06.09.2010

Юридические аспекты консалтинга в области безопасности

В последнее в профессиональной среде широко обсуждаются различные юридические вопросы о законности проведения тестов на проникновение и аудита информационной безопасности.

Сергей Гордейчик, технический директор Positive Technologies
Алексей Гордейчик, адвокат
Дмитрий Кузнецов, руководитель отдела консалтинга Positive Technologies

В последнее в профессиональной среде широко обсуждаются различные юридические вопросы проведения тестов на проникновение и аудита информационной безопасности. Как часто бывает при столкновении “физиков” с “лириками”, дискуссия зачастую порождает совершенно противоположные мнения, вплоть до срочной необходимости привлечения всех аудиторов к уголовной ответственности по широкому спектру статей УК РФ. В рамках данной публикации делается попытка свести воедино все вопросы и рассмотреть их с точки зрения российского законодательства и сложившейся практики.

«Первой ласточкой» очередного витка дискуссии стало сообщение в блоге компании Infowatch (http://infowatch.livejournal.com/43369.html), где высказывалось сомнение в легитимности тестов на проникновение в связи с возможным использованием в ходе работ вредоносного программного обеспечения. Коллизия возникает по двум причинам:

  • формальный состав преступления статьи 273 УК РФ, т.е. наказуемы сами действия по созданию программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети;
  • отсутствие четких критериев отделения вредоносного ПО от легальных программ.

Поскольку формальный состав преступления выходит за рамки возможностей исполнителя и заказчика работ в части управления рисками, то рассмотрим второе положение.

Текущая правоприменительная практика показывает, что в качестве доказательства «вредоносности ПО» обычно используется экспертиза, сводящаяся к фиксации факта идентификации тестируемого образца как вредоносного ПО распространенными антивирусными программами (такими, как DrWeb или Антивирус Касперского). Дополнительную  сумятицу вносит масса примеров ложных срабатываний (т.е. идентификации легитимного ПО)  антивирусными программами.

Исходя из этого, в работе следует обращать особое внимание на приведенные критерии вредоносности, которые подразумевают несанкционированный доступ, и использовать только инструменты, осуществляющие санкционированный доступ, то есть доступ в рамках договора на проведение работ.

Таким образом, аудиторам рекомендуется:

  • Не использовать общедоступные образцы вредоносного ПО в ходе работ и максимально использовать стандартные утилиты и программы из состава ОС, а также сертифицированные решения;
  • Фиксировать согласие заказчика на проведение конкретных атак на конкретные объекты с целью возможности доказательства наличия санкционированного доступа;
  • Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» с целью устранения обнаруженных недочетов в антивирусных программах;.
  • Закладывать в разрабатываемое ПО ограничения, с целью предотвратить его несанкционированное использование (например, с помощью функций аутентификации или указанием конкретных сетевых адресов из договора на проведение работ).

Вторая волна вопросов была поднята статьей Н. Пятиизбянцева «Аудит на соответствие PCI DSS и Уголовный кодекс РФ», опубликованной в информационно-аналитическом журнале «Плас» № 7 (147) за 2009 г. В статье высказывалось сомнение в легитимности проведения тестов на проникновение с точки зрения возможности получения несанкционированного доступа к охраняемой законом информации, такой как персональные данные или банковская тайна.

В этой связи следует, прежде всего, заметить, что проблема законности доступа к охраняемой информации при проведении аудита безопасности, в том числе в банковской сфере, гораздо шире, чем представляется автору анализируемой статьи. Она не исчерпывается тестами на проникновение по стандарту PCI DSS, в ходе которых, действительно, имеется реальная угроза получения аудитором сведений, составляющим охраняемую законом тайну. Коллизия возникает практически при всех видах возможных работ, связанных с ИТ-консалтингом и системной интеграцией, таких как внедрение и поддержка систем, использование распространенных практик аутсорсинга и аутстафинга.

Рассмотрим эту проблему применительно к банковской тайне.

Законодатель до настоящего времени обходил вниманием вопросы осуществления аудита информационной безопасности, хотя легальной основой для осуществления подобного рода деятельности, безусловно, являются ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации». При этом острая необходимость в подобных услугах привела к тому, что их регулирование начало осуществляться на основании подзаконных нормативно-правовых актов.

