Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
3№3 | 2-й квартал
Дорогие читатели!
Этот номер верстался в самую горячую для
нас пору, период подготовки к DLP-Russia.
Во ...
o!% *2: ha. h“2%!, !=ƒ",2,
q% !›=…,
12
31
40
4
Áàçîâûå ýëåìåíòû ìåíåäæìåíòà ðèñêîâ ÈÁ
Р - а а — а а а ,
- а а а , а.
А а Б а
Д а ЗАО «ЛЕТА»
50
№3, 2013
}-- *2,"…/ “2!=2 ...
DLP-RUSSIA 2008-2012. hŠnch
6
ПЛЕНАРНЫХ
ЗАСЕДАНИЙ
21
ТЕМАТИЧЕСКАЯ
СЕКЦИЯ
5
КРУГЛЫХ
СТОЛОВ
nŠp`qkh
Промышленность
8,6%
Госу...
Е а DLP-Russia а а -
а а а
1410
ПОСЕТИТЕЛЕЙ
КОНФЕРЕНЦИИ
837
КОМПАНИЙ И
ОРГАНИЗАЦИЙ
300
ЗРИТЕЛЕЙ
ОН-ЛАЙН
ТРАНСЛЯЦИИ
101
ВЫС...
8 «!Безопасность Деловой Информации»
Ассоциация «DLP-Эксперт» была образована в 2008 году как объединение
ведущих эксперто...
9№3 | 2-й квартал
нежели революционным: мы прошли большой путь
от первых, еще весьма несовершенных DLP-систем
к «умному» п...
Наш новый проект:
«ИБ.История развития»
Как считают три из четырех мировых религий,
первый случай несанкционированного дос...
Краткая история
ИБ в России
13
Проект: ИБ. История развития
Алексей Лукацкий
Бизнес-консультант по безопасности,
Cisco Systems
История информационной ...
Мнение Геннадия Емельянова
Что ставить во главу угла?
Сильное государство, способное защитить своих граждан,
или государст...
«В 1990-м году парламентская
комиссия, созданная по распоряжению
президента Бориса Ельцина и
возглавляемая академиком
Юрие...
18 «!Безопасность Деловой Информации»
Проект: ИБ. История развития
«Часть документов и множество идей,
появившихся в то вр...
Мнение Сергея Вихорева
Да, было дело в наше время...
Вернемся в эпоху «малиновых пиджаков» и немного
повспоминаем. В стран...
Проект: ИБ. История развития
21№3 | 2-й квартал
Эпоха глобализации и
первых отечественных
ИБ-стартапов
Слова: Интернет, Вс...
Мнение Натальи Касперской
Об условиях, в которых
многие начинали свой бизнес
Первое, что стоит сказать об условиях, в кото...
Quiet! Spanish (Republican) poster from the Spanish Civil War 1936-1939.
Мнение Александра Токаренко
Необходимость консолидации
Я бы не относил 2007-2012 годы и Закон «О персональных
данных» к на...
Мнение Алексея Волкова
Эти времена на поверку
оказались не «лучшими»
«Новая эпоха в российской отрасли защиты информации»,...
Интезаров А., Соколов Н. , плакат: «Строго храни военную и государственную тайну!», 1952
Мнение Андрея Прозорова
Мне повезло,
я успел поработать в нескольких из описываемых эпох.
Ведущий эксперт по ИБ компании I...
30 «!Безопасность Деловой Информации»
Проект: ИБ. История развития
В книге великого русского писателя-фантаста Ивана Ефрем...
Проект: ИБ. История развития
Европа и США
Особенности защиты персональных данных
Екатерина Ляшенко
Консультант-аналитик по...
32 «!Безопасность Деловой Информации»
Изначально национальное законодательство европейских стран
ограничивалось общим прав...
Проект: ИБ. История развития
33№3 | 2-й квартал
До начала 70-х гг. считалось нормальным явлением,
что работодатели имеют д...
34 «!Безопасность Деловой Информации»
Проект: ИБ. История развития
Следует заметить, что данная директива не регла-
ментир...
Проект: ИБ. История развития
35№3 | 2-й квартал
Директива о конфиденциальности и электронных
средствах связи 2002/58/EC
Ди...
36 «!Безопасность Деловой Информации»
Проект: ИБ. История развития
Вопрос защиты персональных данных в США своими корнями ...
Акт о перемещаемости и подотчетности
страхования здоровья» (HIPAA от англ. Health
Insurance Portability and Accountability...
38 «!Безопасность Деловой Информации»
Проект: ИБ. История развития
Основная цель COPPA – создание руководящего доку-
мента...
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Журнал «!Безопасноть деловой информации» №3
Upcoming SlideShare
Loading in …5
×

Журнал «!Безопасноть деловой информации» №3

2,888 views

Published on

Тема номера : ИБ vs БИЗНЕС
Специальный тематический выпуск, приуроченный к DLP-Russia’2013

Журнал «!Безопасноть деловой информации» №3

  1. 1. 3№3 | 2-й квартал Дорогие читатели! Этот номер верстался в самую горячую для нас пору, период подготовки к DLP-Russia. Во время формирования программы и создания материалов конференции идет активное переосмысление всех процессов и трендов, существующих на рынке информационной безопасности. Именно поэтому мы решили сделать этот номер тематическим. Статьи, представленные в этом выпуске журнала, как и вы- ступления на самой конференции DLP-Russia, активно затра- гивают последние тенденции отрасли, вопросы взаимодей- ствия ИБ и бизнеса. Более того, изменения, обусловленные последними тренда- ми, затронули и саму Ассоциацию, под эгидой которой вы- ходит наш журнал и проводится конференция. О новой кон- цепции, ребрендинге Ассоциации и конференции читайте на первых полосах этого выпуска. Наталья Мутель Главный редактор журнала «!Безопасность Деловой Информации» 3
  2. 2. o!% *2: ha. h“2%!, !=ƒ",2, q% !›=…, 12 31 40 4
  3. 3. Áàçîâûå ýëåìåíòû ìåíåäæìåíòà ðèñêîâ ÈÁ Р - а а — а а а , - а а а , а. А а Б а Д а ЗАО «ЛЕТА» 50 №3, 2013 }-- *2,"…/ “2!=2 ,, Áåçîïàñíîñòü áèçíåñ-ïðèëîæåíèé За а а — а а а а а а а . Р Ха За а а а InfoWatch, а Appercut Security 46 `*= , … 2=K= Çàùèòà êîðïîðàòèâíîé èíôîðìàöèè vs çîíà êîìôîðòà ñîòðóäíèêîâ Е а ПО, а а а а, а DLP- . В И а И а InfoWatch 54 }-- *2,"…/ “2!=2 ,, Ýòàïû ïðèíÿòèÿ íîâîãî – îáúåêòèâíàÿ çàêîíîìåðíîñòü Ф а а , « а а а а », а а а . А Е Д а а ООО «Ка а » 58 bƒ 2/ "/“%2/ Security Intelligence – íîâîå ðåøåíèå ñòàðîé çàäà÷è П ИБ- а а а а , а а , а – а а а а а . А а К а Р а а а а Ц а ИБ а «И Д » 62 5
  4. 4. DLP-RUSSIA 2008-2012. hŠnch 6 ПЛЕНАРНЫХ ЗАСЕДАНИЙ 21 ТЕМАТИЧЕСКАЯ СЕКЦИЯ 5 КРУГЛЫХ СТОЛОВ nŠp`qkh Промышленность 8,6% Государственные организации 6,8% Нефть и газ 5,9% Энергетика 4,1% Другое 3,6% Образование и наука 3,2% Строительство и недвижимость 2,3% Телеком 7,7% Банки, финансы, страхование 31,7% Информационные технологии 13,1% Информационная безопасность 11,3% Банки, финансы, страхование 122× 20ÌÈÍ ОБЩАЯ ПРОДОЛЖИТЕЛЬНОСТЬ ДОКЛАДОВ 6
  5. 5. Е а DLP-Russia а а - а а а 1410 ПОСЕТИТЕЛЕЙ КОНФЕРЕНЦИИ 837 КОМПАНИЙ И ОРГАНИЗАЦИЙ 300 ЗРИТЕЛЕЙ ОН-ЛАЙН ТРАНСЛЯЦИИ 101 ВЫСТУПАЮЩИЙ ЭКСПЕРТ 0ek| onqeyemh“ `rdhŠnph“ 84,4% 49,8% 16,3% 81,1% Узнать об актуальных темах отрасли ИБ Найти поставщиков продуктов и услуг Найти новых клиентов Услышать мнения экспертов по интересующим вопросам 50% 24% 17% 9% Топ-менеджеры, руководители ИТ и ИБ Технические специалисты Менеджеры среднего звена Консультанты, менеджеры по продажам, преподаватели 50% 24% 17% 9% 7
