|
|
Обзор
Телеком 2008Обзор подготовлен
При поддержке
Проблема регулирования телекома всегда была чрезвычайно актуальной в нашей стране. Операторы связи привыкли бороться за практически бесценные лицензии, обходить «подводные камни» в отечественном законодательстве и даже в некоторых случаях нарушать его. С развитием отрасли нормативный прессинг на операторов только усиливается, и им приходится соответствовать все большему количеству стандартов.
Ужесточение нормативного регулирования является одной из глобальных тенденций мировой экономики. Не так давно Ernst & Young опубликовала исследование «Strategic Business Risks 2008», в котором были проанализированы наиболее опасные риски, угрожающие современному бизнесу. Полученная диаграмма наглядно показала, что именно регуляторные риски беспокоят бизнес больше всего.
По мнению аналитиков Ernst & Young, современным компаниям нет никакого дела до мировых террористов (этот риск не попал даже в десятку), их не слишком волнует инфляция и энергетическая независимость ряда регионов. Интересно, что совместимость с требованиями регуляторов опередила по опасности и глобальные финансовые проблемы, которые в последнее время приобрели чрезвычайную актуальность (достаточно вспомнить ипотечный кризис в США).
TOP-10 глобальных рисков
Источники: Ernst & Young, Perimetrix, 2008
Почему тема информационной безопасности так важна именно в телекоммуникационной отрасли? Причина заключается в особенностях основной деятельности операторов — предоставлении услуг, информация о которых, как и о лицах, ее потребляющих, является конфиденциальной. А значит, у компаний есть масса сведений, которые необходимо защищать и от злоумышленников, и от инсайдеров.
Рассмотрим, к примеру, некоего сотового оператора и его биллинговую систему. В этой системе, в частности, хранится информация обо всех соединениях (в течение некоего промежутка времени) и, собственно, сама абонентская база. Имея информацию об истории вызовов конкретного человека, можно легко вычислить его друзей, коллег по работе или партнеров по бизнесу. Другими словами — получить практически полную картину его личной жизни, которая по определению является приватной.
Если представить себе, что все персональные данные, обрабатываемые операторами связи, вдруг окажутся в открытом доступе, получится крайне неприятная картина. Естественно, государство не может допустить такого положения вещей, и поэтому разрабатываются специальные стандарты по защите информации. Полностью отдать защиту в руки коммерческих компаний было бы неправильно, поскольку риски в данном случае слишком велики, а последствия незащищенности могут оказаться чересчур серьезными.
На сегодняшний день в России существует два основных норматива по информационной безопасности, которые затрагивают операторов связи. Первый из них — федеральный закон «О персональных данных» — является межотраслевым нормативом, действующим на все организации, независимо от их специфики. Из названия второго норматива — стандарта «Базовый уровень операторов связи» легко понять, что он адресован исключительно операторам связи. Но в отличие от закона «О персональных данных» этот стандарт не является обязательным.
Федеральный закон «О персональных данных» был принят в июле 2006 года и вступил в силу 1 января 2007 года, то есть более года назад. Однако до сих пор в стране отсутствует четкое понимание, каким образом он будет выполняться.
Основные требования ФЗ «О персональных данных»
Положение документа | Требования |
Статья 5, ч. 2. Хранение и уничтожение приватных данных | Организации, хранящие конфиденциальные данные должны хранить их ровно столько времени, сколько требуют цели обработки. Сразу же после того, как эти цели достигнуты, данные должны быть удалены. |
Статья 6, ч. 1. Условия хранения приватных данных. | Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных. При этом закон не указывает, каким образом должно быть получено это согласие — в письменной форме, в виде галочки в бланке интернет-анкеты или по телефону. |
Статья 6, ч. 4. Аутсорсинг приватных сведений | В том случае, если хранением приватных данных занимается «третья» компания (аутсорсер), она должна обеспечить их защиту и сохранность в соответствии с остальными требованиями закона. |
Статья 19, ч. 1. Меры для обеспечения защиты персональных данных | В этой статье описываются конкретные меры, которые должны применяться для защиты конфиденциальных данных. Если организация хранит такие данные, она обязана «принимать необходимые организационные и технические меры… использовать шифровальные (криптографические) средства, для защиты персональных данных» от ряда различных угроз, таких как изменение, уничтожение, блокирование или несанкционированный доступ к данным |
Источник: Perimetrix, 2008
В целом требования федерального закона находятся на самом высоком уровне абстракции — а выбор конкретных мер и способов защиты данных ложится на плечи каждой конкретной организации. У различных компаний может быть абсолютно разное понимание того, какие меры по защите информации являются необходимыми. Более того, если спросить у любого российского CIO, принимает ли он все необходимые меры, то он, скорее всего, ответит положительно.
