31 июля 2013 г.

Ищите цели среди компаний с менее недоверчивыми руководителями служб безопасности

Скандал с программой PRISM и, похоже, бесследно затерявшимся в «чистом» терминале аэропорта Шереметьево Эдвардом Сноуденом заставил пересмотреть свои базовые взгляды на безопасность во интернете не только граждан, но и бизнес.
То, что американские спецслужбы помогают американским же компаниям улучшать свое положение на мировом рынке, пишут давно часто. Естественно, что тотальный сбор данных во всемирной сети не мог не коснуться деловой информации – смешно было бы думать, что невод, заброшенный в интернет, имеет специально настраиваемые ячейки, задерживающие мелкую рыбешку сообщений граждан и пропускающий без помех косяки бизнес-информации.
На англоязычном сайте крупнейшего немецкого издания «Шпигель» появилась очень интересная и показательная статья о тревогах малого и среднего бундес-бизнеса, связанных с весьма вероятным попаданием коммерческих секретов в руки американских друзей немецких спецслужб, а от них – прямо к конкурентам за океаном. Пессимизма немецким бизнесменам добавила информация о каком-то уж слишком тесном сотрудничестве их государственной внешней разведки BND с американцами, в описании которой наиболее часто используется слово «рвение».
На своих курсах я всегда говорю о том, что мнение о необходимости режима коммерческой тайны только для крупного и крупнейшего бизнеса является не только ошибочным, но и опасным. Гиганты вроде американской AMD или российского «Фосагро», о краже секретов в которых я писал в своих постах, эту неприятность переживут. А вот для сегмента СМБ утечка технологий, наработок или клиентской базы может оказаться катастрофой, поскольку очень часто уникальность используемого «ноу-хау» - главный, а иногда и единственный их реальный актив. Именно поэтому значительное количество арбитражных дел в России, связанных с нарушением исключительного права на секреты производства, касается компаний именно этого сегмента экономики.
Примерно к такому же горькому выводу пришли и коллеги из мюнхенской консалтинговой компании Corporate Trust, которые отметили, что только одна из четырех немецких компаний сегмента СМБ имеет ИТ-стратегии безопасности, а большинство ограничивается при защите данных межсетевым экраном и антивирусной защитой, чего явно недостаточно для противодействия профессиональным хакерам, не говоря уже о Агентстве национальной безопасности США.
Немецкое Управление по защите конституции считает, что промышленный шпионаж наносит экономике Германии ежегодный ущерб от 30 до 60 млрд евро, но точную цифру не знает никто – бизнес отнюдь не горит желанием раскрывать сведения о кражах информации. Главных причин для этого две: опасение привлечь повышенное внимания хакеров к «хромым уткам», пострадавшим от взлома или кражи, и, следовательно, имеющими реальные уязвимости в системе защиты, и возможная потеря клиентов, узнавших об утечке.
В выше упомянутой мною статье рассказывается о Маркусе Штаудингере, эксперте по ИТ-безопасности семейной инжиниринговой компании Gustav Eirich со 150-летней историей. Много лет настаивавший на необходимости использования шифрования при передаче информации, внедривший такие средства даже на ноутбуках и смартфонах работников, работающих вне периметра (компания имеет представительства в 10 зарубежных странах, в том числе в России и СНГ), он, по его же собственным словам, выглядел в глазах коллег параноиком (ах, как все знакомо!). После откровений Сноудена о PRISM отношение коллег изменилось – секреты компании оказались защищены.
