7.2 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Время чтения: 7 мин.
Авторы раздела:
А. А. Пьянченко
М. В. Туманова
Обеспечение информационной безопасности — одна из ключевых задач заказчика и разработчика. Сложно говорить о цифровой этике, когда, несмотря на обширную нормативную базу в сфере ИБ, постоянно происходят утечки данных. Нулевая толерантность к нарушению требований ИБ — первый шаг к этичным цифровым сервисам.
Этот раздел не претендует на сколь-нибудь полное освещение темы ИБ в госсекторе, в нем нет обзора нормативной базы в сфере ИБ в России и мире и рекомендуемых технических и организационных решений.
Низкий уровень защиты данных — одна из системных проблем сферы ИБ, и это становится серьезным препятствием в развитии технологий. Чем сложнее ИТ-системы, чем больше они влияют на жизнь человека, на общество, на инфраструктуру, тем важнее защита и обеспечение бесперебойной работы систем.
Первый шаг к повышению этичности в цифровой сфере — снижение толерантности к утечкам. Сейчас отношение граждан и профессионального сообщества к постоянным утечкам данных остается несерьезным: защитой данных занимаются спустя рукава, требования ИБ часто выполняют «для галочки». Недостаточно принимать новые документы, внедрять новые стандарты, необходимо обеспечить возможность их выполнения. Нулевая толерантность (zero tolerance) проявляется в жестком регулировании, выполнении всех возможных обязательных и дополнительных требований ИБ, в расследованиях инцидентов с выявлением виновных, в серьезных наказаниях за кражу данных и халатное отношение к ИБ.
Павел Готовцев, координатор российской Рабочей группы IEEE по тематике «Этика и искусственный интеллект»
Павел Готовцев, координатор российской Рабочей группы IEEE по тематике «Этика и искусственный интеллект»
Безопасность обработки ПДн контролируется Роскомнадзором, Федеральной службой по техническому и экспортному контролю (ФСТЭК) и ФСБ. Несмотря на большое количество документов и требований, на практике проверки проводятся точечно, нередко никто не несет ответственности за выявленные нарушения, а некоторые из них появляются как результат непродуманных требований регулятора.
Обеспечение ИБ — отдельный бизнес-процесс, который должен регламентироваться специальными документами. В частности, в них описывается работа с инцидентами: выявление, оповещение, регистрация, реагирование, расследование и т. п. В отношении обработки и хранения ПДн существует ряд требований, установленных законодательством. Так, любая ИС должна быть классифицирована, после чего для нее определяются модель угроз, модель нарушителя и устанавливается соответствующий класс криптографической защиты.
Управление инцидентами информационной безопасности // SearchInform.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»; приказ ФСТЭК от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных».
системах персональных данных».
В российском законодательстве появилось новое понятие — критическая информационная инфраструктура (КИИ). Внесены поправки в Уголовный кодекс; теперь нарушение требований ИБ, касающееся КИИ (неправомерное воздействие, неправомерный доступ или нарушение правил эксплуатации, если оно повлекло причинение вреда КИИ), карается не в административном, а в уголовном порядке: принудительными работами, штрафом или даже лишением свободы до шести лет.
Чтобы технический заказчик или разработчик и цифровая команда могли оценить, насколько продукт или сервис учитывает этические аспекты, прежде всего нужно убедиться, что продукт разработан в соответствии с нормативными требованиями. Для этого необходимо пройти процедуру сертификации ФСТЭК и ФСБ, исследовать код на отсутствие недекларируемых или недокументируемых возможностей, оценить эффективность защиты, пройти аттестацию на соответствие требованиям безопасности. В случае создания ГИС такая процедура, кроме прочего, обеспечивает «алиби» при каких-то недостатках или случайных сбоях в работе системы. Ответственность при инциденте уже не будет целиком возложена на владельца системы, ее будет нести и регулятор, который сертифицировал систему.
Всегда существуют неписаные нормы, здравый смысл, основанный на представлении о том, как не следует делать. Чтобы не допустить ошибку, разработчик должен отслеживать тенденции развития своей отрасли, участвовать в тематических выставках, конференциях, обмениваться мнениями с коллегами. На таких мероприятиях часто обсуждаются этические вопросы: насколько удобен или неудобен для граждан тот или иной сервис, какой эффект вызовет широкое внедрение той или иной технологии.
Андрей Пьянченко, заместитель директора — директор программ ФГАУ НИИ «Восход»
Андрей Пьянченко, заместитель директора — директор программ ФГАУ НИИ «Восход»
При разработке цифровых продуктов для коммерческих структур аттестация ФСТЭК:
- необходима, если компания предоставляет какой-либо государственный сервис;
- возможна, если компания обрабатывает ПДн (проводится оценка соответствия по приказу ФСТЭК от 18.02.2013 № 21, которая может быть проведена в форме аттестации).
Помимо юридической ответственности (например, за нарушение требований ФСТЭК или ФСБ по обеспечению ИБ) возможно наступление ответственности другого рода: политической (для руководителей высокого звена), репутационной (для организации и государства в целом, см. подробнее раздел 3), организационной (например, недостижение КПЭ из-за социальных и экономических последствий принятых решений). Даже в случае выполнения всех требований возможны ситуации, не предусмотренные НПА. Действия в таких ситуациях сильно зависят от этических принципов заказчика и разработчика.
По словам вице-президента «Ростелекома» по ИБ Игоря Ляпунова, «когда-то уникальные хакерские технологии сегодня становятся все более распространенными, и стандартные средства защиты, применяемые в госструктурах и субъектах КИИ, оказываются бессильными». См.: НКЦКИ и «Ростелеком-Солар» рассказали об атаках иностранных проправительственных кибергруппировок на российские органы власти // CNews.
Сразу после анонсирования скорого запуска нового банковского сервиса — снятия наличных в банкомате с чужой карты с помощью QR-кода, который генерирует и отправляет своему знакомому владелец карты, — возник вопрос оценки рисков. Массовое распространение такой услуги может спровоцировать рост кибермошенничества. Среди других возможных негативных последствий — снижение доверия к государству (как регулятору, допустившему проблему), к банковскому сектору и к проведению банковских операций с применением цифровых технологий.
Если государственные органы, как регуляторы или операторы, собирающие данные в больших количествах, не следят за их этичным сбором, обработкой, хранением, недостаточно защищают от утечек, не ограничивают способы их использования, то есть риск, что эти данные будут использованы против граждан. Тем самым государство и отдельные организации создают предпосылки для будущих случаев мошенничества, в то время как существует понятный подход «собирать как можно меньше данных» (подробнее см. раздел 4.1 и раздел 4.2), чтобы в случае утечки ущерб также был минимальным.