суббота, 4 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 4

В этой части рассмотрены следующие вопросы:
  • Неприкосновенность частной жизни
  • Законодательство и требования
  • Закон Сарбейнза-Оксли (SOX)
  • Закон о преемственности страхования и отчетности в области здравоохранения (HIPAA)
  • Закон Грэма-Лича-Блилей (GLBA)
  • Закон о борьбе с компьютерным мошенничеством и злоупотреблениями (CFAA)
  • Закон о защите персональных данных
  • Базель II
  • PCI DSS
  • Закон о компьютерной безопасности
  • Закон об экономическом шпионаже
  • Вопросы неприкосновенности частной жизни сотрудников


В мире растут угрозы нарушения прав на неприкосновенность частной жизни (privacy) по мере увеличения зависимости людей от технологий. Среди подходов к защите неприкосновенности частной жизни можно выделить общий подход и регулирование отдельных отраслей. Общим подходом является принятие горизонтальных законов. Они относятся ко всем отраслям одновременно, в том числе к правительству и государственным службам. Регулирование отдельных отраслей выполняется с помощью принятия вертикальных законов, которые устанавливают требования к отдельным вертикалям, например, к финансовому сектору, здравоохранению и т.п. В обоих случаях это направлено на достижение двух целей. Во-первых, эти инициативы направлены на защиту персонльных данных. Во-вторых, они обеспечивают баланс между интересами людей и интересами государства и бизнеса, которые собирают и используют персональные данные этих людей для поддержания безопасности государства и бизнеса.

Рядом стран были приняты законы о защите неприкосновенности частной жизни. Например, в США были приняты новые законы, такие как Gramm-Leach-Bliley Act (1999 год) и HIPAA (Health Insurance Portability and Accountability Act), несмотря на то, что на тот момет действовал Закон о конфиденциальной информации (Federal Privacy Act) 1974 года. Это является примером вертикального подхода к обеспечению защиты неприкосновенности частной жизни. В качестве примера горизонтального подхода можно привести принятый в Канаде Закон о защите персональной информации и электронных документов (Personal Information Protection and Electronic Documents Act) или Закон о защите частной жизни (Privacy Act), введенный в 1993 году в Новой Зеландии.

Закон о конфиденциальной информации был направлен на защиту персональных данных граждан США, которые собирали государственные учреждения. В нем указано, что сбор любых персональных данных может производиться только на законных основаниях, а собранные данные могут использоваться только для целей, для которых они собирались, и храниться в течение обоснованного периода времени. Если учреждение собирает персональные данные, человек имеет право запросить у него собранные о нем данные. Сейчас подобные законы существуют во многих странах мира.

Технологии постоянно развиваются, растет объем данных в информационных хранилищах, развиваются технологии сбора, анализа и распространения данных. Компании-агрегаторы данных собирают большой объем детальной личной информации миллионов людей, хотя большинство людей никогда не слышали об этих компаниях, никогда не открывали у них счета, не давали им разрешения на получение своих персоналных данных. Задачей таких компаний является сбор и хранение подробной информации о людях, которую они затем успешно продают. Например, у одной из таких компаний ChoicePoint хранятся персональные данные около 19 миллионов людей.

Казалось бы, это и правильнее – хранить всю информацию в одном месте. Из такого централизованного и надежного источника ее было бы легче получить, она будет достоверна, но… слишком многие захотят получить такой огромный объем личных данных людей. Взлом всего лишь одной такой системы, пусть и хорошо защищенной, окупит любые затраченные на это усилия. В США работает компания LexisNexis, которая занимается сбором и продажей личных и финансовых данных на американских потребителей. В 2005 году компания заявила о краже личной информации 310 000 американцев.
Рост потребности в законодательном регулировании вопросов по защите неприкосновенности частной жизни. Следующие аспекты повысили потребность в разработке дополнительных законодательных требований в области защиты неприкосновенности частной жизни:
  • Улучшение технологий сбора, объединения (агрегирования) и поиска данных
    • Постоянно появляются новые крупные хранилища персональных данных
  • Стирание границ (глобализация)
    • Персональные данные передаются между различными странами по множеству причин
    • Глобализация бизнеса
  • Улучшение технологий
    • Сбор, глубокий анализ, распространение критичной информации