  6. 6. 8 «!Безопасность Деловой Информации» Ассоциация «DLP-Эксперт» была образована в 2008 году как объединение ведущих экспертов в области ИБ. Под эгидой Ассоциации активно развивается on-line площадка сообщества «DLP-Эксперт», проводится ежегодная конференция DLP-Russia и выпускается журнал «!Безопасность деловой информации». В 2013 году Ассоциация, которая всегда пристально следила за переменами, происходящими на рынке, откликнулась на них изменением концепции и расширением списка рассматриваемых тем. Теперь деятельность Ассоциации посвящена вопросам, связанным с защитой корпоративной информации. В связи с этим было при- нято решение изменить название Ассоциации на Business Information Security Association, и конференции — на Business Information Security Summit. DLP-Russia BISS Business Information Security Summit становится Наталья Касперская генеральный директор InfoWatch 6 лет назад мы с вами впервые задумались о том, что но- вому, молодому рынку средств защиты от утечек (DLP) для успешного развития нужна мощная платформа. А именно, информационная площадка для концентра- ции и обмена знаниями и опытом, место для регуляр- ных встреч экспертов, специалистов и пользователей DLP-систем, обсуждения актуальных проблем и острых вопросов в области защиты конфиденциальной инфор- мации. Так возникло профессиональное сообщество «DLP-Эксперт», появился сайт www.dlp-expert.ru, было положено начало ежегодной конференции DLP-Russia. Время, как известно, летит быстро, особен- но когда идет активная работа коллектива увле- ченных общей идеей людей. Все это время раз- витие рынка DLP было скорее эволюционным,
  7. 7. 9№3 | 2-й квартал нежели революционным: мы прошли большой путь от первых, еще весьма несовершенных DLP-систем к «умному» программному обеспечению, контролиру- ющему все информационные потоки в организации. Сегодня мы с вами являемся свидетелями уникаль- ного процесса смены парадигмы развития рынка защиты конфиденциальной информации от утечки в сторону проактивной защиты, прогнозирования информационных рисков в корпоративной среде. Глубоко анализируя тенденции рынка и запросы поль- зователей, мы отмечаем нарастающую потребность современных компаний в выявлении на ранней ста- дии подозрительной активности сотрудников, которая в дальнейшем может привести к утечке конфиденциаль- ной корпоративной информации. И уже сейчас можно с определенной долей уверенности сказать, что бли- жайшее будущее DLP-рынка будет определяться созда- нием и развитием проактивных систем защиты от ин- сайда.ПричемнетольковРоссии,стоящейвавангарде мировой ИБ-индустрии, но и на глобальном рынке. Поэтому нам с вами предстоит огромная работа над развитием нового, намного более широкого и пер- спективного рынка. Прислушиваясь к последним тенденциям мы поддержали коллег из Ассоциации «DLP-Эксперт» в решении изменить концепцию Ас- социации и конференции, сделать более широким и универсальным список рассматриваемых вопросов по информационной безопасности и подобрать но- вые названия, отвечающие обновленному статусу. Предлагаю начать прямо сейчас! Рустэм Хайретдинов президент Ассоциации «DLP-Эксперт» Теперь наша ассоциация называется Business Information Security Association и я, соответсвенно, президент Ассоциации Business Information Security Association (сокращенно BISA). В следующем году мы с вами встретимся на Business Information Security Summit (BISS), теперь конферен- ция с таким названием будет проходить вместо всем привычной DLP-Russia. Мы изменили не только назва- ние, но и концепцию: последние тенденции рынка за- ставляют нас обращаться к более широкому спектру проблем, и мы решили выбрать названия, которые будут наиболее полно отражать суть тех вопросов, ко- торые мы будем рассматривать в ходе конференции и на площадке Ассоциации. Мы начинали как небольшой клуб из пары дюжин профессионалов, обменивающихся опытом противо- действия внутренним угрозам в условиях, когда при- вычные методы типа «все запретить, зашифровать и поставить антивирус» не действовали. Теперь нас многие сотни, при этом не все знакомы друг с другом лично — таков наш век информационных технологий. Все это не зря, за нами десятки инициатив в рам- ках работы над подзаконными актами, отраслевые модели угроз и лучшие практики внедрения систем противодействия внутренним угрозам, методики ле- гитимных внутренних расследований и реальные дела в судах. Профессиональные сообщества для того и су- ществуют, чтобы опыт работы профессионалов нака- пливался и становился доступным для всех. Ежегодная конференция — это и отчет ИБ-сообщества за год, и рассмотрение основных тенденций отрасли, и обсуждение планов на ближайшее время. Что будет с рынком информационной безопасности страны? Как изменится рыночный и правовой ландшафт на- шей отрасли? Что мы можем сделать для расширения рынка и его цивилизованности? Утечки информа- ции — лишь первая, но не далеко единственная вну- тренняя угроза информацимонной безопасности, с которой столкнулись все мы. Поэтому все остальные внутренние угрозы — мошенничество, саботаж, зло- употребления привилегированных пользователей, закладки в заказном программном обеспечении — не останутся без внимания на нашей конференции. Спасибо вам, что принимаете участие в работе Ас- социации, не важно, просто ли вы читаете наш сайт или активно участвуете в наших мероприятиях. Добро пожаловать на конференцию Business Information Security Summit’ 2014, крупнейшее мероприятие страны, посвященное вопросам информационной безопасности!
  8. 8. Наш новый проект: «ИБ.История развития» Как считают три из четырех мировых религий, первый случай несанкционированного доступа к защищаемой информации произошел еще во времена прародителей человечества, Адама и Евы. Несанкционированный доступ к плодам Древа познания Добра и Зла показал, что исключительно одним запре- том не может защитить информацию даже сам Господь Бог. Поэтому вопросами информационной безопасности человечество озаботилось еще с древнейших времен, и это тема не одного исследования. В этом номере мы начинаем большой проект, где будем рассматривать раз- личные аспекты истории становления рынка информа- ционной безопасности. Текст: Александр Токаренко 11
  9. 9. Краткая история ИБ в России
  10. 10. 13 Проект: ИБ. История развития Алексей Лукацкий Бизнес-консультант по безопасности, Cisco Systems История информационной безопасности в России ведет свое начало с древнейших времен; но в более-менее управляемое русло она вошла со времен Ивана Грозного, когда российское государство начало активную внешнеполитическую деятель- ность. Потом Россия вошла во времена регулярной диплома- тической переписки, постоянные войны и конфликты… Незаметно царская Россия столкнулась с революционерами. «Именно с шифрования начиналась история защиты информации в Российской империи (да и не только в ней) и очень длительное время только ею и ограничивалась…» После Октябрьского переворота возник- ла еще большая необходимость в защите революционных интересов в информа- ционной сфере, при ВЧК был создан 8-й Спецотдел (в Красной Армии были свои органы защиты информации), который и можно считать прародителем отечествен- ной отрасли информационной безопасно- сти. Правда, тогда, в начале 20-го века, ни о каких компьютерах и речи не было, и вся защита ограничивалась только обе- спечением конфиденциальности инфор- мации, т.е. ее шифрованием. Именно с шифрования начиналась история защиты информации в Российской империи (да и не только в ней) и очень длительное время только ею и ограничивалась… Пока не пришло время первых вычисли- тельных машин.
