Сохранность информации — залог здоровья бизнеса

(Погуляев В., Теренин А.)

(«Бизнес-адвокат», N 14, 2004)

СОХРАННОСТЬ ИНФОРМАЦИИ — ЗАЛОГ ЗДОРОВЬЯ БИЗНЕСА

В. ПОГУЛЯЕВ, А. ТЕРЕНИН

Вадим Погуляев, юрист.

Алексей Теренин, кандидат технических наук.

В сфере информации всегда наблюдалось жесткое противостояние между законными владельцами и злоумышленниками, пытающимися незаконно получить и использовать ее. Но в наши дни проблема обеспечения информационной безопасности встала наиболее остро. Сегодня успех любого бизнеса во многом предопределен тем, как хозяйствующий субъект обеспечивает сохранность своей информации в отношениях с партнерами, конкурентами и собственными сотрудниками.

Формирование информационной безопасности любого предприятия — задача комплексная, требующая проведения серьезной скоординированной работы на юридическом, организационном и техническом уровнях. В настоящей статье предлагаются подходы к решению наиболее распространенных проблем юридического характера, возникающих при построении и реорганизации систем информационной безопасности компьютерных систем, которая в условиях глобальной автоматизации является одним из основных звеньев информационной безопасности в целом.

Согласно ст. 2 Федерального закона «Об информации, информатизации и защите информации» от 20 февраля 1995 г. N 24-ФЗ (в ред. от 10 января 2003 г.) (далее — Закон об информации) информационная система — это организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. Из определения видно, что мы имеем дело со сложным (составным) объектом, способным заключать в себе объекты авторского права (произведения), промышленной собственности, средства индивидуализации, ноу-хау, данные и документы как таковые, средства их обработки и т. д. Эта особенность должна учитываться при разработке концепции информационной безопасности.

Документированная информация, доступ к которой ограничивается в соответствии с законодательством, именуется конфиденциальной. Особыми ее разновидностями являются коммерческая и служебная тайна, содержание которых раскрывает ст. 139 ГК РФ.

Термин «информационная безопасность» раскрыт в Федеральном законе РФ «Об участии в международном информационном обмене» от 4 июля 1996 г. N 85-ФЗ (в ред. от 30 июня 2003 г.) следующим образом: «…состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». Схожее понятие — «безопасность информации» — на уровне нормативов Гостехкомиссии РФ определяется как «состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних или внешних угроз». Как видно, приведенные дефиниции сводят суть информационной безопасности к процессу защиты информации. Однако исходя из общих норм гражданского законодательства сущность «защиты» заключается в принятии мер восстановительного характера уже после того, как нарушение прав или законных интересов свершилось. Учитывая то, что во многих случаях итогом посягательства на конфиденциальные сведения является их разглашение, в результате чего эти сведения существенно или полностью теряют свою коммерческую ценность, защита — это последняя возможность владельца информации компенсировать прежде всего фактические убытки — средства, вложенные им в создание данного информационного ресурса, имеющие документарное подтверждение. Возместить упущенную выгоду — доходы, которые субъект рассчитывал получить от нормального использования своей информации в предпринимательской, научно-исследовательской или иной деятельности, возможно далеко не во всех случаях утечки информации. ТК РФ прямо предусматривает, что работник, нарушивший обязательства по сохранению конфиденциальной информации работодателя, обязан возместить последнему только прямой действительный ущерб. При этом работодатель должен будет доказать причинную связь между разглашением информации данным сотрудником и возникновением имущественного ущерба.

Таким образом, говоря об «информационной безопасности» или о «защите информации» как о совокупности превентивных (охранных) мер, направленных на предотвращение утечки информации, ее незаконного получения, разглашения и использования, необходимо учитывать условность такой подмены юридических понятий. Установление общего правового режима в отношении информации есть охрана информации, а не ее защита.

Большинство предприятий имеют доступ к сети Интернет, которая, являясь открытой информационной средой, представляет широкие возможности для различных злоумышленных действий в отношении информации. Но, несмотря на стремительный рост уровня компьютерной преступности, наибольшая утечка коммерческой информации компаний до сих пор происходит в результате умышленных или неосторожных действий их собственного персонала. Следует помнить, что именно персонал является основным носителем информации, от которого зависит ее сохранность, а значит, и благополучие всего предприятия. Поэтому использование мер охраны коммерчески ценных сведений от персонала компании должно быть исключительно корректным. Перебор в использовании превентивных мер, препятствующих общей доступности к информации, как и ее утечка, также может иметь нежелательные последствия для предприятия, в том числе в виде:

— излишней формализации отношений, отрицательно сказывающейся на производительности труда;

— недовольства и увольнения ценных кадров и, как следствие, вероятности еще большей утечки коммерческой информации.