Законодательство и требования в области компьютерной и информационной безопасности охватывают множество различных областей. В частности, необходимым является регулирование таких областей, как защита персональных данных, злоупотребления компьютерами, защита авторских прав на программное обеспечение, защита конфиденциальных данных, контроль за применением криптографии. Соответствующие требования могут предъявляться как к государственным учреждениям, так и к коммерческим компаниям в рамках охраны окружающей среды, защиты интеллектуальной собственности, обеспечения национальной безопасности, неприкосновенности частной жизни, общественного порядка, охраны здоровья, предотвращения мошенничества.

Специалисты по безопасности должны прикладывать большие усилия, чтобы идти в ногу со временем, и заранее узнавать, как работает последний сетевой червь, новый вариант DoS-атаки, и что надо сделать, чтобы защититься от всего этого. Они должны отслеживать выход новых продуктов по безопасности, анализировать их отличие от существующих продуктов. Им необходимо быть в курсе новых технологий, своевременно узнавать о выходе исправлений и патчей. Они должны знать о новых методах шифрования, механизмах управления доступом, средствах обеспечения безопасности телекоммуникаций, новых методах социальной инженерии и физической безопасности. Кроме того, они должны хорошо знать действующие законы и требования регуляторов, применимые к отрасли, в которой работает их компания. Количество требований, предъявляемых к компаниям, постоянно растет, а их несоблюдение ведет к все более серьезным последствиям, среди которых могут быть штрафы, прекращение деятельности компании, лишение свободы должностных лиц компании.

Разработанные правительством и государственными учреждениями законы и требования обычно не содержат подробных инструкций, следование которым позволит защитить компьютеры и информационные активы компании. Внутренняя среда каждой компании уникальна по своей топологии, применяемым технологиям, инфрастртктуре, к ней предявляются различные бизнес-требования, она имеет различную функциональность, в ней работает различный персонал. А поскольку технологии меняются в столь быстром темпе, законы и правила, устанавливающие детальные требования, бысто теряли бы свою актуальность. Поэтому они разрабатывают высокоуровневые требования, над реализацией которых потом ломают голову компании. Именно здесь приходят на помощь специалисты по безопасности. В прошлом, специалисты по безопасности должны были знать, как выполнять тесты на проникновение, как настраивать межсетевые экраны, – они имели дело только с техническими вопросами обеспечения безопасности. Сегодня специалисты по безопасности вышли из серверных комнат, теперь они принимают гораздо более активное участие в решении бизнес-ориентированных вопросов. Специалист по безопасности должен знать законы и требования, которым должна соответствовать компания, он должен понимать, какой должен быть реализован контроль для обеспечения соответствия им. Современный специалист по безопасности должен стоять одной ногой в техническом мире, а другой – в мире бизнеса.

Со временем экзамен CISSP становится все менее ориентированным на американскую специфику, сейчас он носит значительно более глобальный характер. Из теста исключены специфичные вопросы, касающиеся исключительно законодательства США. В нескольких последующих разделах в качестве примера приведены американские законы и требования, однако почти каждая страна имеет похожие собственные законы (либо разрабатывает их в настоящее время). Для прохождения экзамена CISSP знание самих этих законов не требуется, достаточно понимания причин их разработки и целей.


Закон Сарбейнза-Оксли (SOX - Sarbanes-Oxley Act) был разработан после ряда громких корпоративных скандалов и мошенничеств, в которых инвесторы потеряли миллиарды долларов, что угрожало всей экономике в целом.

SOX применим к любой компании, ценные бумаги которой торгуются на американской бирже. В основном этот закон содержит требования в отношении методов ведения учета и отчетности о финансовом положении компании. Однако некоторые части, в частности Раздел 404, имеют прямое отношение к информационной безопасности.

В SOX определено, как компании должны отслеживать, управлять и отчитываться по своей финансовой информации. Это включает защиту данных, обеспечение гарантий их целостности и достоверности. Большинство компаний полагаются на компьютерное оборудование и электронные хранилища информации для проведения транзакций и хранения архива данных, поэтому они обязаны внедрить соответствующие процессы и контроли для обеспечения защиты данных.

За несоответствие требованиям SOX на компанию могут быть наложены штрафы, а руководству компании (включая генерального директора, финансового директора и других) может грозить лишение свободы.


Закон о преемственности страхования и отчетности в области здравоохранения (HIPAA - Health Insurance Portability and Accountability Act) – это обязательные государственные стандарты и процедуры, определяющие требования к порядку хранения, использования и передачи личной медицинской информации и сведений о состоянии здоровья. Эти требования предоставляют основу и являются руководством по обеспечению безопасности, целостности и конфиденциальности медицинской информации. HIPAA содержит требования по управлению безопасностью для любой организации, которая создает, использует, передает (предоставляет доступ) или уничтожает медицинскую информацию.

Сведения о состоянии здоровья людей могут неправомерно использоваться по многим причинам. Информация с бумаги переносится в электронные системы, что упрощает сопровождение этой информации, ее использование и передачу. Однако это также ведет к появлению более простых способов для несанкционированного использования этой информации. Традиционно, медицинские учреждения отставали от других отраслей бизнеса в вопросах обеспечения информационной и сетевой безопасности, поскольку у них не было бизнес-потребностей для расхода дополнительных средств и ресурсов на внедрение этих вещей. Но не сейчас.

В HIPAA предусмотрены крупные штрафы за несоответствие требованиям. В случае использования медицинской информации с нарушением указанных в HIPAA требований по обеспечению ее конфиденциальности (даже если это произошло по ошибке), на компанию налагается денежный штраф от 100 долларов за каждое выявленное нарушение, до 25 000 долларов в год за нарушение стандарта. Если защита медицинской информации не была обеспечена или была нарушена сознательно, штраф может достичь 50 000 долларов, а руководителю компании грозит лишение свободы на один год. Если защита медицинской информации была нарушена вследствие обмана, штраф возрастает до 250 000 долларов, а виновному грозит лишение свободы на срок до 10 лет. Это серьезный бизнес.


Закон Грэма-Лича-Блилей (GLBA - Gramm-Leach-Bliley Act) был принят для того, чтобы защитить информацию клиентов финансовых организаций, от кражи, несанкционированного использования и злоупотреблений. Он требует, чтобы финансовые организации разрабатывали внутренние положения по обеспечению конфиденциальности и предоставляли своим клиентам возможность запрета финансовой организации обмениваться относящейся к этим клиентам информацией с неаффилированными третьими сторонами. В законе указано, что Совет Директоров несет ответственность за различные проблемы безопасности в работе финансовой организации, предусмотрена необходимость реализации управления рисками, проведения обучения персонала по вопросам информационной безопасности, а также требования по надлежащему тестированию реализованных мер безопасности. Также в нем указаны требования по разработке политики безопасности.


Закон о борьбе с компьютерным мошенничеством и злоупотреблениями (CFAA - Computer Fraud and Abuse Act), разработанный в 1986 году и доработанный в 1996 году, является основным антихакерским законом США. Он запрещает семь видов деятельности, определяя их в качестве преступлений:
  • Несанкционированный доступ или превышение полномочий доступа к компьютерам правительственных учреждений для получения классифицированной информации
  • Несанкционированный доступ или превышение полномочий доступа к компьютерам финансовых организаций, правительственных учреждений и любым другим защищенным компьютерам, участвующим во внутреннем и международном информационном обмене
  • Несанкционированный доступ к компьютерам правительственных учреждений (или компьютерам, работающим в интересах правительства), оказывающий негативное воздействие на их работу
  • Несанкционированный доступ или превышение полномочий доступа к защищенным компьютерам с целью обмана
  • Умышленная несанкционированная передача программы, информации, кода или команды с целью нанесения ущерба защищенному компьютеру
  • Умышленный перехват компьютерных паролей с целью мошенничества
  • Передача сообщений, содержащих угрозы, способные причинить ущерб защищенному компьютеру
Классификация этих действий варьируется от проступков до преступлений, соответствующим образом устанавливается размер штрафа за их совершение. Максимальной мерой наказания за совершение этих действий является лишение свободы.


