Верхнее

Домен 1. Управление рисками информационной безопасности


Введение

Работа специалистов по информационной безопасности состоит в оценке рисков для критически важных активов и внедрении защитных мер для снижения этих рисков. Мы выступаем в различных ролях: инженеры, настраивающие межсетевые экраны, пентестеры, аудиторы, управленцы и т.д. Всеобъединяющим различные роли и задачи в любом же случае является риск — именно этот термин фигурирует в описании нашей работы.

Домен Управление рисками информационной безопасности фокусируется на анализе рисков и их снижении. Этот домен также раскрывает детали управления информационной безопасностью или иначе — организационной структуры, требуемой для успешной реализации плана обеспечения информационной безопасности. Разница между преуспевающими в этой сфере организациями и теми, которые терпят неудачу, обычно не связана с размером бюджета или численностью персонала: скорее успех определяется наличием нужных людей на правильных местах. Квалифицированные и опытные сотрудники, отвечающие за информационную безопасность, под правильным руководством — вот ключ к успеху.

Говоря о руководстве и управлении, нужно отметить, что умение говорить на языке, понятном вашему руководству (руководству организации) является другим важным ключом к успеху, в том числе вашему персональному успеху в данной сфере. Умение эффективно доносить основные концепции информационной безопасности до высшего менеджмента организации — это редкий и крайне важный навык. Этот домен также поможет вам говорить с ними на их языке при обсуждении рисков в таких терминах, как совокупная стоимость владения (TCO — total cost of ownership) и прибыль на инвестиции (ROI — return on investment).

Основные концепции информационной безопасности

Прежде чем перейти к объяснению термина контроль доступа, необходимо определить основные концепции информационной безопасности. Эти концепции лежат в основе всех знаний, изложенных в представленных восьми доменах.

Конфиденциальность, целостность и доступность

Конфиденциальность, целостность и доступность называют основной триадой информационной безопасности (КЦДCIA, Confidentiality, Integrity, and Availability), являющейся краеугольным камнем концепции информационной безопасности. Триада, показанная на рис. 1.1, образует трёхногий табурет, символизирующий собой основную концепцию информационной безопасности.

КЦД - триада ИБ (трёхногий табурет)

Рис. 1.1 КЦД — триада ИБ (трёхногий табурет)

Порядок следования букв в аббревиатуре может меняться (например, в случае с системами АСУ ТП часто говорят о ДЦК, так как конфиденциальность для такого рода систем не является самым важным, в отличие от доступности), но это не так важно. Принципиальное значение имеет само чёткое понимание каждого из этих трёх терминов. Для определённости далее будет использоваться аббревиатура именно КЦД.

Конфиденциальность

Конфиденциальность направлена на предотвращение несанкционированного раскрытия информации, на сохранение данных в секрете. Другими словами, стремление к конфиденциальности — это стремление к предотвращению несанкционированного чтения данных. Примером атаки на конфиденциальность может служить кража персональных данных (ПДн) / личной информации (PII — personally identifiable information), например данных кредитной карты.

Целостность

Целостность направлена на предотвращение несанкционированной модификации информации. Иными словами, стремление к целостности — это стремление к предотвращению несанкционированной записи данных.

ВАЖНО: Существует два вида целостности: обеспечение целостности данных и целостности системы. Целостность данных направлена на защиту от несанкционированной модификации информации, а целостность системы - на защиту системы, например, операционной системы или базы данных от несанкционированных изменений в них самих.

Доступность

Доступность гарантирует, что будет возможность получить доступ к информации в любой момент, когда она только потребуется. Системы должны быть доступны для нормального их использования. Примером атаки на доступность является атака типа «отказ в обслуживании» (DoS — denial of service), которая направлена на то, чтобы сделать сервис недоступным для использования.

Раскрытие, модификация и уничтожение

Обратным к триаде КЦД является аббревиатура РМУ (раскрытие, модификация и уничтожение, DAD — Disclosure, Alteration, and Destruction). Раскрытие информации — это несанкционированное разглашение информации, модификация — это несанкционированное изменение данных, а уничтожение — это нарушение работоспособности систем или нарушение доступности данных. В английском языке порядок букв в аббревиатуре CIA может меняться, а для DAD порядок всегда одинаков. В русском языке КЦД можно встретить, а РМУ практически не встречается.

