29 января 2013 г.

Забавная такая стандартизация

В пятницу Алексей Краснов всколыхнул профессиональное сообщество, откопав на сайте Росстандарта сообщение о принятии стандарта ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Мы с Алексеем Лукацким и Андреем Прозоровым обсудили немного эту тему в Facebook, а Андрей даже успел выложить майнд-карту предполагаемого прототипа нового ГОСТа - британского стандарта BS 10012:2009 Data protection. Specification for a personal information management system.
ГОСТ, на мой взгляд, будет весьма странный. Найти его текст в Интернете не удалось. Нет его и в двух официальных торговых точках Росстандарта – в Интернет-магазинах стандартов ФГУП «СТАНДАРТИНФОРМ» и фирмы «ИНТЕРСТАНДАРТ», хотя я и готов был заплатить за него необходимую сумму – обычно около 1000 руб. Информация по поводу возможности заказа вполне определенная «Заказать нельзя. Документ еще не издан». Поэтому постить буду по проверенному советскому рецепту: «Не читал, но осуждаю».
Итак. Начнем. Номер и название. Предположение о том, что стандарт является переводом или производной британского стандарта BS 10012:2009 основываются, видимо, на том, что названия похожи, а других стандартов по персональным данным в ISO и BSI не просматривается. Кроме того, разработчик документа - АНО «Научно-исследовательский центр контроля и диагностики технических систем» («НИЦ КД») в поле «Нормативные ссылки на: Прочие» прямо указал «BS 10012:2009». И определил новоиспеченный стандарт, вступающий в силу почему-то с 1 декабря 2013 года, в группу 53647, описывающую вопросы… обеспечения непрерывности бизнеса. Предшественники данного стандарта описывали требования к системе управления непрерывностью бизнеса, порядок внедрения системы менеджмента, указания по обеспечению готовности к опасным ситуациям и инцидентам, а также непрерывности деятельности.
И вдруг – персональная информация (судя, опять-таки, по первоисточнику, речь идет все-таки о персональных данных). А она какое отношение к непрерывности бизнеса имеет? Ни федеральный закон, ни постановления правительства, ни документы ФСБ и ФСТЭК никаких требований к непрерывности не выдвигают. Есть общее положение об обеспечении возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Все.
Ничего про business continuity нет и в британском стандарте. Вообще. И называется он совсем по-другому – «Защита данных. Спецификация системы управления персональными данными» (или если дословно – персональной информацией). Есть там главка «6.2. Continual improvement» про «постоянное улучшение», но она, как обычно, требует непрерывного совершенствования всей системы управления персональными данными в организации.
Похоже, и сами разработчики не очень понимают, при чем здесь управление непрерывностью бизнеса. Читаем аннотацию к стандарту: «Настоящий стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области. Настоящий стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов системы менеджмента персональной информации организации. Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту». Про менеджмент систем управления персданными и достижение соответствия – вижу. Про менеджмент непрерывности – нет.
Вообще, название у нового творения получилось, на мой взгляд, совершенно бессмысленным. Если честно, я совсем не могу понять, что такое «система менеджмента персональной информации для обеспечения защиты данных». Что такое система управления – понимаю. Что такое защита данных – тоже. А как может система управления обеспечить защиту данных – не понимаю.
Кстати, GlobalTrust Solutions еще в 2009 году сделал вполне адекватный русский перевод. Зачем выдумывать что-то новое и кривое?
Было бы гораздо логичнее, если бы новый стандарт оказался в группе 27ХХХ или, на худой конец, 13335, описывающих соответственно системы управления информационной безопасностью и менеджмент безопасности сетей, информационных и телекоммуникационных технологий. Покопавшись на сайтах, посвященных стандартизации, пришел для себя к неутешительному выводу – эти две группы стандартов вне зоны ответственности разработчика, АНО «НИЦ КД», который выполняет функции секретариата технического комитета Росстандарта № 10 «Менеджмент риска» (оценим название и язык), занимающегося как раз вопросами непрерывности бизнеса. Вот и впихивали новый стандарт в свой ридикюль, хотя он туда совсем и не лезет.
И последнее. Вся система стандартизации должна способствовать единому пониманию того, что подлежит стандартизации. Зачем вводить в заголовке новый термин «персональная информация» и вносить новую порцию сумятицы в и так давно смятенные умы специалистов, пытающихся понять, как выполнить закон, совершенно не понятно. Более того. Очень вредно. Вот уже появились комменты, что персональная информация – это нечто более широкое, чем персональные данные. И вместо облегчения и упрощения жизни, на что изначально должны быть направлены стандарты (не знаешь как делать – открыл, прочел и знаешь), мы получаем еще одну головную боль.
Дождемся опубликования или возможности заказа текста документа. Посмотрим. Хотя стандарты в нашей стране и не являются обязательными к исполнению.