Директор по защите продуктов и ноу-хау немецкого машиностроительного объединения VDMA Райнер Глатц отмечает, что в прошлом предупреждения о возможных хакерских атаках, шпионаже малый и средний бизнес, опора германской экономики, пропускал мимо ушей. Сейчас же во многих во многих фирмах и их органах управления появилось понимание проблемы, и они думают о том, как защитить себя эффективнее.
Еще одним результатом последних событий стал рост популярности немецкихдата-центров для размещения чувствительной информации и приоритет использования национальных алгоритмов и программ шифрования, ключи которых, по мнению немецкого бизнеса, спецслужбы не получают, в отличие от продуктов компаний, находящихся в американской юрисдикции. Вырос спрос на доступ в дата-центры по оптическому волокну без использования интернета, а это тоже плюс для местных поставщиков услуг.
В статье делается справедливый вывод, что информацию можно снять с волоконного кабеля, а системы шифрования периодически взламываются и 100-процентую безопасность обеспечить нельзя. Штаудингер отмечает:. «Мы знаем, что есть остаточный риск. Но повышение уровня мер защиты заставит потенциальных злоумышленников искать более легкие цели среди компаний с менее недоверчивыми руководителями служб безопасности».
В заключение - еще одно занятное сообщение из Германии, касающееся той же проблемы. Как сообщает Н.Храмцовская, 16 июля 2013 года министр внутренних дел Германии Ханс-Петер Фридрих, выступая перед Парламентской контрольной комиссией, занимающейся контролем за деятельностью спецслужб, призвал граждан Германии самим серьезнее относиться к защите персональных данных. Он, в частности, сказал, что «следует уделять больше внимания программам шифрования и антивирусным программам, ведь технические возможности для шпионажа существуют и будут применяться». Граждане откликнулись. Доктор Ульрих Кампфмайер, специалист в области делопроизводства и архивного дела, захотел «поддержать прекрасную инициативу» и направил письмо лично министру, воспользовавшись сервисом государственных услуг на сайте министерства внутренних дел, в котором поставил простые и четкие вопросы:
      Какие (бесплатные) программы шифрования можно использовать, чтобы ни федеральная разведывательная служба, ни военная контрразведка, ни другие специальные службы не могли расшифровать данные?
      Какого поставщика мобильных устройств следует выбрать, чтобы ни федеральная разведывательная служба, ни военная контрразведка, ни другие специальные службы не могли прослушать телефонные переговоры?
      Какие программы следует установить, чтобы можно было обнаруживать и полностью удалять с компьютера внедрившиеся в него государственные программы слежения (немецкие или иностранные)?
Автор запроса попросил, чтобы по каждому вопросу было предложено несколько вариантов, а все рекомендованные программы были проверены и разрешены к распространению Федеральным ведомством по безопасности в сфере информационных технологий.