Идентификация и Аутентификация, Авторизация, Аудит

Аббревиатуру ААА часто используют для описания одной из концепции информационной безопасности: аутентификация, авторизация и аудит (AAAauthentication, authorization, and accountability). На практике процессы ААА предваряет идентификация, без которой дальнейшие шаги по аутентификации, авторизации и аудиту не могут быть выполнены.

Идентификация и аутентификация

Идентификация — это утверждение: если вы Пользователь 007, то вы идентифицируете себя, говоря: “Я — Пользователь 007”. Для идентификации не требуется предъявления никаких доказательств, поэтому сама по себе она не обеспечивает серьёзной безопасности. Вы можете идентифицировать себя, сказав «Я — Пользователь 008».

Процедуру проверки идентифицируемой личности называют аутентификацией. Для аутентификации требуется, как правило, предоставить какую либо информацию или объект, которыми владеете только вы: например, пароль или паспорт.

Авторизация

Авторизация определяет те действия, которые пользователь может выполнять в системе, после того как он идентифицирован и аутентифицирован. Такие действия могут включать чтение, запись или исполнение файлов и программ.

Аудит (Подотчётность)

В английском языке в аббревиатуре AAA последняя A чаще всего расшифровывается как Accountabililty (Подотчётность), в русском же языке для сохранения красоты аббревиатуры ААА говорят об Аудите. Аудит позволяет накладывать на пользователей ответственность за их действия. Обычно это делается путём регистрации действий пользователей и их последующего анализа.

Наличие процедуры аудита помогает честным людям оставаться честными. Для некоторых пользователей, впрочем, знания того, что данные об их действиях записываются, не достаточно: они должны понимать, что такие данные регистрируются и проверяются, и что они понесут ответственность (к ним могут быть применены санкции) в результате нарушения утверждённых политик.

Неотказуемость

Неотказуемость означает, что пользователь не может отрицать (отвергать) совершение им транзакций/действий в системе. Неотказуемость сочетает в себе проверку подлинности (аутентификации) и целостности; неотказуемость однозначно удостоверяет личность пользователя, который выполняет операцию и обеспечивает отсутствие модификации информации об этой операции.

Необходимо одновременно проводить аутентификацию и контролировать целостность, чтобы можно было обеспечить неотказуемость. Например, нет смысла подписывать договор (аутентификация личностей покупателя и продавца), если одна из сторон произвольно может поменять его стоимость или какие-либо другие условия (нарушается целостность информации, содержащейся в контракте).

Минимум привилегий и Положено знать

Концепция минимума привилегий означает, что пользователю должны быть предоставлены лишь те права (разрешения), которые необходимы ему для выполнения своей работы и не более того.

Концепция Положено знать — это ещё более гранулированное ограничение доступа: пользователь получает доступ только к той информации, которую он действительно должен знать.

Субъекты и объекты

Субъект — это активная (действующая) сущность в системе. Большинство примеров субъектов — это люди, обращающиеся к данным. Вместе с тем, компьютерные программы также могут рассматриваться как субъекты. Файл динамически подключаемой библиотеки (DLL-файл) или скрипт, который вносит в файлы базы данных новую информацию, также являются субъектами.

Объект представляет собой любой пассивный набор данных в системе. Объектами могут являться как бумажные документы, так и таблицы баз данных или текстовые файлы. Важно запомнить, что они являются пассивными в системе: они не манипулируют другими объектами.

Эшелонированная оборона

Эшелонированная оборона (также называемой оборона в глубину — defense in depth) подразумевает одновременное применение нескольких защитных мер (называемых также контролями или мерами по снижению риска) для защиты активов. Каждая защитная мера по отдельности может не сработать. Применение набора мер по снижению риска улучшает конфиденциальность, целостность и доступность данных.

Правовые и нормативные вопросы

Общее понимание основных правовых систем и видов права имеет важное значение и крайне важно, чтобы специалисты по информационной безопасности понимали концепции, описанные в этом разделе. В связи с повсеместным распространением и всесторонним проникновением во все сферы жизнедеятельности человека информационных систем, данных и приложений возникает множество юридических вопросов, требующих внимания.

Соблюдение законов и регулятивных требований

Соблюдение законов и регулятивных требований является приоритетом для топ-менеджмента информационной безопасности. Организация должна соответствовать всеми законодательным и регулятивным требованиям, которые для неё установлены. Незнание закона не является оправданием для его нарушения.