23 января 2013 г.

Итоги года. Наши

Самый популярный вопрос после Нового года при встречах с заказчиками, партнерами и коллегами – а чем наше агентство занималось в прошлом году, что сделало?
Если коротко – проектами. Если подробнее – сложными проектами. А если уж совсем подробно… Заодно и поясним, что мы называем «разрешением сложных проблем выполнения требований законодательства».
Коммерческая тайна. Одно из приоритетных направлений нашей деятельности.
Были проекты «с нуля», когда мы помогали устанавливать режим коммерческой тайны на предприятиях, где его не было совсем. Методология отработана за много лет, дорога накатана. Но самое, наверное, интересное, было, когда надо было решать сложные задачи заказчика, который режим установил, но возникли проблемы при практической реализации режимных мер.
Вот некоторые из проблем, которые мы решали для наших заказчиков:
·         Мы помогали разобраться с вопросом как быть, если сведения, составляющие коммерческую тайну надо передать партнеру в ходе переговоров, совещаний, деловых встреч, в то время, как закон говорит о том, что передача коммерческой тайны обязательно предусматривает ее фиксацию на материальном носителе.
·         Детально прописывали регламент предоставления такой информации по запросам органов власти, рассматривая ситуации, когда запрос поступает по телефону, факсу, электронной почте, определяли процедуру его рассмотрения и подготовки ответа, определяли полномочия и ответственность различных структурных подразделений и должностных лиц.
·         Определяли, какие виды гражданско-правовых договоров о передаче коммерческой тайны заключаются и в каких случаях, определяли содержание этих договоров.
·         Готовили для заказчиков подробные обзоры судебной практики при рассмотрении споров, связанных с коммерческой тайной, и привлечении виновных в ее неправомерном использовании к ответственности, анализировали ошибки обладателей исключительных прав на секреты производства, приведшие к их поражениям в суде, и помогали сделать выводы и откорректировать установленный режим.
·         Разрабатывали пакет документов для организации мониторинга за использованием работниками средств хранения, обработки и передачи информации, снижающей риски возникновения конфликтов между работниками и работодателями по поводу допустимых на рабочем месте границ приватности.
·         Разработали для многопрофильного холдинга, услугами которого пользуются так или иначе почти все граждане нашей страны, корпоративный стандарт системы защищенного электронного документооборота, обеспечивающего возможность работы с информацией ограниченного доступа в электронном виде.
Персональные данные. Усиление надзорной деятельности, появление новых документов и складывающаяся судебная практика, а также «письма счастья» от территориальных управлений Роскомнадзора не дают ослабить внимание к этому направлению.
·    Среди наиболее интересных заказчиков проектов по персданным – крупный торговый холдинг, реализующий продукцию через сеть магазинов по всей стране и создавший программу лояльности, в том числе – с использованием своего web-сайта. «Сложные проблемы» проекта – обоснование законности обработки персональных данных покупателей, полученных через Интернет, и их согласия на директ-маркетинг, а также организация кадрового и бухгалтерского учета с точки зрения 152-ФЗ для всех компаний холдинга в одной специализированной.
·    Для крупнейшего в России производителя продукции вместе с маркетологами, юристами и безопасниками решали вопросы правомерности обработки персональных данных в CRM-системе, оператором которой является контрагент, который, в свою очередь, хостит ее в дата-центре, данные поступают через Интернет и от агентов, работающих «в поле», а передаются в рекламные компании, колл-центры, службы доставки и многим другим. К тому же для субъектов персональных данных, сведения о которых обрабатываются в CRM, есть возрастные ограничения.
·    Для клиента-банка обосновывали предложенный порядок трансграничной передачи персданных клиентов, определяли, какая же из обрабатываемой банком информация является биометрическими персональными данными и почему, а так же как правильно получить согласие на ее обработку.
