Алексей Доля: Утечка приводит к удару по репутации и потере клиентов
О специфике обеспечения информационной безопасности в секторе телекоммуникаций, действующих нормативных актах и внутренних угрозах персональным данным в интервью CNews рассказывает Алексей Доля, руководитель аналитического центра InfoWatch. CNews: В чем вы видите специфику защиты информации в телекоммуникационных компаниях? Алексей Доля: Специфика обеспечения информационной безопасности (ИБ) в телекоммуникационных компаний проявляется, прежде всего, в характере тех данных, которые необходимо защищать. Например, если говорить о топливно-энергетическом комплексе или промышленности, то наибольшую ценность для организации представляют технологические секреты, интеллектуальная собственность и коммерческая информация. В телекоммуникациях ситуация несколько иная. Дело в том, что многие операторы связи предоставляют услуги населению, а это автоматически приводит к накоплению больших объемов персональных данных клиентов компании. Где вся эта информация хранится? В базах данных, находящихся у оператора. При этом кража такой информации чревата сразу несколькими негативными последствиями. Во-первых, компания получает удар по репутации. Это проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования ФЗ «О персональных данных». Это может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа. Наконец, в перспективе, это приведет к нарушению рекомендаций «Базового уровня», что однозначно скажется на отзыве лицензии. CNews: В чем состоят требования ФЗ «О персональных данных» применительно к телекоммуникационной отрасли? Алексей Доля: ФЗ един для всех отраслей экономики, но если говорить об обеспечении ИБ, то следует отметить ряд требований закона. Так, согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Таким образом, операторам связи придется обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, который позволяет заблокировать действия, нарушающие политику ИБ. Согласно ст.19 ч.2, Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Наконец, ст.19 ч.4 разрешает «использовать и хранить биометрические персональные данные вне информационных систем персональных данных … только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения». CNews: Что представляет собой ранее упомянутый «Базовый уровень»? Насколько этот стандарт является обязательным? Алексей Доля: Это специальный стандарт по ИБ для телекоммуникационной отрасли. Он представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, но при этом сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ. Для этих целей и вводится «Базовый уровень». Сегодня Базовый уровень только разрабатывается. В этом процессе принимает участие Международный Союз Электросвязи, а в России наибольший вклад в его развитие вносит Ассоциация Документальной Электросвязи. В принципе использование рекомендаций Базового уровня будет различным в каждой стране в зависимости от требований государственного регулирования. Так, некоторые регуляторы смогут использовать рекомендации в качестве лицензионных условий, а некоторые операторы смогут самостоятельно выдвигать требования о выполнение данных рекомендаций в качестве условия присоединении к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги для пользователей с тем уровнем безопасности, который гарантируется при выполнении «Базового уровня», а услуги с повышенным уровнем безопасности могут предоставляться оператором на возмездной основе. CNews: Как Базовый уровень связан с защитой персональных данных от утечки? Алексей Доля: Этот стандарт содержит пункт 4.4: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, в России наконец-таки может появиться норма, которая закрепит обязанность оператора в разглашении факта и всех обстоятельств утечки персональных данных клиентов. CNews: Таким образом, специфика обеспечения ИБ в телекоммуникационной отрасли состоит именно в предотвращении утечек персональных данных? Алексей Доля: Именно так. Об этом говорят даже сами представители индустрии. Согласно исследованию «Внутренние ИТ-угрозы в секторе телекоммуникаций 2006», в ходе которого компания InfoWatch опросила представители 275 российских телекоммуникационных компаний, респонденты более всего обеспокоены именно утечками. Например, инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. Более того, опасения телекоммуникационных компаний вполне оправданы: 51% респондентов опасается ухудшения общественного мнения, а 43% - потери клиентов вследствие утечки. CNews: Спасибо. |