Основные правовые системы

Для понимания сегодняшних общих правовых концепций в современной мировой экономике требуется знание основных правовых систем. Эти правовые системы обеспечивают основу, которая определяет то, как страна разрабатывает законы, касающиеся, в том числе, информационных систем.

Три основные системы права — континентальное право (семья романо-германского права), система общего права (семья англосаксонского права) и правовые системы, основанные на религиозном и традиционном праве.

Континентальное право

Романо-германская правовая система — это одна из основных правовых систем современности, широко применяющаяся во многих странах мира. Система континентального права строится на системе нормативно-правовых актах, определяющих рамки законности. Законодательная власть, как правило, наделена полномочиями по созданию законов, при этом в дополнение к ней равно существует судебная ветвь власти, в задачи которой входит толкование действующих законов. Наиболее существенное различие между континентальным правом и общим правом заключается в том, что в соответствии с континентальным правом судебные прецеденты и конкретные судебные решения не имеют веса, который они имели бы по общему праву.

Общее право

Общее право — это правовая система, используемая, в частности, в Соединенных Штатах, Канаде, Соединенном Королевстве и большинстве бывших британских колоний. Как видно из этого краткого перечня, общее право используется в тех странах, на которые было исторически сильно влияние Англии. Основной отличительной особенностью общего права является значительный акцент на конкретных случаях и судебных прецедентах в качестве определяющих законы. Хотя есть, как правило, также законодательный орган, которому поручено создание новых законов и законодательных актов, судебные постановления могут порой отменять эти законы. Из-за акцента на интерпретации судами, существует значительная вероятность того, что по мере изменения общества с течением времени, изменения будут затрагивать и само судебное толкование.

Религиозное и традиционное право

Религиозное право является третьей из основных правовых систем. Религиозное учение или толкование служит в таких правовых системах основным источником правовых знаний и законов. Мировые религии, такие как христианство, иудаизм, индуизм — все оказали значительное влияние на национальные правовые системы, Ислам между тем среди них является наиболее частым источником для религиозно-правовой системы страны. Шариат — это пример исламского права, которое использует Коран и Хадис в качестве своей основы.

Традиционное или обычное право (правовой обычай) основывается на обычиях и правилах поведения, принятых группой людей. Обычное право, изначально складываясь исторически, затем часто санкционировалось государством и встраивалось в его правовую систему. Несмотря на то, что правовые обычаи могут быть впоследствии кодифицированы в качестве законов в более традиционном смысле, при их рассмотрении важным остаётся акцент на преобладающее значение согласия определённой группы людей.

Уголовное, гражданское и административное право

В рамках общего права различают несколько отраслей законодательства, в том числе уголовное, гражданское и административное право.

Уголовное право

Уголовное право регулирует те нарушения норм, в которых в качестве жертвы можно рассматривать само общество. Хотя может показаться странным рассматривать общество в качестве потерпевшей стороны в случае, например, убийства, всё же цель уголовного права состоит в поощрении и поддержания упорядоченного общества законопослушных граждан. Уголовное право может включать в себя наказания в виде изоляции человека от общества путём лишения свободы или, в некоторых крайних случаях в отдельных странах, смерти. Целями уголовного права являются пресечение преступлений и наказание правонарушителей. Из-за тяжести наказания преступников лишением свободы или даже жизни, важность доказывания вины по уголовным делам вне всякого сомнения велика.

Гражданское право

Помимо того, что гражданское право является основной отраслью права в мире, оно также служит основой в правовой системе общего права. Другим термином, связанным с гражданским правом, является так называемое деликтное право (tort law), регулирующее случаи, когда действия одного лица ведут к ущербу для другого лица. Нарушение лицом какой-либо обязанности, имеющее следствием причинение вреда другому лицу, представляет собой правонарушение, или деликт. Деликтное право является основным компонентом гражданского права в США, и является наиболее значимым источником для исков с требованиями по возмещения ущерба.

В Соединенных Штатах бремя доказывания в уголовном суде основывается на концепции «за рамками разумных сомнений» (т.е. доказательство не должно вызывать сомнений), в то время как бремя доказывания в гражданском судопроизводстве основывается на преобладании в доказательной базы. “Преобладание” означает — «более вероятно да, чем нет». Требования к степени такого «преобладания» в гражданском деле всегда будут гораздо ниже, чем в случае уголовного судопроизводства.

