Поделиться
Защита данных - это еще не защита информации
Слепое и необдуманное копирование зарубежных решений из области защиты информации, вырванных из исходного контекста и изолированных от первоначального смысла, ни к чему хорошему не приводит. Специалисты по ИБ увлекаются защитой данных, забывая о защите информации.В силу исторических причин, в РФ в последнее время широкое распространение получил "комплекс заимствования", согласно которому "чужое лучше уже потому, что чужое". То же самое, к сожалению, произошло с областью защиты информации. Эта область активна и модна, а сертификат "Сертифицированного Аудитора Информационных Систем" (CISA) и вовсе стал просто обязательным аксессуаром каждого "честолюбивого" и "перспективного" ИТ-специалиста. Однако, при более близком знакомстве с этой областью могут появиться определенные и достаточно серьезные вопросы.
Тема информационной безопасности достаточно хорошо разработана и зафиксирована "Правилами", "Рекомендациями", "Регламентами" и стандартами (ISO 15408, ISO 17799 (BS7799), BSI, COBIT, SAC, COSO, SAS 78/94 и т.д.), что, к слову, для ИТ-области - очень большая редкость.
Во всех этих документах предметно и детально освещаются вопросы защиты данных, защиты от съема и утечки данных, защиты от несанкционированного доступа к данным и к каналам их передачи, защиты от вирусов, "шпионских" программ и прочих деструктивных воздействий, и ... все.
Про защиту данных там сказано все, что нужно, а вот про защиту непосредственно самой информации, носителями которой эти данные и являются, там не сказано практически ничего.
В чем же причины столь явного провала всех вышеуказанных источников, почему там нет ни слова о самой информации, куда она пропала? Все просто: вопросы защиты информации, которые пытаются найти здесь, находятся в совсем другом месте и регулируются стандартами из совсем других областей. Это так называемые административные способы защиты информации. Что же они из себя представляют?
Как все это работает
Информация всегда является чьей-либо собственностью, хоть и нематериальной, и потому ее защита, как и защита любой собственности, осуществляется старым, проверенным способом - детальным оформлением, учетом и контролем всей цепочки жизненного цикла этой собственности, от ее появления у собственника, до исчезновения. При этом, механизм защиты имеет вид пирамиды, каждый слой которой базируется на слоях предыдущих, и сам служит основой слоев последующих.
Пример №1: Если сотрудник компании работает с информацией, являющейся коммерческой тайной, значит эта информация имеет статус коммерческой тайны. а этот сотрудник допущен к работе с коммерческой тайной. Если информация имеет статус коммерческой тайны, значит определен перечень сведений, отнесенных к ком.тайне, и определен перечень сотрудников, допущенных к ком.тайне. Если сотрудник допущен к работе с коммерческой тайной, значит это отражено в его трудовом договоре и штатном расписании, а также в должностной инструкции.
Соответственно, если некое работающее на территории компании лицо не является сотрудником данной компании (работает в ней не по трудовому договору, а по гражданско-правовому договору, например, на отношениях подряда или субподряда), значит, никакого штатного расписания и должностных инструкций у него нет. Соответственно, и информации, имеющий статус "коммерческой тайны", у него быть не может.
Реальная защита информации требует значительного и детального оформления и не может быть подменена общими фразами и абстрактными отсылками.
Пример №2: При приеме на работу, сотрудник подписал документ, что "все, что он создаст - собственность компании". Какую содержательную нагрузку в части защиты информации несет эта запись, и соответственно - весь документ? Никакую.
Нормы "служебной разработки" (служебного произведения и служебного изобретения) распространяются только на случаи выполнения сотрудником своих прямых должностных обязанностей и случаи получения от работодателя конкретного задания на создание именно этой разработки. Если же не было конкретного документированного задания, значит разработка - собственность разработчика.
 | Учебный курс по теме: Защита интеллектуальной собственности ИТ-бизнеса (09.03.2006, Москва) |
Пример №3: В продолжение примера №2, работодатель выдал сотруднику (в соответствии с должностными обязанностями последнего) задание создать конкретную разработку, сотрудник разработку создал и зарплату за нее получил. Кому на данном этапе принадлежит разработка? Пока никому, хотя приоритет на подачу заявки на патент – у работодателя.
Работодатель ее пока не купил, ибо зарплата к покупке разработки не имеет никакого отношения. Разработчик - это автор, а автор - "имеет право на вознаграждение, соразмерное выгоде, которая получена работодателем или могла бы быть им получена при надлежащем использовании" разработки, "вознаграждение выплачивается в размере и на условиях, определяемых на основе соглашения между ними", а в "случае недостижения соглашения между сторонами" ..."спор рассматривается в судебном порядке".
Пример №4: По законодательству США, собственником промышленно созданного аудиовизуального произведения является собственник денег, на которые оно было создано, а не коллектив авторов, творческим трудом которых это произведение создано. Соответственно, при передаче этого нематериального произведения-информации через таможенную границу США возможно возникновение огромного количества разночтений и неожиданностей.
Собственно говоря, в "международные" стандарты и правила "защиты информации" все эти вопросы и не включены по той причине, что должны решаться на основании конкретных норм конкретных регионов. Более того, они уже решены в соответствующих как региональных, так и отраслевых нормах, причем давно. Просто наличие этих решений полностью игнорируется российской ИТ-отраслью, слепо копирующей вырванную из контекста часть стандартов, и предпочитающей заменять информацию резисторами и транзисторами.
Кто виноват и что делать?
Защита информации - это не основы электротехники или радиотехники, это - защита нематериальной собственности, в данной информации заключенной. Специалист по защите информации, работающий в банке, может не знать отличие переменного тока от постоянного, но он обязан знать отличие залога от займа, а платежного требования от платежного поручения.
Специалист по защите информации, работающий в компании-производителе программного обеспечения, не обязан знать принципы действия вольтметра и амперметра, но обязан отличать полезную модель от промышленного образца. Специалист по защите информации, работающий в компании-провайдере, не обязан уметь скручивать двухжильные провода с трехжильными, но обязан знать отличия личной конфиденциальной информации от информации коммерческой, знать отличия последствий их раскрытия и отличия механизмов разрешения споров, с этими раскрытиями связанных.
Нынешняя российская ситуация "воинствующего непрофессионализма" и "демонстративной профанации", когда в крупных московских учебных центрах, специализирующихся на "защите информации", и даже на крупных специализированных выставках аналогичной тематики ни один человек не в состоянии отличить исключительные права от авторских, а нематериальные - от смежных, не может продолжаться долго.
От существующего положения на рынке ИБ большой урон несут все российские компании, и особенно - ИТ-профиля, вынужденные уплачивать своеобразный "статусный налог".
Никто не сомневается в важности и необходимости решения задач защиты от несанкционированного доступа к корпоративным данным, к каналам передачи данных, задач защиты от съема и разрушения этих данных. Все эти вопросы и нужны, и важны, про них нельзя забывать и их решение нельзя подменять решением других вопросов. Область безопасности информации (а не данных!) точно так же важна и нужна, и ее задачи так же нельзя подменять решением задач из области электротехники и связи.
Поделиться
Короткая ссылка
