четверг, 28 июня 2018 г.

Уголовная ответственность за нарушение ИБ


Одной из главных проблем в информационной безопасности является обоснование необходимости защиты информации. Можно сколь угодно долго описывать требования регуляторов, но руководство всегда будет интересовать вопрос, случалось ли что-то подобное в других организациях. Полезно также будет рассказать сотрудникам о возможных последствиях их вредных действий для них самих для более аккуратного соблюдения требований безопасности. Тут полезно было бы обратиться к судебной практике по защите информации. 
Но не все так просто. Для эффективного поиска судебных решений полезно было бы знать основные статьи Уголовного кодекса, касающихся преступлений в сфере информационной безопасности. Однако законодательство в сфере информационной безопасности меняется достаточно быстро.
Так, 26 июля 2017 года вышел в свет Федеральный закон, вносящий изменения в Уголовный кодекс Российской Федерации, а именно в главу 28, посвященную преступлениям в сфере компьютерной информации. С первого января 2018 года глава обзаведется еще одной статьей, а именно 274.1, предусматривающей ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации. Данная статья достаточно полно описывает возможные нарушения защищенности информации критической информационной инфраструктуры с точки зрения триады «конфиденциальность-целостность-доступность». Так, первый ее пункт посвящен вредоносному программному обеспечению, которое всегда занимало особое место в 28 главе УК РФ. За создание, распространение и (или) использование компьютерных программ, предназначенной для неправомерного воздействия на критическую информационную инфраструктуру грозит лишение свободы от двух до пяти лет со штрафом в размере от пятисот тысяч до миллиона рублей. Второй пункт имеет дело с посягательством на конфиденциальность информации, содержащейся в критической информационной инфраструктуре. За подобное деяние преступник может получить от двух до шести лет лишения свободы со штрафом от пятисот тысяч до одного миллиона рублей. Третий пункт устанавливает ответственность за нарушение доступности и целостности критической информационной инфраструктуры и наказывается лишением свободы сроком до шести лет. В случае, если вред критической инфраструктуре причинен группой лиц по предварительному сговору, срок, очевидно, увеличивается – в этом случае грозит лишение свободы на срок от трех до восьми лет. А в случае, если деяние повлекло тяжкие последствия – от пяти до десяти лет.
Также уголовная ответственность грозит в случае таких же деяний в отношении некритических инфраструктур. За неправомерный доступ к информации, согласно статье 274 Уголовного кодекса Российской Федерации, грозит до двух лет лишения свободы, а в случае наступления тяжких последствий - семи лет лишения свободы. Аналогичное наказание ждет лиц, занимающихся созданием, использованием и распространением вредоносных компьютерных программ. А вот за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей согласно статье 274 грозит максимум до пяти лет.
Помимо 28 главы Уголовного кодекса существует также целый ряд преступлений, который можно причислить к преступлениям в информационной сфере. Так, например, статья 138.1 Уголовного кодекса предусматривает ответственность за незаконный оборот специальных технических средств, предназначенных для негласного получения информации. Примером может послужить резонансное дело 2013 года, когда мужчина был осужден на год условно после покупки в китайском интернет-магазине ручку с встроенной видеокамерой. И можно сказать, что он еще легко отделался, ведь за подобное преступление грозит до четырех лет лишения свободы.
Также отдельно наказывается согласно статье 159.6 мошенничество в сфере компьютерной информации. Под эту статью подпадают различные уголовные дела. Например, известно несколько дел, когда бухгалтера, используя электронную подпись предприятия, перечисляли себе денежные средств сверх положенной заработной платы. За данное преступление можно получить до четырех месяцев ареста, а в случае совершения организованной группой либо в особо крупном размере уже до десяти лет лишения свободы со штрафом до миллиона рублей.
Кроме того, неправомерным действиям со сведениями, составляющими государственную тайну, также посвящено несколько статей Уголовного кодекса, а именно статья 283, предусматривающая ответственность за разглашение государственной тайны в виде лишения свободы до четырех лет и до семи, если деяние повлекло по неосторожности тяжкие последствия, статья 283.1, посвященная незаконному получению сведений, составляющих государственную тайну, с наказанием до восьми лет лишения свободы и статья 284, предусматривающая наказание до трех лет лишения свободы за утрату документов, содержащий государственную тайну. 
Но одной государственной тайной не ограничивается Уголовный кодекс, он также охраняет и другие виды тайны. Так, например, статья 183 устанавливает уголовную ответственность за незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. За данное преступление грозит до двух лет лишения свободы, а в случае наступления тяжких последствий – до семи лет. Охраняется также и инсайдерская информация. За ее неправомерное использование согласно статье 185.6 следует наказание  вплоть до лишения свободы на срок от двух до шести лет лишения свободы со штрафом от пятидесяти до ста тысяч рублей. Также грозит наказание до трех месяцев ареста за разглашение данных предварительного расследования согласно статье 310 Уголовного кодекса. 
Законодательство в сфере информационных технологий изменяется очень быстро, поэтому составить список «лучших практик на все времена» не получится, однако в течение года или двух данный перечень будет сохранять свою актуальность. Если, конечно, за это время не произойдет кардинальных изменений.