Наиболее распространённые виды убытков (компенсаций) в гражданских делах представлены в таблице 1.1

Таблица 1.1 Общие виды финансовых убытков/компенсаций

Установленная законом компенсация - компенсация за ущерб, причиненный деянием, запрещенным законом; выплата таких компенсаций устанавливается и регулируется законом и может быть присуждена жертве, даже если она не понесла никаких фактических потерь или травм.

Компенсационные убытки - сумма, выплачиваемая пострадавшей стороне в качестве компенсации фактически понесённых ею в следствие совершённого нарушения убытков.

Штрафные убытки, штрафная компенсация - дополнительная сумма компенсации за ущерб, которая присуждается судом не с целью возмещения потерь пострадавшей стороны, а в качестве наказания человека или организации за нанесение ущерба пострадавшей стороне. Штрафы, как правило, применяются в тех случаях, когда размер предусмотренных законом выплат и компенсация убытков сами по себе не могут выступать в качестве сдерживающего фактора. Выплата такой компенсации также обычно присуждается в случаях, когда правонарушение носит умышленный или особо опасный характер.

Административное право

Административное право или административные правоотношения — это отрасль права, касающаяся деятельности государственных органов и их должностных лиц. В Соединенных Штатах источником административного право является исполнительная власть (исходящая из Администрации Президента). Санкционированные правительством требования по соблюдению закона и являют собой административное законодательство.

Некоторыми примерами административного права являются правила Федеральной комиссии по связи (FCC-Federal Communications Commission), требования Закона по обеспечению доступности и подотчётности в медицинском страховании (HIPPA — Health Insurance Portability and Accountability Act), правила Управления по контролю за продуктами и лекарствами (FDA — Food and Drug Administration) и правила Федеральной авиационной администрации (FAA — Federal Aviation Administration).

Юридическая ответственность

Юридическая ответственность — это ещё одна важная правовая концепция для специалистов по информационной безопасности и их работодателей. Общественное мнение по вопросу, несёт ли организация юридическую ответственность за определённые действия или бездействия, часто довольно спорно, а последствия при этом могут оказаться весьма дорогостоящими. Вопросы ответственности часто превращаются в вопросы, касающиеся потенциальной халатности. При попытке определить, являются ли определённые действия или бездействие халатностью, часто пользуются Правилом разумного поведения, которое будет определено чуть ниже.

Двумя важными терминами для понимания являются надлежащее усердие (Due Diligence) и должное внимание (Due Сare), которые стали общими стандартами, применяемыми при определении корпоративной ответственности в судах.

Надлежащее усердие и должное внимание

Надлежащее усердие означает «делать то, что разумный человек будет делать в данной ситуации». Именно такой подход иногда называют Правилом разумного поведения. Термин является производным от “надлежит” и «усердие«: например, родителям надлежит усердно заботиться о своих детях. Надлежащее усердие (разумное поведение) — это управление должным вниманием (осмотрительностью). Надлежащее усердие и должное внимание часто путают, так как они действительно связаны, но между ними есть и различие.

Надлежащее усердие является неформальным, в то время как должная осмотрительность строго следует процессу. Можно воспринимать должное внимание (осмотрительность) как нечто являющееся следующим шагом после надлежащего усердия (разумного поведения). Например, предположение, что сотрудники регулярно обновляют используемое ими ПО, означает, что вы ожидаете от них проявления надлежащего усердия (разумного поведения), а вот проверка того, что сотрудники действительно устанавливают обновления — это пример должного внимания (должной осмотрительности).

Грубая небрежность

Грубая небрежность является противоположностью надлежащему усердию (разумному поведению). Это юридически важное понятие. Например, если вы допустили утечку ПДн, но можете продемонстрировать, что прилагали для их защиты надлежащее усердие, в судебном разбирательстве ваша позиция будет более выгодной. Если же вы не проявили надлежащего усердия (т. е. допустили грубую небрежность), вы находитесь в гораздо худшем правовом положении.

Правовые аспекты расследований

Расследования — это крайний способ, которым специалисты по информационной безопасности вступают в контакт с законом. Судебные эксперты и персонал, отвечающий за реагирование на инциденты, обычно участвуют в расследованиях вместе, поэтому и те и другие должны иметь базовое понимание правовых вопросов, чтобы гарантировать, что юридические аспекты расследования не будут ими непреднамеренно испорчены.

