В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Например, персонал – ресурс ценный и уникальный. В последнее время стали появляться компании, специализирующиеся на привлечении талантов: по оценкам Boston Consuling, такие компании увеличивают свою прибыль в среднем в 2,2 раза быстрее прочих. "Кадры решают все" – нам ли этого не знать?! По оценкам DailyMail, уход одного – единственного Кларксона из программы TopGear обойдется BBC в 100 млн фунтов! Однако под персоналом имеется в виду усредненная рабочая сила предприятия – специалисты, руководители среднего звена, офисные работники. На все компании Кларксонов не припасено, и такие локомотивы бизнеса всегда индивидуально мотивированы, а всех прочих можно без проблем заменить или даже сократить.
Что еще? Оборудование? Оно может оказаться весьма дорогостоящим (как и последствия от его отказа). Однако оно склонно стареть морально и физически, а вышедшее из строя "железо" легко заменить таким же или его современным аналогом.
И все же представьте: у вас украли сервер с базой данных. Что вас будет больше беспокоить – утрата основного средства, стоящего на балансе, или возможное разглашение информации из "утекшей" базы данных с неясными пока последствиями? Информация! Вот единственный действительно невосполнимый ресурс. Она может быть не очень важной, известной всем и обошедшейся в копейки, ее легко воспроизвести и совершенно незачем охранять от посторонних. Но может являться плодом труда сотен людей, составлять основу бизнеса, стоить миллионы рублей (и прочих валют) и, попадая в руки недоброжелателей, угрожать бизнесу существенным ущербом или даже разорением. А "вынести" ее просто, она не выпирает из-под одежды, не требует специального пропуска и места в багажнике автомобиля. Именно это подчас заставляет людей относиться к кражам информации походя.
Информация – актив нематериальный, и пока это не государственная тайна, в том, чтобы ей поделиться, нет ничего трагичного. На самом деле это не так. И в последние годы ситуация сильно изменилась – громкие утечки и наработанная судебная практика по разглашениям делают свое дело: компании всерьез задумались о защите своей информации.
Для защиты информации от утечек применяют различные организационные и технические меры: кто-то отключает работникам Интернет, кто-то берет подписки о неразглашении, наиболее продвинутые внедряют системы противодействия утечкам. И под системой противодействия утечкам имеется в виду комплекс мер и технологий, обладающих умением выявить попытку неразрешенного перемещения информации и способностью предпринять в этой связи определенное действие. Системы эти могут работать "в параллель", в режиме информирования или "в разрыв", предотвращая утечку информации, которая была предварительно классифицирована и распознана как не подлежащая передаче. Их эффективность подтверждена массой удачных внедрений практически во всех отраслях, а возможности хорошо известны. Поэтому я предлагаю поговорить не о том, что они могут, а о том, чего они не могут.
Первичная классификация информации – важнейший элемент корректно работающей системы противодействия утечкам. Не секрет, что она будет работать и "из коробки", с предустановленными настройками. Подобные внедрения напоминают стрижку без учета особенностей головы – результат устроит только самого непритязательного клиента, если он, конечно, останется "жив" после такой процедуры. Причем если случаи утечек как результат некорректно настроенной системы могут остаться незамеченными, то "торможение" нормальной бизнес-переписки в 99% случаев приведет к тому, что безопаснику "намылят шею", а систему выключат. Система классификации информации – особенность конкретного бизнеса. Только ваш коммерческий директор считает важной именно эту информацию, только в вашем производстве ключевым считается именно этот показатель, и уж конечно только в вашей практике они имеют конкретно эти ключевые признаки, по которым информация "вылавливается" из общего потока. Процесс выявления такой информации не так прост, как может показаться: ответ на вопрос "зачем?" нельзя автоматизировать, а потому классификация информации осуществляется сугубо вручную. Для чего могут понадобиться десятки и сотни интервью с руководителями и работниками предприятия, в ходе которых будут заданы десятки вопросов, позволяющих сделать вывод о том, какую именно информацию и от чего следует защищать. Процесс этот затратный и небыстрый, особенно учитывая занятость руководителей современных компаний, а подчас и неготовность выделить что-то действительно важное в повседневной деятельности. В этих случаях могут проводиться повторные и перекрестные встречи.
