Российским компаниям — всем, которые работают в нескольких странах, предстоит научиться глобальному законопослушанию — обеспечивать требования не только отечественных регуляторов, но также местных и, конечно же, международных. Как, играя по всем этим правилам одновремено, сохранить цельность своих регламентов и политик и минимизировать всевозможные риски, связанные со сферой регулирования бизнеса?
Простая на первый взгляд тема об обеспечении соответствия требованиям международных и национальных регуляторов вскрыла огромный пласт вопросов, на которые пока нет внятных ответов. Самая сложная и масштабная проблема в этой области — как жить по правилам международной компании, являясь фактически ее частью, в том числе и в плане информационной системы, единой по всему миру, и при этом не нарушать российские законы? Решать эту проблему придется всем компаниям, ведущим международный бизнес, — как гигантским транснациональным корпорациям, так и небольшим компаниям, выходящим на новые рынки.
К сожалению, в отечественной практике крайне мало примеров, когда российская компания, ведущая международный бизнес, уделяет большое внимание обеспечению соответствия требованиям национальных регулирующих органов. С другой стороны, эти вопросы нередко задают специалисты международных компаний, вышедших на российский рынок или вынашивающих подобные планы, поскольку такие компании стремятся всюду быть законопослушными и выполнять требования местных регуляторов.
Ситуация усугубляется таким очевидным фактором, как глобализация. В частности, российские банки, осуществляющие деятельность за рубежом, должны руководствоваться требованиями Базельских соглашений, предусматривающих глубокую проработку и реализацию управления рисками внутри организаций финансового рынка. Акционерные общества, выводящие акции на американские биржи и торгующие там, не могут не выполнять требований главы 404 закона Сарбейнса — Оксли. И так далее. При этом никаких внутренних стимулов задуматься о выполнении требований зарубежных или международных регуляторов у российских компаний нет.
По мнению Сергея Белова, руководителя стратегических проектов компании «Аладдин Р.Д.», существуют только транснациональные (следовательно, международные) стандарты ИБ (но не регуляторы), и вопрос соответствия им в коммерческих организациях решается на добровольной основе. «Однако соответствие этим стандартам иногда является необходимым условием при организации совместного бизнеса с зарубежными партнерами, — рассказывает Белов. — Кроме того, во многих развитых странах существуют национальные стандарты ИБ (как правило, секретные) в критически важных национальных сегментах, куда иностранцев не пускают. Наши регуляторы понимают необходимость соответствия (в том числе и международным стандартам) и либо регистрируют некоторые международные стандарты в качестве национальных (например, общие критерии оценки защищенности информационных технологий, зафиксированные в стандарте ISO/IEC 15408-2002, требования ФСТЭК, 26-го технического комитета ФСБ по стандартизации «Криптографическая защита информации»), либо пытаются зарегистрировать национальные стандарты ИБ в качестве международных (ТК 26 ФСБ в ходе совместной с RSA подготовки некоторых спецификаций PKCS встраивает в них свои наработки в области стандартизации)».
Эту точку зрения разделяет Юрий Черкас, руководитель направления центра информационной безопасности компании «Инфосистемы Джет»: «Требования отраслевых регуляторов не противоречат положениям национальных, а те, в свою очередь, не выходят за рамки международных законов и актов, поэтому логичнее говорить о выполнении требований национального законодательства, которое не противоречит международному. Именно на этом уровне появляются регуляторные риски, так как международные законы и акты в 90% случаев носят рекомендательный характер и содержат общие положения, которые определяют принципы и подходы к обеспечению ИБ, а не конкретизированные требования».
По мнению Владимира Феоктистова, эксперта по ИБ, в вопросах информационной безопасности очень многое зависит от исторических условий, в которых формировались требования законодательства в области ИБ: «Практика показывает, что, например, в странах Северной Америки законодательство прозрачное и понятное, следовательно, реализация их требований проходит очень легко и просто. И совсем другое дело — вести бизнес в странах с тяжелым наследием колониального прошлого или какой-то идеологии, где правительство пытается прослушивать трафик, запрещает ввоз любых средств защиты, технических средств, произведенных в США, и пр. В таких странах работать очень сложно».
В России бизнес, скорее, склонен «договариваться» с регуляторами. С зарубежными регулирующими органами такая практика не пройдет, считает Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»: «В большинстве случаев регуляторы за рубежом формулируют именно рекомендации, которые подсказывают способы достижения соответствия. Так построена деятельность ISO, BSI, NIST. Конкретные же меры и способы обеспечения информационной безопасности, их разумность и достаточность определяют сами участники отношений, исходя из сложившейся у них культуры управления рисками, произведенных оценок ущерба в случае нарушения правил и стоимости затрат на обеспечение выполнения тех или иных норм. В этом главное отличие от России, где, в соответствии с частью 2 ст.16 Федерального закона «Об информации, информационных технологиях и о защите информации», государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства. Все просто — обязательные требования и ответственность за невыполнение независимо от того, был инцидент или нет, какова доля затрат в бюджете, каков размер потенциального ущерба и т. д.».