·    Помогали обосновать законность передачи персональных данных клиентов лицам, не являющимся кредитно-финансовыми учреждениями, и установить порядок такой передачи с учетом позиций Роспотребнадзора, Роскомнадзора и арбитражных судов, включая Высший.
·    Обосновывали обработку персданных различных лиц, связанных с клиентами банка – поручителей, залогодателей, лиц, допущенных к распоряжению имуществом или управлению транспортным средством, приобретаемым по кредиту, выданному клиенту и т.д.
·    Помогали страховым компаниям и пенсионным фондам  разобраться в необходимости получения согласия субъектов персональных данных на их обработку в письменной форме при заключении различных видов договоров страхования, в том числе требующих получения сведений о состоянии здоровья, при страховании жизни, когда выгодоприобретателем является совсем не то лицо, которое заключило договор, в случаях заключения договоров страхования работодателем в пользу работников и т.д.
·    Обосновывали возможность размещения ИСПДн за рубежом, возможные последствия такого размещения и возникающие риски и способы их снижения до приемлемого уровня.
·    Разрабатывали пакеты локальных актов для операторов, использующих биометрические системы идентификации при доступе на охраняемую территорию, регламентирующих все аспекты деятельности, включая определение политики оператора, получение согласия субъектов и их представителей, классификацию ИСПДн, обрабатывающих такие данные, и соотнесения дактилоскопических данных и специальных категорий персональных данных.
·    Подготовили методические документы, регламентирующие различные аспекты деятельности оператора персональных данных при проверке его надзорными органами – от допуска к проверке до подписания акта.
·    Готовили и рассылали ежемесячные обзоры об изменениях в законодательстве о персональных данных и практике его правоприменения в России для клиентов, подписанных на абонентское обслуживание. Для справки: объем ежемесячного обзора – примерно 80-90 страниц текста.
Экспертиза проектов. Мы помогали повысить качество проектов, выполненных крупными российскими интеграторами и доверие к ним заказчиков, проводя независимую экспертизу подготовленных отчетных документов и оценивая точность используемой в них терминологии, соответствие норм, установленных рассматриваемыми  документами, законодательству Российской Федерации, обоснованность установления документами конкретных требований, полноту описания регламентируемых процедур и возможность их практической реализации. В случаях, когда требовалась наша помощь, мы помогали доработать или переработать проектные документы и даже написать те, которых не хватало для полноты реализации. По мнению наших заказчиков-интеграторов, такая экспертиза позволяет повысить качество подготовленных документов на этапе, предшествующем их сдаче заказчику, способствует максимально полному удовлетворению потребностей и пожеланий заказчика. И мы так считаем.
Консультации компаний, работающих на российском рынке информационной безопасности. PEST- и SWOT анализ положения компании на рынке информационной безопасности, оценка ее позиционирования, эффективности используемых способов продвижения продукции и услуг, планов развития и рисков, с ними связанных, - то, что мы делали для российских игроков рынка. Для компаний, имеющих намерение на российский рынок прийти, – детальные консультации по государственному регулированию, лицензированию деятельности и сертификации продукции, особенностях российского рынка, присутствии на нем аналогов того, что собирается выводить зарубежная компания. И тем, и другим помогали продвигать продукцию – проводили презентации на различных мероприятиях, вебинары, писали статьи для традиционных и Интернет-изданий.
Ну, и конечно, проводили учебные курсы и семинары, корректировали их по мере изменения законодательства и практики, затачивали под конкретную аудиторию и особенности корпоративных заказчиков.
Конечно же, это не все, что сделано, а то, что показалось нам наиболее интересным.
Год получился насыщенным и интересным. То, что он был високосным, мы и не заметили.

18 января 2013 г.

Об утечке информации и ее расследовании: поздно пить боржоми?