На основе полученной информации путем ее консолидации, систематизации и анализа консультант подготовит для команды внедрения системы противодействия утечкам подробное указание признаков информации с описанием того, куда и от кого она может передаваться, а куда – ни в коем случае.
Совершенных систем не бывает и ошибки случаются. Первичная классификация – чрезвычайно ответственный процесс, и результат всецело зависит от качества работы консультанта, осуществляющего подготовку информации. Процесс внедрения и настройки – ручной труд, и он тоже не добавляет надежности ее работе. Итак, случилась утечка. Намеренная или нет – принципиально не важно. Зато важны ее последствия – от никаких до катастрофических, как, например, в случае с JP Morgan в 2012 г., когда благодаря разглашению японский хедж-фонд узнал о выпуске акций Nippon Sheet Glass до официального объявления, что привело к снижению курса акций JP Morgan на 17% и совокупному убытку в $2 млрд. В таких случаях проблема из чисто технической трансформируется в организационную, точнее, юридическую: она становится проблемой защиты прав обладателя информации и компенсации его убытков, возникших в результате утечки (которая теперь называется разглашением). И здесь сказывается принципиальная невозможность решения организационной проблемы техническими методами – максимум, чем может быть здесь полезна система противодействия утечкам, это предоставить свидетельства для судебных разбирательств. Ее возможности не распространяются дальше способности проконтролировать саму утечку, и если информация упущена, то дальше ее обладателю, как правило, остается только выбрать один из принципов: "будь что будет" или "авось да небось".
Причем сама система противодействия утечкам "не виновата" – виноваты люди, в первом случае не настроившие систему, а во втором – воспользовавшиеся ее состоянием. Что же можно предпринять? Как не переплатить и одновременно гарантировать эффективность защиты на всех этапах жизненного цикла системы защиты? Есть только один механизм, позволяющий решить обе проблемы и не потратить целое состояние – режим коммерческой тайны.
Режим коммерческой тайны предполагает выполнение нескольких обязательных условий, перечисленных в законе "О коммерческой тайне". К их числу относятся разработка перечня информации, учет допущенных лиц, маркировка носителей информации и др. Все они носят организационный характер, но за обладателем признается право применять и прочие меры по защите своей информации (сюда прекрасно вписывается система противодействия утечкам). Но самое интересное заключается в том, что режим коммерческой тайны помогает "замкнуть" цикл защиты информации – без него цепочка неполная (см. рис.).
На первом этапе происходит классификация и выявление информации ограниченного доступа, которую мы можем называть информацией, составляющей коммерческую тайну (ИКТ). Здесь можно буквально убить двух зайцев: результаты этого объемного труда далее могут быть использованы как командой внедрения системы, для разработки правил, так и консультантами – для построения режима коммерческой тайны. На этапе внедрения выполняется параллельная работа двух команд – инженеров и консультантов. Отличие в результатах их труда в том, что работа инженеров будет видна сразу по завершении внедрения. Тогда как труд консультантов станет незаменим, когда утечка все же состоялась и идет речь о разглашении (напомню, разглашением называется действие или бездействие, в результате которых ИКТ стала известной постороннему без вашего согласия). В этом случае (при состоявшемся разглашении и внедренном режиме коммерческой тайны) вы располагаете всем арсеналом мер воздействия, предоставляемых судебной системой, – информация теперь находится под защитой закона и называется "охраняемой законом тайной" (к слову, до этого, с т.з. закона, законного обладателя эта информация не имела, т.е. была фактически ничья). А это означает, что:
Судебная практика по статьям, связанным с разглашением ИКТ, неплохо проработана и активно пополняется. Режим КТ дает и другие, не столь очевидные преимущества, и если ваша компания представляет высокотехнологичную отрасль, интеллектуальное производство, а вы думаете внедрить или уже внедрили систему противодействия утечкам, возможно, это сможет вызвать ваш живой интерес и оказать существенную поддержку вашему бизнесу.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015