  11. 11. Мнение Геннадия Емельянова Что ставить во главу угла? Сильное государство, способное защитить своих граждан, или государство как оно есть сейчас у нас? Я лично исхожу из первого посыла, и поэтому считаю абсолютно правильным выделение технических каналов утечки информации из средств защиты от них в самостоятельное направление. В описываемый период руководитель одного из структурных подразделений Управления КГБ СССР Дело в том, что наши основные оппоненты (как ранее было принято говорить, противники), конечно, не сто- яли на месте и разрабатывали самые новые и мощ- ные средства технической разведки. Мы должны были им что-то противопоставить. Вопросами защиты ин- формации к этому времени занимались и КГБ СССР, и другие ведомства, в первую очередь, Министерство Обороны СССР. Поэтому, на мой взгляд, было выделение вопросов защиты информации от технических каналов утеч- ки в отдельное направление. Что касается КГБ СССР (ныне ФСБ России), то за этим ведомством как была, так и остается главенствующая роль в области крипто- графической защиты, в надежности которой лично я, проработавший в этой сфере более 30-ти лет, не со- мневаюсь. Итак, ситуация привела к созданию само- стоятельной структуры — Гостехкомиссии СССР. В это время я был руководителем одного из струк- турных подразделений Управления КГБ СССР. Непо- средственно столкнулся с этой проблематикой уже после распада СССР, будучи начальником управления ФАПСИ. Это было время становления новой норма- тивной базы России во всех сферах деятельности, в том числе и в области защиты информации. Мне при- шлось плотно общаться с аппаратом Гостехкомиссии, в адрес которого я могу высказать только высокие оценки. Нам пришлось разрабатывать ряд совмест- ных документов, и я весьма положительно могу ото- зваться о квалификации сотрудников Гостехкомиссии, ныне ФСТЭК. В настоящее время это моё убеждение только укрепилось. Вместе с тем, я понимаю, что жить бизнесу под тре- бованиями двух серьезных ведомств достаточно не- легко, и поддерживаю желание как-то облегчить эту ситуацию. Проект: ИБ. История развития 15№3 | 2-й квартал Примерно с 1970-х годов Советский Союз плавно подошел к очередному этапу в истории отечественной информационной безопасности. Эпоха КГБ и ПДИТР Слова: КГБ СССР, Гостехкомиссия СССР, противодействие иностранным разведкам Перед государством, которое все пыталось «догнать и перегнать Америку», очень остро встала задача обе- спечения сохранности своих государственных тайн, на которые посягали иностранные технические раз- ведки. Примерно в это время и проявилось впервые разделение, последствия которого мы ощущаем до сих пор, – разделение на криптографию и все осталь- ное, которыми занялись Комитет государственной безопасности (КГБ) и Государственная техническая ко- миссия (Гостехкомиссия) соответственно. КГБ, являю- щийся наследником 8-го Спецотдела ВЧК, продолжал обеспечивать криптографическую защиту каналов связи высших органов государственной власти, дипло- матических представительств и миссий, а также ана- логичных структур, нуждающихся в надежном сокры- тии своих секретов. А Гостехкомиссия была создана в 1973-м году для ор- ганизации и координации работ по противодействию иностранным техническим разведкам (ПДИТР). Этот период длился примерно до середины-конца 80-х го- дов, до перестройки.
  12. 12. «В 1990-м году парламентская комиссия, созданная по распоряжению президента Бориса Ельцина и возглавляемая академиком Юрием Рыжовым, впервые ввела термин «информационная безопасность» Проект: ИБ. История развития 17№3 | 2-й квартал Эпоха Гостехкомиссии и ФАПСИ Слова: ФАПСИ СССР, Гостехкомиссия СССР, малиновый пиджак, перестройка, первые ЭВМ, Борис Ельцин, Юрий Рыжов Конец 80-х годов и начало 90-х запомнились многим как времена малиновых пиджаков, полной неразберихи, рэкета, гласности, перестройки, кооперативов и первых олигархов. Именно в это время бывшая главная спецслужба страны вступает в свое не самое лучшее время – ее лихорадит, она постоянно переименовывается, ее покидают сотрудники, оседающие в коммерческом секторе, который растет очень активно и семимильными шагами движется в ногу с прогрессом. А прогресс неумолим – появляются первые компьюте- ры. При этом службы безопасности фирм и кооперати- вов новых русских возглавляют «бывшие» сотрудники КГБ, привнесшие в коммерческую сферу весь свой богатый опыт защиты тайн и секретов; правда, на этот раз уже коммерческих. Пожалуй, с этого времени можно отсчитывать начало коммерческого сегмента отрасли информационной безопасности. Хотя задачи перед ней стояли схожие с областью государственных секретов – обеспечение конфиденциальности и защи- ты от прослушки. В конце 80-х годов значительно расширились задачи и возможности КГБ и Гостехкомиссии по основным направлениям деятельности в области ИБ — шифро- вание (включая и спецсвязь) и ПДИТР (электронную разведку я специально оставляю в стороне). 91-92-й годы можно назвать переломными в области форми- рования концепции обеспечения информационной безопасности в стране на долгие годы. В 1990-м году парламентская комиссия, созданная по распоряжению президента Бориса Ельцина и возглав- ляемая академиком Юрием Рыжовым, впервые ввела термин «информационная безопасность». Эта комис- сия, работавшая 40 дней, разрабатывала Концепцию национальной безопасности, а также иерархию осно- вополагающих документов, на которые должны были опираться все нормативные акты по безопасности.