В середине 1960-х годов было внесено предложение об организации хранения правительством США в едином банке данных информации о каждом американском гражданине, включая информацию Управления социального страхования, Бюро переписи населения, Налоговой службы, Бюро трудовой статистики и других правительственных учреждений. Комитет, который внес это предложение, видел в этом эффективный вариант сбора и централизованного хранения данных. Однако другие увидели в этом шаг в сторону ограничения права на неприкосновенность частной жизни. Единый государственный банк данных так и не был создан из-за сильного противодействия оппозиции.

Для контроля деятельности правительства в части сбора информации о гражданах США, большинство файлов общедоступны и являются открытой информацией в соответствии с Законом о свободе информации (Freedom of Information Act). Исключение составляют только информация, доступ к которой ограничивается в соответствии с законодательством. Закон о защите персональных данных (Federal Privacy Act) 1974 года распространяется на записи и документы, собираемые и обрабатываемые различными государственными учреждениями, например, органами исполнительной власти, государственными корпорациями, независимыми регулирующими органами, а также корпорациями, контролируемыми правительством. Этот закон не распространяется на Конгресс, судебные и территориальные подразделения.

Государственные учреждения могут собирать и обрабатывать информацию об образовании людей, истории их болезни, финансовую информацию, сведения о судимости, занятости и другую подобную информацию только если она действительно необходима для реализации целей, для которых были созданы эти учреждения. Закон о защите персональных данных содержит запрет на раскрытие такой информации государственными учреждениями без письменного разрешения от человека, к которому она относится. В случае распространения государственным учреждением персональных данных человека без его согласия, он может подать в суд на это учреждение за нарушение его прав на частную жизнь. Однако, как и в большинстве других законов, в Законе о защите персональных данных существует ряд исключений.

Поскольку информация хранится в компьютерных системах, всегда существует риск ее утечки. Для защиты от этого, компьютерные системы государственных учреждений должны быть защищены необходимыми механизмами безопасности.


Банком международных расчетов (Bank for International Settlements) были разработаны инструменты, позволяющие защитить банки от чрезмерного роста, который может привести к их банкротству. В первоначальном Базельском соглашении по капиталу (Basel Capital Accord) были установлены требования к минимальному размеру капитала, который финансовые организации обязаны держать под рукой.

Базель II вступил в силу в ноябре 2006 года. В нем применен более совершенный подход к определению реальной подверженности риску каждой финансовой организации, он учитывает предпринятые меры по снижению риска, давая финансовым организациям стимул для инвестиций в меры и средства безопасности.

Базель II состоит из трех основных компонентов (pillar). Первый компонент представляет расчет минимальных требований к капиталу на основе результатов оценки кредитного, рыночного и операционного рисков. Второй компонент содержит основные принципы для надзорного процесса, управления рисками и безопасностью. Третьим компонентом является рыночная дисциплина, которая содержит комплекс требований о раскрытии информации, позволяющей участникам рынка оценить подверженность организации риску, убедиться в достаточности ее капитала.

Информационная безопасность является неотъемлемой частью Базель II. Финансовые организации стремятся снизить необходимый размер капитала, который всегда должен быть у них под рукой. А для этого они должны постоянно оценивать свою подверженность риску, внедрять защитные меры для снижения рисков.


Кражи личных данных и мошенничество с банковскими картами происходят все чаще. Хотя это происходило и раньше, распространение сети Интернет и компьютерных технологий дало злоумышленникам возможность украсть миллионы записей за один раз.

Индустрия банковских карт приняла активные меры для борьбы с этой проблемой и поддержки доверия клиентов к банковским картам, как к безопасному инструменту выполнения финансовых операций. Visa выступила с инициативой создания программы обеспечения информационной безопасности держателей карт (CISP – Cardholder Information Security Protection), другие платежные системы начали разрабатывать свои собственные аналогичные программы.

В конце концов, платежные системы объединили свои усилия и разработали стандарт PCI DSS (Payment Card Industry Data Security Standards). Для поддержки и обеспечения соблюдения требований PCI DSS был организован PCI Security Standards Council.

