Обеспечение конфиденциальности (В. Погуляев, А. Теренин, "эж-ЮРИСТ", N 2, январь 2004 г.)

Обеспечение конфиденциальности

     Термины и определения                                               

     Посягательства и ответственность                                    

     Человеческий фактор                                                 

     Технические аспекты                                                 

Успех любой предпринимательской деятельности во многом предопределен степенью сохранности информации о ней. В наше время трудно найти организацию, не имеющую доступ к сети Интернет, не пользующуюся электронной почтой и цифровыми носителями информации. К сожалению, их использование только усугубляет проблему сохранения конфиденциальности жизненно важных информационных ресурсов. Построение надежной системы безопасности компьютерных сетей организации - комплексная задача, требующая серьезной работы на организационно-правовом, техническом, а особенно - юридическом уровнях.

Термины и определения

Согласно Федеральному закону от 20.02.95 N 24-ФЗ "Об информации, информатизации и защите информации" (далее - Закон об информации) конфиденциальной считается документированная информация, доступ к которой ограничивается законодательством. Ее разновидностями являются коммерческая и служебная тайна.

Достаточно интересным представляется изучение самого понятия "информационная безопасность". Этот термин раскрыт в ФЗ от 04.07.96 N 85-ФЗ "Об участии в международном информационном обмене" следующим образом: "Состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства".

Схожее понятие - "безопасность информации" на уровне технических нормативов определяется как "состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних или внешних угроз" (руководящий документ Гостехкомиссии РФ "Защита от несанкционированного доступа к информации. Термины и определения").

Как видно, приведенные дефиниции сводят суть информационной безопасности к процессу защиты информации. Однако сущность "защиты" заключается в принятии мер восстановительного характера уже после того, как произошло нарушение прав или законных интересов. Это несколько не согласуется с приведенными выше определениями - в ст.20 Закона об информации в качестве цели защиты информации указано именно "предотвращение утечки, хищения, утраты, искажения, подделки информации".

Во многих случаях итогом посягательства на конфиденциальные сведения является их разглашение, в результате чего они существенно или полностью теряют свою коммерческую ценность. Поэтому защита информации - последняя возможность владельца последней компенсировать причиненный ущерб.

Возместить упущенную выгоду - доходы, которые субъект рассчитывал получить от нормального использования своей информации в предпринимательской, научной или иной деятельности, - возможно далеко не во всех случаях "утечки". Трудовой кодекс РФ прямо предусматривает, что работник, нарушивший обязательства по сохранению конфиденциальной информации работодателя, обязан возместить последнему только прямой действительный ущерб.

Таким образом, тезис "Если информация защищена, то она в безопасности" юридически некорректен. Установление общего правового режима в отношении информации есть охрана информации, а не ее защита.

Посягательства и ответственность

Кроме охраны от несанкционированного доступа очень важно обеспечить целостность коммерческой информации в информационной системе и ее доступность на законных основаниях.

Значение целостности информации очевидно, например, при осуществлении платежей посредством передачи электронных документов по открытым каналам связи, заключении договоров аналогичным образом. Доступность информационного ресурса означает получение законным пользователем запрошенных данных в приемлемое время.

Как уже говорилось, большинство организаций имеют доступ к сети Интернет. Последняя, в свою очередь, будучи открытой информационной средой, представляет широкие возможности для различных злоумышленных действий, в том числе в отношении информационных ресурсов конфиденциального характера.

Выделим две наиболее серьезные угрозы, которые таит в себе доступ к информации через компьютерные сети.

Первая - вредоносные программы для ЭВМ, которыми в соответствии со ст.273 УК РФ являются программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Самой распространенной разновидностью вредоносных программ является вирус - компьютерная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия.

При этом копии вируса сохраняют способность дальнейшего распространения (ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов). За создание вредоносных программ, их использование либо распространение установлена уголовная ответственность ст.273 УК РФ.

Второй серьезной угрозой для корпоративных вычислительных систем являются компьютерные злоумышленники - хакеры. Объектами информационных атак хакеров могут стать конфиденциальная информация, объекты интеллектуальной собственности, имидж, деловая репутация компании.

Например, корпоративный сайт снабжается порнографическими иллюстрациями, экстремистскими лозунгами, нецензурными выражениями или, что более опасно, в информацию на нем вносятся неочевидные искажения, способные ввести в заблуждение потребителей и негативно повлиять на общественное мнение.

Спектр санкций гражданской, административной и уголовной ответственности, к которым может быть привлечен хакер, весьма разнообразен. В него входят: ответственность за нарушения исключительных авторских прав, прав на товарные знаки и другие средства индивидуализации; за нарушения антимонопольного законодательства; за посягательства на личные неимущественные права граждан, деловую репутацию хозяйствующих субъектов; за разглашение и иное незаконное использование конфиденциальной информации.

В сфере компьютерных преступлений, кроме указанной выше уголовной ответственности, касающейся вредоносных программ, УК РФ предусматривает непосредственно относящиеся к проблеме хакерства санкции за неправомерный доступ к компьютерной информации (ст.272 УК РФ) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ).

Однако основная проблема заключается не в выборе санкций, а в сборе достаточных доказательств, позволяющих достоверно установить источник несанкционированного проникновения в корпоративную сеть и привлечь конкретное лицо к ответственности. Главная характеристика компьютерных преступлений - высокая степень латентности. Зачастую для сбора доказательств их совершения требуется проведение специальных экспертиз, довольно трудоемких и дорогостоящих.

