Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю Жанр: Информатика Рейтинг: Просмотров: 797 |
Глава 23
Юридические аспекты Постановка проблемы Внешние угрозы Внутренние угрозы Итоги
Задайте себе вопрос: что такое электронная почта и какую функцию она выпол-няет? Это универсальное средство коммуникации, которое позволяет за считанные минуты передать сообщение в любой конец планеты. А теперь посмотрите на нее с точки зрения угрозы, которую она таит для эффективной работы организации. Спам, доля которого сегодня доходит до 90 \% всего почтового трафика; вирусы, за последний год превратившиеся из любительских экспериментов подросткового возраста в сложные программы для киберпреступлений и финансового мошенничества; хакерские атаки; фишинг. Попробуйте сопоставить плюсы и минусы использования электронной почты: с одной стороны, мы уже не можем отказаться от этого средства коммуникации, а с другой — без адекватной защиты оно таит гораздо большую угрозу для организаций, чем, например, риск ограбления или физической утечки информации. Понимание опасности электронной почты и осознание необходимости ее защиты со стороны пользователей давно стало свершившимся фактом. По данным исследования Ernst & Young Global Information Security Survey — 2004, почти 100 \% респондентовиз числа корпоративных заказчиков подтвердили использование антивирусных систем, более 75 \% — межсетевых экранов, 58 \% — анти-спамовых фильтров. Однако большинство из них едва ли оценивали юридическую сторону проводимых мер безопасности, в частности законность проверки почтового трафика, так как факт сканирования электронного письма, по сути, нарушает право на тайну переписки. Создается противоречивая ситуация. Необходимость защиты от электронных угроз вступает в конфликт с неотчуждаемыми правами граждан, закрепленными в Конституции РФ. Чем глубже интеграция информационных технологий в повседневную жизнь любой организации, тем более насущным становится вопрос разрешения этого противоречия, поскольку от него зависит законность используемых систем защиты и, как следствие, нормальная работа пользователя.
Постановка проблемы В процессе проверки электронной корреспонденции организационными или техническими средствами участвуют три субъекта, каждый из которых имеет определенные права. Компаниях. Гр. Иванов (сотрудник компании X). Гр. Петров (знакомый Иванова, внешний пользователь по отношению к сети компании X). Типичная ситуация заключается в факте пересылки Ивановым письма Петроиу (или наоборот) с персонального адреса, из домена компании и с использованием ее компьютерной инфраструктуры. Экспертиза данной ситуации в условиях российской законодательной действительности выявляет несколько существенных противоречий. Гр. Иванов имеет право: как сотрудник компании X — на переписку со своими адресатами от своего имени в порядке осуществления функциональных обязанностей согласно трудовому договору; как гражданин РФ — право на тайну переписки. Правоспособность гр. Петрова, в свою очередь, включает право на переписку со своими адресатами от своего имени и, как в предыдущем случае, право на тайну переписки. Наконец, компания X имеет право на охрану информации (коммерческой тайны, далее — КТ), в частности, на действия с целью предотвращения утечки КТ по причине небрежности или неосторожности сотрудника (Федеральный закон «О коммерческой тайне»). Подобное противоречие между гражданскими правами и правами юридических лиц характерно не только для России. В последние 15 лет все индустриально развитые страны столкнулись с этой проблемой, и практически ни в одной из них она не была решена полностью. До сих пор можно наблюдать коллизии между различными законами, одни из которых отстаивают право на тайну переписки, другие — необходимость защиты информации как ключевого элемента эффективной деятельности организации. Можно с определенностью сказать, что в России пробле* ма стоит даже менее остро и ситуация более определенная. Например, в Великобритании за последние годы был принят целый ряд законов, регламентирующих мониторинг электронной почты. Однако и они по-разному трактуют одни и те же ситуации и противоречат друг другу. Существуют специальные законодательные акты, защищающие право на тайну электронной переписки физических лиц, им противостоят законы, помогающие юридическим лицам и правительственным учреждениям использовать мониторинг для защиты КТ. В 2000 г. правительство Великобритании приняло Regulation of Investigatory Powers Act (RIPA), который определяет, как и для каких целей организации могут просматривать переписку сотрудников. Закон, в частности, обязывает юридические лица в явной форме уведомить сотрудника о факте и причинах мониторинга электронной почты. Вместе с тем при определенных обстоятельствах RIPA оставляет за организациями право и негласного мониторинга. Это, в свою очередь, противоречит Human Rights Act (HRA) и Data Protection Act (DPA), которые защищают права человека на личную информацию. В довершение всего в 2000 г. был принят Lawful Business Practice Regulations (LBPR). Его целью было разъяснить, как необходимо применять противоречащие нормы RIPA, HRA и DPA, однако, как признаются английские юристы, LBPR только внес еще больше неопределенности. В России право на тайну переписки гарантируется любому гражданину РФ в соответствии со ст. 23 п. 2 Конституции РФ и подтверждается ст. 138 УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничение этого права возможно только Федеральным законом. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты КТ и своей информационной системы. Вместе с тем действуют: Федеральный закон «Об информатике, информатизации и защите информации», который дает организации-владельцу информации право на ее защиту; Федеральный закон «О коммерческой тайне»; Трудовой кодекс РФ, имеющий статус Федерального закона (197-ФЗ от 30.12.2001), в котором говорится, что «в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)» (ст. 57); комментарии к УК: «нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит». Какие меры необходимо предпринять компании для обеспечения безопасности электронной переписки (защиты от внешних угроз и утечки конфиденциальной информации) и соблюдения прав Иванова и Петрова? Ведь, если даже Иванов был уличен в промышленном шпионаже с помощью автоматизированной системы контроля почты, он не только может выйти сухим из воды, но даже выдвинуть вместе с Петровым встречные иски, которые имеют почти 100\%-ный шанс быть удовлетворенными. По причине лишения юридической силы доказательство вины Иванова не будет допущено к гражданскому судебному процессу (нарушение ст. 49 ч. 3 ГПК РФ). Кроме того, невозможным становится принятие мер дисциплинарного воздействия (например, увольнение, выговор). А доказательства вины Иванова могут использоваться против организации в подтверждение нарушения Конституции РФ и для возбуждения уголовного дела в отношении виновных лиц.
Внешние угрозы В случае с внешними угрозами (вирусы, хакерские атаки, спам) проблема законности проверки почтового трафика существенно облегчается. Поскольку кибер-преступник действует всеми доступными нелегальными путями, то в его же интересах остаться анонимным, не раскрывать своего имени и местонахождения. Поэтому в случае принадлежности Петрова к компьютерному андерграунду и его причастности к нарушению действующего законодательства (в частности, ст. 273 УК РФ «Создание и распространение вредоносных программ для ЭВМ») вряд ли можно ожидать претензий с его стороны в нарушении тайны его переписки. Рассылка современных вредоносных программ, а равно и спама, осуществляется анонимно и носит не личный, но публичный характер. Иными словами, Иванов фактически не состоит в переписке с автором нежелательной рекламы или сетевого червя, коммуникации не направлены на длительный характер и являются предпринимательской (или преступной) деятельностью.
Внутренние угрозы Гораздо сложнее обстоят дела в случае с мониторингом почтовой корреспондент ции с целью предотвращения утечки конфиденциальной информации. Сш'ОД-
ня подобные системы внутренней безопасности становятся все более популярными. Согласно отчету CSI/FBI Security Survey — 2003, именно неправомерные действия сотрудников (саботаж, шпионаж, халатность) вызвали наибольший финансовый ущерб у участвовавших в опросе компаний. А упомянутое выше исследование Ernst & Young поставило внутренние угрозы на второе место в списке проблем, тревожащих ИТ-профессионалов. Таким образом, уже в ближайшие годы следует ожидать быстрого развития рынка систем внутренней безопасности, а их внедрение потребует от заказчиков принятия соответствующих шагов организационно-правового характера. Как в данном случае совместить конституционное право гражданина на тайну переписки и необходимость организации защитить собственные данные? Рассмотрим все возможные варианты урегулирования проблемы. Вариант 1. Компания X вносит дополнительное условие в трудовой договор с сотрудником (Ивановым) о запрещении использования оборудования (собственности) компании в личных целях, в том числе для отправления личных писем по электронной почте. Увы, эта мера существенно ничего не изменит, так как фактически устанавливается всего лишь дисциплинарная ответственность за сам факт использования оборудования работодателя с нарушением трудового договора. Можно провести параллель с бумажным документооборотом: в фирменный конверт, выданный работодателем для отправления деловой корреспонденции, сотрудник вкладывает свое послание и отправляет личному адресату. Вскрытие конверта третьим лицом будет являться правонарушением. Остается лишь практическая возможность установления самого факта отправления сообщения по «неправильному» адресу. Если же адрес «правильный», но письмо содержит конфиденциальную информацию, то такая утечка пройдет незамеченной. Вариант 2. Компания X устанавливает автоматизированную систему (фильтр), которая сканирует почту сотрудника и совершает над ней некие действия в соответствии с настроенным алгоритмом. Администрирование фильтра поручено другому сотруднику компании (или третьим лицам по дополнительному договору). Этот вариант решает задачу исключения физического лица из процесса просмотра сообщения и тем самым возлагает ответственность за нарушение тайны переписки на неодушевленный фильтр. Однако это решение не позволяет исключить ответственность компании, так как управление фильтром осуществляет субъект, имеющий определенные договорные отношения с компанией X. Субъект задает критерии проверки содержания почты, то есть не читая сообщений физически, он нарушает право на тайну переписки путем возможности установить наличие определенных слов в тексте письма. По аналогии можно сравнить вариант с ситуацией, когда запечатанный фирменный конверт вскрывает установленный компанией робот-манипулятор. Он же осуществляет прочтение, анализ текста и изменяет оригинальную маршрутизацию сообщения. Вариант 3. За основу берется технология документооборота в государственных органах (широко представлена в ГОСТ и ОСТ). Она сводится к частичному обезличиванию автора письма по следующему сценарию: письмо отправляется на бланке (или с печатью организации); обязательно наличие подписи должностного лица, которое и является отправителем от имени организации; обязательно указание фактического автора документа. С точки зрения реализации электронного документооборота эта технология предполагает, что сотрудник имеет право выйти с собственного электронного адреса во внешнее информационное поле исключительно через своего руководителя или специальное должностное лицо. Для формальности достаточно присваивать безопасным письмам метку, подтверждающую одобрение текста письма, отправляемого Ивановым от лица компании. Такая технология свидетельствует о факте направления письма ответственному лицу и, не нарушая права на тайну переписки, позволяет ознакомиться с содержимым письма. С другой стороны, она не совсем соответствует общепринятым стандартам бизнес-коммуникаций. Вариант 4. Гр. Иванов обращается к руководству компании X с просьбой следующего содержания: «Я, гр. Иванов, работающий по трудовому договору и сознающий свою ответственность за разглашение коммерческой тайны, прошу оказать содействие в анализе моей корреспонденции на предмет наличия в ней конфиденциальных данных». Этот вариант, во-первых, уменьшает ответственность Иванова за действительную неосторожность, поскольку свидетельствует о принятых им надлежащих мерах. Во-вторых, его трудно назватьЮО \%-ным решением задачи официального доступа к тексту письма, так как заявление может быть объявлено незаконным вследствие невозможности отказа гражданина от личных неимущественных прав, каковым является тайна переписки. Вариант 5. В основу этого варианта ложится анализ норм Федерального закона «Об информатике, информатизации и защите информации». Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку Иванова к документированной информации («зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»), входящей в информационные ресурсы, собственником которых является компания X. Для формальной реализации варианта необходимо, во-первых, внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен «под роспись». Во-вторых, требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить КТ, а также условие, что все, созданное Ивановым на рабочем месте, направляется в корпоративные информационные ресурсы. Таким образом, компания X получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному Ивановым адресу, архивировать, анализировать па предмет наличия КТ.
Итоги Трудно рекомендовать один наилучший из представленных вариантов. МыГюр решения зависит от сферы деятельности организации, специфики внутренней структуры, выполняемых задач, сложившихся внутренних отношений. Однако перечисленные варианты (особенно варианты А и 5) дают представление о ре альпой возможности разрешения проблемы коллизии норм нрапа иге кольки ми путями. Развитие информационных технологий в России несомненно потребует от законодательных органов инициатив по модернизации отечественной законодательной базы. Современный рельеф российского правового поля защиты информации требует адекватных мер по выравниванию. В обратном случае отсутствие прочной, однозначной юридической основы защиты корпоративных информационных систем может затормозить распространение ИТ и вызвать волну противоречивых судебных процессов. |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения