а презентация, но найти ее на сайте Gartner мне не удалось. Перевели ее и российские «Открытые системы».

Обсуждения высказанной точки зрения практически не было, все просто перепечатывали текст. Свое мнение хотелось высказать сразу, но времени не было совсем. Коль скоро тема не обсуждалась, а актуальности не потеряла, думаю, это возможно сделать и сейчас.

В публикации приводятся и опровергаются 10 мифов. Почему 10? Число красивое! Но как-то сразу вызывает подозрения. Если бы их было 8 или 11, у меня лично это доверия вызвало бы больше. Но Gartner число 10 очень любит. Погуглите, кто не верит.

По прочтении материала появилось устойчивое впечатление, что так, как опровергаемые автором специалисты, я не думаю, и, самое главное, не думал никогда. Более того, из разговоров с моими коллегами, партнерами, клиентами, из того, что я слышу на конференциях и читаю в интернете, складывается мнение, что так никто вокруг меня тоже не думает.

Но если заблуждение не является массовым, то откуда могут появиться мифы? Только из пробирки.

Итак, по порядку. Перевод немного не совпадает с «Открытыми системами», да не обидятся на меня коллеги.

Миф № 1. Этого не случится со мной. Среди специалистов по информационной безопасности этот миф родиться просто не мог, иначе место работы автоматически закрывается. Среди мифотворцев автор упоминает еще загадочных «бизнес-менеджеров». Если речь идет о топах, влияющих на процесс, то там мифы совсем другие: «Жили без этого, и еще поживем», «Столько лет ничего не случалось, с чего вдруг это случится?» и т.д. Но «Со мной не случится» - это уже какой-никакой, а риск-менеджмент: выявление угрозы, оценка риска и принятие решения по управлению им. А реальные мифы основаны на самом отрицании наличия угрозы и необходимости противодействия рискам.

Миф № 2. Бюджет на ИБ – это 10% общих затрат на ИТ. Это не миф. Это известный каждому просителю бюджета аргумент, основанный на «лучших практиках». Все знают, что никто никогда этой величины не считал, статистики нет, но как-то обосновывать свою долю в ИТ-проекте надо. Если это проект чисто айтишный, все знают, что 10% не видать, как своих ушей без зеркала. Но если удастся убедить руководство в открытии ИБ-проекта, бюджет будет не 10, а все 100%.

Миф № 3. Риски безопасности могут быть оценены количественно. Можно было бы ограничиться коротким «ха-ха». Наличие мифа как такового, во всяком случае, в России, опровергается наличием в методике актуализации угроз ФСТЭКа слов «Вербальные градации вероятности реализации угрозы», «Вербальная интерпретация возможности реализации угрозы» и «Вербальный показатель опасности угрозы». Количественно, говорите?

Миф № 4. Мы обеспечили физическую безопасность (или SSL), и теперь вы знаете, что ваши данные в безопасности. Само наличие в английской версии местоимений «мы» и «вы» готовит о том, что миф распространяется кем-то, не пользователем. Заказчиков, которые поверили бы в достаточность только физических мер защиты или использования криптографии, (см. Миф № 10) я не встречал никогда. Даже когда сам начинал быть заказчиком. И совершенно не понимаю, из каких реальных условий такой миф мог бы родиться.

Миф № 5. Уменьшение срока действия пароля и его усложнение снижают риски. А вот тут стоп. Это вовсе не миф, пока, во всяком случае. Отнесение этого утверждения к мифу основывается на высокомерном утверждении, что сама идея использования паролей глубоко ошибочна, потому что они не ломаются, а перехватываются. Многофакторная аутентификация, токены и биометрия, одноразовые пароли генераторов случайных чисел и систем синхронизации времени – это все здорово, но зачем они там, где стоимость информации меньше, чем системы аутентификации. Поживем еще с паролями. А тогда и время действия пароля, и его длина, и сложность имеют значение. И снижают риски.

