Законодательство и стандарты информационной безопасности

Защита персональных данных

Одним из наиболее актуальных нормативно-правовых актов, регламентирующих информационную безопасность в коммерческих и государственных организациях, является закон 152-ФЗ «О персональных данных» от 27 июля 2006 года. Положения закона дополнительно уточняют постановления правительства № 781 от 17 ноября 2007 и № 687 от 15 сентября 2008, а также «Приказ трёх» (совместный приказ ФСТЭК, ФСБ, Мининформсвязи) N 55/86/20 от 13 февраля 2008 года. Выдержки из некоторых нормативно-правовых актов, касающиеся защиты персональных данных:

• В пункте 1 статьи 19 Федерального закона «О персональных данных» говорится: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
• В пункте 2 Постановления правительства № 781 говорится: «Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных)…».

Нормативно-правовыми актами устанавливается необходимость защиты персональных данных на протяжении всего жизненного цикла: с момента создания до архивирования или утилизации. В частности говорится о необходимости защиты персональных данных от утечек по техническим каналам, несанкционированного доступа и с помощью шифрования. Следует заметить, что во многих информационных сетях персональные данные хранятся и используются совместно с другой конфиденциальной информацией. За несоблюдение закона 152-ФЗ предусматривается как административная, так и уголовная ответственность. Более того, в ряде случаев за нарушения закона «О персональных данных» у оператора персональных данных может быть отозвана лицензия на осуществление деятельности. Использование DLP-решений позволит привести систему управления информационной безопасностью организации в соответствие с законом 152-ФЗ «О персональных данных» и защитить персональные данные от утечек и несанкционированного доступа.

Персональные данные других стран

О защите персональных данных в международном праве задумались уже довольно давно, а первым законом стала европейская Конвенция «Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data» («О защите личности в связи с автоматической обработкой персональных данных»), принятая 28 января 1981 года. На текущий момент подавляющее большинство развитых стран уже внедрили соответствующие законы. Ниже приведены некоторые законы о персональных данных других стан:

• EU Data Protection Directive (Directive 95/46/EC), Евросоюз, 1995.
• EU Internet Privacy Law of 2002 (Directive 2002/58/EC) , Евросоюз, 2002.
• Data Protection Code of 2003, Италия, 2003.
• ORGANIC LAW on the Protection of Personal Data, Испания, 1999.
• Federal Data Protection Act of 2001, Германия, 2001.
• Data Protection Act, Великобритания, 1998.
• Personal Information Protection Law, Япония, 2003.
• Personal Information Protection and Electronic Data Act, Канада, 2000.
• Privacy Act of 1988, Австралия, 1988.

Если организация работает на международных рынках, при построении системы защиты информации необходимо учитывать требования этих законов. Решения класса DLP позволяют привести системы внутреннего контроля в полное соответствие приведенным законам и защитить персональные данные от случайных и преднамеренных утечек.

Отраслевые стандарты

В международном праве существует большое число законов, отраслевых стандартов для финансовых институтов, телекоммуникационных компаний, учреждений здравоохранения и обязательных и рекомендательных документов, затрагивающих защиту информации от внутренних угроз и управление операционными рисками:

