(Евдокимов А. А.) («Право и кибербезопасность», 2013, N 1)
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В РОССИИ: ОСОБЕННОСТИ ИЛИ УНИКАЛЬНОСТЬ?
А. А. ЕВДОКИМОВ
Евдокимов А. А., руководитель отдела информационной безопасности юридического департамента ЛК.
В статье рассматриваются наиболее острые проблемы, связанные со стандартизацией и регулированием в области информационной безопасности в России, а также рассказывается о деятельности «Лаборатории Касперского», направленной на решение данных проблем.
Ключевые слова: информационная безопасность в России, российское и международное законодательство по защите персональных данных, использование экспорта и импорта средств криптографической защиты информации, продукты и сервисы «Лаборатории Касперского».
Information security in Russia: features or uniqueness A. A. Evdokimov
The article describes the most important problems with standardization and regulation of information security in Russia. It also describes the activities of Kaspersky Lab to solve these issues.
Key words: information security in Russia, Russian and international legislation on personal data protection. Usage, export and import of cryptographic solutions; Kaspersky Lab products and services.
Отечественная индустрия информационной безопасности развивается достаточно динамично, но, к сожалению, не всегда предсказуемо, в отличие от западных стран, где все диктуется потребностями бизнеса и заботой о лояльности граждан (не путать с заботой о гражданах) и можно прогнозировать будущие изменения отрасли достаточно точно. Не последнюю роль в этом играют российские законодатели, которые за прошедшее десятилетие порадовали нас пакетом различных законодательных актов, направленных на защиту информации, а также регуляторы, контролирующие выполнение данного законодательства. Надо также отдать должное усилиям властей — уровень зрелости отрасли ИБ в России достаточно высокий, и мы здесь отнюдь не на позиции отстающих. Однако именно несовершенство российского законодательства и иногда непредсказуемость законодательной и исполнительной власти мешают российским компаниям конкурировать на равных с иностранными, а последним — работать в России и активно инвестировать капиталы в развитие нашей экономики. Взять хотя бы регулирование создания, использования, распространения и ввоза/вывоза средств криптографической защиты информации (СКЗИ). Для международных корпораций и российских компаний, которые разрабатывают программное обеспечение, средства вычислительной техники, средства связи, предоставляют услуги в области обработки данных и обеспечения информационной безопасности и хотят выйти на международный рынок, реальной проблемой является обеспечение выполнение требований российского законодательства в области распространения и импорта/экспорта СКЗИ. Другой пример, касающийся все того же регулирования обработки персональных данных. Много мы знаем центров обработки данных (ЦОД) и российских облачных сервисов, в которых обрабатываются персональные данные европейских граждан? А может, это происходит потому, что Россия до сих пор не признана в Европе страной, обеспечивающей адекватную защиту персональных данных? США для европейцев тоже не являются такой страной, но вот ЦОД и облачные сервисы, расположенные в Америке, европейцы активно используют. Для этого в Европе существует механизм утверждения международными корпорациями специальных, единых корпоративных правил обработки данных (Binding Corporate Rules), обязательных для всех представительств корпораций, а американские компании могут пройти сертификацию на соответствие принципам Safe Harbor <1> и стать этакой безопасной гаванью для обработки персональных данных осторожных европейцев в небезопасном американском информационном море. ——————————— <1> Принципы Safe Harbor описывают требования, которым должны удовлетворять бизнес-процессы (в том числе процессы обработки и защиты информации) в американской компании для подтверждения соответствия требованиям европейского законодательства (Директива 95/46/ЕС).
У наших же компаний официально такой возможности нет — ограничения на получение согласия субъектов делают обработку данных труднореализуемой и экономически нецелесообразной, как нет и аналогичного Safe Harbor стандарта, согласованного на уровне государств, что могло бы привлечь иностранные компании в российские ЦОД. Иностранные корпорации, работающие в России, сталкиваются еще и с проблемой сложности внедрения глобальной корпоративной системы управления информационной безопасностью в российских представительствах компаний. При этом отметим, что уже отлаженные процессы обработки и защиты информации, эффективно функционирующие во всех странах присутствия корпораций, в России часто не могут быть применены по следующим причинам: — необходимо использовать средства защиты информации, прошедшие процедуру оценки соответствия; — компании, оказывающие услуги в области защиты информации, должны иметь соответствующую лицензию и т. п. Представьте себе транснациональную корпорацию, глобальное подразделение информационной безопасности которой узнает, что оно должно получить лицензии на деятельность по технической защите конфиденциальной информации, по разработке, производству, распространению шифровальных (криптографических) средств в России или воспользоваться услугами российских провайдеров, допустив их к обеспечению безопасности своей информации и своих бизнес-процессов. Поэтому зарубежному бизнесу зачастую непонятно не только какие меры защиты необходимо использовать, для того чтобы удовлетворять требованиям российского законодательства, но и как вообще выстраивать процесс обработки информации, чтобы можно было производить и продавать продукты и услуги, получая при этом прибыль. Не буду устанавливать, кто виноват: власть, руководство российских компаний, специалисты по информационной безопасности, обычные законопослушные граждане или преступность или еще кто-то и что-то. Самым плохим, с моей точки зрения, для развития отрасли информационной безопасности в данном случае является то, что в сознании многих ИТ-специалистов и специалистов по информационной безопасности вышеуказанные проблемы складываются в картину некоей «уникальности» процессов обеспечения информационной безопасности в России. Эта «уникальность» часто является предлогом для того, чтобы вообще ничего не делать для выполнения требований законодательства, или, напротив, служит основанием для создания «страшилок» для бизнеса, что опять же негативно сказывается на эффективности, в том числе и с точки зрения экономической целесообразности выбираемых мер защиты. ЗАО «Лаборатория Касперского», с одной стороны, является разработчиком программного обеспечения и сервисов ИБ, ориентированных не только на Россию (для киберпреступности границ нет), а с другой стороны, «Лаборатория» по собственному опыту знает проблемы бизнеса и старается помочь нашим партнерам их решать. К сожалению, немногие компании в России создают действительно инновационные продукты и сервисы для защиты информации, которые не просто соответствуют требованиям законодательства РФ и учитывают специфику российских клиентов, но еще и могут конкурировать на равных с продуктами и сервисами, предлагаемыми ведущими международными разработчиками решений в данной области. «Лаборатории» же это удается, что подтверждается и соответствующими сертификатами, и, самое главное, результатами работы продуктов и сервисов ЛК в различных компаниях и организациях (это и крупные транснациональные корпорации, и государственные учреждения, а также средний и малый бизнес) по всему миру. При этом подчеркнем, что при создании продуктов и сервисов для наших клиентов, а также в рамках обеспечения информационной безопасности внутри компании мы, учитывая специфические для России требования к обеспечению информационной безопасности, выполняем их, ориентируясь, в первую очередь, на современные технологии в области защиты данных и на потребности наших клиентов. Другим направлением работы компании в решении вышеобозначенных проблем является участие «Лаборатории» в обучении отечественных специалистов по информационной безопасности и диалог с представителями власти, направленный на гармонизацию законодательства в области защиты информации. Надо сказать, что к мнению наших экспертов прислушиваются, и надеюсь, мы тоже сможем внести свой вклад в обеспечение информационной безопасности в России. Полагаю, если нашему примеру будут следовать и другие компании, занимающиеся информационной безопасностью, предпринимая усилия (в меру своих возможностей) по развитию информационной безопасности в России, вместо того, чтобы оправдывать свое бездействие особенностью или уникальностью российских условий, то общие проблемы отрасли будут решаться конструктивнее.