Миф № 6. Выделение ИБ из ИТ автоматически обеспечивает хорошую (в подлиннике – good) безопасность. Что, правда, кто-то когда-то так думал? Автоматически? Да, во многих случаях (не всегда!) переподчинение ИБ руководителю службы безопасности или даже первому лицу (зависит от бизнеса) способствует снижению рисков, почему – написано многобукв. Но никогда это не рассматривается как панацея. Никакая оргмера не может ею стать. И кому, как не Gartner, это знать. Да и многие компании, делающие бизнес исключительно на ИТ (дата-центры, например), не имеют служб ИБ. Не читают они мифов древней Греции нового Gartner.

Миф № 7. Следование безопасным практикам – проблема руководителя ИБ. Миф какой-то путаный, непоследовательный. Тут и переложение на CISO (по-русски – руководитель службы информационной безопасности) всех проблем, и его неспособность дать ответы на все вопросы. Но на самом деле – это тоже не миф, а суровая реальность. Если произойдет инцидент ИБ, и ответственный за ИБ будет доказывать, что он сделал, все, что мог, а его не слушали, ответом будет «Плохо убеждали». Проверено. Переложить ответственность на чужие плечи не удастся. ИБ – проблема CISO. И хороший CISO отличается от плохого не наличием международных сертификатов, а умением строить отношения в компании. C ИТ-подразделением. С финдиректором. С директором по рискам, если он есть. С гендиректором, если сможет выйти на этот уровень. Но отвечает за все он. И это не миф. 

Миф № 8. Покупка универсального средства решает все проблемы. Ага. Серебряная пуля. Волшебная кнопка. Философский камень. Нет такого. Даже самые наглые продавцы в ИБ не пытаются его продавать. А это говорит о многом.

Миф № 9. Примем политику, и все проблемы будут решены. Даже самые замшелые консервативные адепты бумажной безопасности (ну вроде меня) никогда не говорили, что сама по себе политика решает проблемы безопасности. Проблемы решают выстроенные, в соответствии с политикой, процедуры и применяемые в соответствии с ней же средства. Миф высосан из пальца.

Миф № 10. Шифрование является лучшим способом сохранить ваши важные данные в безопасности. Никто из практиков так не думает и не думал. Никогда. А уж у нас, учитывая специфику использования средств шифрования, к ней прибегают только тогда, когда обойтись без нее решительно невозможно. С автором не поспоришь в том, что для применения криптографии надо иметь соответствующий опыт и знания. Но вот в то, что это «чаша Грааля» или «волшебная пуля» может поверить только дилетант, начитавшийся кривых учебников по криптографии. Если наивные до такой степени дилетанты в сфере ИБ вообще существуют.

Так зачем творить несуществующие мифы, спросите вы меня. Читайте сигнатуры аналитика к снадобьям от мифов (Cure в тексте): выявление первопричин проблем системы безопасности, создание программы информационной безопасности внутри корпоративной культуры, методический анализ рисков и приоритетов, многолетние планы обеспечения безопасности и т.д.

У вас еще есть вопросы?

На смерть банковской тайны

Похоже, основной формой моего блога становится панегирик (см. русскую Википедию – до 18-го века литературный жанр, представляющий собой речь, написанную по случаю чьей-либо смерти). Смерть приватности в самом широком смысле этого слова мы уже обсуждали и затрагивали тему банковской тайны. Тенденция получила ожидаемое развитие.

Активное обсуждение законов о защите чувств верующих и пропаганде нетрадиционности в личной жизни для меня выглядят дымовыми шашками для гораздо более интересного Федерального закона от 28.07.2013 № 134-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям». 38 листов закона содержат поправки в 26 законодательных актов и прямо касаются,  абсолютно каждого из нас.

Анализировать все в одном блоге невозможно и бессмысленно, да и многие поправки выходят далеко за пределы тематики моих обычных постов.

