В одном сборнике цитат мне встретилась фраза малоизвестного мыслителя, который попал в компанию с великими, очевидно, по недоразумению: “Право — это подлинное воплощение всего прекрасного. В нем не должно быть никаких ошибок или изъянов...”.
Наглядным примером, опровергающим эту иллюзию, является российское законодательство в области информационной безопасности (ИБ). Более того — оно представляет собой не просто структуру “с изъянами”, а нагромождение курьезов, над которыми обычные граждане не смеются только потому, что не в состоянии в них разобраться, а технические специалисты — потому, что им хочется плакать.
Государственный и коммерческий секторы с точки зрения защиты информации
Принципиальная разница состоит в том, что в одном из этих секторов государственная тайна есть, а в другом — нет. Сразу оговоримся, что в данной статье целесообразность и методы защиты гостайны не обсуждаются. Как считали нужным защищать ее в качестве регуляторов Гостехкомиссия (теперь — ФСТЭК) и ФАПСИ (теперь — ФСБ), так пусть и продолжают. Это их священное право, по сравнению с которым развитие информационных технологий (ИТ), разумеется, вторично. Даже если в целях безопасности будет запрещено хранить государственные секреты в электронном виде — особых проблем не возникнет. Когда видишь, с каким восторгом по телевидению рекламируют технические характеристики только что взлетевшего истребителя 5-го поколения, складывается впечатление, что оставшиеся тайны вполне можно описать перьевой ручкой.
Сложнее обстоит дело в коммерческом секторе. Здесь ФСТЭК и Лицензионный центр ФСБ (в качестве госорганов) не покладая рук регулируют защиту конфиденциальной информации, которая гостайной не является, государству не принадлежит и о помощи в защите которой владельцы, в общем-то, не просят. Блестящим образцом такого патерналистского подхода стал закон № 152-ФЗ “О персональных данных”. Здесь за счет неоправданно жестких требований (значительно перекрывающих международные) налицо недвусмысленный эффект торможения развития отечественных ИТ. Что в итоге снижает конкурентоспособность российской экономики на мировой арене. И это на фоне официально провозглашенного курса на всеобщую модернизацию.
Впрочем, разве впервые все выходит по принципу “хотели как лучше — получилось как всегда”?
Закон об электронной цифровой подписи (2002 г.)
Не первый, но весьма показательный случай, когда ИТ-сектор больно наступил на законодательные грабли. Единственное, что можно сказать об этом законе положительного, — это что с его опубликованием арбитражные суды перестали пугаться понятия “электронная цифровая подпись” (ЭЦП). По поводу всего остального его не ругал только ленивый, и вал критики сошел на нет лишь из-за временного фактора. В плане развития ИТ закон не дал практически ничего. Конечно, кто-то посчитает такое утверждение спорным, но достаточно объективно взглянуть на результаты. Навязывание не только государственному, но и коммерческому сектору использования в качестве средств ЭЦП национальных криптоалгоритмов в ущерб международным резко усложнило (и сделало более дорогим) развитие этого направления ИТ по сравнению с общемировой практикой. В итоге существование в настоящее время в недрах Минкомсвязи Реестра удостоверяющих центров (УЦ), в котором можно зарегистрировать открытый ключ УЦ, никак нельзя назвать заметным успехом или достижением. Регистрация УЦ в этом реестре (которая возможна только на ГОСТовском алгоритме), — по сути чистая формальность, не имеющая юридического или технологического применения. Таким образом, единой федеральной инфраструктуры УЦ за 8 (!) лет так и не возникло, а все существующие разрозненные удостоверяющие центры по-прежнему играют роль корпоративных. Сейчас, как и до 2002 г., для придания юридической силы электронным документам, подписанным ЭЦП, стороны вынуждены предварительно обмениваться дополнительными письменными соглашениями.
И ведь нельзя сказать даже, что Закон об ЭЦП породил надежды, которым не суждено было сбыться. Для технических специалистов (к чьим мнениям никто не желал прислушиваться) с самого начала было ясно, что в принятой интерпретации закон будет иметь следствием технологический застой в этой области. Текст его, подготовленный ФАПСИ, характеризовался достижением максимальной безопасности за счет максимальной неприменимости в реальной жизни. Иначе говоря, этот закон и не собирался работать.
Закон о защите персональных данных (2006 г.)
Закон №152-ФЗ явился реакцией на ратификацию Российской Федерацией 19 декабря 2005 г. Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”. Но нельзя сказать, что реакция эта была адекватной. Конвенция и детализирующие ее положения Директивы Европарламента и Совета Европейского Союза оперируют общими терминами типа: “надлежащие средства безопасности”, “адекватный уровень защиты” и т. п., не углубляясь в технические подробности и отнюдь не запрещая, например, использование международных коммерческих алгоритмов шифрования и средств защиты от несанкционированного доступа, встроенных в операционные системы и широко распространяемые программные продукты. В то же время российские регламентирующие документы ФСБ и ФСТЭК, связанные с № 152-ФЗ, акцентируют внимание именно на технических подробностях, требуют использования сертифицированных средств защиты, т. е. ориентируются на применение гораздо более жестких национальных стандартов безопасности, сопоставимых с защитой гостайны. Вместо того, чтобы присоединиться к европейскому подходу защиты “privacy”, защита персональных данных (ПДн) в российском варианте вылилась в нарушение принципа международной универсальности до такой степени, что теперь по закону в любой момент можно запретить трансграничную передачу ПДн в любую страну, поскольку должного уровня защиты (по стандартам РФ) даже развитые государства не обеспечивают.
К примеру, все данные пассажиров международных и внутренних рейсов Аэрофлота проходят через центральные серверы глобальной дистрибутивной системы Sabre в США. Спрашивается: какой смысл дополнительно защищать информацию по билетам на компьютерах самого Аэрофлота, если уровень защиты основной базы данных в США неудовлетворителен (ну нет у американцев сертифицированных российских средств и лицензии ФСТЭК)? Или следует прекратить передачу данных, остановив систему распространения билетов, а заодно — и деятельность авиакомпании? Впрочем, это лишь забавный аспект проблемы. Гораздо хуже, что выполнение чрезмерных требований подзаконных актов к автоматизированным системам, обрабатывающим ПДн, ложится (да еще в период кризиса) тяжким финансовым бременем на организации коммерческой сферы. Для государственных организаций они вообще финансово неподъемны, но санкции им, очевидно, и не грозят. А избирательность применения всеобщего закона по принципу “мир хижинам (т. е. бюджетным организациям), война дворцам (т. е. банкам и мобильным операторам)” — плохая юридическая характеристика с точки зрения права.
Жалеть банковский сектор у государства, допустим, нет причин. В конце концов (как сказал кто-то из знаменитых французов), “финансисты поддерживают государство точно так же, как веревка поддерживает повешенного”. Но и рубить сук, на котором держится экономика, рискованно. К тому же (по всем европейским понятиям) меры, давно предпринимаемые кредитными организациями для защиты конфиденциальной информации, вполне достаточны и для защиты “privacy”. Но, видимо, не для защиты российских ПДн.
Круг, начавшийся со стремления к европейской интеграции и благих намерений по защите данных своих граждан, замкнулся своеобразно. Невольно напрашивается ассоциация со змеей, укусившей себя за хвост и упорно давящейся им.
№152-ФЗ и/или здравый смысл
Прежде всего, заметим, что выполнимость некоторых положений самого закона, мягко говоря, сомнительна. Рассмотрим хотя бы пункт 4 статьи 9, который требует предварительного письменного согласия субъекта на обработку его данных. А вам, скажем, необходимо быстро переслать по банковской системе денежных переводов деньги родственникам. И как же банк может получить письменное согласие получателя до обработки его ПДн в системе? Теоретически, конечно, может, но не за 15 минут, а за три-четыре дня и при условии, что за это мероприятие отправитель заплатит отдельно. Так что же: банкам прекратить переводить деньги с использованием ФИО физических лиц и предъявлением адресатами паспортов? Или гражданам забыть про поддержку родственников?
А интернет-магазины? По европейским понятиям клиенту достаточно щелкнуть мышкой в соответствующем окошечке на сайте, чтобы дать согласие на обработку его имени и адреса. Но по № 152-ФЗ получается, что пользователь сначала должен выслать письмо с таковым согласием, да не в произвольной форме, а с обязательным упоминанием шести позиций (включая срок действия этого согласия и порядок его отзыва!). Нельзя сказать, что в случае внедрения такой методики смерть российских интернет-магазинов будет медленной и мучительной. Все произойдет быстро.
Однако не будем слишком критичны. Сам по себе текст закона не вызывает столько нареканий, сколько подзаконные акты, содержащие требования и рекомендации ФСБ и ФСТЭК. Но уж эти акты...
ФСБ, впрочем, ничем не удивило, традиционно исходя из предположения, что хакеры и иностранные разведки только и думают, как найти лазейки в нестойких (т. е. несертифицированных) криптосредствах, чтобы добраться до персональных данных. Хотя на самом деле первые тратят усилия в основном на незаконное добывание денег (причем без всяких поползновений на вскрытие каких бы то ни было криптографических алгоритмов, которые для них все равно слишком стойки), а вторым ни к чему заниматься такой ерундой (хотя от них вряд ли спасут и сертифицированные средства, которые предназначены лишь для защиты коммерческого уровня и также имеют, строго говоря, статус криптосредств временной стойкости).
ФСТЭК пережил в результате принятия 152-ФЗ звездный час, разом подняв на порядок степень своего влияния на коммерческий сектор. Чего стоит одно только требование получения организацией лицензии ФСТЭК для защиты ПДн, в то время как раньше для защиты информации, не содержащей гостайны, этого не было нужно. Документы с рекомендациями и требованиями ФСТЭК порождают целую гамму чувств, начиная от недоумения и кончая истерическим смехом.
Начнем с того, что требование борьбы с побочными электромагнитными излучениями и наводками (ПЭМИН) на коммерческом уровне является откровенным абсурдом. Даже для добывания наиболее дорогой финансовой информации (не говоря уже о ПДн) ни хакеры, ни конкуренты никогда не пойдут по пути использования ПЭМИН, поскольку эти методики слишком дороги, технологически сложны и не дают, как правило, достаточно полной информации, т. е. совершенно нерентабельны. Что годится для научно-технической разведки, ценящей даже обрывки вспомогательных данных, то бессмысленно в коммерческих целях.
Рекомендации по поводу защиты акустической информации, содержащей ПДн (т. е. обычных разговоров), при чтении воспринимаются как тонкий юмор со стороны сотрудников ФСТЭК. Подробное описание конструкции двойных рам, толщины стекол и расстояний между ними (необходимых для комнат, где ведутся беседы с упоминанием хоть чьих-нибудь имен и фамилий) просто умиляет. Никого при разработке документа ни на минуту не смутил очевидный факт, что даже банки не бросятся заменять свои некондиционные рамы, а максимум, на что способны районные поликлиники в данном направлении, — это перейти на шепот при обсуждении персональных болячек пациентов.
Исправление ошибок
Проблема состоит не в том, что допущенные “перегибы” нельзя откорректировать. Уже принята “новогодняя” поправка, отложившая на год выполнение требований 152-ФЗ к автоматизированным системам. В стадии проработки находятся и другие исправления к закону, которые позволят интерпретировать его более разумным образом и по отраслевому принципу (т. е., например, в отношении банков трактовку его требований логичнее передоверить ЦБ). Одновременно группа депутатов внесла в Государственную думу проект нового закона “Об электронной подписи”, который предположительно может вывести из технологического тупика ситуацию с применением ЭЦП (если его несколько доработать в ходе чтений).
Проблема заключается в том, что надо бороться с причинами, а не со следствиями. В данном случае дефектна сама схема. Никто не сомневается в высокой ответственности законодателей за принимаемые ими решения. Их мудрости вполне хватило, например, в 2004 г., чтобы отклонить поправку в Закон о СМИ, запрещающую показ по телевидению сцен насилия и жестокости с 7.00 до 22.00 (под которую подпадали даже мультсериал “Ну, погоди!” и сказка о Красной Шапочке). Однако в случаях прохождения законов в области ИБ этой мудрости оказывается явно недостаточно. А устоявшаяся практика, когда либо при разработке закона, либо при его прохождении парламент слепо полагается на мнение регуляторов, приносит печальные плоды. Просто потому, что какими бы благими намерениями ни руководствовались ФСБ и ФСТЭК, их совершенно не волнует, как закон будет работать практически и сколько это будет стоить. Зато их стремление внедрить даже за пределами госсектора вместо международных более дорогие и громоздко реализуемые национальные стандарты безопасности вызывает торможение развития ИТ. Очевидно, для рассмотрения специализированных законопроектов (причем не только в области ИТ) Думе явно не хватает “Комитета по негативным последствиям законотворчества”, который на основе привлечения независимых экспертов оценивал бы потенциальные неприятности до, а не после.
После нескольких бесплодных лет пробуксовки “электронного правительства” Минкомсвязи недавно подверглось справедливой критике Президента по поводу того, что граждане могут получить в электронном виде с сайтов учреждений только информацию, но не услуги. Но по стандартной логике ФСБ пользователю следовало бы идентифицироваться на этих сайтах с помощью сертифицированных средств ЭЦП и отечественных криптоалгоритмов. Можно ли представить, что из уважения к взятому курсу на модернизацию все население дружно оплатит и инсталлирует у себя на компьютерах клиентский модуль “КриптоПро”? Да и где им взять цифровой сертификат, который воспринимался бы всеми ведомствами? Ведь единая федеральная структура УЦ на ГОСТе так и не смогла родиться, хотя мук было больше чем достаточно.
В результате Минкомсвязи, видимо, пытаясь найти выход из тупика, начало пропагандировать в СМИ идею реализации электронного ключа для доступа к госуслугам на базе электронных карт международных платежных систем. Но тогда, что показательно, идентификацию граждан в системе государственных услуг обеспечат MasterCard или Visa (с использованием международных коммерческих криптоалгоритмов). А это в свою очередь автоматически подорвет целесообразность ряда предыдущих рекомендаций и требований российских регуляторов.
Выводы
Следует принять за непреложную аксиому (как при прохождении законодательных актов через парламент, так и в повседневной практике), что российские стандарты информационной безопасности для коммерческого сектора не должны превышать международные. Они должны им следовать. В интегрированном мире ИТ технологический национализм обречен, потому что убыточен. Приоритетной целью следует считать универсальность.
Как дополнительные административные преграды в строительстве ведут к удорожанию жилья и его недоступности, так и чрезмерные требования по ИБ ведут к отставанию технологий. И тут и там жизнь требует ограничения влияния бюрократического аппарата. Это означает, в частности, что планируемые поправки к 152-ФЗ должны не “ослаблять” требования подзаконных актов, а полностью отменять те из них, которые не соответствуют международным стандартам и духу подписанной Россией европейской конвенции.
С автором статьи, кандидатом технических наук, можно связаться по адресу: vlad7pnv@mail.ru.