Так, с 5 января 2009 г. в соответствии распоряжением Банка России от 25 декабря 2008 г. № Р-1674 была введена в действие новая редакция Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008. Данный документ также предусматривает возможность проведения внешнего аудита информационной безопасности. При этом исходя из следующих предписаний:

- п.п. 3.61 – 3.67, п. 8.13, 8.14 п.п. 9.3 – 9.5 названого акта;
- положение п. 7.2.10 Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1, п. 5.2, приложения Б рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0», к которым он непосредственно отсылает,
– в рамках любо пусть даже не связанного с проникновением аудита также имеется возможность получения оказывающей услуги организацией сведений, составляющих банковскую тайну. В частности, это возможно при анализе документов, касающихся случаев обнаружения и реагирования банком на инциденты безопасности.

Иными словами, подобный аудит формально будет также являться «незаконным», по мотиву потенциальной угрозы нарушения положений п. 2 ст. 857 ГК РФ, поскольку, на наш взгляд, ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности». Этот факт, в свою очередь, отсылает нас к ст. 183 УК, так как состав преступлений, предусмотренных ч.1 и ч. 2 ст. 183, сконструирован по типу формального, то есть для признания преступления оконченным не требуется наступления каких-либо последствий.
Можно привести примеры и из других областей.

Так, начальным этапом работ по обеспечению соответствия требованиям закона 152-ФЗ «О персональных данных» является аудит с целью проведения классификации систем обработки персональных данных (ПДн) в соответствии с приказом ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 "Об утверждении порядка проведения классификации информационных систем персональных данных". В ходе этих работ подрядчик должен проанализировать следующие параметры:

  • категория обрабатываемых данных;
  • объем обрабатываемых данных;
  • характеристики безопасности;
  • структура ИС;
  • наличие подключений к сети Интернет и сетям общего пользования;
  • режим обработки персональных данных;
  • режим разграничения прав доступа;
  • местонахождение технических средств.

Для получения информации о категории ПДн аудитор должен выяснить состав обрабатываемой информации, т.е. осуществить доступ к персональным данным.

Аналогичные ситуации возникают и в ходе других распространенных работ, таких как техническая поддержка систем DLP, внедрение и сопровождение АБС и т.д.

Таким образом, до решения вопроса о регламентации деятельности по проведению аудита информационной безопасности и других работ на законодательном уровне в плане минимизации рисков, связанных наличием данного пробела законодательства, банкам следует, на наш взгляд, осуществить ряд мер правовой защиты. В частности, предлагается включать в договоры с клиентами условие о возможности доступа внешних аудиторов к банковой тайне и персональным данным в рамках проведения мероприятия по обеспечению информационной безопасности. Такое условие может также заключаться в отсылке к внутренним документам банка (положению об обеспечении информационной безопасности).

Менее радикальным методом является использование ресурсов банка для проведения аудита. Так, при проведении работ с системами, обрабатывающими информацию, которая относится к банковской тайне, непосредственный доступ к данным может осуществлять сотрудник банка. В это время аудитор дает рекомендации по проведению проверки и помогает фиксировать результаты. Такой подход был неоднократно апробирован авторами и позволяет решить также вопросы, связанные с возможным недоверием к аудиторам.

Что касается других видов тайн, то здесь разумным решением выглядит привлечение к работам компаний, имеющих соответствующие лицензии, например лицензиатов ФСТЭК или ФСБ.

Резюмируя изложенное выше, можно сделать следующие выводы. Аудит информационной безопасности является сформировавшимся в Российской Федерации направлением предпринимательской деятельности. Данный вид деятельности носит общественно-значимый характер, так как направлен на обеспечение стабильности и безопасности информационных систем, в том числе систем, содержащих охраняемые законом сведения, со стороны обладателей информации и иных лиц, предотвращение незаконного доступа к информации.

Учитывая существенную роль, принадлежащую аудиту информационной безопасности в обеспечении защиты информации, существует необходимость специального регулирования данного вида деятельности.

Такое регулирование должно осуществляться на принципах:

  • введения обязательных квалификационных требований к аудиторам и аудиторским организациям;
  • независимости аудиторской деятельности;
  • стандартизации аудиторской деятельности;
  • лицензирования аудиторской деятельности, связанной с доступом к государственной тайне;
  • обязательного объединения на основе членства аудиторов и аудиторских организаций в саморегулируемые организации, в том числе в целях контроля соблюдения стандартов аудиторской деятельности;
  • определения исчерпывающих форм государственного контроля деятельности саморегулируемых организаций и их членов;
  • определение круга субъектов хозяйствования, для которых периодический аудит информационной безопасности будет являться обязательным;
  • внесения изменений в действующие нормативно-правовые акты, чтобы привести их в соответствие с реалиями сегодняшнего дня, в том числе обеспечить аудиторам возможность доступа к охраняемым законом тайнам в рамках исполнения договора с клиентом.

