Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797


Глава 23

 

Юридические аспекты

Постановка проблемы

Внешние угрозы

Внутренние угрозы

Итоги

 

Задайте себе вопрос: что такое электронная почта и какую функцию она выпол-няет? Это универсальное средство коммуникации, которое позволяет за считан­ные минуты передать сообщение в любой конец планеты. А теперь посмотрите на нее с точки зрения угрозы, которую она таит для эффективной работы орга­низации. Спам, доля которого сегодня доходит до 90 \% всего почтового трафика; вирусы, за последний год превратившиеся из любительских экспериментов подрост­кового возраста в сложные программы для киберпреступлений и финансового мо­шенничества; хакерские атаки; фишинг. Попробуйте сопоставить плюсы и минусы использования электронной почты: с одной стороны, мы уже не можем отказаться от этого средства коммуникации, а с другой — без адекватной защиты оно таит гораздо большую угрозу для организаций, чем, например, риск ограбления или физи­ческой утечки информации.

Понимание опасности электронной почты и осознание необходимости ее защи­ты со стороны пользователей давно стало свершившимся фактом. По данным исследования Ernst & Young Global Information Security Survey — 2004, почти 100 \% респондентовиз числа корпоративных заказчиков подтвердили исполь­зование антивирусных систем, более 75 \% — межсетевых экранов, 58 \% — анти-спамовых фильтров. Однако большинство из них едва ли оценивали юридичес­кую сторону проводимых мер безопасности, в частности законность проверки почтового трафика, так как факт сканирования электронного письма, по сути, нарушает право на тайну переписки.

Создается противоречивая ситуация. Необходимость защиты от электронных угроз вступает в конфликт с неотчуждаемыми правами граждан, закрепленны­ми в Конституции РФ. Чем глубже интеграция информационных технологий в повседневную жизнь любой организации, тем более насущным становится вопрос разрешения этого противоречия, поскольку от него зависит законность используемых систем защиты и, как следствие, нормальная работа пользователя.

 

Постановка проблемы

В процессе проверки электронной корреспонденции организационными или тех­ническими средствами участвуют три субъекта, каждый из которых имеет опреде­ленные права.

Компаниях.

Гр. Иванов (сотрудник компании X).

Гр. Петров (знакомый Иванова, внешний пользователь по отношению к сети компании X).

Типичная ситуация заключается в факте пересылки Ивановым письма Петроиу (или наоборот) с персонального адреса, из домена компании и с использованием ее компьютерной инфраструктуры. Экспертиза данной ситуации в условиях рос­сийской законодательной действительности выявляет несколько существенных противоречий.

Гр. Иванов имеет право:

как сотрудник компании X — на переписку со своими адресатами от своего имени в порядке осуществления функциональных обязанностей согласно тру­довому договору;

как гражданин РФ — право на тайну переписки.

Правоспособность гр. Петрова, в свою очередь, включает право на переписку со своими адресатами от своего имени и, как в предыдущем случае, право на тайну переписки. Наконец, компания X имеет право на охрану информации (коммерчес­кой тайны, далее — КТ), в частности, на действия с целью предотвращения утечки КТ по причине небрежности или неосторожности сотрудника (Федеральный за­кон «О коммерческой тайне»).

Подобное противоречие между гражданскими правами и правами юридических лиц характерно не только для России. В последние 15 лет все индустриально раз­витые страны столкнулись с этой проблемой, и практически ни в одной из них она не была решена полностью. До сих пор можно наблюдать коллизии между различ­ными законами, одни из которых отстаивают право на тайну переписки, другие — необходимость защиты информации как ключевого элемента эффективной дея­тельности организации. Можно с определенностью сказать, что в России пробле* ма стоит даже менее остро и ситуация более определенная.

Например, в Великобритании за последние годы был принят целый ряд законов, рег­ламентирующих мониторинг электронной почты. Однако и они по-разному тракту­ют одни и те же ситуации и противоречат друг другу. Существуют специальные зако­нодательные акты, защищающие право на тайну электронной переписки физических лиц, им противостоят законы, помогающие юридическим лицам и правительствен­ным учреждениям использовать мониторинг для защиты КТ. В 2000 г. правительство Великобритании приняло Regulation of Investigatory Powers Act (RIPA), который определяет, как и для каких целей организации могут просматривать переписку со­трудников. Закон, в частности, обязывает юридические лица в явной форме уведо­мить сотрудника о факте и причинах мониторинга электронной почты. Вместе с тем при определенных обстоятельствах RIPA оставляет за организациями право и неглас­ного мониторинга. Это, в свою очередь, противоречит Human Rights Act (HRA) и Data Protection Act (DPA), которые защищают права человека на личную ин­формацию. В довершение всего в 2000 г. был принят Lawful Business Practice Regulations (LBPR). Его целью было разъяснить, как необходимо применять про­тиворечащие нормы RIPA, HRA и DPA, однако, как признаются английские юрис­ты, LBPR только внес еще больше неопределенности.