Интересно, будет ли ему направлен ответ? В Германии с порядком строго.

24 июля 2013 г.

Ау, банкиры! До отчета перед Банком России об оценке соответствия осталось меньше полугода

Помните старую песенку: «Странно и смешно наш устроен мир»? Вот уж действительно – странно и смешно. Коллеги активно продолжают обсуждение начатой 6 с лишним лет назад темы персональных данных, придумывая все новые повороты сюжета. Вот и до рублевой, и до вербальной оценки вреда субъекту вчера добрались.
Сегодня перед профессионалами, работающими в финансовой сфере, стоит гораздо более насущная, срочная и сложная задача – оценка соответствия требованиям защиты информации в платежной системе. Появилась пара-тройка сообщений с констатацией факта выхода указания Банка России от 05.06.2013 № 3007-У, тему вяло пообсуждали, отметив, что на все про все есть полгода – до 10 января 2014 года оценку надо закончить и направить отчет в Банк России. Тема тихо угасла.
Между тем, по опыту наших проектов по оценке соответствия, работы там – выше крыши, причем привлекать придется практически все структурные подразделения банка, что, как обычно, бизнесу мало нравится и приводит к появлению дополнительного временного лага.
Первые две важнейшие задачи: определить состав объектов инфраструктуры, подпадающих под положение Банка России № 382-П, и детально сравнить приложение № 2 к нему с внутренними банковскими нормативными документами.
Автоматизированная банковская система (АБС) и система дистанционного банковского обслуживания (ДБО, клиент-банк) положению должны удовлетворять без вопросов, и не забудьте про системы обмена электронными сообщениями с Банком России (они, конечно же, удовлетворяют, но вот все ли сделал банк с точки зрения обеспечения безопасности работы в них?). А дальше все зависит от того, что за банк и какова топология его информационной системы.
Все 137 требований, сформулированных в приложении № 2 к 382-П, обязательны для всех подсистем, используемых для перевода денежных средств. Дали клиенту возможность выполнять операции со смартфона или голосом по телефону – будьте добры навести порядок и там.
Соотнесение внутренних локальных актов банка с 382-П – тоже задача весьма не тривиальная. Придется решать сложную головоломку: распространить требования Положения на всю подсистему информационной безопасности банка или часть требований применять только к объектам инфраструктуры, используемой для перевода денежных средств. Тем, кто уже приводил свое хозяйство в соответствие с СТО БР ИББС, будет, конечно, легче – почти все есть и в стандарте, но легче при одном существенном условии – работа была реальной, добротно сделанной, а не для галочки.
Почему я считаю, что распространить все требования 382-П на всю инфраструктуру банка может и не получиться? Потому что часть из них – крайне жесткие, и их реализация потребует очень больших ресурсов, как людских, так и финансовых.
Сразу отмечу, что небольшие банки, где нет самостоятельной службы информационной безопасности, разделенной с ИТ-подразделением, сразу окажутся в очень сложном положении (только не пишите в комментах, что таких банков нет. Плавали, знаем, и их не мало).
Они автоматически получат 3 нулевых оценки при расчете EV1ПС и аж 14(!) при расчете EV2ПС. Согласитесь, условия для старта совсем не комфортные. Корректирующий коэффициент k2 сразу станет минимально возможным – 0,7, и рассчитывать на итоговую высокую оценку вряд ли придется.
Кстати, со службой ИБ в документе есть, на мой взгляд, один казус. В пункте 102, касающемся информирования службы об инцидентах, появляются слова «в случае ее наличия», что дает надежду оставить выполнение этого требования без оценки. Между тем во всех остальных 16 пунктах, касающихся службы, вопрос ставится императивно: осуществляет контроль, осуществляет планирование, согласовывает и т.д. А пункт 82 вообще тверд, как алмаз: «Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают формирование службы информационной безопасности, а также определяют во внутренних документах цели и задачи деятельности этой службы».
Особые проблемы возникают у банков, привлекающих платежных агентов и субагентов. На них ложится головная боль за обеспечение выполнения агентами (субагентами) требований к обеспечению защиты информации. Правда, это требование в приложение № 2 не вошло и при оценке учитываться вроде бы не должно, но как Банк России будет подходить к вопросу только время покажет.
И главное, что тоже почему-то не очень обсуждается. А что будет, если ничего не делать?
Теперь защита информации попала в область банковского надзора, потому ответ – в ст.74 ФЗ «О Центральном банке Российской Федерации (Банке России)»: штраф в размере до 300 тысяч рублей (0,1 процента минимального размера уставного капитала) либо ограничение проведения кредитной организацией отдельных операций на срок до шести месяцев. В данном случае, видимо, операций по переводу денежных средств.
А вы все говорите: «Персональные данные, персональные данные!».
Банки, ау!

P.S. Не забудьте про обязательность повышения осведомленности персонала в области информационной безопасности и памятки клиентам, использующим системы ДБО. К ним тоже требований много. 

16 июля 2013 г.

О кроте, иностранных заказчиках и украденных тайнах

Очередное уголовное дело, связанное с разглашением коммерческой тайны, закончилось обвинительным приговором и осуждением инсайдера.
Материалов  дела в открытом доступе найти не удалось, поэтому излагать свое видение ситуации буду на основе публикаций на официальном сайте ГУ МВД по г. Москве (см. ссылку выше) и статьи в газете «Коммерсант», а также изысканий наших аналитиков на сетевых судебных ресурсах.
В деле есть все классические признаки детектива – «крот» в стане обладателей охраноспособных результатов интеллектуальной деятельности, иностранцы, покушающиеся на самое святое – секреты российской компании, бдительная служба безопасности, дотошные следователи двух ведомств, завязка, кульминация и развязка. 
В России, скажем честно, не так много компаний, конкурентоспособных на мировом рынке. Одна из них – «Фосагро», ведущий мировой производитель фосфорсодержащих удобрений, фосфатного сырья, в том числе – кормовых фосфатов.
Раз на мировом рынке – значит, у нее есть то, что интересно участникам рынка. В том числе партнерам и покупателям, и не только нашим. Ничего личного, только бизнес.
Каким образом подружились Т., бывший работник отдела продаж «Фосагро», и московское представительство швейцарской дочки транснациональной компании Transammonia, имеющей филиалы по всему миру, неизвестно, да и неважно. Скорее всего, первые контакты были чисто деловыми: задача одного – продавать, цель других – покупать и перепродавать.
Дружба «крота» и новых друзей крепла. Оставшись «за начальника», Т. получил доступ к его почтовому ящику и перенастроил его адресацию. Теперь все приходящее руководителю попадало и подчиненному, уже вахту сдавшему. А уж он, как сообщается в пресс-релизе московской полиции, сведения «об объёмах производства кормовых фосфатов, условия их продажи, ценах, взаимоотношениях с клиентами» передавал партнерам-покупателям. История обычная. В некогда нашумевшем аналогичном деле менеджера по продажам «Северстали» фабула была абсолютно та же. Знание внутренней кухни продавца очень способствует улучшению позиции покупателя на переговорах.
Служба безопасности «Фосагро» активность своего работника обнаружила, руководство компании обратилось в Службу экономической безопасности ФСБ, которая в ходе доследственной проверки подтвердила самые худшие опасения. Работника-«крота» по ст.81 ТК РФ уволили, а за дело взялось Главное следственное управление ГУ МВД России по г. Москве, возбудившее уголовное дело по частям первой и второй ст.183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Вторая часть статьи используется, видимо, потому, что доказательств получения Т. вознаграждения за передачу сведений в ходе следствия не получено.
Первый раз я сталкиваюсь со случаем, когда подозреваемому одновременно вменяется первая часть этой статьи – собирание сведений, составляющих коммерческую тайну, путем похищения документов, или иным незаконным способом, и вторая – незаконные разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе. Но по характеру деяний это логично – Т. не только передавал ставшие ему известные секреты, но и нелегально добывал их из почтового ящика своего непосредственного начальника.
Попытка Т. оспорить увольнение в суде закончилась неудачей. Гагаринский суд г. Москвы, куда он обратился с иском, перенаправил дело в Петроградский суд Санкт-Петербурга по месту государственной регистрации работодателя, который на предварительном судебном заседании иск отклонил в связи с пропуском истцом без уважительных причин срока исковой давности для защиты права и установленного федеральным законом срока обращения в суд. 20 февраля 2013 года решение суда вступило в законную силу.
А 21 января 2013 года ГСУ ГУ МВД по г. Москве предъявило Т. обвинение в совершении преступления, в феврале прокуратура утвердила обвинительное заключение, дело ушло в тот же Гагаринский суд Москвы, куда подозреваемый ранее обращался с гражданским иском. И второе дело для него также оказалось неудачным - суд признал подсудимого виновным в совершении преступлений, предусмотренных ст.183 УК РФ, и приговорил его к одному году и девяти месяцам исправительных работ.
Приговор обжалуется в апелляционной инстанции Мосгорсуда, однако, в случае его вступления в законную силу, не исключен еще один гражданский иск, теперь уже со стороны «Фосагро». В материалах уголовного дела присутствуют данные о нанесении ущерба в размере 2 миллионов долларов.
А ст.1472 Гражданского кодекса сурова: «Нарушитель исключительного права на секрет производства, в том числе лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, а также лицо, обязанное сохранять конфиденциальность секрета производства…, обязано возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом».
Интересную позицию высказал адвокат обвиняемого: «В любом случае он не отдавал себе отчет в том, что передача информации является уголовно наказуемым деянием». Однако, даже если это и так, то, как известно, основанием для освобождения от уголовной ответственности быть не может.
У современного детектива, как принято, появилась и боковая линия.
Некий московский интернет-ресурс (а вот здесь ссылку давать не буду, рекламировать его совсем не хочу) в лучших традициях российской конспирологии переименовал работника отдела продаж в топ-менеджера компании, несколько раз передернул опубликованную информацию и высказал предположение, что Т. был умышленно подставлен, чтобы скрыть работу владельца компании на американский империализм.
Поистине, в интернете есть все. И отделять информацию от дезинформации все труднее и труднее. Немного не договорить, немного придумать, немного предположить. И вот отражение в зеркале перестало походить на оригинал. Век «вчера по телевизору сказали» безвозвратно ушел.

Рабочий день читателей моего блога. Вчера

9.00-10.00 Москвы. Первый пик. Прибыли на работу. «Так, что там новенького в интернете пишут?».
10.00-11.00 «Надо бы и делами заняться… Что там нам навалили?».
11.00-13.00 Второй пик. Дела разгребли. «Так что там с новеньким в интернете, я забыл?».
13.00-17.00 Обед, совещания, обсуждения, выполнение прямых обязанностей.
17.00-18.00 Третий пик. «Уф, устал, сколько же пахать можно. А почитаем, что там новенького?».
18.00 и далее. Дверь на замок, пора домой. «Сколько же можно работать? День прошел не зря».

11 июля 2013 г.

Если нет мифов [в информационной безопасности], их надо придумать

Тема мифотворчества в информационной безопасности – одна из самых популярных. Их, эти мифы, любят рассматривать и опровергать, аргументируя свою позицию ссылками на мировой и личный опыт. Их собирают и систематизируют, рассматривают под лупой и в целом.
Прочтение последнего, по времени появления, материала, очередного борца с иллюзиями, на этот раз – из глубоко уважаемой компании Gartner, натолкнуло меня на мысль, что эти мифы порой создаются не коллективным творчеством масс специалистов, заблудших в поисках ответов на бесконечные «вызовы времени», и ищущих пути защиты и спасения, а рождаются в тихих кабинетах аналитиков с целью опровергнуть их затем публично и успешно.
Судите сами. Примерно месяц назад в зарубежных ИТ- и ИБ-изданиях (например, здесь) активно цитировалась публикация Jay Heiser из упомянутой компании. Похоже, это изначально была даже не статья, а презентация, но найти ее на сайте Gartner мне не удалось. Перевели ее и российские «Открытые системы».
Обсуждения высказанной точки зрения практически не было, все просто перепечатывали текст. Свое мнение хотелось высказать сразу, но времени не было совсем. Коль скоро тема не обсуждалась, а актуальности не потеряла, думаю, это возможно сделать и сейчас.
В публикации приводятся и опровергаются 10 мифов. Почему 10? Число красивое! Но как-то сразу вызывает подозрения. Если бы их было 8 или 11, у меня лично это доверия вызвало бы больше. Но Gartner число 10 очень любит. Погуглите, кто не верит.
По прочтении материала появилось устойчивое впечатление, что так, как опровергаемые автором специалисты, я не думаю, и, самое главное, не думал никогда. Более того, из разговоров с моими коллегами, партнерами, клиентами, из того, что я слышу на конференциях и читаю в интернете, складывается мнение, что так никто вокруг меня тоже не думает.
Но если заблуждение не является массовым, то откуда могут появиться мифы? Только из пробирки.
Итак, по порядку. Перевод немного не совпадает с «Открытыми системами», да не обидятся на меня коллеги.
Миф № 1. Этого не случится со мной. Среди специалистов по информационной безопасности этот миф родиться просто не мог, иначе место работы автоматически закрывается. Среди мифотворцев автор упоминает еще загадочных «бизнес-менеджеров». Если речь идет о топах, влияющих на процесс, то там мифы совсем другие: «Жили без этого, и еще поживем», «Столько лет ничего не случалось, с чего вдруг это случится?» и т.д. Но «Со мной не случится» - это уже какой-никакой, а риск-менеджмент: выявление угрозы, оценка риска и принятие решения по управлению им. А реальные мифы основаны на самом отрицании наличия угрозы и необходимости противодействия рискам.
Миф № 2. Бюджет на ИБ – это 10% общих затрат на ИТ. Это не миф. Это известный каждому просителю бюджета аргумент, основанный на «лучших практиках». Все знают, что никто никогда этой величины не считал, статистики нет, но как-то обосновывать свою долю в ИТ-проекте надо. Если это проект чисто айтишный, все знают, что 10% не видать, как своих ушей без зеркала. Но если удастся убедить руководство в открытии ИБ-проекта, бюджет будет не 10, а все 100%.
Миф № 3. Риски безопасности могут быть оценены количественно. Можно было бы ограничиться коротким «ха-ха». Наличие мифа как такового, во всяком случае, в России, опровергается наличием в методике актуализации угроз ФСТЭКа слов «Вербальные градации вероятности реализации угрозы», «Вербальная интерпретация возможности реализации угрозы» и «Вербальный показатель опасности угрозы». Количественно, говорите?
Миф № 4. Мы обеспечили физическую безопасность (или SSL), и теперь вы знаете, что ваши данные в безопасности. Само наличие в английской версии местоимений «мы» и «вы» готовит о том, что миф распространяется кем-то, не пользователем. Заказчиков, которые поверили бы в достаточность только физических мер защиты или использования криптографии, (см. Миф № 10) я не встречал никогда. Даже когда сам начинал быть заказчиком. И совершенно не понимаю, из каких реальных условий такой миф мог бы родиться.