  13. 13. 18 «!Безопасность Деловой Информации» Проект: ИБ. История развития «Часть документов и множество идей, появившихся в то время, действует и до сих пор, продолжая устаревший, но все-таки никем не отмененный курс в области информационной безопасности» Из интервью Рыжова на Радио Свобода в январе 2003-го года: «Я выступал как председатель Комиссии Верховного совета СССР по разработке концепции на- циональной безопасности и говорил, что нам в первую очередь нужно обеспечить следующую иерархию без- опасности: безопасность и права личности, потом об- щества и потом государства при условии, что оно обя- зано служить людям и обеспечивать две эти первые безопасности. Это была первая парадигма, которая ставила все с головы на ноги, потому что предыдущие столетия эта парадигма была иная: живет государство – и оно является главным». В июне 2011 года Юрий Рыжов в интервью журналу «Эхо России» так писал про период работы своей ко- миссии: «Я примерно с 90-го года заболел проблемой национальной безопасности моей страны. Когда-то с согласия Горбачева, а потом по его поручению я воз- главлял комиссию Верховного Совета по разработке Концепции национальной безопасности. Мы хотели перевернуть советскую и Победоносцева, обер-про- курора Синода, который в период «подморозки» Алек- сандра III провозгласил православие, самодержавие и народность... а у нас было сказано: государство, обще- ство, а только потом – человек. Мы старались перевернуть эту парадигму в обратном направлении: главное – безопасность личности, вто- рое – общества, третье – государства, и лишь в том случае, если оно обеспечивает две первых. За послед- ние 20 лет, с тех пор, как я увлекся этой безнадежной задачей, все вернулось. Только вместо Победоносце- ва некий Сурков теперь выступает, такие лица». Если бы тогда идеи Рыжова были приняты, кто знает, как бы сейчас развивалась отрасль ИБ в России. Хотя попытки переломить ситуацию нашими регуляторами (как минимум ФСТЭК) предпринимались. Но безу- спешно. Сама комиссия Юрия Рыжова была закрыта Дмитрием Язовым и Владимиром Крючковым, позже прославившимися в рамках ГКЧП. Примечательна цитата председателя КГБ Владимира Крючкова: «Все хорошо, все разумно, но концепция комиссии Рыжова — это для будущего, а нам нужно работать здесь и сейчас. Поэтому следует принять срочно нашу концепцию». С этой концепцией мы все знакомы. На первом месте находится безопасность государства, затем идет безопасность общества и только потом безопасность личности. Отказавшись от идеи академика Рыжова, наши спец- службы продолжают развивать эту концепцию. Созда- ется Федеральное агентство правительственной связи и информации, до 2003-го года ставшее основным стопором всех инициатив, связанных с так называе- мой гражданской криптографией. В 92-м году появляются первые руководящие доку- менты Гостехкомиссии (по сути, списанные с амери- канской «Радужной серии»), устанавливающие тре- бования к защите средств вычислительной техники и автоматизированных систем. Часть документов и множество идей, появившихся в то время, действует и до сих пор, продолжая устаревший, но все-таки ни- кем не отмененный курс в области информационной безопасности.
  14. 14. Мнение Сергея Вихорева Да, было дело в наше время... Вернемся в эпоху «малиновых пиджаков» и немного повспоминаем. В стране разброд и шатания. Все стали сразу коммерсантами, управление многими отраслями было потеряно. Защита информации особо никому не была нужна. Людей надо было еще подготовить к пониманию этой проблемы. В тот период заместитель начальника и позже начальник 2-го отдела 2-го Управления Гостехкомиссии России Да, ушедшие из армии, КГБ, Минпромсвязи специали- сты пытались как-то выживать. Кто-то в челноки запи- сался, а кто-то пытался делать то, что умел: защищать информацию. Да, приходя в коммерческие структуры, они мыслили еще старыми категориями и пытались организовать процесс так, как умели, «по-армейски». Надо было что-то делать. И вот в то время в Гостехко- миссии образовалась группа энтузиастов, пытавших- ся как-то наладить весь этот процесс. Здесь нельзя не вспомнить уже ушедших от нас Евгения Анатольевича Беляева и Виктора Александровича Вирковского, и ныне здравствующих Андрея Петровича Курило, Алек- сандра Ивановича Ефимова, Анатолия Александро- вича Стрельцова, Бориса Ивановича Пальчуна, Ана- толия Васильевича Шеина, Илларию Лаврентьевну Бачило и многих, многих других (уж простите меня те, кого не упомянул!). Ну, где-то там, в конце списка, был и ваш покорный слуга. И начали-то в первую очередь не с техники, а с закона. Долго и кропотливо писали первый «трехглавый» закон. Вносили изменения в УК РФ (знаменитая 28 глава). Потом дошла очередь и до технических вопросов. Раз- рабатывали РД. Не задумывались, почему эти РД до сих пор живут? Да потому, что писались они тщатель- но, каждое слово выверялось и взвешивалось. Пом- ню, когда встал вопрос (это уже было на более позд- них этапах эпохи информационной безопасности) о необходимости перехода к методологии международ- ного стандарта «Общие критерии», его переводом за- нимались не только наши специалисты-технари. При- влекались и лингвисты из института русского языка имени Виноградова, и американские специалисты как носители языка и как специалисты. В это время (это можно отследить по периодическим изданиям) многие должностные лица Гостехкомиссии частенько выступали на конференциях, в прессе с разъяснени- ем важности проблемы защиты информации. Так ска- зать вели просветительскую деятельность. И она, как видно сейчас, увенчалась успехом. Особо надо сказать о системе лицензирования и сер- тификации. Это два серьезных инструмента внеры- ночного регулирования. Лицензирование позволило поставить под контроль разработку средств защиты и оказание услуг в этой сфере и тем самым оградить потребителя от недоброкачественных продуктов, с од- ной стороны, а с другой стороны, защитить специали- стов. Знаете, а ведь лицензирование в сфере защиты информации появилось раньше, чем издали закон «О лицензировании». Намного раньше! И оно на том эта- пе (да и сейчас тоже) помогло отсеять тех, кто пытался неквалифицированно решать проблемы защиты ин- формации. А сертификация? Сейчас о том, что не надо серти- фицировать средства защиты, не говорит разве что ленивый. А на самом деле как? Вы будете покупать электрочайник, если у него не будет сертификата по электрической безопасности? Наверное, нет. Потому что вам дорого ваше здоровье. А безопасность ин- формации ведь как радиация: все знают, что она есть, но никто ее руками не щупал. Пока не случится самое страшное. Вот и была создана система испытательных лабораторий, в которой были специалисты, способ- ные оценить защиту. Вспоминаю, как впервые сертифицировали Windows для Минатома. Ведь мы эту работу делали вместе с американскими спецами. И они к нам в Саров при- езжали, и мы к ним в Кремниевую Долину. И коды проверяли. Наши-то требования были посерьезнее, чем американские, и они это признавали, и считали правильным. Но Windows тогда не мог все их реали- зовать. Искали компромисс, даже выпустили специ- альный вариант РД под этот случай, который учитывал некоторые организационные особенности использо- вания операционной системы. В общем, с задачей справились. Не говорю о сегодняшнем качестве сер- тификации, думаю, здесь есть что улучшать. Но систе- ма, созданная в то время, — работает! Проект: ИБ. История развития 19№3 | 2-й квартал