В России право на тайну переписки гарантируется любому гражданину РФ в соот­ветствии со ст. 23 п. 2 Конституции РФ и подтверждается ст. 138 УК РФ («Нару­шение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничение этого права возможно только Федеральным законом. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на перлюстрацию электронной корреспон­денции сотрудника с целью защиты КТ и своей информационной системы.

Вместе с тем действуют:

Федеральный закон «Об информатике, информатизации и защите информа­ции», который дает организации-владельцу информации право на ее защиту;

Федеральный закон «О коммерческой тайне»;

Трудовой кодекс РФ, имеющий статус Федерального закона (197-ФЗ от 30.12.2001), в котором говорится, что «в трудовом договоре могут предусмат­риваться условия: о неразглашении охраняемой законом тайны (государствен­ной, служебной, коммерческой и иной)» (ст. 57);

комментарии к УК: «нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит».

Какие меры необходимо предпринять компании для обеспечения безопасности электронной переписки (защиты от внешних угроз и утечки конфиденциальной ин­формации) и соблюдения прав Иванова и Петрова? Ведь, если даже Иванов был ули­чен в промышленном шпионаже с помощью автоматизированной системы контроля почты, он не только может выйти сухим из воды, но даже выдвинуть вместе с Петро­вым встречные иски, которые имеют почти 100\%-ный шанс быть удовлетворен­ными. По причине лишения юридической силы доказательство вины Иванова не бу­дет допущено к гражданскому судебному процессу (нарушение ст. 49 ч. 3 ГПК РФ). Кроме того, невозможным становится принятие мер дисциплинарного воздействия (например, увольнение, выговор). А доказательства вины Иванова могут использо­ваться против организации в подтверждение нарушения Конституции РФ и для воз­буждения уголовного дела в отношении виновных лиц.

 

Внешние угрозы

В случае с внешними угрозами (вирусы, хакерские атаки, спам) проблема закон­ности проверки почтового трафика существенно облегчается. Поскольку кибер-преступник действует всеми доступными нелегальными путями, то в его же ин­тересах остаться анонимным, не раскрывать своего имени и местонахождения. Поэтому в случае принадлежности Петрова к компьютерному андерграунду и его причастности к нарушению действующего законодательства (в частности, ст. 273 УК РФ «Создание и распространение вредоносных программ для ЭВМ») вряд ли можно ожидать претензий с его стороны в нарушении тайны его переписки. Рас­сылка современных вредоносных программ, а равно и спама, осуществляется ано­нимно и носит не личный, но публичный характер. Иными словами, Иванов факти­чески не состоит в переписке с автором нежелательной рекламы или сетевого червя, коммуникации не направлены на длительный характер и являются пред­принимательской (или преступной) деятельностью.

 

Внутренние угрозы

Гораздо сложнее обстоят дела в случае с мониторингом почтовой корреспондент ции с целью предотвращения утечки конфиденциальной информации. Сш'ОД-

 

ня подобные системы внутренней безопасности становятся все более популярны­ми. Согласно отчету CSI/FBI Security Survey — 2003, именно неправомерные действия сотрудников (саботаж, шпионаж, халатность) вызвали наибольший фи­нансовый ущерб у участвовавших в опросе компаний. А упомянутое выше иссле­дование Ernst & Young поставило внутренние угрозы на второе место в списке проблем, тревожащих ИТ-профессионалов. Таким образом, уже в ближайшие годы следует ожидать быстрого развития рынка систем внутренней безопасности, а их внедрение потребует от заказчиков принятия соответствующих шагов орга­низационно-правового характера.

Как в данном случае совместить конституционное право гражданина на тайну пе­реписки и необходимость организации защитить собственные данные? Рассмот­рим все возможные варианты урегулирования проблемы.

Вариант 1. Компания X вносит дополнительное условие в трудовой договор с со­трудником (Ивановым) о запрещении использования оборудования (собственнос­ти) компании в личных целях, в том числе для отправления личных писем по элек­тронной почте. Увы, эта мера существенно ничего не изменит, так как фактически устанавливается всего лишь дисциплинарная ответственность за сам факт исполь­зования оборудования работодателя с нарушением трудового договора. Можно про­вести параллель с бумажным документооборотом: в фирменный конверт, выданный работодателем для отправления деловой корреспонденции, сотрудник вкладывает свое послание и отправляет личному адресату. Вскрытие конверта третьим лицом будет являться правонарушением. Остается лишь практическая возможность уста­новления самого факта отправления сообщения по «неправильному» адресу. Если же адрес «правильный», но письмо содержит конфиденциальную информацию, то такая утечка пройдет незамеченной.