Доказательства

Доказательства являются одним из важнейших правовых понятий для специалистов по информационной безопасности. Специалисты по информационной безопасности часто участвуют в расследовании, и им часто приходится получать или обрабатывать доказательства в ходе расследования.

ВАЖНО: Реальное доказательство состоит из материальных или физических объектов. Нож и окровавленные перчатки могли бы стать вещественными доказательствами в традиционном уголовном деле. Прямые доказательства - это показания свидетелей о том, что они на самом деле знают о произошедшем, благодаря своим пяти органам чувств. Косвенное доказательство - это доказательство, которое содержит данные не о самих обстоятельствах, подлежащих доказыванию по уголовному делу, а о фактах, связанных с ними (побочных фактах). Дополнительные доказательства обеспечивают дополнительную поддержку тем фактам, которые могут быть поставлены под сомнение. Показания с чужих слов является доказательством из вторых рук (уст). В отличие от прямых доказательств, когда свидетель подтверждает их получение через один из пяти органов чувств, показания с чужих слов представляют лишь косвенную информацию. Вторичные доказательства состоят из копий оригиналов документов и устного описания. Компьютерные логи и документы также могут являться вторичными доказательствами, а не прямыми уликами.

Правило лучших улик

Суды предпочитают лучшие улики. Оригиналы документов предпочтительнее, чем копии, а неоспоримые материальные объекты — предпочтительнее, чем устные показания. Правило лучших улик означает предпочтение доказательств, отвечающих двум критериям.

Достоверность доказательств

Доказательства должны быть надёжными. Часто в ходе судебной экспертизы и расследования инцидентов анализируют цифровую информацию. Сохранение целостности данных в ходе их сбора и анализа имеет решающее значение. Контрольные суммы могут гарантировать, что в результате сбора и анализа данных никакие изменения данных не произошли. Для этой цели обычно используются односторонние хэш-функции, такие как MD5 или SHA-1. Строгость процедуры требует, чтобы при получении доказательств был полностью задокументирован весь процесс их сбора и обработки, включая перечисление всех участников процесса, их действия и время этих действий.

Провокация и вовлечение

Под провокацией подразумевают подстрекательство или побуждение к действиям, которые повлекут за собой правонарушение. Вовлечение также подразумевает побуждение/подстрекательство к нарушению закона, но разница состоит в том, что вовлечённый человек полон решимости нарушить закон или делает это осознанно.

Компьютерные преступления

Один из аспектов взаимодействия службы информационной безопасности и правовой системы заключается как раз в расследовании компьютерных преступлений. Применяемые законы о компьютерных преступлениях различны во всем мире и зависят от конкретной юрисдикции. Однако, независимо от региона, некоторые общие подходы можно обозначить.

ПАРА ФАКТОВ: Компьютерные преступления можно разделять по тому, как именно в них задействованы компьютерные системы. Например, компьютерные системы могут быть использованы в качестве мишеней, или же они могут быть использованы как инструменты, используемые при совершении преступления.

Компьютерные системы как мишень: в качестве примеров можно привести нарушение онлайн-коммерции посредством распределенных DoS-атак, заражение вредоносным программным обеспечением для рассылки спама или эксплуатацию уязвимостей системы для хранения нелегального контента.

Компьютер как инструмент, используемый для совершения преступления: примеры включают в себя использование компьютеров для кражи данных держателей карт из платёжной системы, ведение компьютерной разведки для подготовки компромата или с целью шпионажа и использование компьютерных систем для организации травли или другого негативного морального воздействия.

Интеллектуальная собственность

В отличие от физического или материального имущества, интеллектуальная собственность относится к нематериальному имуществу, которое создаётся в ходе творческой деятельности. Следующие концепции интеллектуальной собственности призваны создавать исключительную монополию на их использование.

Товарный знак

Товарные знаки (Trademarks) обычно ассоциируются с маркетингом. Товарный знак — это обозначение, служащее для индивидуализации товаров или услуг. Название, логотип, символ или образ представляют наиболее распространённые виды торговых знаков. При использовании товарных знаков применяют предупредительную маркировку,  представляющую собой специальное обозначение, сообщающее о том, что товарный знак зарегистрирован.

