На законных основаниях
Информационной безопасности компаний угрожают внешние и внутренние злоумышленники, причем вторые, как показывает практика, гораздо опаснее первых. Между тем российское законодательство одинаково безразлично к нарушителям – и внешним, и внутренним. Российское правовое поле в области регулирования информационных отношений только формируется. Тема нынешнего опроса CIO – как законодательство должно защищать информацию.
Сергей Масюк, директор по ИТ компании «Комус»:
«Информация предприятия является его собственностью и потому должна находиться под защитой закона. Требуется четко определить, какая защита и при каких условиях гарантируется собственнику.
Известно, например, что главная угроза информационной безопасности исходит от недобросовестных сотрудников. Каждая компания пытается решать эту проблему собственными силами. Однако действующее законодательство защищает работника, ограничивая маневры администрации. На мой взгляд, компаниям нужно предоставить эффективный механизм защиты.
При построении и поддержке ИT-сервисов организации приходится контактировать с довольно большим кругом партнеров. Законодательство должно обеспечить нормативную базу соблюдения режимов информационной безопасности при таких взаимоотношениях. Для нашей фирмы это очень актуально, поскольку ее подразделения расположены по всей России и информации передается много.
«Комус» ориентирован на широкий рынок, он нуждается в информации о потенциальных клиентах, поставщиках и конкурентах, а также о широком спектре продуктов. Поэтому для нас важно, чтобы в законодательстве были прописаны права на поиск, получение и потребление информации. Насколько мне известно, эта правовая база только формируется, специальных федеральных законов в этой области пока нет.
Наконец, целесообразно оформить в отдельный блок законодательство о создании и применении информационных систем, сетей, других информационных технологий и средств их обеспечения».
Михаил Кривилев, начальник ИТ-департамента Bank WestLB Vostok:
«Я представляю финансовый институт, который уделяет немало внимания вопросам безопасности внутри собственной организации. Наш банк не может существовать обособленно от своих поставщиков, партнеров и клиентов, с которыми волей-неволей приходится разделять доступ к общим информационным ресурсам. Поэтому, с одной стороны, мне хотелось бы, чтобы в бизнес-сообществе было достигнуто определенное согласие в вопросах обеспечения информационной безопасности и чтобы эти принципы и практики были закреплены на уровне рефлексов типа «помыть руки перед едой».
Можно отметить две области, в которых законодательная база либо далека от совершенства, либо практически отсутствует: это электронный документооборот, все, что связано с применением электронно-цифровых подписей (ЭЦП), а также спам. Борьба с ним должна вестись, с моей точки зрения, максимально жестко. Убытки и затраты всех, кто сталкивается с этой проблемой, растут из года в год. Во всем мире считается, что «антиспамовый комплекс» должен включать в себя просветительские, организационные, технологические и законодательные мероприятия. В первых трех направлениях работа ведется, и видны ее результаты. Но, к сожалению, это скорее меры оборонительного характера. Законодательные же акты, единственное имеющее потенциал оружие, пока «куется» без видимого успеха.
О законодательстве в сфере электронного документооборота и ЭЦП уже говорилось немало. К сожалению, федеральный закон №1-ФЗ (об электронной цифровой подписи), действующий уже около двух лет и анонсированный как первая ласточка в данной области, был абсолютно справедливо и жестоко раскритикован даже специалистами, которые принимали участие в его доработке при прохождении через Госдуму. Ни новых его редакций, где были бы исправлены явные несуразности, ни законов, которые могли бы встать с ним плечом к плечу и расширить цивилизованное поле в сфере электронного документооборота, так до сих пор и не появилось. Приходится пользоваться тем, что есть. В рутине текущих проблем и забот я успокаиваю себя, что «десятая» модель – это все-таки шаг вперед по сравнению с «копейкой».
Михаил Михайлов, директор по ИТ компании «Пивоварни Ивана Таранова»:
«Конечно, с бурным развитием ИТ вопрос обеспечения информационной безопасности становится чуть ли не самым актуальным. Компании выделяют значительные ресурсы на внедрение средств информационной защиты, однако даже самые передовые из них не могут гарантировать сохранность важной информации, если вопросы безопасности не будут четко формализованы и отражены в законодательстве. Есть проблемы, которые имеют отношение скорее к этике, чем к технологиям. Например, определение коммерческой тайны, служебной информации, установление персональной ответственности работников предприятий за разглашение конфиденциальных сведений. Все это должно быть отражено в законодательстве. Уже давно пора установить уголовную ответственность за несанкционированный доступ к информации с использованием высокотехнологичных средств.
Для некоторых типов компаний, которые, с одной стороны, не могут обойтись без ИТ, но, с другой стороны, обладают огромными массивами данных, от потери которых полностью зависит их благосостояние (и благосостояние граждан) – кредитных, бюджетных и страховых организаций, – на мой взгляд, необходимо определить в законодательстве порядок резервного копирования и хранения информации.
Если в планах государства всеобщая компьютеризация и использование ИТ – от села до мегаполиса, от школы до администрации города, от небольшой компании до крупного холдинга, – то нам просто необходимы определенные гарантии информационной безопасности для всех типов организаций».
Андрей Сафонов, директор управления эксплуатации департамента ИТ «Росгосстраха»:
«По моему мнению, в первую очередь нужно законодательно определить, что считать закрытой информацией, а что открытой. В настоящее время в этом вопросе никакой ясности нет, одних тайн штук 30 – государственная, коммерческая, профессиональная, служебная, банковская… Кому можно знать какую тайну, кто какую тайну обязан защищать, какими средствами и от кого, отнюдь не очевидно. В законодательстве присутствует понятие конфиденциальной информации, но оно не раскрыто. Требуется ввести несколько законодательно определенных уровней конфиденциальности и необходимую степень защиты для каждого уровня. А иначе получается, что собственник сам определяет, насколько конфиденциальна его информация и какая степень защиты ему требуется. Пока этого не будет сделано, информационная безопасность останется «интуитивным сервисом».
Кроме того, на сегодняшний момент законодательство не обеспечивает единой системы информационной безопасности, поскольку имеется ряд разрозненных ведомственных систем. Например, закон «О связи» никак не увязан с законом «Об информации, информатизации и защите информации». Поскольку связь представляет собой транспортную среду для передачи данных, было бы логично хоть эти две области рассматривать совместно. Таким образом, второе, что следовало бы сделать, – это привести в соответствие друг с другом уже действующие законы и подзаконные акты.
Надо дать конкретные определения, не допускающие двусмысленного толкования. Причем это касается всех понятий, относящихся к области информатизации, включая основополагающие. Попробуйте найти определение такого понятия, как «информационные услуги». Услуги есть, а определения нет. Как сотрудника страховой компании, меня особенно интересует законодательная основа для создания механизма страхования информационных рисков. В современном мире ущерб от потери информации – вещь совершенно реальная. А правовая база для развития системы страхования в этой области фактически отсутствует».