  15. 15. Проект: ИБ. История развития 21№3 | 2-й квартал Эпоха глобализации и первых отечественных ИБ-стартапов Слова: Интернет, Всемирная сеть, стартап, интернет-безопасность, антивирус Середина и конец 90-х годов вспоминается не только экономическим и очередным политическим кризисом, но и активным использованием Интернета (хотя первые попытки подключения к Всемирной Сети были, безусловно, и раньше). В это время в Россию начинают приходить первые иностранные компании, являющиеся признанными мировыми игроками на рынке информационной безопасности. На этом рынке начинают появляться и отечественные компании, которые сейчас модно называть стартапа- ми. В то время об этом мало кто думал – стояла задача получить государственный заказ (а иначе, если чест- но, отечественным продуктам было сложно выбиться «в люди»), выпустить продукт, соответствующий руко- водящим документам ФСТЭК, получить сертификат соответствия. Российские компании ориентировались на государ- ственный сектор, имея в своем портфолио достаточно небольшой спектр продуктов (1-3, не более); преиму- щественно в сфере защиты персональных компьюте- ров (СЗИ от НСД), локальных сетей Novell и каналов связи (шифраторы X.25, IPX/SPX, TCP/IP). В это же время западные компании активно осваивали сег- мент Интернет-безопасности, предлагая российским потребителям межсетевые экраны, системы предот- вращения вторжений, сканеры безопасности и т.п. И только антивирусная индустрия стояла немного особ- няком: два игрока — «Диалог-Наука» (продвигавшая Aidstest, Dr.Web и ряд других, уже забытых антивирус- ных продуктов) и «Лаборатория Касперского» (снача- ла являющаяся подразделением НТЦ КАМИ) активно конкурировали с иностранными антивирусами от ком- паний Norton, Dr.Solomon и др. А вот регуляторы в это время были не очень активны. ФАПСИ, по сути, монополизировало рынок средств шифрования и не пускало туда посторонних (эта тен- денция сохраняется до сих пор). А Гостехкомиссия про- должала спокойно заниматься темой ПДИТР и попутно изредка радовала своими «новыми» руководящими документами. В 2003-м году президент Путин упразд- нил ФАПСИ, разделив его между Министерством обо- роны, ФСБ и ФСО. В 2004-м году прекратила свое существования и Гостехкомиссия, превратившись по решению Путина в Федеральную службу по техниче- скому и экспортному контролю (ФСТЭК). «На рынке начинают появляться и отечественные компании, которые сейчас модно называть стартапами»
  16. 16. Мнение Натальи Касперской Об условиях, в которых многие начинали свой бизнес Первое, что стоит сказать об условиях, в которых многие начинали свой бизнес, — это то, что рынка тогда фактически не существовало, он был пустым. В середине 90-х компьютеры только-только начинали появляться. Домашних ПК было мало. Компьютеры, в основном, стояли в офисах и использовались для рабочих целей. Поэтому проблема защиты информации в те годы не стояла так остро, как сейчас. Количество объектов, которые надо было защищать, также было небольшим. В описываемый период менеджер антивирусного проекта «AVP», с 1997 года руководитель компании «Лаборатория Касперского» В 90-е гг. стали возникать разнообразные отечествен- ные компании, и их было довольно много. В одной ан- тивирусной сфере существовало с десяток различных групп, разрабатывавших эту тему. Я говорю «группы», а не «компании», потому что они не всегда в конечном итоге формировались в компании. Некоторые отмира- ли, мутировали или примыкали к кому-то. Например, у нас в «Лаборатории Касперского» был разработчик Вадим Богданов, он пришел к нам с собственной про- граммой защиты от вирусов AntiApe. Тем не менее, многие компании, появившиеся в 90-е годы, успешно работают и по сей день. Среди ИБ-компаний, создававшихся в то время, было очень много таких, которые занимались шифровани- ем. Это естественно, ведь российская школа шифро- 22 «!Безопасность Деловой Информации» Проект: ИБ. История развития вания традиционно считается одной из самых силь- ных. Тогда криптографов готовила Высшая Школа КГБ, которая потом была переименована в Акаде- мию ФАПСИ. Люди, окончившие отделение крипто- графии, имели знания и возможность создавать свои продукты, и они начинали активно этим зани- маться. Поэтому на российском рынке информаци- онной безопасности сложилась довольно нетипич- ная ситуация, при которой предложение продуктов, обеспечивающих шифрование данных, практически превышает спрос. Еще одной отличительной особенностью того време- ни был рынок труда. Люди в тот момент оказались на стыке эпох, когда от системы пожизненного найма и гарантированной работы мы пришли к ситуации, при которой государственные организации не мог- ли платить своим сотрудникам, а частные компании еще только начинали зарождаться. Множество лю- дей либо получали копейки, либо оказались вовсе выброшенными на улицу. Поэтому людям приходи- лось искать новые сферы применения своим на- выкам, и квалифицированного специалиста можно было нанять за достаточно небольшие деньги. Это был рынок работодателя. Потом постепенно эта ситуация стала меняться, но все равно компании, которые имели возможность платить зарплату в валюте, выигрывали у организа- ций, которые этой возможности не имели.
  17. 17. Quiet! Spanish (Republican) poster from the Spanish Civil War 1936-1939.
  18. 18. Мнение Александра Токаренко Необходимость консолидации Я бы не относил 2007-2012 годы и Закон «О персональных данных» к началу новой эпохи в ИБ. Скорее, они лишь предвестники ее наступления. Осознание необходимости консоли- дации профессионалов ИБ действительно произошло, появились первые профессиональные ассоциации, к мнению профессионального сообщества стали прислушиваться регуляторы... Но я считаю, что показателем новой эпохи будет тот момент, когда профсообщество станет действительным игроком в сфере информационной безопасности России. Руководитель комитета, член Правления АРСИБ Проект: ИБ. История развития 25№3 | 2-й квартал Эпоха персональных данных и отраслевых стандартов Слова: ФЗ-152, Федеральный закон «О персональных данных», «Четверокнижие» ФСТЭК, защита персональных данных В 2007-м году началась новая эпоха в российской отрасли защиты информации. Отечественные депутаты решили не отставать от всего прогрессивного челове- чества и приняли новый закон «О персональных данных», задавший определен- ный вектор в развитии информационной безопасности. Сначала этому закону никто не придал большого зна- чения, а многие и до сих пор про него мало что знают (от Урала на восток, исключая города-миллионники). И только в 2008-м году, после выхода «четверокнижия» ФСТЭК и методических документов ФСБ по защите персональных данных, отрасль очнулась ото сна и стала активно привязывать все, что в ней делалось, к теме персональных данных. Шутка ли, требования по защите информации впер- вые стали обязательными для всех юридических лиц и индивидуальных предпринимателей в Рос- сии. А это без малого пять миллионов потенциаль- ных потребителей продукции и услуг в области за- щиты информации. Это не требования по ключевым системам информационной инфраструктуры, которые мало кто видел, которые распространяются всего на две с небольшим тысячи организаций, которые опи- раются на так и не вступивший в силу закон. И это не требования СТР-К с его непонятным статусом. И это не требования по защите коммерческой тайны, которые ФСТЭК так и не выпустила в свет. На фоне законодательства о персональных данных стала активно развиваться и тема отраслевых стан- дартов. И хотя законодательной базы под ней не было, это не помешало Банку России, НАУФОР, НАПФ и ряду других ведомств, госкорпораций и монополий выпу- скать свои «отраслевые» требования по обеспечению информационной безопасности. И это понятно — на ФСТЭК с ее неторопливостью в выпуске новых и, что самое важное, актуальных документов мало кто рас- считывал, а защищать свои информационные активы как-то было нужно.