Но вот на то, что впрямую касается информационной безопасности в самом широком смысле, посмотреть стоит очень внимательно.

Самое главное, как мне кажется, с точки зрения обеспечения конфиденциальности, - банковской тайны в привычном понимании теперь у нас больше нет. В соответствии со ст.1 134-ФЗ, изменяющей закон «О банках и банковской деятельности», сведения о наличии счетов, вкладов (депозитов), об остатках денежных средств на счетах, вкладах (депозитах), по операциям на счетах, по вкладам (депозитам) организаций, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, физических лиц предоставляются кредитной организацией налоговым органам в порядке, установленном законодательством Российской Федерации о налогах и сборах. Новый закон тут же заботливо расписывает, а что это за порядок такой. Статья 10, меняющая Налоговый кодекс, определяет следующую процедуру: для получения налоговиками банковской тайны никакого решения суда, в отличие от субъектов оперативно-розыскной деятельности, не требуется.

Банки теперь обязаны выдавать налоговым органам все эти сведения в течение трех дней просто по мотивированному запросу налогового органа в случаях проведения налоговых проверок, при вынесении решения о взыскании налога, принятии решений о приостановлении или отмене операций по счетам и переводов электронных денежных средств. Для физлиц такая возможность немного ограничена – на запрос требуется согласие руководителя вышестоящего органа или руководителя (зама) ФНС, а повод ограничивается проведением налоговых проверок.

Кроме того, в соответствии с изменениями, внесенными в «антиотмывочный» 115-ФЗ, расширяется круг лиц, обязанных предоставлять информацию Росфинмониторингу – это требование теперь относится не только к органам власти и местного самоуправления, Банку России, но и к ПФР, ФОМС и ФСС, госкорпорациям и иным организациям, созданным государством на основании федеральных законов и для выполнения задач, поставленных перед государственными органами. И не просто предоставлять, но и обеспечивать автоматизированный доступ к своим базам данных, видимо, по смыслу закона – on-line, хотя прямо этого и не сказано.

Предоставление всей этой информации «не является нарушением служебной, банковской, налоговой, коммерческой тайны и тайны связи (в части информации о почтовых переводах денежных средств), а также законодательства Российской Федерации в области персональных данных».

Для интересующихся темой персональных данных есть еще одна тема для размышлений. Закон экспоненциально расширяет круг лиц, имеющих ограничения в связи с наличием судимости и, соответственно, число организаций имеющих право и обязанность такие сведения о гражданах обрабатывать. К руководителям банков, их филиалов и отделений, их замам, главбухам и замам в банках, ОАО, внебюджетных фондах, педагогическим работникам в один момент добавились члены советов директоров, топ-менеджеры, главбухи и даже акционеры (есть масса конкретных нюансов, но общая норма – более 10% акций) лизинговых компаний, инвестфондов, микрофинансовых организаций, субъектов страхового дела, профессиональных участников рынка ценных бумаг, негосударственных пенсионных фондов,

А не про персональные данные – это про электронный документооборот и его значимость.

Предприятия и организации, обязанные представлять налоговую декларацию в электронной форме (а это теперь практически все), должны обеспечить получение от налогового органа в электронной форме по каналам связи необходимых документов и передать налоговикам квитанцию об их приеме в электронной форме в течение 6 дней со дня их отправки налоговым органом. А если через 10 дней такая квитанция не поступит, руководитель налогового органа или его зам имеет право принять решение о приостановлении операций налогоплательщика-организации по его счетам в банке и переводов его электронных денежных средств.

Вообще, приостановление операций по счетам – одна из главных фишек нового закона. Такое право и обязанность теперь предоставлено руководителям налоговых органов и их замам, организациям, осуществляющим операции с денежными средствами или иным имуществом в случаях, определенных 115-ФЗ, с административной ответственностью за невыполнение требований до 500 тысяч рублей.

Есть там и масса других интересных нововведений. Но об этом (особенно о бенефициарах) – позже, если руки дойдут J.