Вариант 2. Компания X устанавливает автоматизированную систему (фильтр), кото­рая сканирует почту сотрудника и совершает над ней некие действия в соответствии с настроенным алгоритмом. Администрирование фильтра поручено другому сотруд­нику компании (или третьим лицам по дополнительному договору). Этот вариант ре­шает задачу исключения физического лица из процесса просмотра сообщения и тем самым возлагает ответственность за нарушение тайны переписки на неодушевленный фильтр. Однако это решение не позволяет исключить ответственность компании, так как управление фильтром осуществляет субъект, имеющий определенные дого­ворные отношения с компанией X. Субъект задает критерии проверки содержания почты, то есть не читая сообщений физически, он нарушает право на тайну переписки путем возможности установить наличие определенных слов в тексте письма. По ана­логии можно сравнить вариант с ситуацией, когда запечатанный фирменный конверт вскрывает установленный компанией робот-манипулятор. Он же осуществляет прочтение, анализ текста и изменяет оригинальную маршрутизацию сообщения.

Вариант 3. За основу берется технология документооборота в государственных органах (широко представлена в ГОСТ и ОСТ). Она сводится к частичному обез­личиванию автора письма по следующему сценарию:

письмо отправляется на бланке (или с печатью организации);

обязательно наличие подписи должностного лица, которое и является отпра­вителем от имени организации;

обязательно указание фактического автора документа.

С точки зрения реализации электронного документооборота эта технология пред­полагает, что сотрудник имеет право выйти с собственного электронного адре­са во внешнее информационное поле исключительно через своего руководите­ля или специальное должностное лицо. Для формальности достаточно присваивать безопасным письмам метку, подтверждающую одобрение текста письма, от­правляемого Ивановым от лица компании. Такая технология свидетельствует о факте направления письма ответственному лицу и, не нарушая права на тай­ну переписки, позволяет ознакомиться с содержимым письма. С другой сторо­ны, она не совсем соответствует общепринятым стандартам бизнес-коммуни­каций.

Вариант 4. Гр. Иванов обращается к руководству компании X с просьбой следующе­го содержания: «Я, гр. Иванов, работающий по трудовому договору и сознающий свою ответственность за разглашение коммерческой тайны, прошу оказать содействие в анализе моей корреспонденции на предмет наличия в ней конфиденциальных дан­ных». Этот вариант, во-первых, уменьшает ответственность Иванова за действитель­ную неосторожность, поскольку свидетельствует о принятых им надлежащих мерах. Во-вторых, его трудно назватьЮО \%-ным решением задачи официального доступа к тексту письма, так как заявление может быть объявлено незаконным вследствие не­возможности отказа гражданина от личных неимущественных прав, каковым являет­ся тайна переписки.

Вариант 5. В основу этого варианта ложится анализ норм Федерального закона «Об информатике, информатизации и защите информации». Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документи­рованной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести перепис­ку Иванова к документированной информации («зафиксированная на материаль­ном носителе информация с реквизитами, позволяющими ее идентифициро­вать»), входящей в информационные ресурсы, собственником которых является компания X. Для формальной реализации варианта необходимо, во-первых, вне­дрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый со­трудник должен быть с ним ознакомлен «под роспись». Во-вторых, требуется мо­дификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить КТ, а также условие, что все, созданное Ивановым на рабочем месте, направляется в корпоративные ин­формационные ресурсы. Таким образом, компания X получает право собственно­сти на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному Ивановым адресу, архивировать, анализировать па предмет наличия КТ.

 

Итоги

Трудно рекомендовать один наилучший из представленных вариантов. МыГюр решения зависит от сферы деятельности организации, специфики внутренней структуры, выполняемых задач, сложившихся внутренних отношений. Однако перечисленные варианты (особенно варианты    А и 5) дают представление о ре альпой возможности разрешения проблемы коллизии норм нрапа иге кольки ми путями.

Развитие информационных технологий в России несомненно потребует от зако­нодательных органов инициатив по модернизации отечественной законодатель­ной базы. Современный рельеф российского правового поля защиты информации требует адекватных мер по выравниванию. В обратном случае отсутствие прочной, однозначной юридической основы защиты корпоративных информационных си­стем может затормозить распространение ИТ и вызвать волну противоречивых судебных процессов.


Оцените книгу: 1 2 3 4 5