  19. 19. Мнение Алексея Волкова Эти времена на поверку оказались не «лучшими» «Новая эпоха в российской отрасли защиты информации», начавшаяся с момента вступления в силу закона «О персональных данных» (2007 год), лично мне дала знать о своем скором наступлении в момент опубликования текста закона в Российской газете (2006 год). Независимый эксперт, блогер Не потому, что я усиленно «мониторил» законодатель- ство и сразу же стремился его выполнять — просто в СБ компании, где я в тот момент работал, была рас- сылка юридической службы с рекомендациями для каждого подразделения, на что обратить внимание. Прочитав текст и осознав широту охвата (5 млн. юри- дических лиц), я, тем не менее, решил для себя, что не очень люблю тему персональных данных: в ней, как и в любом compliance, очень мало простора для творчества – что называется, «бери да делай». В 2006 году «брать», а потому «делать», особо было нечего — ни ФСТЭК, ни ФСБ, ни Роскомнадзор ничего не изда- ли, поэтому я «задвинул» ПДн до лучших времен. Времена эти не заставили себя долго ждать и на поверку оказались не совсем «лучшими». На фоне многих неприятных «мелочей», вроде неразберихи с классификацией специальных информационных систем персональных данных и непонятного статуса документов ФСТЭК с грифом «для служебного пользо- вания», настоящим громом среди ясного неба ока- зались требования тотальной сертификации средств защиты информации, аттестации автоматизирован- ных систем, обрабатывающих персональные данные, поголовного лицензирования деятельности по техни- ческой защите информации и использования исклю- чительно сертифицированной криптографии. Про все это в 2008 году я не знал практически ничего, и пото- му решил поучиться, но перед этим — «погуглить». Так я узнал о существовании блогов Царева, Лукацкого и Токаренко. Оплатив обучение и интернет-трафик, бизнес требо- вал возврата инвестиций, и на одном из предприя- тий своей зоны ответственности я «замутил» проект по созданию системы защиты персональных данных «своими силами». Action plan, разработанный для это- го, оказался настолько удачным, что был распростра- нен на другие предприятия, а люди, не входившие в scope, просили поделиться материалом и опытом. Я выступил на нескольких конференциях регионального масштаба и написал пару практических статей. Пре- красно понимая, что идея защиты ПДн изобретена не в России, для расширения кругозора я стал инте- ресоваться - а как же там, «у них»? И чем больше я погружался в тему персональных данных, тем больше понимал ее «российские особенности». С одной сторо- ны, словно снежный ком растущее знание наводило грусть, тоску и негодование, зато с другой, позволило почти на равных общаться с признанными (по моему мнению) авторитетами в этой области — все теми же Токаренко, Лукацким и Царевым. С Евгением Царевым (кстати, именно он подкинул мне идею стать блогером) мы написали пару статей, потом возникла мысль написать еще одну – большую, про историю персональных данных в России и в мире, и к нам присоединился Александр Токаренко. С Алек- сеем Лукацким (автором этой статьи) и Александром Бондаренко я познакомился несколько позже, потом в блогосферу как-то «влились» Ю.В.Травкин, М.Ю.Еме- льянников и другие профессионалы, которым было что сказать. В итоге, сообщество оказалось настоль- ко сплоченным, что не побоялось выступить единым фронтом сопротивления в момент первого «перепи- сывания» закона «О персональных данных». Персональные данные и сейчас продолжают активно «будоражить» умы специалистов по защите информа- ции. Блогосфера ИБ за это время заметно выросла – и количественно, и качественно. Появились новые имена, новые лица, новые направления и новые мне- ния. Люди пишут в Facebook, Twitter, LinkedIn, поя- вились хорошие специализированные площадки. Но лично для меня именно персональные данные стали тем драйвером, который позволил войти в сообще- ство ИБ, лично узнать и работать с высококлассными специалистами и просто замечательными людьми. За это я и благодарен эпохе «первой редакции 152-ФЗ». 26 «!Безопасность Деловой Информации» Проект: ИБ. История развития
  20. 20. Интезаров А., Соколов Н. , плакат: «Строго храни военную и государственную тайну!», 1952
  21. 21. Мнение Андрея Прозорова Мне повезло, я успел поработать в нескольких из описываемых эпох. Ведущий эксперт по ИБ компании InfoWatch, член Ассоциации «DLP-Эксперт», блогер Проект: ИБ. История развития 29№3 | 2-й квартал Я не буду брать в расчет начавшуюся в 2011-м году эпоху гонений на Интернет под соусом защиты детей и борьбы с экстремизмом (все-таки это не совсем тема информационной безопасности). Эпоха растерянности ибшников и ФСТЭК v2.0 Слова: Закон «О защите детей от информации, причиняющей вред их здоровью и разви- тию», Елена Мизулина, Борьба с экстремизмом в Интернете, гонения на Интернет И про регулярно возникающую идею цифрового су- веренитета я тоже ничего говорить не буду (это пока больше политика, чем конкретные действия). Погово- рим о двух других важных событиях, которыми озна- меновался 2012-й год, и которые станут началом оче- редного витка развития отечественной отрасли ИБ. Первое событие произошло там, где этого уже никто не ждал, — во ФСТЭК. Произошедшие организацион- ные изменения в руководстве этого госоргана приве- ли к тому, что он стал поворачиваться к потребителю лицом и впервые за последние лет 15-20 вновь стал поднимать упавшее знамя методолога в области за- щиты информации. Новые документы по персональ- ным данным и государственным системам, планы по изменению системы сертификации, планы по новым руководящим документам с требованиями к сред- ствам защиты, активное привлечение отраслевых экспертов и потребителей к совместной разработке и экспертизе проектов нормативных документов… Все это позволяет надеяться, что у нас наконец-то появит- ся аналог американского NIST, выпускающего различ- ные методические (а местами и обязательные) доку- менты по широкому спектру вопросов, не мешающие, а помогающие российским организациям защищать свои информационные активы. А вот второе событие скорее из разряда негативных или, как минимум, не имеющих положительной окра- ски. Речь идет о потерянности безопасников, многие из которых обучались, воспитывались и росли в лихие 90-е и 2000-е годы. Парадигма стала меняться. Биз- нес уже не устраивает старый подход к защите инфор- мации любыми средствами и без учета его потребно- стей. Последний начинает требовать от безопасников считать деньги, говорить на языке бизнеса, оценивать эффективность своей работы… А многие ли безопас- ники готовы к этому? Многие ли знают, как перестро- иться под новые требования своих работодателей? Многие ли сумеют преодолеть этот кризис?.. Сначала это было безоговорочное выполнение СТР-К и РД НСД, потом безопасники все чаще стали поль- зоваться международными стандартами (в первую очередь ISO 27001). Ну, а в последнее время мы на- чинаем поглядывать в торону «ИБ для бизнеса». Мы ориентируемся уже на лучшие практики по управ- лению ИТ (ITIL, COBIT5), они заметно обгоняют уже устаревающие «непрерывно совершенствующиеся системы управления» (ISO 27001, ISO 22301, ISO 20000, ISO 9001). По пути развития и «взросления» идут и наши регуляторы. В недавних документах ФСТЭК России уже заметен «риск-ориентированный подход», усилился акцент на «управлении инцидента- ми» и «внутренних аудитах». Современным руководителям ИБ необходимо посто- янно обучаться и развивать свои навыки, ведь объем знаний растет, а перемены в технологиях и подходах происходят все чаще и глобальнее.