Исходя из роли аудита информационной безопасности в системе защиты информации, его нормирование должно осуществляться на основании федерального закона (внесения изменений в федеральные законы).

Следует отметить, что большая часть из изложенных принципов на настоящий момент уже реализуется на практике, например, в рамках процедур по аттестации объектов автоматизации по требованиям стандартов Банка России и ассоциации ABISS или международного стандарта PCI DSS. Однако основной вопрос – отсутствие регламентации аудита информационной безопасности на надлежащем уровне – остается открытыми и, по-прежнему, требует внесения изменений в федеральные законы, а до наступления этого момента – внедрения и постоянного совершенствования дополнительных организационных мероприятий со стороны аудитора и заказчика подобных работ.

или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Юрий
06-09-2010 13:56:48
Как показывает практика применения законов, связанных с созданием СРО в строительстве - никаких положительных мер контроля СРО, как правило, не дают, осуществляя контроль зачастую без выезда на объекты, путем простого просмотра комплектности документации и крючкотворством. Так будет и в данном случае. Нужно понимать, что само по себе введение СРО, лицензирования и куч других документов не решит НИЧЕГО в условиях отсутствия эффективных механизмов контроля над применением нормативно-правовых актов. Это только добавит коррупционную составляющую и уменьшит количество компаний на рынке и ухудшит качество услуг за счет уменьшения конкуренции. Можно декларировать, заявлять, принимать кучу законов, но без действующих механизмов контроля над их применением это все будет вырождено коррупционной составляющей и простой ленью рядовых исполнителей.
0 |
06-09-2010 17:19:33
Не соглашусь. Есть вполне корректно работающие примеры. Международный: https://www.pcisecuritystandards.org/qsa_asv/become_qsa.shtml Российский: http://www.abiss.ru/
0 |
Правдоруб
06-09-2010 15:57:46
Постановка вопроса в статье некорректна. О каком преступлении может идти речь когда аудит осуществляется по заказу обладателя информации? То есть факта неправомерного или несанкционированного доступа к такой информации не усматривается - нет состава ст. 272 УК РФ. Про вредоносные программы, читай ст. 273 УК РФ, здесь можно вообще не вспоминать, особенно веселит утверждение "в качестве доказательства «вредоносности ПО» обычно используется экспертиза, сводящаяся к фиксации факта идентификации тестируемого образца как вредоносного ПО распространенными антивирусными программами" - грош цена таким "экспертизам". Ребята читайте УПК РФ. Очевидно, что программы используемые аудиторами не будут приводить к несанкционированным ими последствиями, поэтому состав ст. 273 УК РФ тоже отпадает. Для сохранения конфиденциальности информации, к которой в процессе аудита могут получить доступ аудиторы, в договоре обычно предупреждают об ответственности за её разглашение, в частности для коммерческой, банковской налоговой тайн предусмотрена уголовная ответственность по ст. 183 УК РФ. Излишне говорить, что аудиторы должны иметь необходимые лицензии, например по защите гостайны. Похоже авторы статьи не имели отношения к реальному проведению аудита или проводили его без ведома обладателя информации и его информационных систем , и просто пугающе теоретизируют на основе нормативных актов в отрыве от уже сложившейся практики.
0 |
06-09-2010 17:17:41
К сожалению вынужден не согласится с уважаемым Правдорубом. - 272 статья УК не упоминается в статье вовсе, поскольку легко решается договором/соглашением о конфиденциальности. - 273 статья к сожалению может иметь место быть, см. словосочетание "формальный состав преступления". По поводу "экспертиз", предлагаю ознакомится с обвинительными заключениями. Собственно критерий "вредоносности" вещь очень условная и манипулируемая, поэтому... - лицензия на защиту гостайны не дает права доступа доступа к банковской тайне. - 183 статья опять таки имеет "формальный состав" и касается "незаконного получения", что и может происходить в ходе аудита. Что собственно и является проблемой. - собственно причиной возникновения публикации были вопросы Заказчиков, возникшие на очередной порции пентестов по PCI DSS. Советую ознакомится, для развития кругозора. Собственно статья содержит практические наработки Positive Technologies, которые позволят практикующим аудиторам избегать ненужного риска. Поскольку сложившаяся практика не всегда однозначна. Например: http://forum.pcidss.ru/index.php?topic=37.msg140#msg140
0 |
FUF
06-09-2010 19:22:05
Давно хотел подискутировать на тему легальности использования специальных программ в ходе тестов на проникновение, особенно из-за того, что уважаемый автор статьи в своем выступлении и в данной статье соскакивает с "легальности" на "снижение риска быть наказаным" - следуя такой логике можно прийти к выводу, что ломать сайты с использованием анонимной VPN тоже законно А теперь по делу: формальный состав преступления статьи 273 УК РФ, т.е. наказуемы сами действия по созданию программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; Также наказуемо _использование_ вредоносных программ в любых целях (исключения есть: например, если такое использование предназначалось "для устранения опасности, непосредственно угрожающей личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости" - ст. 39 УК РФ, но пентесты сюда, ясен пень, не входят). отсутствие четких критериев отделения вредоносного ПО от легальных программ. Определение вредоносной программы дано в УК РФ во всем известной статье. Нечеткие критерии существуют только в одурманенных головах людей после контакта с антивирусными вендорами, которые и кряки могут считать вредоносными программами (вредоносная программа, по их мнению, - программа, приносящая вред, а не "заведомо приводящая к..." и далее по тексту нормы права).
0 |
FUF
06-09-2010 19:22:22
Все вопросы о легальности использования предположительно вредоносных программ в пентестах сводятся к решению одного-единственного вопроса: является ли вредоносность объективным свойством программы? Если да, то на признание программы вредоносной не будут влиять соглашения о санкционировании доступа к исследуемым ресурсам и прочие договоры. Программа копирует информацию без санкции пользователя? Данный функционал не является следствием ошибки программирования? Если на все вопросы ответ "да", то программа является вредоносной, даже если в конкретном случае происходит санкционированное копирование информации программой. Ведь объективная сторона программы (вредоносность) не зависит от того, что там придумывают и подписывают люди. Подобной точки зрения придерживается Н. Н. Федотов, а также некоторые другие юристы. С другой стороны, "камнем преткновения" данной позиции является понятие санкционированности действий программы. Что это значит? Наличие технической документации к средству, с которой обязан ознакомиться пользователь и в которой прописано, что и куда копируется? Иные обстоятельства запуска предположительно вредоносной программы?
0 |
FUF
06-09-2010 19:22:43
Сторонники точки зрения, что понятие вредоносности программы (как и контрафактности программы) является юридическим понятием, которое может установить только суд, обращаются к тому, что в ходе технического исследования/экспертизы невозможно установить, давал ли пользователь санкцию на изменение или копирование информации программой. Если признать понятие вредоносности юридическим, то действительно, заключение соответствующих соглашений превратит потенциально вредоносную программу в ходе пентеста в белую и пушистую. Этой точки зрения придерживаются некоторые криминалисты с известными по всей России именами. Если законодатель пояснит, что понятие вредоносности является технических, то придется уважаемым пентестерам чекать прокси и запускать evidence cleaner'ы почаще А если будет указано на то, что это юридическое понятие - я подпишусь под всеми словами автора статьи и буду говорить, что по закону надо делать так, как у него написано.
0 |
FUF
06-09-2010 19:22:51
И, наконец: Так, при проведении работ с системами, обрабатывающими информацию, которая относится к банковской тайне, непосредственный доступ к данным может осуществлять сотрудник банка. В это время аудитор дает рекомендации по проведению проверки и помогает фиксировать результаты. Тогда для согласования собственных действий с буквой закона, аудитор должен поручить проведение пентеста сотрудникам банка В противном случае, может возникнуть ситуация, когда термин "доступ к информации" будет истолкован как "возможность получения информации", а не "непосредственный доступ" (согласно ст. 2 ФЗ "ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ"). Подобрали пароль к SSH? Значит, получили возможность скачать всю информацию из компьютера и, следовательно, получили доступ к этой информации (вне зависимости от того, скачивали ли вы что-то или нет). Ближайшая аналогия: "доступ в помещение" = "наличие пропуска в помещение" ИЛИ "результат входа в помещение" (не стоит забывать и о том, что "доступ", согласно Большому толковому словарю русского языка, в одном из своих значений есть "допуск", а "допустить" есть "дать возможность", без факта совершения соответствующего действия).