Миф № 5. Уменьшение срока действия пароля и его усложнение снижают риски. А вот тут стоп. Это вовсе не миф, пока, во всяком случае. Отнесение этого утверждения к мифу основывается на высокомерном утверждении, что сама идея использования паролей глубоко ошибочна, потому что они не ломаются, а перехватываются. Многофакторная аутентификация, токены и биометрия, одноразовые пароли генераторов случайных чисел и систем синхронизации времени – это все здорово, но зачем они там, где стоимость информации меньше, чем системы аутентификации. Поживем еще с паролями. А тогда и время действия пароля, и его длина, и сложность имеют значение. И снижают риски.
Миф № 6. Выделение ИБ из ИТ автоматически обеспечивает хорошую (в подлиннике – good) безопасность. Что, правда, кто-то когда-то так думал? Автоматически? Да, во многих случаях (не всегда!) переподчинение ИБ руководителю службы безопасности или даже первому лицу (зависит от бизнеса) способствует снижению рисков, почему – написано многобукв. Но никогда это не рассматривается как панацея. Никакая оргмера не может ею стать. И кому, как не Gartner, это знать. Да и многие компании, делающие бизнес исключительно на ИТ (дата-центры, например), не имеют служб ИБ. Не читают они мифов древней Греции нового Gartner.
Миф № 7. Следование безопасным практикам – проблема руководителя ИБ. Миф какой-то путаный, непоследовательный. Тут и переложение на CISO (по-русски – руководитель службы информационной безопасности) всех проблем, и его неспособность дать ответы на все вопросы. Но на самом деле – это тоже не миф, а суровая реальность. Если произойдет инцидент ИБ, и ответственный за ИБ будет доказывать, что он сделал, все, что мог, а его не слушали, ответом будет «Плохо убеждали». Проверено. Переложить ответственность на чужие плечи не удастся. ИБ – проблема CISO. И хороший CISO отличается от плохого не наличием международных сертификатов, а умением строить отношения в компании. C ИТ-подразделением. С финдиректором. С директором по рискам, если он есть. С гендиректором, если сможет выйти на этот уровень. Но отвечает за все он. И это не миф. 
Миф № 8. Покупка универсального средства решает все проблемы. Ага. Серебряная пуля. Волшебная кнопка. Философский камень. Нет такого. Даже самые наглые продавцы в ИБ не пытаются его продавать. А это говорит о многом.
Миф № 9. Примем политику, и все проблемы будут решены. Даже самые замшелые консервативные адепты бумажной безопасности (ну вроде меня) никогда не говорили, что сама по себе политика решает проблемы безопасности. Проблемы решают выстроенные, в соответствии с политикой, процедуры и применяемые в соответствии с ней же средства. Миф высосан из пальца.
Миф № 10. Шифрование является лучшим способом сохранить ваши важные данные в безопасности. Никто из практиков так не думает и не думал. Никогда. А уж у нас, учитывая специфику использования средств шифрования, к ней прибегают только тогда, когда обойтись без нее решительно невозможно. С автором не поспоришь в том, что для применения криптографии надо иметь соответствующий опыт и знания. Но вот в то, что это «чаша Грааля» или «волшебная пуля» может поверить только дилетант, начитавшийся кривых учебников по криптографии. Если наивные до такой степени дилетанты в сфере ИБ вообще существуют.
Так зачем творить несуществующие мифы, спросите вы меня. Читайте сигнатуры аналитика к снадобьям от мифов (Cure в тексте): выявление первопричин проблем системы безопасности, создание программы информационной безопасности внутри корпоративной культуры, методический анализ рисков и приоритетов, многолетние планы обеспечения безопасности и т.д.

