В таком случае, хочется понять о чем говорит п. 2 ст. 14 закона «О коммерческой тайне»: «работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации».

Учитывая, что в п. 1 этой же статьи за нарушение закона «О коммерческой тайне» были определены практически все виды правовой ответственности (дисциплинарная, гражданско-правовая, административная и уголовная), то в соответствии с п. 2 ст. 14 получается, что даже в случае умышленного разглашения коммерческой тайны ответственность именно для сотрудника организации (инсайдера) может быть только дисциплинарной, или сразу уголовной. Поэтому о возмещении ущерба здесь ничего не сказано.

Дисциплинарная ответственность предусматривает наложение на работника дисциплинарного взыскания в соответствии с п. «в» ч. 6 ст. 81 ТК РФ, имеет следующий вид: расторжение трудового договора по инициативе работодателя в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в «разглашении охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей».

С учетом главенства в нашем законодательстве кодексов, инсайдера сможет постигнуть наказание в виде возмещения ущерба, вплоть до «прямого действительного» (но не убытков из-за разногласия кодексов). В таком случае п. 2 ст. 14 закона «О коммерческой тайне», оставленной без изменения после модернизации этого закона в связи с введением части четвертой ГК РФ не выполним и фиктивен.

Каким же наказанием и кому конкретно грозит за посягательство (даже без злого умысла) на коммерческую тайну?

Чтобы это стало более-менее понятно, ограничимся кодексами: Гражданским, Трудовым, Уголовным, об Административных правонарушениях, и федеральных законах «О коммерческой тайне», «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О банках и банковской деятельности», «О кредитных историях», а предметом законодательно-наказуемых действий определим отдельные виды информации ограниченного доступа (включая нами определенную коммерческую тайну).

При анализе терминологическую основу, применяемую при законодательном нормировании наказуемых действий, их предмета, действующих лиц и итогов этих действий, то получим следующий результат.

Наказуемым действием согласно вышеприведенным законодательным актам являются: разглашение, незаконное разглашение, разглашение третьим лицам, неправомерное разглашение, разглашение в какой-либо форме, умышленное или неосторожное разглашение, незаконное собирание (путем похищения документов, подкупа или угроз, а равно иным незаконным способом), незаконное использование, неправомерное использование, не сохранение и, наконец, просто тривиальное «нарушение».

Предметом же этих действий законодатели в разное время определили:

· информацию, доступ к которой ограничен федеральным законом;

· информацию ограниченного доступа;

· информацию, составляющую коммерческую тайну;

· тайну, охраняемую законом (государственную, коммерческую, служебную и иную);

· сведения, составляющие охраняемую законом тайну (государственную, коммерческую, служебную и иную);

· тайну об операциях, счетах и вкладах клиентов и корреспондентов кредитной организации, а также об иных сведениях, устанавливаемых этой организацией;

· исключительное право на секрет производства;

· конфиденциальность секрета производства;

· информацию, входящую в состав кредитной истории;

· информацию, составляющую коммерческую, служебную, банковскую, налоговую тайну бюро кредитных историй, источников формирования кредитных историй, субъектов кредитных историй и пользователей кредитных историй;

· персональные данные другого работника;

· нормы, регулирующие получение, обработку и защиту персональных данных работника;

· требования федерального закона.

В качестве некоего виновного лица законодательные акты рассматривают:

· гражданина, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства;

· работника, в связи с исполнением им трудовых обязанностей;

· лицо, получившее доступ к информации, к которой он ограничен федеральным законом, в связи с исполнением служебных или профессиональных обязанностей;

· лицо, которому коммерческая, налоговая или банковская тайна были доверены или стали известны по службе или работе;

· лицо, которое неправомерно получило сведения, составляющие секрет производства;

· лицо, распорядившиеся своим правом...;

· виновное лицо;

· служащих кредитной организации;

· Банк России, организации, осуществляющие функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, и их должностных лиц и работников;

· пользователей кредитных историй, источники формирования кредитных историй и иных лиц, получивших в соответствии с федеральным законом доступ к информации, входящей в состав кредитной истории и (или) к коду субъекта кредитной истории;

· бюро кредитных историй, его должностных лиц;

· должностных лиц и служащих государственных или муниципальных органов государственной власти, иных государственных органов, органов местного самоуправления;

· должностных лиц уполномоченного государственного органа;

· оператора, осуществляющего обработку персональных данных.

