На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Юридические аспекты внутренней ИТ-безопасности

А. В. Доля

adolya@gmail.com

 

Проблема обеспечения внутренней ИТ-безопасности стоит сегодня как никогда остро. Компании страдают от нецелевого использования сетевых ресурсов, утечки конфиденциальных данных и внутреннего саботажа. Порой сотрудники не осознают, что совершаемые ими действия наносят вред работодателю, иногда руководствуются чисто материальными мотивами, нередки также случаи совершения саботажа из мести.

Для обеспечения внутренней ИТ-безопасности необходимы организационные мероприятия, соответствующие политики и процедуры, а также технические средства, которые обеспечат защиту на местах. Вдобавок не следует забывать о юридических вопросах, на которые очень редко обращают внимание при защите от внешних ИТ-угроз, но которые становятся чрезвычайно актуальными в контексте внутренней ИТ-безопасности (рис. 1).

Самая серьезная проблема возникает, когда компания пытается взять под контроль такой канал обмена информацией, как электронная почта. Очевидно, что обмен почтовыми сообщениями стал неотъемлемой частью бизнес-процессов, универсальным средством коммуникации, которое позволяет за считанные минуты передать данные в любой конец планеты. Не секрет, что электронная почта таит и немалую угрозу для эффективной работы организации: спам, доля которого сегодня доходит до 90 % всего почтового трафика, вирусы, уже давно превратившиеся из любительских экспериментов подросткового возраста в сложные программы для киберпреступлений и финансового мошенничества, хакерские атаки и фишинг, а также утечка конфиденциальной информации, приносящая не только прямой финансовый ущерб, но и способная подорвать имидж компании и тем самым погубить весь бизнес.

Исследование «Внутренние ИТугрозы в России 2004», проведенное в начале 2005 года компанией InfoWatch и охватившее около 400 крупных и средних предприятий России, выявило, что действия инсайдеров являются самой большой угрозой для российских организаций (за это высказалось 62 % респондентов), а нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза (так считает 98 % опрошенных)(рис. 2).

Если сопоставить плюсы и минусы использования электронной почты, то выяснится, что с одной стороны мы уже не можем отказаться от этого средства коммуникации, а с другой – без адекватной защиты оно таит, несомненно, большую угрозу для организаций, чем, например, риск ограбления или физической утечки информации.

Понимание опасности электронной почты и осознание необходимости ее защиты со стороны пользователей давно стало свершившимся фактом. По данным исследования Ernst&Young Global Information Security Survey 2004 почти 100% респондентов из числа корпоративных заказчиков подтвердили использование антивирусных систем, более 75 % – межсетевых экранов, 58%– антиспамовых фильтров. Однако большинство из них едва ли оценивали юридическую сторону проводимых мер безопасности, в частности законность проверки почтового трафика, так как факт сканирования электронного письма, по сути, нарушает право на тайну переписки.

Создается противоречивая ситуация. Необходимость защиты от электронных угроз вступает в конфликт с неотчуждаемыми правами граждан, закрепленными в Конституции. Чем глубже интеграция информационных технологий в повседневную жизнь любой организации, тем более насущным становится вопрос разрешения этого противоречия, поскольку от него зависит законность используемых систем защиты и, как следствие, нормальная работа пользователя.

Постановка проблемы

В процессе проверки электронной корреспонденции организационными или техническими средствами участвуют три субъекта, каждый из которых имеет определенные права: Компания «X», гр. Иванов (сотрудник компании «X»), гр. Петров (знакомый Иванова, внешний пользователь по отношению к сети компании «X»).

Типичная ситуация заключается в факте пересылки Ивановым письма Петрову (или наоборот) с персонального адреса, из домена компании и с использованием ее компьютерной инфраструктуры.

Экспертиза данной ситуации в условиях российской законодательной действительности выявляет несколько существенных противоречий.

Гр. Иванов имеет право:

  • как сотрудник компании «Х» – на переписку со своими адресатами от своего имени в порядке осуществления функциональных обязанностей согласно трудовому договору;

  • как гражданин РФ – на тайну переписки.

Правоспособность гр. Петрова, в свою очередь, включает право на переписку со своими адресатами от своего имени и, как в предыдущем случае, право на тайну переписки.

Наконец, компания «Х» имеет право на охрану информации (коммерческой тайны, далее – КТ), в частности на действия с целью предотвращения утечки КТ по причине небрежности или неосторожности сотрудника (Федеральный закон «О коммерческой тайне»).

Подобное противоречие между гражданскими правами и правами юридических лиц характерно не только для России. В последние 15 лет все индустриально развитые страны столкнулись с этой проблемой. Практически ни в одной из них она не была решена полностью. До сих пор можно наблюдать коллизии между различными законами, одни из которых защищают право на тайну переписки, другие – необходимость защиты информации как ключевого элемента эффективной деятельности организации. Можно с определенностью сказать, что в России проблема стоит даже менее остро и ситуация более определена.

Например, в Великобритании за последние годы был принят целый ряд законов, регламентирующих мониторинг электронной почты. Однако они по-разному трактуют аналогичные ситуации и противоречат друг другу. Существуют специальные законодательные акты, защищающие право на тайну электронной переписки физических лиц, им противостоят законы, помогающие юридическим лицам и правительственным учреждениям использовать мониторинг для защиты КТ. В 2000 году правительство Великобритании приняло Regulation of Investigatory Powers Act (RIPA), который определяет, как и для каких целей организации могут просматривать переписку сотрудников. Закон, в частности, обязывает юридические лица в явной форме уведомить сотрудника о факте и причинах мониторинга электронной почты. Вместе с тем, при определенных обстоятельствах RIPA оставляет за организациями право и негласного мониторинга. Это, в свою очередь, противоречит Human Rights Act (HRA) и Data Protection Act (DPA), которые защищают права человека на личную информацию. В довершение всего в 2000 году был принят Lawful Business Practice Regulations (LBPR). Его целью было разъяснить, как необходимо применять противоречащие нормы RIPA, HRA и DPA, однако, как признаются английские юристы, LBPR только внес еще большую неопределенность в проблему.

В России право на тайну переписки гарантируется любому гражданину РФ в соответствии с п. 2 ст. 23 Конституции и подтверждается ст. 138 УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничить это право может только Федеральный закон. В настоящее время не существует такого закона, который однозначно определял бы право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты КТ и своей информационной системы.

Вместе с тем действуют:

  • Федеральный закон «Об информатике, информатизации и защите информации», который дает организации-владельцу информации право на ее защиту.

  • Федеральный закон «О коммерческой тайне».

  • Трудовой кодекс Российской Федерации, имеющий статус Федерального закона (№ 197-ФЗ от 30.12.2001), где говорится, что «в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)» (ст. 57).

  • Комментарии к УК: «…нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит».

Какие меры необходимо предпринять компании для обеспечения безопасности электронной переписки (защиты от внешних угроз и утечки конфиденциальной информации) и соблюдения прав Иванова и Петрова? Ведь если даже Иванов будет уличен в промышленном шпионаже при помощи автоматизированной системы контроля почты, он не только может выйти сухим из воды, но и выдвинуть вместе с Петровым встречные иски, которые имеют почти 100процентный шанс быть удовлетворенными. По причине лишения юридической силы доказательство вины Иванова не будет допущено к гражданскому судебному процессу (нарушение ч. 3 ст. 49 ГПК РФ). Также невозможным становится принятие мер дисциплинарного воздействия (например, увольнение, выговор). В то же время доказательства вины Иванова могут использоваться против организации в подтверждение нарушения ею Конституции РФ и для возбуждения уголовного дела в отношении виновных лиц.

Внешние угрозы

В случае с внешними угрозами (вирусами, хакерскими атаками, спамом) проблема законности проверки почтового трафика существенно облегчается. Поскольку кибер-преступник действует всеми доступными нелегальными путями, в его же интересах остаться анонимным, не раскрывать своего имени и местонахождения. Поэтому в случае принадлежности Петрова к компьютерному андеграунду и его причастности к нарушению действующего законодательства (в частности, ст. 273 УК РФ «Создание и распространение вредоносных программ для ЭВМ») вряд ли от него следует ожидать претензии в отношении нарушения тайны его переписки. Рассылка современных вредоносных программ, равно и спама, осуществляется анонимно и носит не личный, но публичный характер. Иными словами, Иванов фактически не состоит в переписке с автором нежелательной рекламы или сетевого червя, коммуникации не носят длительного характера и являются предпринимательской (или преступной) деятельностью.

Внутренние угрозы

Гораздо сложнее обстоят дела в случае с мониторингом почтовой корреспонденции с целью предотвращения утечки конфиденциальной информации. Сегодня подобные системы внутренней безопасности становятся все более популярными. Согласно отчету CSI/FBI Security Survey 2003 именно неправомерные действия сотрудников (саботаж, шпионаж, халатность) вызвали наибольший финансовый ущерб среди участвовавших в опросе компаний. А упомянутое выше исследование Ernst&Young поставило внутренние угрозы на второе место в списке проблем, тревожащих ИТ-профессионалов. При этом, согласно сведениям InfoWatch, именно электронная почта является самым опасным каналом утечки конфиденциальной информации, опережая печатающие устройства и ресурсы Интернета (рис. 3).

Таким образом, уже в ближайшие годы следует ожидать быстрого развития рынка систем внутренней безопасности, а их внедрение потребует от заказчиков принятия соответствующих шагов организационно-правового характера.

Следовательно, встает вопрос, как совместить конституционное право гражданина на тайну переписки и необходимость организации защитить собственные данные. Рассмотрим все возможные варианты урегулирования проблемы.

