академия информационных систем

Восьмая Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты» Восьмая Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты» (8–12 сентября, Сочи) собрала свыше 250 делегатов, представлявших государственные организации, компании из различных отраслей отечественной промышленности и финансового сектора. В ходе рабочих секций и «круглых столов» обсуждался широкий круг вопросов, связанных с информационной безопасностью – начиная от концептуальных, таких как развитие научной деятельности в сфере ИБ и правовое регулирование, и заканчивая конкретными решениями и реализациями.

Сегодня одна из наиболее актуальных тем, интересующих специалистов практически любых предприятий, – выполнение требований Закона «О персональных данных». Обсуждению этого вопроса было посвящено не только пленарное заседание в первый день конференции, эта тема фактически оказалась ключевой в работе форума.

По мере приближения «часа Х» операторы ПДн все чаще поднимают вопрос о возможности переноса сроков приведения ИСПДн в соответствие с требованиями названного закона. Прозвучавшие доклады явно показали, что регулирующие и контролирующие органы считают такую отсрочку нецелесообразной.

Позицию Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций озвучила начальник Управления по защите прав субъектов персональных данных «Роскомнадзора» Лариса Васильева. Кроме того, она коснулась предложений Ассоциации российских банков, суть которых сводится к исключению из сферы действия ФЗ

«О персональных данных» деятельности кредитных организаций, предусмотренной генеральной лицензией на осуществление банковских операций, а также к определению деятельности банков по обработке персональных данных как не требующей согласия субъекта ПДн. «Роскомнадзор» считает подобные исключения недопустимыми, поскольку они могут привести к введению жестких ограничений на передачу персональных данных на территории иностранных государств и препятствовать внешнеэкономической деятельности.

Вместе с тем, «Роскомнадзор» разделяет озабоченность операторов ПДн относительно организационных и финансовых затруднений в применении норм рассматриваемого закона и считает нужным инициировать внесение изменений в законодательные акты РФ в области персональных данных. Изменения должны включать упорядочивание обращения персональных данных за счет введения минимального перечня персональных идентификаторов, запрашиваемых оператором у субъекта ПДн; пересмотр подхода (методологии) к определению и применению способов защиты информации, установленных ФСБ и ФСТЭК России, в том числе изменение критериев и процедуры классификации ИСПДн; исключение условия обязательного использования СКЗИ и определение перечня случаев, когда использование криптографических средств необходимо; ужесточение ответственности операторов, не принявших предусмотренных законом организационных и технических мер, за нарушение прав субъектов ПДн.

Одна из основных угроз утечки персональных данных из организации – это инсайдерство, для которого, как показали проверки «Роскомнадзора», во многих организациях существуют все условия. Решение проблемы потребует не только более внимательного отношения операторов ПДн к организационным мерам и внутренним регламентам, но и совместных усилий заинтересованных ведомств, а также соответствующего нормативного обеспечения.

По мнению первого заместителя начальника Центра ФСБ России Александра Баранова, недостатки Закона «О персональных данных» не носят принципиального характера, а прописанные в нем требования вполне обоснованны. Многие проблемы у операторов ПДн возникают, например, оттого, что организация собирает и хранит слишком много данных, не являющихся необходимыми для ее деятельности. Стремление отдельных ведомств и профессиональных сообществ менять законодательную базу, в отношении которой еще не наработана достаточная правоприменительная практика, Александр Баранов считает неадекватным, и это касается не только Закона «О персональных данных». Докладчик остановился на законопроекте

«Об электронной подписи», который в случае принятия должен заместить еще толком даже не работавший ФЗ «Об электронной цифровой подписи».

Накопленный опыт применения ФЗ «Об электронной цифровой подписи» показывает возможность успешного использования ЭЦП. На нынешнем этапе научно-технического развития защита электронного документа от подделки возможна только при использовании ЭЦП, созданной в результате криптографического преобразования, а обеспечение надлежащего качества средств ЭЦП может быть подтверждено только в ходе сертификационных исследований – и это учитывается в действующем законе. Предусмотренные же новым законопроектом электронные подписи (ЭП) допускают использование недостаточно защищенных алгоритмов, не обеспечивающих защиту электронного документа от подделки, а предлагаемые характеристики «усиленной ЭП» технически недостижимы. При этом все риски, связанные с использование для ЭП недостаточно защищенных алгоритмов, возлагаются на владельца сертификата. Законопроектом предусматривается, что участники правовых отношений вправе по своему усмотрению использовать электронную подпись, что предполагает самостоятельный выбор средств ЭП. Однако для осознанного выбора таких средств и адекватной оценки рисков нужно обладать специальной квалификацией. Вместе с тем в законопроекте не закреплены гарантии публичной защиты прав и законных интересов владельцев сертификатов при использовании электронной подписи. Ввиду всего сказанного законопроект об ЭП является неприемлемым.

Что же касается темы выполнения требований Закона «О персональных данных», обсуждение которой было продолжено, то многие выступающие указали на то, что, во-первых, закон появился «не вчера», во-вторых, выполнение других, ранее принятых законов, касающихся защиты информации ограниченного доступа, дало возможность организациям вполне безболезненно реализовать и требования ФЗ № 152. Благополучная с этой точки зрения ситуация существует, например, в Пенсионном Фонде РФ. Консультант Аппарата при руководстве Пенсионного фонда РФ Анатолий Куранов сообщил, что инфраструктура, созданная в соответствии с ФЗ от 1996 г. «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», позволила ПФР с приемлемыми затратами реализовать требования ФЗ № 152, и в настоящее время ИСПДн Пенсионного фонда уже проверены комиссиями ФСБ и ФСТЭК России.

Начальник отдела Управления ФСТЭК России Игорь Назаров рассказал о том, что было сделано при непосредственном участии ФСТЭК в области обеспечения безопасности ПДн, а также о состоянии дел с защитой персональных данных в субъектах РФ. Сегодня более 60 субъектов РФ представили ведомству полную информацию о проведенной работе по классификации ИСПДн в подведомственных организациях. Полученные данные говорят о понимании проблемы и большом объеме проделанной работы. В лучшую сторону здесь выделяются Приволжский и Центральный федеральные округа.

Проверки, проведенные территориальными органами ФСТЭК России, показали, что наиболее эффективно вопросы обеспечения безопасности ПДн решаются в Республиках Саха (Якутия) и Татарстан, в Белгородской, Калининградской, Омской, Ростовской и Тюменской областях. В то же время недостатки, позволяющие делать вывод о неполном соответствии мер защиты ПДн требованиям законодательства РФ и нормативно-методических документов ФСТЭК, выявлены в Калмыкии, Хакасии, Камчатском крае, Пермском крае, Курганской и Тверской областях. Прежде всего, это незавершенность классификации/аттестации ИСПДн; невыполнение работ по анализу угроз безопасности ИСПДн; незавершенность подготовки комплекта необходимых организационно-распорядительных документов; отсутствие документов, регламентирующих порядок передачи ПДн другим пользователям; использование несертифицированных программных и технических средств защиты информации; непринятие мер по учету машинных носителей информации, содержащих ПДн; отсутствие в должностных регламентах лиц, ответственных за обеспечение безопасности персональных данных, а также достаточного количества ответственных квалифицированных специалистов.

По окончании своего доклада Игорь Назаров вручил награды, присужденные членам профессионального сообщества за их вклад в укрепление государственной системы защиты информации и оказание содействия в решении задач, возложенных на ФСТЭК.

Медалями ФСТЭК России «За укрепление государственной системы защиты информации» первой степени награждены: Юрий Аксененко (ООО «Центр безопасности информации»), Александр Добродеев (ФГУП «Концерн «Системпром»), Алексей Марков (ЗАО «НПО «Эшелон»), Сергей Рязанов (ОАО «НИИАС»), Виктор Смирнов (ООО «СТИНС КОМАН Корпорейшн»), Вячеслав Смирнов (ФГУП «ЗащитаИнфоТранс»). Медали ФСТЭК России «За укрепление государственной системы защиты информации» второй степени были вручены Сергею Антимонову (ЗАО «ДиалогНаука») и Анатолию Куранову (Пенсионный фонд РФ).

Знаком отличия ФСТЭК России «За заслуги в защите информации» награжден Александр Соколов (ОАО «ЭЛВИС-ПЛЮС»).

«Всероссийская конференция «Обеспечение информационной безопасности» де-факто является традиционным ежегодным деловым мероприятием, объединяющим профессиональное сообщество: руководителей и специалистов в области информационной безопасности, – отметил Юрий Малинин, ректор Академии Информационных Систем (входит в ГК «Стинс Коман»), являющейся организатором мероприятия. – В нынешнем году нам удалось, во-первых, объединить на одной дискуссионной площадке представителей, как государства, так и бизнеса, во-вторых, рассмотреть большой круг насущных и актуальных вопросов в сфере ИБ и сформулировать ряд конструктивных предложений и рекомендаций. Я уверен, что на следующей конференции, которая по традиции пройдет в начале сентября в Сочи, мы существенно расширим и круг рассматриваемых вопросов, и представительский состав участников. Также будет крайне интересно подвести первые итоги вступления в силу санкций, предусмотренных ФЗ № 152, и сравнить их с ожиданиями, сформулированными участниками в этом году».