В качестве знаков предупредительной маркировки в мировой практике получили распространение следующие знаки и слова:

  • знак охраны «®»;
  • «™» (сокращение от англ. trade mark);
  • «℠» (сокращение от англ. service mark);
  • «Trademark», «Registered Trademark», «зарегистрированный знак», «Marque deposee», «Marca registrada».

Маркировка «®» («Registered») согласно мировой практике может быть использована только владельцами официально зарегистрированных товарных знаков. Символ ставится непосредственно справа вверху от изображения товарного знака. Нанесение такого обозначения является правом, а не обязанностью владельца знака, что подкрепляется статьей «5D» Парижской конвенции.

Обозначения «Trade mark», «TM» и «™» не регулируются законодательством в России. В зарубежных странах они обычно обозначают, что заявка на товарный знак уже подана и при использовании этого наименования после регистрации товарного знака можно получить претензию правообладателя. Маркировка «TM», согласно законодательству РФ не имеет правовой защиты, а выполняет лишь информативную функцию.

Патент

Патенты предоставляют монополию патентообладателю в отношении права на использование, изготовление или продажу изобретения в течение определённого периода времени в обмен на обещание патентообладателя обнародовать изобретение. В течение срока действия патента патентообладатель может посредством использования гражданского судебного разбирательства запретить другим лицам использование запатентованного изобретения. Очевидно, для того, чтобы изобретение могло быть запатентовано, оно должно быть новым и уникальным.

Срок действия патента зависит от региона, а также от его типа. Как правило, в Европе и США, срок действия патента составляет 20 лет с даты подачи заявки. В России срок действия патента составляет:

  • для изобретений — 20 лет;
  • для полезных моделей — 10 лет;
  • для промышленных образцов — 5 лет.

Авторское право

Авторское право представляет собой вид интеллектуальной собственности, который защищает форму выражения в художественные, музыкальные или литературные произведения и обычно обозначается  © символ C в круге. Целью защиты авторского права является предотвращение несанкционированное копирования, распространения или модификации творческой работы. Важно отметить, что защищается сама форма выражения, а не предмет или идея.

Лицензии

Лицензии на программное обеспечение — это договор между поставщиком программного обеспечения и его потребителем. Хотя существуют разновидности лицензий, которые дают потребителям право делать с программным обеспечением практически всё, что угодно, включая его изменение и создание на его основе других коммерческих продуктов, большинство лицензионных соглашений на коммерческие программные продукты содержит чёткие ограничения на использование и распространение программного обеспечения. Лицензии на программное обеспечение, такие как лицензионные соглашения с конечным пользователем (EULA — end-user license agreement), являются нестандартной формой договора, поскольку использование программного обеспечения, как правило, означает согласие с условиями договора, хотя мало кто из пользователей на самом деле читает эти длинные соглашения.

Коммерческая тайна

Коммерческая тайна — это информация, которая важна для сохранения способности организации конкурировать. Организация должна проявлять надлежащее усердие должное внимание при защите своих коммерчески тайн. Соглашения о неразглашении и соглашение о неконкуренции являются двумя из наиболее распространённых методов защиты коммерческой тайны. Рассмотрение термина «коммерческая тайна» в законодательном смысле выходит за рамки данного материала.

Неприкосновенность частной жизни

Неприкосновенность частной жизни предполагает защиту конфиденциальности личной информации. Многие организации обрабатывают персональные данные пользователей, такие как номера Социального Страхования, финансовую информацию (например, размер зарплаты или кредитоспособность), а также информацию медицинского характера, требуемую для корректности расчёта страховых премий. Конфиденциальность всей этой информации должна быть гарантирована.

Защита персональных данных в Европейском союзе

Европейский союз занимает агрессивную позицию в отношении конфиденциальности персональных данных, одновременно при этом стараясь учитывать потребности бизнеса,Торговые отношения могут пострадать, если страны-члены будут иметь разные правила, касающиеся сбора и использования ПДн. Директива ЕС по защите данных (EU Data Protection Directive) позволяет странам свободно обмениваться информацией при сохранении постоянной защиты данных гражданина в каждой из стран-участниц.

ПАРА ФАКТОВ: Основные принципы директивы ЕС по защите данных:

  • Уведомление граждан о том, как именно их персональные данные собираются и используются.
  • Предоставление гражданам возможности отказаться от передачи их персональных данных третьим лицам.
  • Обязательное получение согласие граждан на обработку наиболее чувствительных персональных данных (нет возможности автоматического получения согласия).
  • Обеспечение разумной защиты персональных данных.

Новые изменения, которые вскоре вступят в силу в ЕС, также будут основываться на принципах защиты информации и одновременно её свободного обмена и передачи. Важно отметить то, что европейский законопроект предусматривает право на цифровое забвение (the right to be forgotten). В случае если пользователь более не хочет, чтобы его данные подвергались обработке, и нет легальных оснований для их хранения, он имеет право удалить свои персональные данные самостоятельно.

Правила конфиденциальности ОЭСР

Организация экономического сотрудничества и развития (ОЭСР — OECD, The Organisation for Economic Co-operation and Development), хотя часто считается исключительно европейской, состоит из 35 стран-членов со всего мира. В состав входят такие страны, как США, Мексика, Австралия, Япония, Израиль, Южная Корея, а также ведущие европейских стран. ОЭСР является площадкой, на которой проходят обсуждения вопросов, влияющих на мировую экономику. ОЭСР регулярно вырабатывает консенсусные рекомендации, которые могут послужить толчком для изменения нынешней политики и законодательства в странах-членах ОЭСР и за её пределами.

Безопасная гавань ЕС-США

Интересным аспектом Директивы ЕС по защите данных является то, что персональные данные граждан ЕС не могут передаваться, даже если это разрешено самим отдельным лицом, странам за пределами ЕС, если страна-получатель по мнению ЕС не обеспечивает адекватной защиты этих данных. В этой связи есть трудности с обменом данными с США, которая, как считается, имеет менее строгие меры защиты конфиденциальности. Для решения этой проблемы Соединенные Штаты и Европейский союз заключили в своё время соглашение о Безопасной гавани (Safe Harbor), которая позволила американским организациям получить право обмена персональными данными с ЕС. Для того чтобы принять участие в инициативе, организации США должны были добровольно согласиться с принципами конфиденциальности персональных данных, которые согласуются с директивой ЕС о защите таких данных. Впрочем, в октябре 2015 года решением Европейского Суда соглашение о Безопасной гавани между ЕС и США было признано недействительным на том основании, что США не обеспечивали адекватный уровень защиты передаваемых на её территорию персональных данных.

Международное сотрудничество

На сегодняшний день наиболее значительным прогрессом в области международного сотрудничества в сфере борьбы с компьютерной преступностью является Конвенция Совета Европы о киберпреступности (компьютерных преступлениях) 2001 года. В дополнение к подписанной и впоследствии ратифицированной большинством европейских стран-членов Конвенции, Соединенные Штаты также подписали и ратифицировали её. По состоянию на декабрь 2016 года Конвенция о киберпреступности подписана 56-ью странами и 52-мя из них ратифицирован. Российская Федерация в 2005 году также подписала Конвенцию, однако распоряжением Президента РФ от 22.03.2008 №144-рп данное подписание было отменено.

Основное внимание в Конвенции о киберпреступности уделяется установлению стандартов в области киберпреступности в целях содействия международному сотрудничеству в ходе расследований киберпреступлений и уголовного преследования киберпреступников. Дополнительную информацию о Конвенции Совета Европы о киберпреступности, можно найти здесь: http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185 (русский вариант перевода: http://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680081580).

Ограничения на импорт/экспорт

По причине успехов современной криптографии в надёжной защите конфиденциальности информации, многие страны ограничили импорт и/или экспорт шифровальных средств и связанного с ними криптографического оборудования. В некоторых странах действуют различные ограничения на импорт стойких шифровальных средств, что может быть вызвано как нежеланием свободного распространения криптографии, которая не может быть взломана национальными спецслужбами, так и опасениями, что в импортируемых аппаратных средствах могут оказаться закладки, позволяющие нарушать конфиденциальность шифрованных сообщений иностранным спецслужбам.

Во время холодной войны действовал Координационный комитет по многостороннему экспортному контролю (КоКомCoCom, Coordinating Committee for Multilateral Export Controls),  — международная организация, членами которой были 17 стран. КоКом составлял перечни стратегических товаров и технологий, включая средства шифрования, запрещённые к экспорту в СССР и другие социалистические страны.