Вариант 1

Компания «Х» вносит дополнительное условие в трудовой договор с сотрудником (Ивановым) о запрещении использования оборудования (собственности) компании в личных целях, в том числе для отправления личных писем по электронной почте. Увы, эта мера существенно ничего не изменит, так как фактически устанавливает всего лишь дисциплинарную ответственность за сам факт использования оборудования работодателя с нарушением трудового договора. Можно провести параллель с бумажным документооборотом: в фирменный конверт, выданный работодателем для отправления деловой корреспонденции, сотрудник вкладывает свое послание и отправляет личному адресату. Вскрытие конверта третьим лицом будет являться правонарушением. Остается лишь практическая возможность установления самого факта отправления сообщения по «неправильному» адресу. Если же адрес «правильный», но письмо содержит конфиденциальную информацию, утечка пройдет незамеченной.

Вариант 2

Компания «Х» внедряет автоматизированную систему (Фильтр), которая сканирует почту сотрудника и совершает над ней некие действия в соответствии с настроенным алгоритмом. Администрирование Фильтра поручено другому сотруднику компании (или третьим лицам по дополнительному договору). Этот вариант решает задачу исключения физического лица из процесса просмотра сообщения и тем самым возлагает ответственность за нарушение тайны переписки на неодушевленный Фильтр. Однако это решение не позволяет исключить ответственность компании, так как управление Фильтром осуществляет субъект, имеющий определенные договорные отношения с компанией «Х». Субъект задает критерии проверки содержания почты, то есть, не читая сообщений физически, он нарушает право на тайну переписки путем возможности установить наличие определенных слов в тексте письма. Можно сравнить этот вариант с ситуацией, когда установленный компанией робот-манипулятор вскрывает запечатанный фирменный конверт. Он же осуществляет прочтение, анализ текста и изменяет оригинальную маршрутизацию сообщения.

Вариант 3

За основу берется технология документооборота в государственных органах (широко представлена в ГОСТах и ОСТах). Она сводится к частичному обезличиванию автора письма по следующему сценарию:

  • письмо отправляется на бланке (или с печатью организации);

  • обязательно наличие подписи должностного лица, которое и является отправителем от имени организации;

  • обязательно указание фактического автора документа.

С точки зрения реализации электронного документооборота эта технология предполагает, что сотрудник имеет право выйти с собственного электронного адреса во внешнее информационное поле исключительно через своего руководителя или специальное должностное лицо. Для формальности достаточно присваивать безопасным письмам метку, подтверждающую одобрение текста письма, отправляемого Ивановым от лица компании. Такая технология свидетельствует о факте направления письма ответственному лицу и, не нарушая права на тайну переписки, позволяет ознакомиться с содержимым письма. С другой стороны, она не совсем соответствует общепринятым стандартам бизнес-коммуникаций.

Вариант 4

Иванов обращается к руководству компании «Х» с просьбой следующего содержания: «Я, гр. Иванов, работающий по трудовому договору и сознающий свою ответственность за разглашение коммерческой тайны, прошу оказать содействие в анализе моей корреспонденции на предмет наличия в ней конфиденциальных данных». Этот вариант, во-первых, уменьшает ответственность Иванова за действительную неосторожность, поскольку свидетельствует о принятых им надлежащих мерах. Во-вторых, его трудно назвать 100-процентным решением задачи официального доступа к тексту письма, так как заявление может быть объявлено незаконным вследствие невозможности отказа гражданина от личных неимущественных прав, каковым является тайна переписки.

Вариант 5

В основу этого варианта ложится анализ норм Федерального закона «Об информатике, информатизации и защите информации». Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку Иванова к документированной информации («зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»), входящей в информационные ресурсы, собственником которых является компания «Х». Для формальной реализации варианта необходимо, во-первых, внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен «под роспись». Во-вторых, требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить КТ, а также условие, что все, созданное Ивановым на рабочем месте, направляется в корпоративные информационные ресурсы. Таким образом, компания «Х» получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному Ивановым адресу, архивировать, анализировать на предмет наличия КТ.

Заключение

Трудно рекомендовать из представленных вариантов один наилучший. Выбор решения зависит от сферы деятельности организации, специфики внутренней структуры, выполняемых задач, сложившихся внутренних отношений. Однако перечисленные варианты (особенно 3–5) дают представление о реальной возможности разрешения проблемы коллизии норм права несколькими путями. Развитие информационных технологий в России, безусловно, потребует от законодательных органов инициатив по модернизации отечественной законодательной базы. Современный рельеф российского правового поля защиты информации требует адекватных мер по его выравниванию. В обратном случае отсутствие прочной, однозначной юридической основы защиты корпоративных информационных систем может затормозить распространение информационных технологий и вызвать волну противоречивых судебных процессов.

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru