Государство и информационная безопасность
Новости в области государственного регулирования интернета, защиты персональных данных и информационной безопасности в последнее время появляются как грибы после дождя. Огромное количество органов, отвечающих за тот или иной аспект деятельности в цифровом пространстве, законы, зачастую противоречащие друг другу, и размытость формулировок не добавляют ясности в сложившуюся ситуацию. Аналитический центр Falcongaze подготовил краткий экскурс в область взаимоотношений государства и информационных технологий.
История
Впервые о безопасности в информационной сфере заговорили в начале 90-х. В 1992 году академики РАН подготовили документ, называвшийся «Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России». Тогда же Гостехкомиссия России представила «Концепцию защиты информации в системах обработки информации». Позже из Гостехкомиссии будет образована Федеральная служба по техническому и экспортному контролю (ФСТЭК).
20 февраля 1995 года был принят Федеральный закон «Об информации, информационных технологиях и защите информации». Все последующие уточнения, правки и новые нормы создавались на основе именно этого закона. До его принятия практически не регулировались такие аспекты общественной жизни, как авторское право, коммерческая тайна и набирающая обороты сфера информационных технологий.
В 1996 при принятии Уголовного кодекса была выделена специальная 28 глава «Преступления в сфере компьютерной информации». 9 сентября 2000 года была принята «Доктрина информационной безопасности Российской Федерации». Она действовала на протяжении последних пятнадцати лет и обозначала национальные интересы, угрозы и меры обеспечения информационной безопасности России. Сейчас в Совете безопасности ведется разработка обновленной версии доктрины, принятие которой ожидается в следующем году.
Регуляторы
На данный момент безопасность в цифровом пространстве регулируется в России рядом органов — это ФСБ (в частности Центр информационной безопасности), ФСТЭК и Роскомнадзор. Каждый из них отвечает за определенный аспект обеспечения информационной безопасности, иногда с привлечением экспертов из других ведомств. Например, Роскомнадзор занимается внесением сайтов в единый реестр запрещенной информации с последующей блокировкой, но искомые сайты ищет не только самостоятельно, но и получает от прокуратуры (экстремизм), ФСКН (наркотики) и Роспотребнадзора (пропаганда суицида). «Управление К» Министерства Внутренних Дел занимается делами в рамках Уголовного кодекса, например, нарушениями авторских прав, распространением вредоносных программ и мошенничеством в интернете, а 18-й центр ФСБ отвечает за криптографию и шифрование каналов передачи данных.
Сертификация и лицензирование
Существует множество рекомендаций от государственных органов в отношении обеспечения информационной безопасности в организациях. При этом для организаций финансового сектора и государственных органов эти рекомендации являются обязательными. Проверкой и выдачей сертификатов занимаются ФСТЭК и ФСБ. Они же занимаются сертификацией продуктов, предназначенных для обеспечения информационной безопасности.
Процесс сертификации заключается в проверке соблюдения мер по охране конфиденциальной информации на основании приказа ФСТЭК №21. Для организаций, взаимодействующих с коммерческой, налоговой или банковской тайной, также существуют установленные нормативно-правовыми актами порядки. Они должны включать в себя «ограничение доступа к информации, <…> путем установления порядка обращения с этой информацией и контроля за соблюдением этого порядка» (статья 10 ФЗ «О коммерческой тайне). Для качественного обеспечения таких мер требуются DLP-системы, системы контроля и управления доступом, грамотная организация документооборота.
Также целый ряд законодательных инициатив направлен на регулирование российского интернет-сегмента. Самая громкая из них за последние годы – изменения в законе «О персональных данных» 152-ФЗ, которые предписывают операторам персональных данных, хранящих и обрабатывающих информацию о российских гражданах, располагать центры обработки данных на территории РФ. Помимо прочего, операторы персональных данных должны уведомлять надзорные органы об обработке и несут ответственность за разглашение персональных данных. Проблема в том, что государственные органы до сих пор толком не определились, что же считать персональными данными, а разъяснения от различных ведомств зачастую противоречат друг другу. Ясности должен добавить готовящийся законопроект «О внесении изменений в закон «Об информации, информационных технологиях и защите информации» и отдельные законодательные акты РФ».
Центры анализа и реагирования
Уже давно существуют различные центры анализа и распространения информации, связанной с информационной безопасностью: как межкорпоративные, так и государственные и межгосударственные. Их задача — обмен информацией о незаконной активности с целью выработки общего вектора защиты. Называются они чаще всего CERT (computer emergency response team, так как CERT является зарегистрированной торговой маркой, иногда для обозначения применяются другие аббревиатуры или схожие понятия, например, CSIRT или SOC) и начинают свою историю от первого центра на базе института Карнеги-Меллон, сформированного по заказу правительства США для борьбы с первым в истории компьютерным червем в 1988 году. Пример современного центра — FS-ISAC, центр для распространения информации о взломах и утечках среди американских финансовых организаций.
В России в недалеком будущем планируется развернуть государственный центр по анализу и реагированию ГосСОПКА (система обнаружения и предотвращения компьютерных атак), в который российские компании должны будут отправлять данные об инцидентах безопасности. Подобное решение уже существует в финансовой сфере — существует FinCERT, под управлением Центрального Банка, который российские банки (пока что в добровольном порядке) информируют об инцидентах безопасности. FinCERT по запросу выдает рекомендационные меры по устранению уязвимостей, порядке действий и пр. Учитывая, что ЦБ также имеет право отзывать лицензии у банков из-за проблем с защитой — это вносит коррективы в работу FinCERT: далеко не все банки отправляют в него данные, и далеко не обо всех случаях атаки. ГосСОПКА – это аналогичная система, предназначенная в обязательном порядке для государственных учреждений и на добровольной основе для российских компаний. Уже сейчас работает «альфа-версия» GovCERT — системы, на основе которой будет работать ГосСОПКА. Разработка единого центра мониторинга и реагирования ведется под эгидой ФСБ и является результатом выполнения указа президента №31c «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».