Юридические аспекты консалтинга в области безопасности

Юридические аспекты консалтинга в области безопасности

В последнее в профессиональной среде широко обсуждаются различные юридические вопросы о законности проведения тестов на проникновение и аудита информационной безопасности.

Сергей Гордейчик, технический директор Positive Technologies
Алексей Гордейчик, адвокат
Дмитрий Кузнецов, руководитель отдела консалтинга Positive Technologies

В последнее в профессиональной среде широко обсуждаются различные юридические вопросы проведения тестов на проникновение и аудита информационной безопасности. Как часто бывает при столкновении “физиков” с “лириками”, дискуссия зачастую порождает совершенно противоположные мнения, вплоть до срочной необходимости привлечения всех аудиторов к уголовной ответственности по широкому спектру статей УК РФ. В рамках данной публикации делается попытка свести воедино все вопросы и рассмотреть их с точки зрения российского законодательства и сложившейся практики.

«Первой ласточкой» очередного витка дискуссии стало сообщение в блоге компании Infowatch (http://infowatch.livejournal.com/43369.html), где высказывалось сомнение в легитимности тестов на проникновение в связи с возможным использованием в ходе работ вредоносного программного обеспечения. Коллизия возникает по двум причинам:

  • формальный состав преступления статьи 273 УК РФ, т.е. наказуемы сами действия по созданию программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети;
  • отсутствие четких критериев отделения вредоносного ПО от легальных программ.

Поскольку формальный состав преступления выходит за рамки возможностей исполнителя и заказчика работ в части управления рисками, то рассмотрим второе положение.

Текущая правоприменительная практика показывает, что в качестве доказательства «вредоносности ПО» обычно используется экспертиза, сводящаяся к фиксации факта идентификации тестируемого образца как вредоносного ПО распространенными антивирусными программами (такими, как DrWeb или Антивирус Касперского). Дополнительную  сумятицу вносит масса примеров ложных срабатываний (т.е. идентификации легитимного ПО)  антивирусными программами.

Исходя из этого, в работе следует обращать особое внимание на приведенные критерии вредоносности, которые подразумевают несанкционированный доступ, и использовать только инструменты, осуществляющие санкционированный доступ, то есть доступ в рамках договора на проведение работ.

Таким образом, аудиторам рекомендуется:

  • Не использовать общедоступные образцы вредоносного ПО в ходе работ и максимально использовать стандартные утилиты и программы из состава ОС, а также сертифицированные решения;
  • Фиксировать согласие заказчика на проведение конкретных атак на конкретные объекты с целью возможности доказательства наличия санкционированного доступа;
  • Взаимодействовать с антивирусными вендорами в рамках политики «Ответственного разглашения» с целью устранения обнаруженных недочетов в антивирусных программах;.
  • Закладывать в разрабатываемое ПО ограничения, с целью предотвратить его несанкционированное использование (например, с помощью функций аутентификации или указанием конкретных сетевых адресов из договора на проведение работ).

Вторая волна вопросов была поднята статьей Н. Пятиизбянцева «Аудит на соответствие PCI DSS и Уголовный кодекс РФ», опубликованной в информационно-аналитическом журнале «Плас» № 7 (147) за 2009 г. В статье высказывалось сомнение в легитимности проведения тестов на проникновение с точки зрения возможности получения несанкционированного доступа к охраняемой законом информации, такой как персональные данные или банковская тайна.

В этой связи следует, прежде всего, заметить, что проблема законности доступа к охраняемой информации при проведении аудита безопасности, в том числе в банковской сфере, гораздо шире, чем представляется автору анализируемой статьи. Она не исчерпывается тестами на проникновение по стандарту PCI DSS, в ходе которых, действительно, имеется реальная угроза получения аудитором сведений, составляющим охраняемую законом тайну. Коллизия возникает практически при всех видах возможных работ, связанных с ИТ-консалтингом и системной интеграцией, таких как внедрение и поддержка систем, использование распространенных практик аутсорсинга и аутстафинга.

Рассмотрим эту проблему применительно к банковской тайне.

Законодатель до настоящего времени обходил вниманием вопросы осуществления аудита информационной безопасности, хотя легальной основой для осуществления подобного рода деятельности, безусловно, являются ст. 16 Федерального закона «Об информации, информационных технологиях и защите информации». При этом острая необходимость в подобных услугах привела к тому, что их регулирование начало осуществляться на основании подзаконных нормативно-правовых актов.

Так, с 5 января 2009 г. в соответствии распоряжением Банка России от 25 декабря 2008 г. № Р-1674 была введена в действие новая редакция Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008. Данный документ также предусматривает возможность проведения внешнего аудита информационной безопасности. При этом исходя из следующих предписаний:

- п.п. 3.61 – 3.67, п. 8.13, 8.14 п.п. 9.3 – 9.5 названого акта;
- положение п. 7.2.10 Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» СТО БР ИББС-1.1, п. 5.2, приложения Б рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0», к которым он непосредственно отсылает,
– в рамках любо пусть даже не связанного с проникновением аудита также имеется возможность получения оказывающей услуги организацией сведений, составляющих банковскую тайну. В частности, это возможно при анализе документов, касающихся случаев обнаружения и реагирования банком на инциденты безопасности.

Иными словами, подобный аудит формально будет также являться «незаконным», по мотиву потенциальной угрозы нарушения положений п. 2 ст. 857 ГК РФ, поскольку, на наш взгляд, ст. 26 Федерального закона «О банках и банковской деятельности» упоминает аудиторские организации в контексте Федерального закона «Об аудиторской деятельности». Этот факт, в свою очередь, отсылает нас к ст. 183 УК, так как состав преступлений, предусмотренных ч.1 и ч. 2 ст. 183, сконструирован по типу формального, то есть для признания преступления оконченным не требуется наступления каких-либо последствий.
Можно привести примеры и из других областей.

Так, начальным этапом работ по обеспечению соответствия требованиям закона 152-ФЗ «О персональных данных» является аудит с целью проведения классификации систем обработки персональных данных (ПДн) в соответствии с приказом ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 "Об утверждении порядка проведения классификации информационных систем персональных данных". В ходе этих работ подрядчик должен проанализировать следующие параметры:

  • категория обрабатываемых данных;
  • объем обрабатываемых данных;
  • характеристики безопасности;
  • структура ИС;
  • наличие подключений к сети Интернет и сетям общего пользования;
  • режим обработки персональных данных;
  • режим разграничения прав доступа;
  • местонахождение технических средств.

Для получения информации о категории ПДн аудитор должен выяснить состав обрабатываемой информации, т.е. осуществить доступ к персональным данным.

Аналогичные ситуации возникают и в ходе других распространенных работ, таких как техническая поддержка систем DLP, внедрение и сопровождение АБС и т.д.

Таким образом, до решения вопроса о регламентации деятельности по проведению аудита информационной безопасности и других работ на законодательном уровне в плане минимизации рисков, связанных наличием данного пробела законодательства, банкам следует, на наш взгляд, осуществить ряд мер правовой защиты. В частности, предлагается включать в договоры с клиентами условие о возможности доступа внешних аудиторов к банковой тайне и персональным данным в рамках проведения мероприятия по обеспечению информационной безопасности. Такое условие может также заключаться в отсылке к внутренним документам банка (положению об обеспечении информационной безопасности).

Менее радикальным методом является использование ресурсов банка для проведения аудита. Так, при проведении работ с системами, обрабатывающими информацию, которая относится к банковской тайне, непосредственный доступ к данным может осуществлять сотрудник банка. В это время аудитор дает рекомендации по проведению проверки и помогает фиксировать результаты. Такой подход был неоднократно апробирован авторами и позволяет решить также вопросы, связанные с возможным недоверием к аудиторам.

Что касается других видов тайн, то здесь разумным решением выглядит привлечение к работам компаний, имеющих соответствующие лицензии, например лицензиатов ФСТЭК или ФСБ.

Резюмируя изложенное выше, можно сделать следующие выводы. Аудит информационной безопасности является сформировавшимся в Российской Федерации направлением предпринимательской деятельности. Данный вид деятельности носит общественно-значимый характер, так как направлен на обеспечение стабильности и безопасности информационных систем, в том числе систем, содержащих охраняемые законом сведения, со стороны обладателей информации и иных лиц, предотвращение незаконного доступа к информации.

Учитывая существенную роль, принадлежащую аудиту информационной безопасности в обеспечении защиты информации, существует необходимость специального регулирования данного вида деятельности.

Такое регулирование должно осуществляться на принципах:

  • введения обязательных квалификационных требований к аудиторам и аудиторским организациям;
  • независимости аудиторской деятельности;
  • стандартизации аудиторской деятельности;
  • лицензирования аудиторской деятельности, связанной с доступом к государственной тайне;
  • обязательного объединения на основе членства аудиторов и аудиторских организаций в саморегулируемые организации, в том числе в целях контроля соблюдения стандартов аудиторской деятельности;
  • определения исчерпывающих форм государственного контроля деятельности саморегулируемых организаций и их членов;
  • определение круга субъектов хозяйствования, для которых периодический аудит информационной безопасности будет являться обязательным;
  • внесения изменений в действующие нормативно-правовые акты, чтобы привести их в соответствие с реалиями сегодняшнего дня, в том числе обеспечить аудиторам возможность доступа к охраняемым законом тайнам в рамках исполнения договора с клиентом.

Исходя из роли аудита информационной безопасности в системе защиты информации, его нормирование должно осуществляться на основании федерального закона (внесения изменений в федеральные законы).

Следует отметить, что большая часть из изложенных принципов на настоящий момент уже реализуется на практике, например, в рамках процедур по аттестации объектов автоматизации по требованиям стандартов Банка России и ассоциации ABISS или международного стандарта PCI DSS. Однако основной вопрос – отсутствие регламентации аудита информационной безопасности на надлежащем уровне – остается открытыми и, по-прежнему, требует внесения изменений в федеральные законы, а до наступления этого момента – внедрения и постоянного совершенствования дополнительных организационных мероприятий со стороны аудитора и заказчика подобных работ.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!