Эксперты Perimetrix полагают, что в своем современном виде «Закон о персональных данных» фактически бесполезен. Требования его настолько неопределенны, что их пока не понимает ни бизнес, ни даже сам регулятор («Россвязьохранкультура»). Понятно, что проверить соответствие нормативу в случае возникающих проблем будет практически невозможно.
Однако проблемы с толкованием формулировок — это еще полбеды, поскольку сделать их строгими можно довольно быстро. Для того чтобы закон заработал по-настоящему, потребуется время и желание со стороны властей. Если учесть, что оператором персональных данных является почти любая российская организация, то возникает огромная проблема, связанная с контролем над выполнением закона.
Ситуация здесь чем-то напоминает усилия правительства по борьбе с пиратством — несмотря на то, что аресты и обыски периодически происходят, реально уровень пиратства почти не меняется. Можно с уверенностью утверждать, что у регулирующего органа просто не хватит времени и сил, чтобы проверить соответствие закону все подотчетные организации. Как следствие, будет расти коррупция («заплатите — и мы к вам больше не придем») и количество проверок «с пристрастием».
Вместе с тем, правительство страны пытается принять ряд мер, чтобы реанимировать мертвый закон. В конце прошлого года функции регулятора по ФЗ были отданы «Россвязьохранкультуре», которая пообещала организовать электронный реестр всех операторов персональных данных. Это событие говорит о том, что дело сдвинется с мертвой точки и подробные требования соответствия все-таки будут выработаны.
По мнению Ольги Маркиной, менеджера по развитию бизнеса компании Kerio, «документ, подобный ФЗ «О персональных данных», был необходим России, как воздух. А сам факт его принятия говорит о том, что правительство осознает проблему и старается найти пути ее решения, и данный документ — это только первый шаг».
В отличие от общего закона «О персональных данных», стандарт «Базовый уровень операторов связи» был создан специально для телекоммуникационного рынка. И если закон является обязательным нормативом, то «Базовый уровень» — это всего лишь набор специальных рекомендаций. Парадоксально, но, несмотря на свой «рекомендательный» статус, стандарт оказывает большее влияние на отрасль чем «обязательный» федеральный закон.
Перед тем, как попытаться объяснить этот факт, остановимся на основных положениях стандарта. Основной интерес для нас несут рекомендации «Базового Уровня» с номерами 3.16-3.18. В частности, пункт 3.16 советует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Другими словами, он фактически повторяет требования ФЗ «О персональных данных», но только более специфичным языком.
Однако в следующих разделах (3.17-3.18) приведены более конкретные требования. В них, например, сказано, что компания должна регистрировать все события по информационной безопасности и хранить журналы записей о них как минимум 3 года (срок исковой давности). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». То есть — внедрять специальные аналитические системы, которые должны обрабатывать уже упоминавшиеся журналы событий.
Наконец, в разделе 4.4 «Базового уровня указано, что «оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, практика скорейшего оповещения пострадавших в результате утечки добралась-таки и до России, хоть и в несколько усеченном варианте.
В целом, положения «Базового уровня» значительно конкретнее требований закона «О персональных данных». Впрочем, и здесь у операторов имеется поле для маневра — их не обязывают внедрять конкретные системы безопасности (антивирус, межсетевой экран и т. д.), а только просят защищать данные любым доступным для них способом. У внимательных читателей может возникнуть резонный вопрос — а чем принципиально отличается «Базовый уровень» от федерального закона «О персональных данных», и почему первый норматив на практике работает, а второй — нет?
Влияние нормативов на информационную безопасность операторов связи
Источник: Perimetrix, 2008
Скорее всего, большая конкретика в требованиях не является основным ответом на поставленный вопрос. Все дело заключается в концептуальных отличиях понятий стандарта и закона. Если любой закон использует «презумпцию невиновности» — ты не нарушитель, пока не доказано обратное. Стандарт действует по прямо противоположной схеме — ты не соответствуешь требованиям, пока не доказано обратное. К тому же, у операторов не существует задачи соответствовать федеральному закону, а вот задача соответствия «Базовому уровню» перед ними весьма актуальна — такое соответствие может использоваться как требование для получения лицензий или присоединения к новой сети.
Таким образом, та чрезмерная общность требований, которая присутствует в обоих нормативах, вполне допустима для стандарта, но совершенно неприемлема для закона. По-видимому, понимание последнего факта доходит и до умов российских чиновников, которые предпринимают хотя и слабые, но все-таки шаги, для вывода федерального закона в действующее правовое поле. Пока же российские операторы вынуждены соответствовать этому нормативу в его первозданном неформализованном состоянии.
Владимир Ульянов