Итог вышерассмотренных действий в законодательной трактовке выглядит следующим образом:

· штраф;

· административный штраф;

· расторжение трудового договора;

· лишение права занимать определенные должности;

· лишение права заниматься определенной деятельностью;

· лишение свободы;

· возмещение убытков, причиненных нарушением...;

· возмещение нанесенного ущерба;

· возмещение причиненных клиенту убытков (по требованию клиента, права которого нарушены);

· судебные иски лиц о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации;

· обжалование действий или бездействия оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке;

· материальная ответственность;

· дисциплинарная, гражданско-правовая, административная или уголовная ответственность;

· ответственность в порядке, предусмотренном законодательством Российской Федерации.

И наконец, в количественном выражении:

· от пятисот до одной тысячи рублей (для граждан), от четырех тысяч до пяти тысяч рублей (для должностных лиц);

· до восьмидесяти (ста двадцати, двухсот) тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев (до одного года, до восемнадцати месяцев);

· полный размер прямого действительного ущерба;

· увольнение за однократное грубое нарушение трудовых обязанностей;

· до двух (трех, пяти, десяти) лет.

На месте офицера службы ИБ организации непросто разобраться, как называть нарушителя и какое наказание к нему применить? Чем в принципиальном плане различается просто разглашение от неправомерного разглашения или от разглашения третьим лицам. А незаконное использование от неправомерного использования предмета действия, и как это все собрать воедино в документах конкретной организации?

По предмету действия, также немало разных толкований фактически одних и тех же понятий. Это и информация, и сведения, и тайна, и право, и конфиденциальность, и сами нормы. Действующее лицо также вариативно: виновное лицо, должностное лицо, гражданин, работник, пользователь, оператор, служащий и т. д. Далее в понятийном аппарате законодателей все четко и ясно: итог наказуемых действий, как в качественном, так и в количественном отношении, определяется достаточно четко. Штраф, возмещение, судебный иск, лишение свободы и вызывает недоумение четкие количественные показатели, имеющие трактовку и не несущие определенности и разъяснений«до ... лет».

Основная проблема в составлении руководящих документов организации, которые должны составляться таким образом, чтобы по возможности не оставлять шансов ухода от наказания нарушителю (определений последнему много) в суде. А шансы в случае юридически неграмотной трактовки основных понятий при определении ответственности нарушителя в документах организации и при его юридически грамотной защите в суде будут немалые. И прецедентное право будет де-факто работать против защитников информации. Неотвратимость наказания по причине необязательности его исполнения превращается в бесконечно малую величину

Уповать на законодателей, призывать к приведению в последовательность и порядок, однозначность толкования, понятийный аппарат в поле обращения с информацией ограниченного доступа не приходится. Руководителю организации приходится самостоятельно как-то изворачиваться и применять порой, не совсем законодательные меры. Т.к. его право как было не защищено, так и остается.

Тем не менее, важность в организации руководящих документов неоспорима. Поэтому термины и определения в руководящих документах по информационной безопасности организации и их соответствие необходимо вводить таким образом, чтобы они в юридическом плане удовлетворяли многообразию понятийного аппарата различных действующих законодательных актов по вопросам обращения с информацией ограниченного доступа (то есть с нашей Тайной). Далее все эти понятия необходимо проводить по всем документам, которые имеют отношение к оформлению порядка установления режима коммерческой тайны организации, и к прочим вопросам обеспечения информационной безопасности организации.

Вопрос подрядных договоров

Следующий проблемный вопрос, касающийся категории сотрудников, работающих в организации не по трудовому, а по гражданско-правовому договору, например по подряду.

При известных обстоятельствах они попадают в группу риска. Поэтому для этой категории также должны быть заложены правовые основы ответственности за незаконные действия с информацией ограниченного доступа.

Если в организации в отношении информации введен режим коммерческой тайны, то это предполагает наличие перечня этой информации, закрепление нормативным образом круга работников организации, допущенных к этой информации, отражение этого факта в трудовом договоре с ними и их должностной инструкции, а также проведение некоторых других мероприятий.

Возможная проблема состоит в том, что внештатный сотрудник не входит в закрепленный распорядительным порядком круг лиц, допущенных к информации, составляющей коммерческую тайну, не имеет трудового договора и утвержденной должностной инструкции. Значит, этот сотрудник теоретически не должен работать с информацией, в отношении которой введен режим коммерческой тайны.