К многочисленным бедам компании AMD, американского производителя процессоров, некогда грозного конкурента Intel и Nvidia, добавились новые.
Неутешительный финансовый отчет за 3 квартал прошлого года (более свежий пока не опубликован) привел к тому, что авторитетные аналитики крупнейших порталов, таких, как CNET, All Things D, Bloomberg и Reuters предсказывают сокращение числа работников компании на 10, 20 и даже 30 процентов. А это, кроме очевидных финансовых проблем, приведет и к реализации новых рисков, связанных с миграцией персонала. Причем проблемы утечки мозгов и информации не просто предположительно будут, они уже возникли. И никакие акты о не конкуренции, о которых мы любим с тоской вспоминать в России, не помогли.
AMD подала жалобу и требование о судебных ограничениях в отношении четырех своих бывших высокопоставленных менеджеров, перешедших в компанию Nvidia и прихвативших с собой порядка 100 тысяч файлов чувствительной информации о деятельности компании, относящейся к трем интересным группам: конфиденциальная информация, коммерческая тайна и собственность компании.
В заявлении и комментариях к нему часто упоминается замечательное слово «форензика» (в трактовке Н.Федотова – компьютерная криминалистика), но ни разу не говорится о предпринятых мерах по предотвращению возможных утечек информации. Суть дела проста, как апельсин, - вице-президент терпящего бедствие производителя процессоров переметнулся к конкурентам, позвал с собой группу коллег-товарищей не с последней парты и попросил их в качестве доказательства лояльности новому работодателю скачать что-нибудь полезное, что те в течение нескольких месяцев добросовестно (если это слово вообще употребимо в данной ситуации) и делали. Среди выбранного в качестве прощального сувенира от покидаемого работодателя – бизнес-стратегия, названная компанией «строго конфиденциальной», стратегия лицензирования и лицензионные соглашения с ключевыми заказчиками, технологические наработки и контакты с крупными контрагентами (а это, среди прочего, поставки процессоров для игровых консолей Xbox, PlayStation и Wii U), и даже внутренняя база данных AMD «Perforce» с более чем 200 файлами, содержащими ноу-хау, помеченными маркировкой «конфиденциально».
Все это подтверждено в ходе внутреннего расследования, которое даже выявило факт гугления одним из обвиняемых в недобросовестной конкуренции способов скачивания больших объемов информации. Как утверждают представители AMD, в договорах со всеми менеджерами были прописаны обязательства о неразглашении коммерческих секретов и соблюдении конфиденциальности, однако помогло это в реальной ситуации мало.
Потому, как давно известно: правила, выполнение которых не проверяется, не работают. И точка.
Из всех комментариев в Интернете к данному событию я выделю один крайне здравый: «Я работаю в компании, которая просто блокирует доступ к USB, и такие вещи не происходят. AMD надо будет поучиться».
Это лишняя иллюстрация к вечному: «Что имеем, не храним, потерявши плачем». Новейшие наработки, часть из которых, по мнению экспертов, по-прежнему превосходит аналоги Intel и Nvidia. Тяжелое финансовое положения из-за многочисленных ошибок в выборе стратегии развития и управлении. Бегство лучшего и сокращение остального персонала. И полное пренебрежение риск-менеджментом, контролем за утечками и управлением правами на электронные документы.
Можно теперь требовать судебного запрета на использование украденных файлов, на найм работников конкурентами и пытаться восстановить свои нарушенные исключительные права на результаты интеллектуальной деятельности. Но птичка вылетела. И, как известно, после определенных событий, пить боржоми поздно. Надо было думать и защищать секреты до, а не после.
Кстати, рецепт специально для производителей софта, железа и прочего конкурентоспособного товара на ИТ и ИБ рынке. Посмотрите внимательно, что украли – материалов в Интернете сейчас очень много. И сравните со своими перечнями информации, составляющей коммерческую тайну. Если они есть, конечно. Можно будет узнать много интересного. И сделать выводы.

9 января 2013 г.