• Стандарт Банка России СТО БР ИББС-1.0-2008. Стандарт для российских банков, исполнение положений которого пока носит рекомендательный характер. В стандарте в частности затронута необходимость защиты от действий инсайдеров, в том числе необходимость контроля использования Интернета и корпоративной почты, а также ведения архива электронной почты.
• Кодекс корпоративного поведения ФСФР. Свод правил и рекомендации ФСФР России для компаний-участников рынков ценных бумаг России. Основная цель Кодекса — обеспечение равенства прав акционеров и защита их интересов, а одна из важнейших глав кодекса — контроль финансово-хозяйственной деятельностью общества. В Кодексе корпоративного поведения регламентируется создание прозрачной системы менеджмента и построение системы управления операционными рисками, а также необходимость создания условия для независимой оценки любой финансово-хозяйственной операции.
• PCI DSS. Обязательный стандарт для операторов данных платежных карт систем VISA, MasterCard, American Express, JCB, Discover. Во-первых, в стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. Также в PCI DSS определена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Во-вторых, согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентировав использование внешних устройств и перемещение конфиденциальных данных. В-третьих, в PCI DSS определена необходимость использования двухфакторной аутентификации для доступа к данным.
• Basel II. Довольно давно и успешно применяющийся в Евросоюзе, Северной Америке и Японии нормативный акт, регламентирующий банковскую деятельность. В частности в стандарте описана необходимость ведения архива конфиденциальной информации и создания системы управления операционными рисками.
• SOX. Sarbanes-Oxley Act of 2002 является обязательным для всех публичных компаний, акции которых котируются на фондовых биржах США. За несоблюдение закона топ-менеджеры компании несут персональную финансовую (штраф до 25 млн долларов) и уголовную ответственность (до 20 лет лишения свободы). Секция 404 закона регламентирует необходимость внедрения системы внутреннего контроля для предотвращения и защиты информационных активов компании от утечек и несанкционированного использования.
• SEC Rule 17a-4 и NASD 3010/3110. Своды правил для компаний, акции которых котируются на биржах США. В правилах регламентируется создание архива электронной корреспонденции и переписки через службы мгновенных сообщений. Требования NASD 3010/3110 еще более жесткие — требуется архивировать не только корреспонденцию участников системы, но и все транзакции брокеров, трейдеров и лиц, действующих от их имени.
• Combined code on corporate governance. Кодекс корпоративного управления Великобритании пока не является обязательным для всех организаций, однако уже давно де-факто является стандартом для корпораций, чьи акции представлены на Лондонской фондовой бирже. Combined code регламентирует создание и поддержку системы внутреннего контроля и необходимость как минимум один раз в год проводить независимый аудит такой системы. Также в Кодексе говорится о необходимости постоянного мониторинга самой системы внутреннего контроля, а в случае возникновения какого-либо инцидента ИБ, высшее руководство компании должно быть немедленно информировано.
• HIPAA. Американский закон HIPAA затрагивает учреждения здравоохранения, страховые компании и посредников, хранящих, обрабатывающих и передающих конфиденциальные данные. Закон конкретизируют правила HIPAA, The Security Rule, в которых в частности регламентируется необходимость создания системы внутреннего контроля, написания правил использования рабочих компьютеров и внешних устройств и организации системы контроля доступа к информации.
• GBLA & FACTA. Защита непубличной информации клиентов финансовых корпораций регламентируется законами Gramm-Leach-Bliley Act of 1999 и Fair and Accurate Credit Transactions Act of 2003. Стандарт «Interagency Guidelines Establishing Information Security Standards» вносит дополнительные уточнения в приведенные законы и требует от финансовых институтов США защищать непубличные данные граждан в процессе хранения, использования, пересылки и утилизации от всех прогнозируемых рисков информационной безопасности, а также обеспечить надежный контроль доступа к этой информации.

Архивирование информации

Архивирование информации (data retain) является распространенным требованием многих стандартов и законов, касающихся информационной безопасности. Сохранение переписки сотрудников, отправленных через Интернет данных, записанных на периферийные устройства файлов и копий распечатанных на принтерах документов является важной задачей как с точки зрения внутреннего контроля и управления операционными рисками, так и как самостоятельная задача. Очевидно, что часто для различных целей требуется провести ретроспективный анализ использованной и перемещенной за пределы корпоративной сети информации. Некоторые распространенные отраслевые стандарты и законы, в которых регламентируется архивирование данных:

• Федеральный закон 125-ФЗ «Об архивном деле в Российской Федерации».
• Стандарт Банка России СТО БР ИББС-1.0-2008.
• Basel II.
• SOX (Sarbanes-Oxley Act of 2002) .
• SEC Rule 17a-4 и NASD 3010/3110.
• EU Data Retention Directive (Directive 2006/24/EC) .
• HIPAA.

Несоблюдение требований архивирования информации в большинстве нормативных документов в большинстве случаев является прямым нарушением законодательства страны, за что предусматриваются солидные штрафы для компаний, а топ-менеджмент несет персональную уголовную и финансовую ответственность. Часто из-за невозможности предоставить электронные копии документов в суд компании проигрывают процессы и теряют огромные суммы. Одним из наиболее известных дел, показывающих необходимость архивирования информации, является процесс с участием Morgan Stanley. Первоначально присяжные приняли решение о взыскании с компании Morgan Stanley 1,5 млрд долларов за невозможность предоставления копий электронных писем, затребованных адвокатами другой стороны. Позже эта цифра была сокращена в сто раз и составила 15 млн долларов.

Анонсы

«Аэрофлот» защитился от утечек с помощью Zlock

Zecurion собрал на DLP-конференции более 2700 специалистов по информационной безопасности