После окончания холодной войны КоКом прекратил свою деятельность (31 марта 1994 г). и на замену ему пришли Вассенаарские соглашения (договорённости). Данная многонациональная система соглашений стала гораздо менее строгой, чем бывший КоКом, но всё же предполагает значительные ограничения на экспорт криптографических средств, вооружения и других товаров и технологии двойного назначения в страны, не входящие в состав участников Вассенаарских соглашений. Всего в настоящее время насчитывается 41 страна-участница (официальный сайт: http://www.wassenaar.org/participating-states/)

Безопасность и третьи лица

Организации все чаще полагаются на третьи стороны (внешних подрядчиков) для получения важных, а иногда и критически важных для бизнеса услуг. Хотя использование внешних организаций ни в коем случае не является новейшим явлением, критический характер их роли и значительно возросший за последнее время объём оказываемых ими услуг и сервисов, как правило, требует пристального внимания со стороны отдела информационной безопасности организации к этому вопросу.

Безопасность в контрактах с сервис-провайдерами

Контракты являются основным средством обеспечения безопасности при получении услуг сторонних организаций. Огромный всплеск аутсорсинга, особенно подстёгиваемый повсеместным переходом к облачным сервисам, вывел вопросы безопасности в договорах на один из первых планов по значимости.

Соглашения об уровне обслуживания

Соглашение об уровне обслуживания (SLA — Service level agreements) определяет ключевые требования к поставщику услуг. Соглашения об уровне обслуживания всегда широко использовались для формулирования общих требований в отношении вопросов производительности, скорости реакции и проч., но сейчас всё чаще используются для определения требований к уровню обеспечиваемой безопасности. Соглашения об уровне обслуживания в первую очередь касаются вопросов доступности.

Аттестация

Аттестация поставщика по направлению информационной безопасности предполагает, что некая сторонняя организация делает оценку (проводит аудит) бизнес-процессов поставщика услуг и выдаёт заключение об обеспечиваемом им уровне безопасности. Цель провайдера при аттестации — заручиться доказательствами того, что им можно и нужно доверять. Как правило, сторонняя аудирующая организация проводит оценку поставщика услуг с точки зрения полноты выполнение им каких-либо установленных требований.

Разрешение на тест на проникновение / право на аудит

Право на тест на проникновение и право на проведение аудита, предоставляемые внешнему исполнителю, фиксируются в письменном виде и содержат чёткие границы и перечень работ, а также другие важные положения, касающиеся предполагаемых к оказанию услуг.

Процедура закупок

Процедура осуществления закупок детально описывает процесс приобретения продуктов или услуг у третьих лиц. Привлечение департамента безопасности на раннем этапе часто может служить в качестве меры превентивного контроля, что может помочь организации принимать риск-ориентированные решения ещё до начала выбора поставщика и/или провайдера услуг.

Управление поставщиками

Эффективное управления поставщиками предполагает обеспечение организации постоянным приемлемым качеством поставляемых товаров и оказываемых услуг. В профессионалах, выполняющих эту функцию, часто будут заинтересованы как в организации-заказчике, так и в самом стороннем поставщике.

Поглощения

Поглощения могут быть разрушительными для бизнеса и часто влияют на бизнес-процессы обеих сторон — как заказчика, так и сервис-провайдера. Это вдвойне верно для вопросов, касающихся информационной безопасности. Должное внимание (осмотрительность) требует тщательной оценки рисков системы информационной безопасности любой приобретаемой компании, включая эффективную оценку текущего состояния сетевой безопасности. Это включает в себя выполнение оценки уязвимости и тестирование на проникновение приобретаемой компании перед слиянием сетей.

Разделение активов

Разделение активов (также называемая продажей или отчуждением) представляет собой обратный поглощению процесс, в ходе которого одна компания становится двумя или более. Продажа активов может представлять больший риск, чем приобретение и порождают, в частности, важные вопросы, связанные с тем, как именно будет происходить разделение конфиденциальной информации? и как будут разделяться ИТ-системы?

Весьма характерно для ранее единой компании, которая прошла путь разделения, непреднамеренно поддерживать дублированные учётные записи и пароли в двух новых выделяемых компаниях. Такое положение дел ведёт к возникновению рисков, связанных с действиями (бывших) инсайдеров, когда сотрудник ранее единой компании использует свои старые учёьтные данные для получения несанкционированного досутпа. Аналогичные риски существуют для повторного использования элементов управления физической безопасностью, включая ключи и пропуска. Прав доступа бывших сотрудников во всех их формах проявления должны быть отозваны.

Comments are closed.