Просыпайтесь: стоит заняться коммерческой тайной

Больше года назад я писал о том (здесь и здесь), что с 1 января 2013 года вступает (т.е. на сегодняшний день – вступил) Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете». Большинство читателей моего блога – совсем не бухгалтеры, но новая редакция закона касается многих.  Напомню, закон радикально пересмотрел возможность отнесения бухгалтерской отчетности к информации, составляющей коммерческую тайну.
Вместо императивной конструкции части 4 статьи 10 одноименного Федерального закона от 21.11.1996 № 129-ФЗ «Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной» мы получили не менее радикальное, но прямо противоположного смысла, указание в части 11 статьи 13 нового закона «В отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны».
Более того, для бухгалтерской отчетности введено понятие единственного экземпляра, который экономические субъекты, обязанные ее составлять (кроме организаций госсектора и Банка России), должны предоставить в орган государственной статистики по месту государственной регистрации. Кстати, бухгалтерскую отчетность обязаны вести теперь и предприятия, применяющие упрощенную систему налогообложения. Обязательные экземпляры бухгалтерской (финансовой) отчетности составляют государственный информационный ресурс, к которому обеспечивается доступ заинтересованным лицам. Причем не в случаях, предусмотренных законом, а просто «заинтересованным лицам». Ограничения доступа допускаются только в интересах сохранения государственной тайны.
Новая редакция закона не разъясняет, как быть с возникающей при этом коллизией с частью 1 ст.91 Федерального закона «Об акционерных обществах», предусматривающей возможность доступа к документам бухгалтерского учета только акционерам, имеющим в совокупности не менее 25 процентов голосующих акций общества.
Для регистров бухгалтерского учета частью 7 ст.10 введена норма, предусматривающая возможность их представления на бумажном носителе другому лицу или в государственный орган в случаях, предусмотренных законодательством Российской Федерации или договором между экономическим объектом (лицом, ведущим бухгалтерский учет) и его контрагентом. При этом экономический субъект обязан по требованию другого лица или государственного органа изготавливать за свой счет на бумажном носителе копии регистра бухгалтерского учета, составленного в виде электронного документа. Вопрос о возможности отнесения всего регистра или его части к информации, составляющей коммерческую тайну (ИКТ), также повис в воздухе.
В новом законе отсутствует положение о том, что в регистрах бухгалтерского учета накапливается информация для отражения на счетах бухгалтерского учета и в бухгалтерской отчетности, ранее содержавшаяся в первой части статьи 10. Таким образом, считать, что исходные данные для бухгалтерской отчетности, содержащиеся в регистрах, не могут составлять ИКТ, оснований нет. С другой стороны, в случае попадания в отчетность сведений из регистра, нарушается одно из требований, определяющих возможность отнесения информации к ИКТ, – неизвестность ее на законном основании третьим лицам.
В целом вывод неутешительный – бухгалтерская отчетность и регистр, ранее бывшие «интимными» делами организации, которые она была вправе закрыть от посторонних глаз, становятся фактически общедоступными (отчетность) или неохраноспособными (регистр). Если бы речь шла только о доступности их для госорганов, к этому еще можно было бы отнестись спокойно, хотя Федеральный закон 8-ФЗ очень широко трактует понятие информации о деятельности органов власти, относя к ней и полученную этими органами информацию, и предоставляет широкие возможности доступа любых лиц, в том числе по немотивированным запросам. Но новый закон идет еще дальше, устанавливая в отношении возможности доступа бланкетную норму и отсылая нас к другим законам. И каковы будут последствия этого, покажут только время и практика правоприменения.
Так что скучать и втягиваться в новый рабочий год некогда. Всем, у кого установлен режим коммерческой тайны, необходимо пересмотреть перечни ИКТ, если этого не было сделано ранее, разобраться с наличием в них бухгалтерской отчетности и регистров бухгалтерского учета – и срочно вносить коррективы. Наличие в перечнях неохраноспособной информации, отнесение которой к ИКТ прямо запрещено законом или которая не удовлетворяет требованиям пункта 2 статьи 3 ФЗ «О коммерческой тайне» (98-ФЗ) и статьи 1465 Четвертой части Гражданского кодекса, может привести к признанию перечня не соответствующим закону (юридически ничтожным, т.е. не имеющим юридической силы) и к оспариванию правомерности установления режима коммерческой тайны вообще. Помните «Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи» (ст.10  98-ФЗ)? А первая среди этих мер - разработка перечня ИКТ. Перечень юридической силы не имеет – нет и режима. А наши суды, основываясь на внутреннем убеждении, много чего нарешать могут.
Вот такие у нас дела в начале нового трудового года.