Опыт полярно противоположен
В России задача соответствия требованиям регуляторов решается просто — надо выполнить требования, независимо от того, разумны ли они с точки зрения бизнеса, какова их стоимость, кто и как может пострадать. Можно привести пример. Выполнение требований ФЗ-152 в медицине: клиническая больница и частнопрактикующий стоматолог для защиты компьютера, подключенного к Интернету, на котором хранятся и обрабатываются данные пациентов, должны выполнить абсолютно одинаковые требования безопасности. Если стоматолога проверили и выявили факт несоответствия требованиям закона и нормативно-правовых актов, врача накажут точно так же, как и допустившую утечку информации огромную больницу — штрафом до 10 тыс. руб. (согласно ст.13.11 КоАП).
Международная практика построена на другом, инцидентно-ориентированном, принципе: пока инцидентов нет, проверяющие органы вами не интересуются, но если инцидент произошел, то придет регулятор и оценит разумность и достаточность принятых вами мер. Если доказать, что все требования регулятора были выполнены, не удастся, виновник инцидента будет наказан, причем на весьма крупную сумму. Например, американская страховая компания, потерявшая при транспортировке ленты с резервными копиями данных о 4,5 млн застрахованных военнослужащих США и членах их семей, была оштрафована судом на 500 тыс. долл. за то, что резервные копии были не зашифрованы, а на кассетах не стояли маячки спутниковой навигации, позволяющие отследить местонахождение потерянных или украденных резервных копий. Так суд оценил разумность и достаточность.
«Подтверждение зарубежных решений у нас в стране затруднено из-за того, что фактически единственным способом оценки соответствия регуляторы признают сертификацию и аттестацию, а эти две системы созданы исходя из потребностей охраны государственной тайны и плохо соотносятся с международными или зарубежными подходами, — комментирует Емельянников. — Использование российских сертифицированных решений иногда входит в противоречие с требованиями зарубежных регуляторов, например, при использовании криптографии, ввоз которой в зарубежные страны ограничен и российским законодательством, и национальными регуляторами многих государств. Кроме того, построение информационной системы и ее подсистемы безопасности по корпоративным правилам иностранной компании зачастую не предусматривает применения иных (не соответствующих принятым) средств защиты, в том числе имеющих российские сертификаты. Эта особенность становится головной болью, например, российских банков и страховых компаний, являющихся «дочками» зарубежных (в первую очередь — транснациональных) финансовых корпораций».
По мнению Дмитрия Кострова, директора по проектам МТС, в условиях, когда между странами нет двусторонних межгосударственных соглашений, все транснациональные требования могут приводить только к объединению бизнес-процессов. «Это значит, что бизнес должен быть активно вовлечен в решение этих задач, — поясняет Костров. — Например, на Украине SIM-карты продаются без предъявления паспорта, а в России только с паспортом. Как можно повлиять на эту ситуацию? Да никак! Поэтому мы вынуждены искать решение в оптимизации бизнес-процессов и, возможно, в создании новых услуг, оставаясь при этом в рамках местного законодательства».
Корпоративные политики, принятые в зарубежных компаниях, учитывают те же подсистемы и решают те же задачи, которые актуальны и для российских условий, поэтому международные компании автоматически тиражируют их при открытии региональных филиалов. «Мне больше импонирует вариант, когда существующий внутренний свод правил адаптируется к той среде, в которой ты начинаешь работать. Ведь процесс обеспечения ИБ не может существовать отдельно от ведения бизнеса, иначе он просто становится бесполезным», — считает Денис Персанов, руководитель службы ИБ компании «Ашан».
По мнению Черкаса, проблемы могут возникать на уровне сертификации в России. Именно необходимость иметь российские сертификаты на используемые средства защиты требует от компаний дополнительных затрат. К решению этой проблемы компании подходят по-разному, часто ограничиваясь выполнением лишь части требований российского законодательства. Первый вариант — игнорирование требований национального законодательства. К нему транснациональные компании прибегают исключительно редко в силу своего традиционного законопослушания. Второй вариант — частичное соблюдение требований на уровне подготовки организационно-распорядительной документации, которую необходимо предъявлять при проверках национальных регуляторов. Третий вариант, используемый большинством транснациональных компаний, — построение системы ИБ, соответствующей корпоративным политикам и требованиям российских регуляторов (говорить о полном соответствии в данном случае не приходится, так как используемые средства защиты не имеют необходимых сертификатов). Четвертый вариант — обеспечение защиты с использованием проверенных сертифицированных решений. По оценке Черкаса, по этому пути идут примерно 30% компаний, присутствующих на российском рынке.
Чтобы выполнять российские требования, нужно хорошо их знать. В силу диаметрально разных подходов и разного менталитета местных регуляторов это весьма сложно для иностранных специалистов по ИБ. Стоит обратить внимание, что в российских компаниях их почти не осталось, хотя в 90-е годы было довольно много, даже существовал их профессиональный клуб.
Для выполнения международных стандартов необходимо, чтобы российский бизнес достиг понимания их буквы и духа, а это большая проблема, поскольку и практика, и мотивация их выполнения в России практически отсутствуют. Обучение на курсах и сдача международных экзаменов — вещи полезные, но не приближающие к практическому внедрению, считает Емельянников: «Именно поэтому в России так мало организаций, сертифицировавших систему управления информационной безопасностью по стандарту ISO 27001, а система сертификации безопасности информационных систем по ISO 15408 (Общие критерии) фактически вообще не прижилась».