  22. 22. 30 «!Безопасность Деловой Информации» Проект: ИБ. История развития В книге великого русского писателя-фантаста Ивана Ефремова «Дорога ветров» есть такие строки: «Было самое глухое время — «час быка» (два часа ночи) — власти злых духов и чёрного (злого) шаманства». Час быка прошел?.. Мне кажется, что описанное в «Часе быка» Ефремова, время в отрасли российской информационной безо- пасности постепенно проходит. Прогресс остановить достаточно сложно, и железный занавес, о котором в последнее время приходится слышать все чаще, – это все-таки некоторая страшилка, не имеющая под со- бой реальных оснований. Поколение людей, управляющих российской отрас- лью информационной безопасности и возглавляющих практически все структуры, дающие новым веяниям зеленый свет, постепенно уходит. Ему на смену прихо- дит «молодежь», выросшая вместе с информационны- ми технологиями, которые не видятся чем-то непонят- ным, а поэтому запретным. Именно это поколение встанет у руля в ближайшее время и сможет направить корабль, в котором все мы находимся, в правильном направлении. И тут главное – не столкнуться со «стрелой Аримана», также описан- ной Ефремовым как неизбежное зло, порождаемое неустроенным обществом, когда любые, даже самые благие действия коррумпированной и некомпетент- ной власти только ухудшают ситуацию в обществе и в области информационной безопасности в частности. Songquan Deng / Shutterstock.com
  23. 23. Проект: ИБ. История развития Европа и США Особенности защиты персональных данных Екатерина Ляшенко Консультант-аналитик по вопросам ИБ компании IT Terra Евгений Царев Глава представительства Swivel Secure в России На сегодняшний день защита персональных данных в США и Европе (Евросоюзе) стоит на страже государственных интересов национальной безопасности и безопасности граждан. Эти страны объединяет высокая степень проработки во- просов по защите персональных данных (далее – ПДн) и определенный уровень влияния на законодательство по защите ПДн в других государствах. Однако под воз- действием исторических и культурных факторов в США и Европе сложились разные принципы и подходы к за- щите персональных данных. В этой статье мы рассмо- трим и сравним основные из них. 31
  24. 24. 32 «!Безопасность Деловой Информации» Изначально национальное законодательство европейских стран ограничивалось общим правом граждан на неприкосновенность личной жизни. И с начала 30-х гг. ХХ века такое право было юридически закреплено в конституциях Ирландии, Исландии, Италии, Испании, однако эти права носили общий характер. Европа (Евросоюз) Проект: ИБ. История развития
  25. 25. Проект: ИБ. История развития 33№3 | 2-й квартал До начала 70-х гг. считалось нормальным явлением, что работодатели имеют доступ к любым данным, не имеющим статуса секретных. Естественно, в личную жизнь работника вторгаться было нельзя, но базы дан- ных о них формировались достаточно произвольно и особо не скрывались. Однако развитие IT-индустрии открыло простор для злоупотребления базами персональных данных, в т. ч. в криминальных целях. Усилилась опасность разгла- шения персональных данных работника. Это послужило предпосылкой к тому, что в 1970 году германской землей Гессен принимается закон о за- щите персональных данных. А в 1977 году вводится первый в мире Федеральный закон «О защите персо- нальных данных» Тем самым Германия стала первой страной Евросоюза, принявшей подобный закон. Со- гласно действующему законодательству Евросоюза, личная информация (персональные данные человека) могут быть получены и обработаны только при соблю- дении строгих условий и в законных целях. Основными компонентами законодательства о защите персональных данных Евросоюза являются: Директива о защите прав частных лиц при обра- ботке персональных данных и о свободном пере- мещении таких данных 1995/46/EC Директива о конфиденциальности и электронных средствах связи (e-Privacy Directive ) 2002/58/EC- Директива 2006/24/ЕС (Data Retention Directive) Модельный закон «О защите персональных дан- ных», принятый межпарламентской ассамблеей государств-участников СНГ, принципы и нормы которого тем или иным образом должны быть учтены в национальных законодательствах Давайте рассмотрим каждый из них по отдельности. Полученная информация собрана с конкретны- ми, четко определенными и законными целями и в дальнейшем не используется для альтернатив- ных целей. Полученная информация должна быть правди- вой, релевантной и не должна выходить за рамки, необходимые для выполнения указанных целей, для которых она была собрана и/или в дальней- шем будет обработана. Полученная информация должна быть точной и, если необходимо, актуальной. Полученная информация должна храниться в виде, позволяющем определить личность субъек- та информации не дольше, чем это необходимо для выполнения целей, для которых она была со- брана или в дальнейшем будет обработана. Должно быть получено согласие физического лица на использование и обработку его информации. Необходимо создание специального надзорного органа в каждом европейском государстве, кото- рый бы следил за соблюдением вышеуказанных принципов и правил национального законода- тельства. 1 3 2 4 Директива 1995/46/EC является обязательной для всех стран-членов ЕС и выступает предметом для под- ражания в области законодательства. Основными целями принятия Директивы 1995/46/ EC на тот период времени были: Защита фундаментальных прав и свобод, защита информации физических лиц Свободное движение информации в рамках Ев- ропейского Союза с одновременной защитой прав физического лица Создание унифицированного уровня защиты ин- формации на территории Европейского Союза Под персональными данными в Директиве понимает- ся любая информация в отношении физического лица. Что касается обработки информации, то она может быть как автоматической, так и не автоматической. Из документа следует, что государства в рамках Европейского Союза должны обеспечивать соблю- дение следующих семи принципов: Полученная информация обрабатываться долж- ным образом и согласно законодательству. 1 3 2 1 3 6 4 7 5 2 Директива о защите прав частных лиц при обработке персональных данных и о свободном перемещении таких данных 1995/46/EC
  26. 26. 34 «!Безопасность Деловой Информации» Проект: ИБ. История развития Следует заметить, что данная директива не регла- ментирует обработку личной информации, связанной с общественной безопасностью, защитой, государ- ственной безопасностью и криминальным законода- тельством. Директива 1995/46/EC определяет как обязатель- ства человека, ответственного за определение целей и средств обработки личной информации (ревизора данных), так и права человека, чья информация ис- пользуется (субъект данных). Собственно ревизор данных обеспечивает сбор и обработку личных (персональных) данных в соответ- ствии с выше указанными принципами, однако он также должен при необходимости предоставлять дан- ные об информации, целях и способах ее обработки субъекту данных. Информация, которая должна быть предоставлена субъекту данных, может в себя включать: Личность ревизора и его представителя, если та- ковой имеется. Цели использования информации, для достиже- ния которых была собрана информация. Информация о получателях или категориях полу- чателей информации. Также ревизор данных должен реализовать соответ- ствующие технические и организационные меры для предотвращения незаконного доступа к инфор- мации и ее случайной потери, повреждения и изме- нения. Права субъекта данных Согласно Директиве 1995/46/EC субъект данных име- ет следующие права: Во-первых, право на доступ к личной информации субъекта, а именно: Право получать копии обработанной ревизором информации Право получать от ревизора данных уведомления о том, используется ли в конкретный момент ин- формация, относящаяся в субъекту данных Право получать информацию о целях обработки информаци Право получать информацию о категориях ис- пользуемых данных Право получить информацию о получателях лич- ных данных Право на исправление, уничтожение или блоки- рование данных, обработка которых не соответ- ствует положениям Директивы. Во-вторых, право возразить против конкретных ме- тодов обработки информации. Следует подчеркнуть, что личные веб-страницы и сайты, создаваемые пользователями сети Интернет, должны также соответствовать Директиве 1995/46/ EC и исполнять описанные в ней правила сбора, обра- ботки и предоставления личной информации. В прецедентном решении от 6 ноября 2003 Европей- ский суд признал женщину, узнавшую и разместившую на своем веб-сайте информацию о знакомых церков- ных добровольцах, виновной в нарушении Директивы 1995/46/EC. Причина такого решения в том, что создание лич- ного веб-сайта не считается приватной домашней деятельностью и подпадает под действие Директивы 1995/46/EC. Директива 1995/46/EC просуществовала уже прак- тически 20 лет и вполне естественно, что: устарела в плане технологий и подхода к регули- рованию вопроса защиты персональных данных в современном обществе, не в полной мере сфокусирована на практиче- ской стороне вопроса защиты, не до конца отвечает на вопросы относительно трансграничной передачи данных. Однако стоит заметить, что все же свои функции она выполнила в надлежащем объеме. 1 3 2 1 3 2 a c b d f e