Однако зачастую необходимость такой работы в организации возникает, и тогда приходится решать вопрос грамотного с правовой точки зрения обеспечения работы этих сотрудников с информацией ограниченного доступа. При этом необходимо исключить нарушение режима коммерческой тайны, установленного в организации, и избежать негативных правовых последствий в случае, если таковое нарушение со стороны внештатного сотрудника все-таки произойдет.

В каждом конкретном случае для организации необходима оценка риска нарушения информационной безопасности для модели злоумышленника, имеющего облик инсайдера из вышеупомянутой категории. Риск оценивается как низкий - принимаем его и пишем в руководящие документы организации общие шаблонные фразы об ответственности нарушителя из этой категории в соответствии с действующим законодательством. Риск оценивается как высокий - необходима детальная проработка вопроса и юридически грамотная фиксация необходимых положений как в руководящих документах по обеспечению информационной безопасности организации, так и в других документах, например в том же гражданско-правовом договоре с сотрудником или в дополнительном соглашении к этому договору.

Несоответствия в законодательной базе в области банковской тайне

Есть ряд несоответствий и законодательных противоречий в области банковской тайны. Основные нормы для правового регулирования понятия банковской тайны присутствуют в части второй ГК РФ от 26.01.96 № 14-ФЗ (ст. 857 и др.), а также в федеральном законе «О банках и банковской деятельности» от 02.12.90 № 395-1 (ст. 26 и др.).

В ГК РФ субъектом, обязанным хранить банковскую тайну, определен банк, а в законе «О банках и банковской деятельности» - кредитная организация, что является более широким понятием. В кодексе при определении понятия банковской тайны говорится только об операциях по счету, а в законе - об операциях вообще, то есть подразумеваются любые банковские операции. Кодексом ответственность за разглашение банковской тайны определяется в виде возмещения причиненных клиенту убытков, а законом - возмещение нанесенного ущерба, что является ограничением ответственности по сравнению с мерой, указанной в кодексе.

Эти противоречивые моменты надо знать и учитывать при формировании локальной нормативной базы организации по вопросам правовой основы обеспечения информационной безопасности. Например, если при составлении перечня сведений, составляющих коммерческую тайну организации, положить в основу нормы закона «О банках и банковской деятельности», то они могут стать миной замедленного действия, которая сработает в ходе судебного разбирательства с инсайдером, так как там будет учтено главенство Гражданского кодекса над нормами федерального закона в соответствии со ст. 3 этого кодекса. И здесь уже не поможет грамотное оформление всех остальных документов в пострадавшей от инсайдера организации.

После упразнения из числа законодательно закрепленных понятий тайн категории «служебная» в связи с введением части четвертой ГК РФ почти единственным законодательным основанием для легитимного существования этой категории тайн остался известный указ Президента Российской Федерации от 06.03.97 № 188 (с изменениями от 23.09.2005) «Об утверждении перечня сведений конфиденциального характера». Правовой статус указа определяется нормой, зафиксированной в п. 5 ст. 3 ГК РФ: «В случае противоречия указа Президента Российской Федерации или постановления Правительства РФ настоящему Кодексу или иному закону применяется настоящий Кодекс или соответствующий закон».

В п. 3 указа имеет место упоминание служебной тайны фактически как атрибута только органов государственной власти: «Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна)».

Указу в этом плане вторит, но уже более однозначно и категорично ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», который определяет служебную тайну как «защищаемую по закону конфиденциальную информацию, ставшую известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебную информацию о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости».

Статья 8 федерального закона «Об информации, информационных технологиях и о защите информации» содержит упоминание вскользь о служебной тайне, не определяя ее должным образом: «Не может быть ограничен доступ к... информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну)».

В этом же законе в ст. 9 информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности, определяется как профессиональная тайна.

Возникает вопрос, как связано понятие этой тайны с секретом производства (ст. 1465 ГК РФ), а через него с понятием коммерческой тайны (ст. 3, п. 2 закона «О коммерческой тайне»), имея в виду ранее установленную их тождественность. Вопрос в том, чтобы не довести процесс рассмотрения вопросов, связанных с категорией тайн, до юридического коллапса. Есть подозрения, а не является ли профессиональная тайна составной частью коммерческой («... а также сведения о способах осуществления профессиональной деятельности...»)? Почему тогда для однозначности толкования правого статуса очередной тайны часть четвертая ГК РФ не упомянула о ней или при своем введение в действие не внесла коррективы в соответствующие федеральные законы.