0 |
07-09-2010 08:30:09
Ничуть. В 183 УК слово "доступ" отсутствует. Есть слово "получение", есть слово "разглашение".
0 |
07-09-2010 08:27:49
Уважаемый FUF, есть мнение, что вы противоречите себе. >Определение вредоносной программы дано в УК РФ во всем известной статье. >Одного-единственного вопроса: является ли вредоносность объективным свойством программы? Т.е. пока этот вопрос не решен. Сложившаяся практика - обнаружение антивирусной программой + экспертиза. Отсюда и рекомендации. >Наличие технической документации к средству, с которой обязан ознакомиться пользователь и в которой прописано, что и куда копируется? Давайтк изменим слово "пользователь" на слово "владелец" (ИБ) или "обладатель" (ЮР) и все становится прозрачней.
0 |
FUF
07-09-2010 09:24:47
Уважаемый FUF, есть мнение, что вы противоречите себе. Если говорить о четких критериях, то они есть, НО в рамках двух подходов к _техническому_ определению вредоносности программы. И так уж получилось, что оба подхода к определению вредоносности приводят к тому, что 99% поля вредоносных программ, определенных с помощью этих подходов, пересекается. Сложившаяся практика - обнаружение антивирусной программой + экспертиза. Отсюда и рекомендации. Сложившаяся практика по производству судебных экспертиз по вредоносным программам - научно необоснованные выводы и предположительно заведомо ложные заключения экспертов, за редким исключением.
0 |
07-09-2010 09:47:41
Прошу поделиться научно обоснованными выводами и подтвердить их практикой.
0 |
FUF
07-09-2010 10:53:49
http://consumer.stormway.ru/kgbspy.htm
0 |
07-09-2010 11:46:37
Отличная статья! ПОСПО Цитирую: >Так сложилось, что по делам о вредоносных программах судьба подозреваемого практически безраздельно находится в руках эксперта. >Программа будет что-то выполнять «безусловно» только в единственном случае – если это «что-то» жестко заложено в ее алгоритм и не зависит от действий (команд) пользователя ЭВМ. на которой эта программа выполняется. В противном случае работа программы будет зависеть от действий пользователя, а следовательно, не будет «безусловной». >Наверное, эти изменения оправданы с точки зрения бизнеса. Но с точки зрения правоведов-экспериментаторов, старая KGB Spy была интересным объектом исследования, а новая Mipko Monitor уже довольно далека от грани и не вызывает споров (во всяком случае, в теории). Собственно статья выше - для тех, кто не заинтересован в поддержке "правоведов-экспериментаторов". И стремится "увести" работы по аудиту ИБ от грани, когда они становятся "интересным объектом исследования"
0 |
FUF
07-09-2010 11:59:48
Легальность != снижение риска, поэтому рекомендация: Исходя из этого, в работе следует ... использовать только инструменты, осуществляющие санкционированный доступ, то есть доступ в рамках договора на проведение работ. Не превращает использование обсуждаемых инструментов в деяние законное, т.к. одно дело - санкционированность доступа, другое дело - вредноносные программы. Если доступ ко всем ресурсам заказчика санкционирован, то риск залететь по 273-й остается даже по-хорошему, без "темных" и "серых" уловок правоохранителей (ибо некоторые вполне справедливо считают вредоносность объективной стороной программы, не зависящей от хотелок людей).
0 |
07-09-2010 12:52:07
Собственно "обязательный ввод пароля известного оператору" вполне себе за "отмазку канает".
0 |
FUF
06-09-2010 19:31:08
ЗЫ. На данный момент количество и качество аргументов ЗА и ПРОТИВ точки зрения "вредоносность программы - объективная стороны программы" приблизительно равно Нельзя просто так взять и отмести противоположную точку зрения по данному вопросу.
0 |
07-09-2010 08:39:48
Это хорошо, но теоретично. Есть практика. Живем с нею. Если есть примеры обвинительных где "вредоносность" доказывалась как-то иначе - с удовольствием ознакомлюсь.
0 |
FUF
07-09-2010 09:01:56
Практика показывает, что вредоносной программой в отдельных случаях признается даже серийник программы Только учтите, что большинство подобных "признаний" относится к делам, связанным с нарушением авторских прав, где обвиняемый - студент-переустановщик виндовс, а адвокат - милицейский. Разумеется, подобная практика незаконна.
0 |
06-09-2010 20:29:54
Сергей Гордейчик, технический директор Positive Technologies Алексей Гордейчик, адвокат Мафия, Серега? Кстати, с повышением тебя. Наверное...
0 |
07-09-2010 12:03:44
Есть немного. Спасибо.
0 |
Страницы: 1  2  3  4