К организационным мерам, направленным на обеспечение информационной безопасности экономических субъектов, в том числе относятся: 1) поднятие общего уровня грамотности пользователей сети в вопросах информационной безопасности; 2) четко оговоренная ответственность сотрудников; 3) периодическое плановое обучение, профилактическая работа администраторов системы с пользователями и персоналом.

Важную роль играют разработка и утверждение такого внутрифирменного документа, как Политика информационной безопасности. Данная политика призвана обеспечить прежде всего защиту бизнес-процессов предприятия и по возможности исключить вероятность принятия необдуманных решений. Поэтому ее спецификация должна быть корректной, обладать полнотой и непротиворечивостью.

Политика безопасности компьютерной системы организации может быть выражена формальным и неформальным способом. Преимуществом формального описания является строгое соответствие политики юридической и технической терминологии, а также возможность теоретического доказательства безопасности системы при соблюдении всех ее условий.

Преимущество неформального способа представления заключается в простоте восприятия политики пользователями. Однако такая политика очень часто содержит «размытые» формулировки, которые могут быть по-разному истолкованы.

Перейдем к юридическим вопросам технической составляющей информационной безопасности. Для предотвращения несанкционированного доступа к конфиденциальным ресурсам со стороны Интернета обычно применяют так называемое защищенное подключение. Осуществляется разграничение «доверенной» (контролируемой) вычислительной сети от остального киберпространства, реализуемое при помощи межсетевых экранов. Важную роль также играет разграничение потоков информации между сегментами сети, которые соответствуют разным уровням конфиденциальности. Главное, чтобы пользователи сети (персонал компании) знали об этих уровнях. В этой части технические меры тесно взаимодействуют с организационными, поскольку для своего оправдания требуют утверждения внутрифирменных положений и регламентов. Упустив из виду этот момент, работодатель рискует быть обвиненным в незаконном увольнении или применении дисциплинарных взысканий.

При организации электронного документооборота необходимо обеспечить не только конфиденциальность, но и целостность сообщения — невозможность его искажения, подмены авторства и т. д. Важно также не допустить возможности отказа автора послания от факта и времени его отправления. Если информацией обмениваются стороны, не склонные доверять друг другу (банк и клиент, магазин и покупатель), необходимо применять асимметричные методы шифрования.

В соответствии с п. 3 ст. 5 Закона об информации юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью (ЭЦП). Юридическая сила ЭЦП признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих ее идентификацию, а также при соблюдении установленного режима их использования.

Обеспечение правовых условий использования ЭЦП в электронных документах, при соблюдении которых ЭЦП в электронном документе признавалось бы равнозначной собственноручной подписи в документе на бумажном носителе, являлось одной из основных целей принятия Федерального закона «Об электронной цифровой подписи» от 10 января 2002 г. N 1-ФЗ (далее — Закон об ЭЦП). Данный нормативный акт значительно укрепил правовой статус ЭЦП и помог разрешить многие спорные вопросы ее применения.

ЭЦП — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП). Криптографические средства обеспечивают защиту информации от злоумышленных действий, наносящих значительный ущерб субъектам бизнеса во всем мире. Среди них: отказ, ренегатство (отправитель заявляет, что он не посылал данное сообщение); модификация (адресат изменяет содержание документа, а затем утверждает, что именно этот (измененный им) документ и был им изначально получен); подмена (субъект А формирует документ самостоятельно и заявляет, что получил его от другого субъекта В); перехват (лицо, подключившееся к сети, перехватывает документы, изменяет их, а затем перенаправляет адресатам); «маскарад» (субъект А посылает сфабрикованный им документ субъекту В от имени субъекта С).

Необходимо иметь в виду, что ЭЦП равнозначна собственноручной подписи в документе на бумажном носителе только при одновременном соблюдении следующих условий:

1) сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

2) подтверждена подлинность ЭЦП в электронном документе;

3) ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи (ст. 4 Закона об ЭЦП).

Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с ЭЦП имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

В заключение обратим внимание на еще одну немаловажную составляющую системы информационной безопасности предприятия. Это технические средства борьбы с компьютерными вирусами. Основной юридический нюанс разработки и использования антивирусных программ сводится к тому, что они не должны аккумулировать встречное нападение на компьютер, с которого был отправлен вирус или спам. Но несмотря на противозаконность такой практики, она не только имеет место, но и поощряется некоторыми политическими деятелями. Так, сенатор штата Юта (США) Оррин Хатч высказал предложение разработать специальную технологию, позволяющую уничтожать компьютеры лиц, нелегально загружающих музыку из Интернета.

——————————————————————