Таким образом категория служебной тайны для негосударственных организаций является запретной, да и на вновь обозначенную профессиональную тайну нет надежды. А в условиях фактического ограничения сферы влияния понятия коммерческой тайны, и при наличии законодательных надежность правовой основы при построении системы менеджмента информационной безопасности организации уменьшается.

5.4 Выводы

Специалисту по информационной безопасности часто приходится ко всем прочим своим заслугам и достижениям, быть и хорошим юристом, умеющим грамотно вчитываться в аспекты законодательной и нормативной базы. Если это не делать, тогда вся построенная корпоративная защита на предприятии рассыплется в одночасье, хотя могла строиться годами и иметь приличный уровень. А все потому, что отсутствие в терминологии и понятиях общего знаменателя в законодательной базе, способно открыть двери перед любым мошенником. И шансы компании, при не корректно составленном пакете организационных документов, либо при не учете, потребности регулярно обновлять этот пакет, в связи с меняющимися положениями в законе, стремятся к нулю. С учетом развитости нынешнего поколения людей и подрастающей молодежи, которая уже на порядок по развитию опережает нас, сегодняшних, доступностью разнородной информации, в частности подходов к причинению предприятию ущерба с целью личной выгоды, дополнились и обязанности защитников информации. Как в прочем и кадровых, организационных служб любого предприятия.

На примере коммерческой тайны и персональных данных, мы уже увидели в этой главе, как предприятие способно быть бессильным. А если эти данные результат очень дорогих маркетинговых исследований, и скажем, если это еще и главная деятельность компании, тогда компанию можно закрывать.

Приятно, что возникло шевеление в законодательной базе. Но к сожалению, пока нет справедливых примеров судопроизводства, как и регулирующего органа, способного отслеживать выполнение указаний законодательства, и пока этого не будет, пока психология людей привыкла видеть только негатив, мошенничество, инсайд будут процветать и дальше.

ЗАКЛЮЧЕНИЕ

В дипломном проекте была исследована одна из опаснейших угроз информационной безопасности, которая стремительно набирает силу по всему миру и статистика неумолимо об этом кричит. В связи с тем, что угроза социальной инженерии непосредственно связана с человеческим фактором, осуществить математическую оценку риска и рассчитать стоимость этого риска не представляется возможным. А то что возможно рассчитать, сегодня компании не используют в виду дороговизны проведения такой оценки и отсутствием достаточного количества специалистов в области психоанализа.

В работе была рассмотрена история появления социальной инженерии изначально, как термина, позднее, как формирование межотраслевой науки. Были выяснены ключевые задачи, для каких целей она создавалась. Определена методическая и научная база, которая вошла в качестве инструментов и методов в социальную инженерию. Было рассмотрено, где сегодня социальная инженерия нашла свое применение в индустрии и как один из инструментов мошенничества.

Данные основные определения и рассмотрены механизмы атак, используемые социоинженерами в своей деятельности.

Изучена международная статистика по внешним и внутренним угрозам с использованием социальной инженерии. Выяснено, насколько социальная инженерия является реальной, а не мифической угрозой. Изучены направления атак и используемые в них угрозы, в которых возможно применение социотехники.

Рассмотрены основные психологические составляющие социальной инженерии, и её родителя социальной психологии.

На основании изученной угрозы, её использования в настоящее время, выработано ряд организационно-технических рекомендаций, которые можно использовать в любой организации, включив их в «Политику информационной безопасности».

В организационно-экономической части создан и рассчитан шаблон проекта по проведению информационного аудита с целью выявления угроз способных использовать социотехнические методы и построения защиты от данного вида угроз.

В организационно-правовой части были рассмотрены правовые вопросы, которые следует применять при составлении пакета корпоративных документов и использующих коммерческую тайну и персональные данные.

Таким образом, все задачи, поставленные в Техническом задании рассмотрены и выполнены.

РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ

1. Шейнов В.П. Скрытое управление человеком: психология манипулирования. - АСТ Харвест, 2006 г.