Для Вас тему исследовала Иванова Мария, специалист по защите информации 

среда, 27 июня 2018 г.

GDPR - новый способ манипулирования

"Голь на выдумки хитра", пронеслось у меня в голове после прочтения очередной новости о нашумевшем регламенте.
Теперь хакеры уже угрожают не уничтожением данных, а тем, что выложат добытую информацию на общедоступный сервер. Напомню, что GDPR касается защиты персональных данных, но теперь, помимо неудобств субъекта ПДн и возможных исков за моральный ущерб, компания, у которой похитили данные может попасть на приличный штраф - в размере 4% от годового оборота (верхней планкой называют 20 000 000 евро).
Конечно, "добрые" хакеры предоставляют выбор - Вы можете выкуп заплатить (размер до 20 000$). Но! Это инцидент , а согласно регламенту, Вы обязаны сообщить о произошедшем не позднее, чем через 72 часа после происшествия.
И что же выберите Вы?
Мы рекомендуем рассмотреть указанную ситуацию как возможный риск и уже сейчас принять меры для защиты персональных данных и Ваших информационных систем, содержащих другую конфиденциальную информацию. 

вторник, 5 июня 2018 г.

Правила защиты персональных данных GDPR

Как показывают появившиеся новости, GDPR не может оставить людей равнодушными и это ли не счастье: суета, деятельность, вопросы, поиск ответов. Не так уж много людей разделят мою радость - для ряда организаций GDPR уже стало проблемой.
Например, сайты популярных газет: Chicago Tribune, The Los Angeles Times и New York Daily News,  - перестали работать из-за несоответствия новым правилам защиты персональных данных.
Как будут работать закон в Европе в отношении репортажной съемки тоже пока не ясно, ведь публиковать фотографии третьих лиц без их разрешения теперь тоже запрещено, а нарушения караются внушительными штрафами и даже тюрьмой.
Напомню, область действия GDPR:

  1. операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет 
  2. обработка персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС, в тех случаях, когда такая деятельность по обработке относится к: 
    1. Предложение товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе; 
    2. Отслеживание их действий при условии, что таковые осуществляются в пределах ЕС».
Насчет применимости для российских компаний - РКН заявил, что "требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных". Т.е. данное заявление актуально для тех, кто не обрабатывает персональные данные граждан ЕС и никоим образом не присутствует на территории ЕС. Остальных могут ожидать существенных размеров штрафы - от 10 млн евро или 2% мирового годового оборота до 20 млн евро и 4% оборота
соответственно в зависимости от размеров нарушений.

Список регуляторов по GDPR можно посмотреть по этой ссылке.

В дополнение хочу сказать, что для Российских организаций, которые "держат руку на пульсе" и отслеживают Российское законодательство в сфере ИБ требования GDPR не покажутся новыми: требования учитывать правила защиты персональных данных как на этапе эксплуатации системы, так и на этапе планирования, документировать процессы обработки ПДн, проводить оценку рисков и уведомлять об инцидентах надзорные органы - все это уже практикуется финансовыми компаниями и частично организациями в других сферах.

Центр защиты информации "Шартрез" готов предложить свои услуги по направлению GDPR.




суббота, 2 июня 2018 г.

Бесцельные ПДн или что делать, если с Вас просят избыточные персональные данные

Месяц назад озадачилась я вопросом ипотеки - решила закинуть удочку в банки на предмет возможного одобрения энной суммы для приобретения жилья. Пошел процесс запроса данных, документов, заполнения анкет. И тут мне дают бумажку на подпись среди прочих, по которой я соглашаюсь на передачу всех моих представленных персональных данных целому списку организаций, среди которых, Мегафон, МТС, Билайн и прочие "связисты". На мой вопрос - "а зачем?" мне ответили "Ну, у нас порядок такой". Я начала объяснять, что это противозаконно, -не объясняя цели, передавать мои данные на обработку третьим лицам. Девушка в ответ только хлопала пушистыми ресницами и повторяла "На так надо, иначе мы не можем оформлять ипотеку".

Честно говоря, подобная ситуация случается со мной не первый раз, и я думаю, что не только я столкнулась с такой проблемой - запрашивают избыточные данные или собираются производить необъяснимые действия с данными. Если ты отказываешься от этих условий, то тебе отказывают в оказании услуг.

Следом у коллеги Марии происходит не менее интересная ситуация - на собрании собственников жилья запросили данные: ФИО, номер квартиры, информацию о праве собственности (долю и серию/номер свидетельства), паспортные данные. Обоснование - нужно для голосования.

Интересная ситуация. А Вы задумывались над тем, кто и зачем просит Ваши данные? Мы не будем сейчас заводить речь о мошеннических действиях, возьмем просто госучреждения и коммерческие организации, которые предоставляют нам минимально необходимые услуги.
Думаю, вопрос опять же в безграмотности или низком уровне грамотности людей, которые запрашивают данные и тех, у которых запрашивают данные.

