Перекресток требований: как множественное регулирование ИБ затрудняет жизнь бизнеса

Сфера кибербезопасности и защиты персональных данных в России сегодня регулируется сразу несколькими ведомствами — ФСБ, Банком России, Роскомнадзором и ФСТЭК. Каждое из них отвечает за собственный участок работы: контроль за исполнением законодательства в области информационной безопасности, противодействие компьютерным атакам, защиту критически важных информационных ресурсов и персональных данных. Но, как отмечают участники рынка и CISO, при отсутствии единого координационного центра эти зоны ответственности часто пересекаются. В результате появляются дублирующие и даже конфликтующие нормы: например, организации обязаны уведомлять об утечках персональных данных сразу несколько структур, выполнять схожие, но по-разному трактуемые требования ФСТЭК и Банка России, а также учитывать иногда противоречащие положения ФСБ и ФСТЭК.

«Бумажная безопасность», отвлекающая от реальной

Как отмечает директор департамента методологии информационной безопасности «Ростелекома» Михаил Савельев, сферы ответственности регуляторов часто пересекаются. Так, в вопросах защиты персональных данных основные требования устанавливает ФСТЭК, правила определяет Роскомнадзор, а применение криптографии регулирует ФСБ. В других случаях регуляторы фактически дублируют функции друг друга — например, общие требования ФСТЭК нередко уточняются и дополняются Центральным банком: «Самой регламентированной сферой в части информационной безопасности однозначно является финансовая сфера. Помимо уже указанных регуляторов там на финансовые организации еще накладываются требования платежных систем и прочего».

В результате, практически на любую компанию (как минимум — обрабатывающую персональные данные своих работников) накладывается целый массив требований, обязательных к исполнению, продолжил он. Невыполнение требований может привести к различным санкциям со стороны регуляторов — начиная от предписаний, штрафов, лишения лицензии и заканчивая уголовной ответственностью ответственных лиц.

По словам Савельева, в крупных компаниях с госучастием сложности часто возникают не из-за самих требований, а из-за сопутствующих бюрократических процессов. Один из регуляторов может выпустить рекомендации по усилению безопасности, которые рассылаются по всему рынку — в том числе самой компании. Затем профильные министерства и местные власти по цепочке направляют те же документы дальше, до подведомственных структур. В итоге, если в исходном письме была просьба отчитаться о мерах, отчеты требуют все уровни ведомств. «Так одна и та же инициатива превращается в целую волну отчетности», — отметил Савельев. К этому добавляются периодические запросы из местных органов ФСБ, прокуратур, говорит он. Кроме того, компании попадают под плановые и внеплановые проверки регуляторов, аудиты материнских компаний и т.п.

Помимо этого организациям необходимо взаимодействовать с регуляторами и отправлять в их адрес отчеты, подавать всевозможные сведения в различные реестры. Весь этот документооборот в профессиональной среде даже имеет отдельное название: «бумажная безопасность».  «Трудно поверить, что все надзорные органы смогут когда-нибудь договориться между собой и научиться переиспользовать собираемую информацию, но искренне хочется пожелать им понимания того, что усилия, затрачиваемые на «бумажную безопасность», отвлекают от реализации реальных мер защиты», — подытожил эксперт.

Основная сложность кроется не в объеме «бумажной» работы, а в самой сути нормативных актов, отмечает руководитель ИТ-департамента «ОБИТ» Кирилл Тимофеев. По его словам, компаниям приходится разбираться с новыми требованиями, которые нередко сформулированы расплывчато. Так, недавно вступил в силу закон о маркировке корпоративных звонков, но порядок его исполнения пока не определен. Юридические отделы компаний вынуждены самостоятельно трактовать спорные положения и искать баланс между противоречивыми требованиями разных регуляторов. «Если бы между ведомствами и бизнесом было больше согласованности, нагрузка на компании заметно снизилась бы», — подчеркнул Тимофеев.

Михаил Щербаков, руководитель кибербезопасности hh.ru, считает, что в большинстве своем все требования регуляторов абсолютно здравые и требуют от CISO стандартных решений. Основная сложность заключается в их количестве: «Если говорить в общем, то наибольшие трудности вызывают требования с нечеткими критериями, которые вносят неопределенность в стандартные для нас процессы». 

В качестве примера Щербаков приводит относительно недавние поправки в УК РФ ст. 272.1. Эта статья про незаконное хранение, сбор и передачу ПДн. Специалистам ИБ при расследовании часто приходится проверять сообщения о потенциальных утечках. Расследование предполагает изучение возможных образцов данных, которые могут содержать ПДн для того, чтобы понять действительно ли это утечка или очередной фейк. Только с точки зрения закона такие действия сейчас квалифицируются как незаконные: «Подробных разъяснений или достаточной правоприменительной практики по этой статье нет. Получение комментариев от регулятора также вызывает осложнения. И аналогичные примеры, к сожалению, в нашей практике случаются чаще, чем нам бы этого хотелось».

В Минцифры SecPost сообщили, что ведомство не получало жалоб от отрасли по данному вопросу: «Министерство также находится в диалоге с заинтересованными ведомствами, в том числе ФСБ, ФСТЭК, Роскомнадзором, по вопросам соблюдения требований по информационной безопасности и защите персональных данных. Требования уполномоченных госорганов дополняют друг друга. При необходимости готовы дополнительно обсудить с ведомствами вопросы регулирования. Важно, что исполнение действующих требований, в том числе об обязательных уведомлениях об утечках, позволяет оперативно принять меры реагирования». 

SecPost также направила запросы в ЦБ, ФСБ и ФСТЭК.

Необходимые корректировки в многослойном регулировании

Независимый эксперт Никита Кораблинов (ведет частную практику по ИБ с 2022 года, ранее отвечал за ИБ в СКБ Риком) отмечает, что нынешнее регулирование можно назвать многослойным: «Бумажной работы действительно стало больше — теперь это и модели угроз, и внутренние политики, и журналы, и протоколы тестов, и отчеты об инцидентах. При этом дублирование требований сохраняется: разные регуляторы запрашивают схожие данные в разных форматах и по разным календарям».

На практике наиболее сложными остаются несколько направлений. Категорирование объектов и увязка с моделями угроз требуют точной настройки между бизнес-критичностью, технологической картой и юридическими критериями — ошибка на этом этапе впоследствии обходится дорого. Не меньше проблем вызывает криптография: применение сертифицированных СКЗИ, находящихся в ведении ФСБ, и совместимых средств защиты от ФСТЭК становится особенно сложным в условиях импортозамещения и перехода на облачные решения и контейнеризацию. Аттестация, сертификация и поддержание эксплуатационной документации в актуальном состоянии требуют постоянных инвестиций, особенно для компаний с разветвленной инфраструктурой. Дополнительную нагрузку создают уведомительная отчетность и сообщения об инцидентах — сроки, каналы и форматы у разных регуляторов отличаются, что увеличивает объем работы ИБ-специалистов и юристов.

При этом бизнес и профессиональное сообщество выступают не против регулирования, а за то, чтобы оно оставалось строгим, но при этом предсказуемым и технологичным, продолжил Кораблинов. Среди возможных шагов он называет создание единой цифровой витрины отчетности с единым форматом и API, унификацию терминологии и требований между ФСТЭК, ФСБ и Роскомнадзором, введение «песочниц» и безопасных переходных периодов для тестирования новых норм, а также развитие открытых реестров совместимых и сертифицированных решений — для большей прозрачности рынка.

Облегчить работу компаний, не снижая уровень информационной безопасности, могли бы несколько изменений в регулировании. В первую очередь — согласование и унификация требований между различными регуляторами, например ФСТЭК и Центробанком, считает Алексей Вовк, директор по информационной безопасности в «Лаборатории Касперского». Полезным было бы также предоставление компаниям практических примеров и сценариев реализации требований, а вместе с ними — четких критериев их проверки, что позволило бы проводить самопроверку без ожидания внешнего аудита.

Дополнительную поддержку могли бы обеспечить готовые инструменты для внедрения и автоматизации выполнения нормативных требований, а также примеры компенсирующих мер, заранее согласованных с регуляторами. Это особенно важно в тех случаях, когда выполнить требование напрямую невозможно. Наконец, эффективным стимулом для бизнеса стало бы финансовое поощрение — например, налоговые льготы для компаний, подтвердивших соответствие требованиям и успешно прошедших аудит.

ИБ-компании под особым вниманием

Регулирование в первую очередь влияет на компании, деятельность которых подпадает под контроль профильных ведомств. Им приходится повышать эффективность существующих процессов информационной безопасности, внедрять дополнительные процедуры, закупать и применять новые средства защиты информации. Для компаний, работающих в сфере кибербезопасности, такие требования означают постоянный мониторинг изменений в нормативной базе, доработку своих продуктов с учетом новых правил и рост затрат на техническую поддержку клиентов, говорит Алексей Вовк.

«Для ИБ-компаний количество так называемой «бумажной» работы и отчетности увеличивается, но не радикально. Гораздо серьезней увеличивается объем аналитической работы, а также действий по сертификации своих решений. А это, по нашим оценкам, наиболее сложный этап. В ИБ-компаниях существуют отдельные подразделения, занимающиеся процессом соблюдения норм. Также необходимые эксперты есть внутри команд, разрабатывающих продукты и сервисы», — прокомментировал эксперт.

Кирилл Лёвкин, проджект менеджер MD Audit (ГК Softline), отмечает, что в целом требования регуляторов едины для всех отраслей. Однако для компаний в сфере кибербезопасности контроль строже, так как они работают с критическими системами других организаций и часто имеют доступ к закрытым контурам. Фактически это означает не только исполнение стандартных норм, но и их более глубокую имплементацию, а также регулярные аудиты, сертификации и повышенные требования к сотрудникам.

«ИБ-компании не только обязаны соблюдать все нормативные акты, но и фактически служат примером для рынка, поэтому любая их ошибка воспринимается как удар по всей отрасли. «Моральная» ответственность выше: если ИБ-компания допустит утечку или инцидент, это ставит под сомнение ее компетентность и снижает доверие клиентов ко всем аналогичным провайдерам», — считает он.