У вас еще есть вопросы?

2 июля 2013 г.

На смерть банковской тайны

Похоже, основной формой моего блога становится панегирик (см. русскую Википедию – до 18-го века литературный жанр, представляющий собой речь, написанную по случаю чьей-либо смерти). Смерть приватности в самом широком смысле этого слова мы уже обсуждали и затрагивали тему банковской тайны. Тенденция получила ожидаемое развитие.
Активное обсуждение законов о защите чувств верующих и пропаганде нетрадиционности в личной жизни для меня выглядят дымовыми шашками для гораздо более интересного Федерального закона от 28.07.2013 № 134-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям». 38 листов закона содержат поправки в 26 законодательных актов и прямо касаются,  абсолютно каждого из нас.
Анализировать все в одном блоге невозможно и бессмысленно, да и многие поправки выходят далеко за пределы тематики моих обычных постов.
Но вот на то, что впрямую касается информационной безопасности в самом широком смысле, посмотреть стоит очень внимательно.
Самое главное, как мне кажется, с точки зрения обеспечения конфиденциальности, - банковской тайны в привычном понимании теперь у нас больше нет. В соответствии со ст.1 134-ФЗ, изменяющей закон «О банках и банковской деятельности», сведения о наличии счетов, вкладов (депозитов), об остатках денежных средств на счетах, вкладах (депозитах), по операциям на счетах, по вкладам (депозитам) организаций, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, физических лиц предоставляются кредитной организацией налоговым органам в порядке, установленном законодательством Российской Федерации о налогах и сборах. Новый закон тут же заботливо расписывает, а что это за порядок такой. Статья 10, меняющая Налоговый кодекс, определяет следующую процедуру: для получения налоговиками банковской тайны никакого решения суда, в отличие от субъектов оперативно-розыскной деятельности, не требуется.
Банки теперь обязаны выдавать налоговым органам все эти сведения в течение трех дней просто по мотивированному запросу налогового органа в случаях проведения налоговых проверок, при вынесении решения о взыскании налога, принятии решений о приостановлении или отмене операций по счетам и переводов электронных денежных средств. Для физлиц такая возможность немного ограничена – на запрос требуется согласие руководителя вышестоящего органа или руководителя (зама) ФНС, а повод ограничивается проведением налоговых проверок.
Кроме того, в соответствии с изменениями, внесенными в «антиотмывочный» 115-ФЗ, расширяется круг лиц, обязанных предоставлять информацию Росфинмониторингу – это требование теперь относится не только к органам власти и местного самоуправления, Банку России, но и к ПФР, ФОМС и ФСС, госкорпорациям и иным организациям, созданным государством на основании федеральных законов и для выполнения задач, поставленных перед государственными органами. И не просто предоставлять, но и обеспечивать автоматизированный доступ к своим базам данных, видимо, по смыслу закона – on-line, хотя прямо этого и не сказано.
Предоставление всей этой информации «не является нарушением служебной, банковской, налоговой, коммерческой тайны и тайны связи (в части информации о почтовых переводах денежных средств), а также законодательства Российской Федерации в области персональных данных».
Для интересующихся темой персональных данных есть еще одна тема для размышлений. Закон экспоненциально расширяет круг лиц, имеющих ограничения в связи с наличием судимости и, соответственно, число организаций имеющих право и обязанность такие сведения о гражданах обрабатывать. К руководителям банков, их филиалов и отделений, их замам, главбухам и замам в банках, ОАО, внебюджетных фондах, педагогическим работникам в один момент добавились члены советов директоров, топ-менеджеры, главбухи и даже акционеры (есть масса конкретных нюансов, но общая норма – более 10% акций) лизинговых компаний, инвестфондов, микрофинансовых организаций, субъектов страхового дела, профессиональных участников рынка ценных бумаг, негосударственных пенсионных фондов,
А не про персональные данные – это про электронный документооборот и его значимость.
Предприятия и организации, обязанные представлять налоговую декларацию в электронной форме (а это теперь практически все), должны обеспечить получение от налогового органа в электронной форме по каналам связи необходимых документов и передать налоговикам квитанцию об их приеме в электронной форме в течение 6 дней со дня их отправки налоговым органом. А если через 10 дней такая квитанция не поступит, руководитель налогового органа или его зам имеет право принять решение о приостановлении операций налогоплательщика-организации по его счетам в банке и переводов его электронных денежных средств.
Вообще, приостановление операций по счетам – одна из главных фишек нового закона. Такое право и обязанность теперь предоставлено руководителям налоговых органов и их замам, организациям, осуществляющим операции с денежными средствами или иным имуществом в случаях, определенных 115-ФЗ, с административной ответственностью за невыполнение требований до 500 тысяч рублей.
Есть там и масса других интересных нововведений. Но об этом (особенно о бенефициарах) – позже, если руки дойдут J