2. Литвак М.Е. - Командовать или подчиняться?// Изд. 4-е. -- Ростов н/Д: изд-во «Феникс», 2004, - 284 с.

3. Литвак М.Е. -Психологический вампиризма.

4. Ковров А. В. Лояльность персонала. - М.: Бератор, 2004.

5. Леонгард К. Акцентуированные личности. -- М.:Мир, 1988.

6. Мандиа К., Просик К. Защита от вторжений. Расследование компьютерных преступлений// М.: «ЛОРИ», 2005

7. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. - СПб.: Питер, 2008.

8. Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. - СПб.: БХВ-Петербург, 2007

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Гастев А.К. Как надо работать. Практическое введение в науку организации труда. Изд. 2-е. М.,1972.

2. Гастев А.К. Социальные установки// У истоков НОТ: забытые дискуссии и нереализованные идеи. Л., 1990.

3. Большой словарь по социологии, проект www.rusword.com.ua или www.glossary.ru

4. Голованов О. Краткий словарь по социологии. 2001 г.

5. Яценко Н.Е. Толковый словарь обществоведческих терминов. 1999 г.

6. Социологический словарь проекта Socium, 2003 г. http://voluntary.ru/dictionary/572/

7. Генне О.В. Заметки о социальной инженерии //Защита информации. INSIDE. №6, 2006 г. стр. 16-19

8. Википедия - свободная энциклопедия http://ru.wikipedia.org

9. Бычек В., Ершова Е. Социальная инженерия в интеллектуальной битве «добра» и «зла» //Защита информации. INSIDE. №6, 2006 г. стр. 20-27

10. Данилов М.П. Самая опасная уязвимость //Защита информации. INSIDE. №6, 2006 г. стр. 32-35

11. Гастев А. К. Трудовые установки. М, 1973

12. Задорин И. Три профессиональных позиции социолога и репутация профессии. // Круглый стол Российского Форума 25.10.2003 www.zircon.ru/russian/publication/6/031030.htm

13. Кравченко А. И. Прикладные исследования в США // Социологнческие исследования. 1987. №3

14. Социальная психология. М., 1975.

15. Глоссарий.ру www.glossary.ru

16. Высшее образование. Справочник. www.examen.ru/db/Examine/defacto.html

17. Стейнберг Джеффри. Научная диктатура. От кибернетики к Литтлтону - техника управления разумом // Executive Intelligence Review от 5 мая 2000 г.

18. Большаков К., Тренируй и властвуй// Коммерсант-Деньги. №36, 2004 г. стр. 79-82.

19. Центр Анализа Интернет Ресурсов. Опасны ли жестокие компьютерные игры? от 15.04.2005 г. www.cair.ru

20. Дацюк С., Гриновский В. Индустрия социальной инженерии - концепция. октябрь 1998 г. http://www.uis.kiev.ua/discussion/soc_ing.html

21. Касперски Крис. Секретное оружие социальной инженерии.

22. Шейнов В.П. Скрытое управление человеком: психология манипулирования. - АСТ Харвест, 2006 г.

23. Литвак М.Е. - Командовать или подчиняться?// Изд. 4-е. -- Ростов н/Д: изд-во «Феникс», 2004, - 284 с.

24. Доля А.А. Внутренние ИТ-угрозы в России - 2006 //Защита информации. INSIDE. №2, 2007 г. стр. 60-69

25. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. - СПб.: Питер, 2008.

26. Microsoft «Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники», 16.01.2007 г. http://www.microsoft.com/rus/technet/security/midsizebusiness/topics/complianceandpolicies/socialengineeringthreats.mspx

27. Слепов О. Контентная фильтрация //Jet Info, №10 (149), 2005

28. Шубин А.С. Наша Тайна громко плачет…//Защита информации. INSIDE. №2, 2008 г. стр. 19-27

29. Ковров А. В. Лояльность персонала. - М.: Бератор, 2004.

30. Леонгард К. Акцентуированные личности. -- М.:Мир, 1988.

31. Воробьев С.Я. Свой среди чужих, чужой среди своих //Защита информации. INSIDE. №3, 2007 г. стр. 70-71

32. М.Л. Разу. Управление проектами. Основы проектного управления: учебник// М.: КНОРУС, 2007. - 768 с.

33. В.В. Богданов. Управление проектами в Microsoft Project 2003// СПб.: Питер, 2005. - 604 с.

Размещено на Allbest.ru