  27. 27. Проект: ИБ. История развития 35№3 | 2-й квартал Директива о конфиденциальности и электронных средствах связи 2002/58/EC Директива о сохранении данных, созданных или обработанных при предоставлении общедоступных услуг электронной почты или общественных сетей связи 2006/24/ЕС В дополнение к Директиве 1995/46/EC Евросоюзом была принята Директива 2002/58/EC, которая наце- лена на обеспечение защиты личной информации в сфере телекоммуникаций. Директива 2002/58/EC охватывает общественно до- ступные электронные сервисы связи в государствен- ных телекоммуникационных сетях. В частности Дирек- тивой 2002/58/EC регулируются такие данные как: «данные трафика» (данные необходимые для пре- доставления связи) «данные о месторасположении» (данные, указы- вающие географическую позицию устройства). Также Директивой 2002/58/EC регулируются вопро- сы о незапрашиваемых соединениях (спам), cookies и вредоносном/злонамеренном ПО. Согласно Директиве 2002/58/EC, провайдеры услуг связи должны сообщать о нарушениях соответству- ющим государственным органам. Также они должны уведомлять об этом абонентов или потребителей, на которых может быть оказано негативной воздействие. Например, кража личности, потеря репутации и т.д. Вместе с уведомлением провайдер должен предоста- вить список предлагаемых контрмер, которые будут использованы для исправления уязвимостей в безо- пасности. В Директиве 2002/58/EC также уделено внимание cookies, которые могут быть установлены на устрой- ство абонентов только после прямого согласия або- нента или пользователя. Следует заметить, что такое согласие может быть получено только после того, как абоненту была предоставлена информация, требуе- мая Директивой об электронной конфиденциальности, и после того, как ему было дано право отказаться от доступа. Что касается спама, Директива 2002/58/EC указыва- ет, что судебная защита для нарушивших положения о незапрашиваемых соединениях может быть предо- ставлена согласно судебным нормам. Директива 2006/24/ЕС вносит изменения и до- полнения в Директиву 2002/58/EC и определяет принципы и правила обеспечения безопасности в отношении хранения данных, сгенерированных или обработанных в связи с предоставлением общедо- ступных услуг электронной связи или связи общего пользования. Данная Директива 2006/24/ЕС обязывает провай- деров услуг хранить всю информацию о пользовате- лях, обеспечивая требуемый уровень безопасности и защиты. Интересно, что некоторые страны ЕС не имплемен- тировали в национальное законодательство положе- ния Директивы 2006/24/ЕС, несмотря на окончание срока, предусмотренного самой Директивой. В этом случае директива все равно применяется независи- мо от бездействия законодательных органов государ- ства-члена ЕС. Таковым было решение Европейского суда. Директива 2006/24/ЕС расширяет контроль за элек- тронными публичными коммуникациями граждан, от- того крайне медленно внедряется в национальные за- конодательства. Так, несколько лет назад в Германии был признан неконституционным закон, принятый как раз в целях имплементации Директивы. И до сих пор в Германии новый закон так и не утвержден. b a
  28. 28. 36 «!Безопасность Деловой Информации» Проект: ИБ. История развития Вопрос защиты персональных данных в США своими корнями уходит в 1791 год, когда был принят «Билль о правах» (Bill of Rights) — неофициальное название первых десяти поправок к Конституции США, которые закрепляют основные права и свободы человека и гражданина. Именно в этом документе впервые встречается такое понятие как «неприкосновенность личной жизни». Jasper Johns, «Three Flags» США
  29. 29. Акт о перемещаемости и подотчетности страхования здоровья» (HIPAA от англ. Health Insurance Portability and Accountability Act) Проект: ИБ. История развития 37№3 | 2-й квартал Столетие спустя молодой адвокат Л. Брендайс со- вместно с судьей С. Уорреном подготовил и опублико- вал статью «Право на частную сферу», затрагивающую этическую и правовую проблемы вмешательства в частную жизнь. Однако соответствующий закон, огра- ничивающий вмешательство в частную жизнь, так и не был принят. Следующим историческим этапом развития вопроса, связанного с защитой персональных данных, можно считать принятие Всеобщей декларации прав чело- века 10 декабря 1948 г. на Генеральной ассамблее ООН. В статье 12 указывалось, что никто не может под- вергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на его честь и репутацию. Каждый человек имеет право на защиту законом от такого вмешательства и таких посягательств. В США в связи со спецификой ее политического устрой- ства нет единого всеобъемлющего законодательства, регулирующего сбор и обработку личной информации – персональных данных. Вместо этого защита инфор- мации регулируется множеством федеральных зако- нов и законов штатов. На уровне штатов в большинстве из них действуют неко- торые формы законодательства о защите информации. На федеральном уровне в США подход к законодатель- ству о защите информации выборочный, при котором одни секторы промышленности охвачены, а другие нет. Основная цель HIPPA – обеспечить защиту индивиду- ально идентифицируемой информации о здоровье. В частности, законом определяется, кто имеет доступ к информации о здоровье. В большинстве случаев такая информация может быть использована только профессиональными медицин- скими работниками, которые применяют ее в целях планирования и организации лечения. Информация, которая должна охраняться, включает записи и запи- ски врачей, документацию касательно медицинского страхования, информацию о счетах, а также разгово- ры между медиками касательно лечения пациента. 1. 3. 2. 4. Четыре наиболее важных федеральных закона о защите информации: Акт о перемещаемости и подотчетности страхования здоровья (HIPAA от англ. Health Insurance Portability and Accountability Act) Акт о добросовестном и точном проведении кредитных операций (FACTA от англ. Fair and Accurate Credit Transaction Act) Акт об охране конфиденциальности детей в интернете (COPPA от англ. Children’s Online Privacy Protection Act) Акт Грэмма-Лича-Блайяли (Gramm-Leach-Bliley Act-GLBA) Рассмотрим более детально особенности каждого Акта.
  30. 30. 38 «!Безопасность Деловой Информации» Проект: ИБ. История развития Основная цель COPPA – создание руководящего доку- мента для операторов web-сайтов, предназначенных для детей, предписывая рамки определенных правил в отношении сбора данных лиц, не достигших 13 лет. Акт ограничивает сбор такой персональной инфор- мации, как имя и фамилия ребенка, его домашний адрес, адреса электронной почты, номера телефонов, номера социального страхования и любых других дан- ных, персонально идентифицирующих детей или их родителей, в том числе IP-адресов или имен пользова- телей в cookies. Акт гласит, что операторам web-сайтов вменяется в обязанности: Публикация «Порядка работы сайта с конфиден- циальной информацией» (privacy policy), который бы ясно утверждал, кто является оператором, ка- кую информацию он собирает о детях, и что он будет делать с этой информацией (будет ли она продаваться третьим лицам?). Ссылка на этот «По- рядок работы сайта с конфиденциальной инфор- мацией» должна быть ясно различимой на сайте. Получение поддающегося проверке согласия ро- дителей перед сбором персональных данных о детях до 13 лет. Предоставление родителям возможности просма- тривать любую информацию, собранную об их детях. Родителям также должно быть позволено удалять (но не изменять) любую информацию об их детях, которая уже собрана. Отказ от принятия на себя полномочий по сбору не являющихся необходимыми для работы дан- ных о детях. Защита данных, собранных о детях через Интернет. Акт о добросовестном и точном проведении кредитных операций (FACTA от англ. Fair and Accurate Credit Transaction Act) Акт об охране конфиденциальности детей в интернете» (COPPA от англ. Children’s Online Privacy Protection Act) Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley Act-GLBA) Цель FACTA – помочь защитить кредитные данные кли- ентов от рисков, связанных с кражей данных. Согласно FACTA, на чеках с кредитных и дебетовых карт, за исключением чеков, выписанных от руки, не должно быть указано больше пяти последних цифр номера карты. Также следует заметить, что в соответ- ствии с FACTA, лицо, подающее запрос на отчет о кре- дитоспособности, имеет право попросить не включать в документ пять последних цифр номера социальной защиты. Акт Грэмма-Лича-Блайли известен как Акт о модерни- зации финансовых служб 1999 года (Financial Services Modernization Act). Его цель — защитить финансовые данные физического лица от незаконного использова- ния, и он содержит следующие условия: Банки, брокерские фирмы и страховые компании должны предпринимать адекватные меры для обеспечения безопасности персональных данных. Эти финансовые учреждения должны сообщать клиенту, как и с кем они делятся или кому прода- ют персональные данные. Также должна быть предоставлена возможность анну- лировать участие в практике обмена информацией. 2 4 3 5 1 1 2

×