PCI DSS распространяется на любой процесс или объект, связанный с передачей, хранением или использованием данных банковских карт. Уровень требований, предъявляемых к компании, обрабатывающей данные банковских карт, зависит от ее размеров и объема операций с картами. От этих же параметров зависят и штрафы за нарушение требований. Поскольку банковскими картами пользуются миллионы людей, а карты принимаются к оплате почти в любой торговой организации, очень многие организации по всему миру обязаны соответствовать требованиям PCI DSS.

PCI DSS содержит 12 основных требований, разбитых на шесть основных категорий. Этими шестью категориями PCI DSS являются: Обеспечение и поддержка безопасности сети, Защита данных держателей карт, Поддержка программы управления уязвимостями, Реализация строгого контроля доступа, Постоянный мониторинг и тестирование сети, Поддержка политики информационной безопасности. Основными требованиями PCI DSS являются:
  • Установить, настроить и поддерживать межсетевой экран для защиты данных держателей карт
  • Изменить настройки безопасности и пароли, установленные производителем «по умолчанию»
  • Обеспечить защиту данных держателей карт при хранении
  • Обеспечить шифрование данных держателей карт при их передаче по открытым сетям
  • Использовать и регулярно обновлять антивирусное программное обеспечение
  • Соблюдать меры безопасности при разработке и поддержке систем и приложений
  • Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
  • Каждый человек, имеющий доступ к компьютеру, должен иметь уникальный идентификатор
  • Ограничить физический доступ к данным держателей карт
  • Отслеживать и контролировать любой доступ к сетевым ресурсам и данным держателей карт
  • Регулярно тестировать системы и процессы обеспечения безопасности
  • Поддерживать политику, регламентирующую вопросы информационной безопасности
PCI DSS является инициативой коммерческой индустрии. Это не закон. Несоблюдение или нарушение требований PCI DSS может привести к финансовым штрафам или отзыву членства организации в международной платежной системе, но не к лишению свободы. Однако следует отметить, что Миннесота недавно стала первым американским штатом, утвердившим PCI Compliance в качестве закона, а другие штаты и правительство США рассматривают аналогичные меры.


Закон о компьютерной безопасности (Computer Security Act) от 1987 года требует, чтобы американские государственные учреждения провели идентификацию компьютерных систем, содержащих критичную информацию. Каждое государственное учреждение должно разработать политику безопасности и план для каждой из этих систем, организовать периодическое обучение для лиц, которые поддерживают и управляют этими системами, а также для их пользователей. Сотрудники государственного учреждения должны быть осведомлены о требованиях безопасности, а также об установленных правилам по использованию компьютеров и этих систем.

Поскольку правительство США работает с большим количеством важной, конфиденциальной и секретной информации, ему требуется уверенность в том, что все сотрудники должным образом осведомлены о действующих требованиях безопасности, а все системы соответствуют необходимому уровню защиты.


До 1996 года в США не было каких-либо руководящих принципов, которые могли бы быть использованы при расследовании случаев промышленного и корпоративного шпионажа. Закон об экономическом шпионаже (Economic Espionage Act) 1996 года содержит необходимые для рассмотрения подобных случаев принципы, он делит коммерческую тайну на техническую, деловую, инженерную, научную и финансовую. В нем говорится о том, что защищаемые активы не обязательно должны быть материальными. Этот Закон позволяет ФБР расследовать случаи промышленного и корпоративного шпионажа.


Компания должна продумать ряд вопросов по защите персональных данных своих сотрудников. Компания должна понимать, что в каждом государстве и регионе могут быть свои особенности законодательства по защите персональных данных, которые она должна проанализировать, чтобы понять, что она может делать с персональными данными сотрудников, а что - нет.
Проверка кандидатов на работу в компании. В Домене 01 мы рассматривали вопрос, почему так важно надлежащим образом проверять людей перед их приемом на работу в компанию. Это необходимо для собственной защиты компании и позволяет найти именно того сотрудника, который нужен компании для выполнения определенной работы. В этом Домене этот же вопрос рассматривается с другой стороны – в части прав человека на неприкосновенность частной жизни.