Изучив, некоторые материалы мы пришли к следующим выводам:

  1. Избыточность запрошенных персональных данных - это нарушение ФЗ-152, о чем Роскомнадзор, кстати, постоянно говорит.
  2. На использование избыточных данных или избыточных действий с данными можно пожаловаться в Роскомнадзор, не забудьте, что нужны доказательства. Чем чаще мы будем проявлять активную позицию и обращаться к регулятору за помощью, тем быстрее мы выработаем у людей понимание вопросов по персональным данным. Да и Роскомнадзор, глядишь, отвлекутся от Телеграма ).
  3. Платежные документы за предоставление коммунальных услуг должны быть исполнены с соблюдением конфиденциальности содержащей информации. Другими словами, квитанции должны быть в конвертах, или содержать обезличенные данные. Говорят, у Ростелекома, с этой точки зрения, образцовые документы. Сама не видела, если у кого-то есть пример - делитесь.
  4. В случае отзыва персональных данных оператор имеет право прекратить предоставление услуг. Но это совсем не значит, что можно оставлять им все-все-все данные. Опять же Роскомнадзор поможет организации сориентироваться - заставит удалить избыточные данные. Иначе организации грозит штраф.
  5. Если Вы удалились из социальной сети, а сеть Вас еще помнит, то в Роскомнадзор обращаться нет смысла, гораздо эффективнее будет обращение в администрацию социальной сети.
Надеюсь, информация будет для Вас полезной.

Кстати, если Вы и Ваши коллеги озаботились повышением грамотности по защите информации или вопросами о персональных данных, Вы можете записаться на бесплатные семинары, которые организует компания "Шартрез". Кроме того, специально для пожилых людей по рекомендации Губернатора Архангельской области И.А. Орлова мы подготовили специальный семинар для пожилых людей о видах мошенничества в сфере информации. С программой семинаров Вы можете ознакомиться на нашем сайте www.shartrez.com.

P.S. За подготовку материалов и аналитику спасибо нашей Марии.

пятница, 1 июня 2018 г.

Популярные вопросы по безопасности

Сегодня мы открываем наш блог двадцаткой популярнейших вопросов, с которыми мы сталкиваемся постоянно при общении с клиентами.
Многие вопросы рождаются по неопытности, не знанию основ. 
Законодательство в сфере защиты конфиденциальной информации уже давно совершеннолетнее и развивается. Его догоняет и закон о коммерческой тайне, который по людским меркам получил бы 9 июля свой первый паспорт, да и закон о персональных данных на подходе. Но с собственными, хорошо подготовленными специалистами по информационной безопасности по прежнему в организациях беда. Мы не говорим уже о создании группы профессионалов для более крупных организаций. 
И, таким образом, можно до сих пор встретить в больничках, маленьких администрациях бухгалтеров, завхозов и уборщиц, которые отвечают за безопасность информации при ее обработке. И когда они задают вопросы по информационной безопасности их можно понять - вот вы знаете как сводить дебит с кредитом и какие есть льготы на налоги в регионе? Вот и они не в курсе какая классификация нынче в моде.
Также неординарные вопросы рождают клиенты, с желанием сэкономить деньги учреждения или фирмы. Вы, возможно, подумаете, что здесь не может быть ничего неординарного, наверняка, основной вопрос - "А че так дорого?" и его вариации. Но наши клиенты креативны.
И мы очень надеемся, что они продолжат радовать нас вопросами, будь то вопросы об информационной безопасности, или формировании цены с оптимизацией затрат на защиту информации, или вопросы полушепотом "А как без проверки-то сделать?".
Присылайте нам Ваши вопросы и мы будем рады ответить на них в нашем блоге и/или в наших группах на Facebook и VK.
А вот и наш список (формулировки постарались сохранить):
  • А мы что, тоже КИИ?
  • А без аттестации можно?
  • Как разработать ОРД самостоятельно?
  • Я не хочу реализовывать требования по защите информации. А что мне за это будет?
  • А что мне за это не будет?
  • Как уйти от проверки Роскомнадзора?
  • Как уйти от проверки ФСТЭК
  • А что, еще и ФСО теперь регулятор?
  • Как уйти от проверки ФСБ?
  • Как уйти от проверки ЦБ?
  • А можно бесплатно? ... а для вас опыт... реклама ...и мы интересный объект )))
  • Зачем мне защищать информацию, если я частник? Я не обязан!
  • А ЧЕГО ТАК ДОРОГО, ТАМ ЖЕ РАБОТЫ НА ПЯТЬ МИНУТ?!
  • У нас есть антивирус!... Как это недостаточно?
  • Почему ОРД так дорого? У вас же шаблоны есть, вы только названия меняете.
  • Техническая защита - это антивирус, да?
  • А почему на пароль нельзя имя мамы (ребёнка, собачки третьей с конца тети деда)?
  • У нас есть шифрование, зачем что-то ещё?
  • Персональные данные - это что?