Человеческий фактор

Вместе с тем нельзя не признать, что самым слабым звеном информационной безопасности остается человек. Наибольшая утечка коммерческой информации компаний до сих пор происходит в результате умышленных или неосторожных действий их персонала.

Использование мер охраны коммерчески ценных сведений от персонала компании должно быть разумным и оправданным. Чрезмерная защита информации может повлечь снижение эффективности работы бизнеса вследствие излишней формализации отношений*(1).

Среди организационно-правовых мер, направленных на обеспечение информационной безопасности, можно выделить следующие:

- поднятие и поддержание общего уровня грамотности сотрудников компании и других пользователей корпоративной сети в вопросах информационной безопасности;

- четко оговоренная ответственность работников, имеющих доступ к конфиденциальной информации;

- выработка единых правил безопасного использования ценных информационных ресурсов.

Важную роль в формировании систем информационной безопасности играют разработка и утверждение такого внутреннего документа организации, как Правила (Политика) информационной безопасности.

Политика информационной безопасности призвана обеспечивать прежде всего защиту бизнес-процессов конкретной организации, в том числе и неавтоматизированных. Поэтому спецификация такой политики должна быть корректной, а именно: обладать полнотой и непротиворечивостью.

Под полнотой понимается наличие правила для каждого доступа к информации (запроса), запрещающего или разрешающего его. Если для некоторого доступа не определена авторизация, должно присутствовать некоторое правило, применяемое по умолчанию*(2). Под непротиворечивостью подразумевается наличие только одного правила для любого доступа, а именно: разрешен доступ или запрещен.

Технические аспекты

Нельзя не упомянуть и о юридико-технических мерах охраны конфиденциальной информации. Для предотвращения информационных атак на конфиденциальные ресурсы применяется так называемое защищенное подключение, с помощью которого осуществляется разграничение "доверенной" (контролируемой) вычислительной сети и "недоверенной". Важную роль также играют: разграничение потоков информации между сегментами сети, соответствующими разным уровням конфиденциальности обрабатываемой в них информации; создание защищенного канала передачи данных*(3); использование автоматизированных средств обнаружения вирусов и информационных атак.

При организации электронного документооборота нужно обеспечить не только конфиденциальность, но и целостность сообщения - невозможность его искажения, подмены авторства и т.д. Если информацией обмениваются стороны, не доверяющие друг другу или могущие быть заинтересованными в проведении недобросовестных действий (банк и клиент, магазин и покупатель), необходимо применять асимметричные методы шифрования.

В соответствии с п.3 ст.5 Закона об информации юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью (ЭЦП). Юридическая сила последней признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

Обеспечение правовых условий использования ЭЦП в электронных документах, при соблюдении которых она признавалась бы равнозначной собственноручной подписи в документе на бумажном носителе, было одной из основных целей принятия Федерального закона от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи".

ЭЦП позволяет идентифицировать владельца сертификата открытого ключа подписи, а также установить отсутствие искажения информации в электронном документе, то есть определить авторство и подлинность документа.

Более того, криптографические средства обеспечивают защиту от злоумышленных действий, наносящих значительный ущерб субъектам бизнеса во всем мире. Среди таких действий: отказ (отправитель заявляет, что он не посылал данного сообщения); модификация (адресат изменяет содержание документа, а затем утверждает, что именно этот (измененный) документ и был им изначально получен); подмена (субъект А формирует документ самостоятельно и заявляет, что получил его от другого субъекта В); активный перехват (лицо, подключившееся к сети, перехватывает документы, изменяет их, а затем перенаправляет адресатам); "маскарад" (субъект А посылает сфабрикованный им документ субъекту В от имени субъекта С).

В комплексной системе информационной безопасности в последнее время резко возросла значимость антивирусной защиты. Тем не менее полноценная антивирусная защита корпоративной сети не может ограничиваться установкой и запуском стандартного антивирусного программного обеспечения на рабочих станциях и серверах компании. Перед специалистами компьютерной безопасности встает сложная задача проектирования и реализации систем антивирусной защиты корпоративного уровня, отражающих проникновение вредоносных программ как извне (через Интернет), так и изнутри (открытие зараженного документа с дискеты, подключение зараженной рабочей станции).

В информационной сфере жизнедеятельности общества всегда наблюдалось жесткое противостояние между законными владельцами информации и лицами, которые пытаются получить к ней доступ незаконными методами. Появление новых видов атак на информационные ресурсы толкает прогресс к созданию новых мер защиты (юридических, технических, организационных), а для их преодоления создаются следующие виды атак. Круг замкнут. Поэтому владельцы коммерчески ценных информационных ресурсов должны постоянно быть в курсе таких изменений, заблаговременно принимая необходимые меры по предотвращению вторжений в свои корпоративные сети.

В. Погуляев,

зам. генерального директора,

начальник Договорного отдела

юридического агентства "Копирайт",

А. Теренин,

руководитель Группы управления

качеством компании "Диасофт 5НТ"

"эж-ЮРИСТ", N 2, январь 2004 г.

-------------------------------------------------------------------------

*(1) Зенин И., Моргунова Е., Погуляев В. Что такое информация и как ее защищать? // Закон. N 12. 2002.

*(2) Бармен С. Разработка правил информационной безопасности.: Пер. с англ. - М.: Издательский дом "Вильямс", 2002. - 208 с.

*(3) Теренин А., Мельников Ю. Разработка алгоритмов для создания защищенного канала в открытой сети. // Автоматизация и современные технологии. N 6. 2001. C.5-12.