Существуют ограничения по видам и объемам информации, которую компания может получить в отношении кандидата на вакантную должность. Такие ограничения могут быть различными в разных странах и регионах, поэтому специалисты по подбору персонала должны проконсультироваться по этому вопросу с юристами. Обычно кадровые службы создают шаблоны для специалистов по подбору персонала, которых те должны придерживаться при проведении интервью с кандидатом и проверки кандидата.
Если компания использует средства для перехвата набираемой на клавиатуре информации, электронной почты, интернет-трафика и иными способами следит за действиями своих сотрудников, она должна предпринять шаги для уведомления об этом сотрудников. Сотрудники должны знать, что компания может использовать такие способы мониторинга, это не должно оказаться для них сюрпризом. Уведомление сотрудников необходимо для обеспечения законности такого контроля их действий.

Проводимый мониторинг должен иметь отношение только к работе, т.е., например, руководитель может прослушивать разговоры своих подчиненных с клиентами, но он не имеет права прослушивать их личные разговоры, не связанные с работой. Мониторинг должен применяться ко всем сотрудникам в равной степени, а не только к одному – двум сотрудникам.

Если компания считает необходимым вести мониторинг переписки сотрудников по электронной почте, она должна объяснить это сотрудникам сначала посредством политики безопасности, а затем с помощью постоянных напоминаний, например, в виде баннера на внутреннем веб-сайте компании или в процессе регулярного повышения осведомленности. Лучше всего, чтобы сотрудники были ознакомлены под роспись с документом, в котором описаны виды мониторинга, применяемого компанией для контроля действий сотрудников, указано, что считается приемлемым поведением, и каковы последствия несоблюдения действующих в компании требований. Подписывая такой документ, сотрудник отказывается от части своих прав.

Если компания хочет иметь возможность контроля электронной почты сотрудников, она должна отразить этот момент в своей политике безопасности и стандартах. Компания должна указать, кто уполномочен читать сообщения сотрудника и при каких обстоятельствах может применяться мониторинг электронной почты, из каких источников будут перехватываться передаваемые сообщения (почтовый сервер компании, внешние почтовые сервисы, компьютер сотрудника). Если компания будет выполнять подобный мониторинг тайно, не уведомив о нем сотрудников, это может закончиться для нее судебными исками. Хотя специалисты ИТ и подразделений безопасности имеют доступ ко многим компонентам компьютерных систем и сетей компании, это не означает, что у них есть моральные права и законные основания, чтобы вмешиваться в личную жизнь сотрудников компании. Они могут выполнять только те задачи, которые необходимы для реализации положений политики безопасности и ничего более.

Было немало случаев, когда компании увольняли сотрудников за неправильные действия (просмотр порносайтов, отправку по электронной почте конфиденциальной информации компании ее конкурентам и т.п.), а сотрудники подавали на компанию в суд за неправомерное увольнение. Если компания не указала в своей политике безопасности, что такие действия запрещены, и не предприняла достаточных мер для информирования сотрудников (путем повышения их осведомленности по вопросам безопасности, размещения баннеров на внутреннем сайте и т.п.) о том, что считается приемлемым, а что неприемлемым, какие последствия могут быть за выполнение запрещенных действий, в таком случае у сотрудника есть хорошие шансы выиграть судебное дело и получить компенсацию от компании. Чтобы избежать этого, компания должна учитывать эти вопросы в своих политиках, стандартах, сообщать о них в рамках мероприятий по повышению осведомленности сотрудников по вопросам безопасности. Если это не было сделано, адвокат сотрудника будет утверждать, что сотрудник имел право на личную жизнь.
Защита собственных персональных данных. У пользователей также есть обязанности по защите своих персональных данных в своих системах. Они должны руководствоваться здравым смыслом и лучшими практиками. Защитные меры включают шифрование критичных персональных данных, использование межсетевого экрана, антивирусной программы, регулярную установку патчей. При удалении информации, содержащей критичные персональные данные (например, номер банковской карты), следует использовать специальные утилиты, удаляющие информацию без возможности ее восстановления. Пользователи должны понимать, что как только их данные станут доступны третьей стороне, они потеряют контроль над ними.

Комментариев нет: