Изменения законодательства в области информационной безопасности и практики его правоприменения

Обзор основных изменений российского законодательства за последний год и практики его правоприменения судами, прокуратурой и надзорными органами – основная цель вебинара, который пройдет 6 сентября 2012 года.

Вебинар ориентирован на специалистов, которые хотят получить общее представление обо всех произошедших в последнее время законодательных изменениях, а также понимание их влияния на бизнес организаций, в которых они работают.

Ведущий вебинара – М.Ю. Емельянников, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры», автор более 200 публикаций в СМИ, по проблемам информационной безопасности, эксперт Консультационного совета Ассоциации российских банков по проблемам законодательства о персональных данных. Автор и тренер первых в России учебных курсов по вопросам защиты коммерческой тайны и персональных данных.

В программе вебинара:

• Наиболее значимые изменения российского законодательства в области информационной безопасности за последний год. Причины, направленность, возможные последствия изменений.

• Законодательство о персональных данных. Федеральный закон ФЗ-261 – новая редакция закона «О персональных данных», а не перечень поправок. Изменение базовых подходов к обработке персональных данных и правовых оснований для нее. Расширение круга персональных данных, доступных для неограниченного круга лиц и обрабатываемых без согласия субъектов (обязательное медицинское страхование, образование, исполнительное производство и др.).

• Есть ли в российских законах понятие конфиденциальной информации и что это такое?

• Ограничение доступа к информации о деятельности органов государственной власти и местного самоуправления. Его правомерность в условиях отсутствия закона о служебной тайне.

• Информационная безопасность при предоставлении государственных и муниципальных услуг в электронном виде. Обработка персональных данных при оказании государственных услуг.

• Информационная безопасность национальной платежной системы. Требования, регуляторы, ответственность.

• Лицензирование деятельности в области информационной безопасности – новый закон, новые положения.

• Обязательная сертификация средств защиты информации как форма оценки соответствия.

• Можно ли легально использовать зарубежные криптографические средства на территории России.

• Парадоксы правосудия – коммерческая тайна и персональные данные в российских судах. Закономерности и уникальные решения.

• Уступка прав требования и агентские схемы взыскания задолженности с физических лиц через призму персональных данных.

• Контроль, надзор и проверки. К чему готовиться, кого ждать.

Организатор вебинара - Учебный центр «Информзащита» обращает внимание заинтересованных специалистов, что системно, основательно и в прикладном аспекте вопросы, анонсированные в программе вебинара, рассматриваются в рамках различных курсов центра, в первую очередь – по тематике коммерческой тайны и персональных данных.

Вебинар состоится 6 сентября 2012 года, начало – 11:00. Продолжительность вебинара – 1,5 часа. Участие в вебинаре бесплатное, при условии предварительной регистрации на сайте Учебного центра «Информзащита».

Читая приговоры…

Лето оказалось совсем не отпускным. Столько работы в это время еще никогда не было. Особенно активизировался интерес к коммерческой тайне. В ходе одного из проектов пришлось детально разбираться с решениями и приговорами судов по поводу разглашения коммерческой тайны.

Из них можно вынести много весьма полезной информации о том, как воспринимаются судами аргументы сторон при разборе подобных дел, и что надо учесть (куда соломки подстелить), если одной из задач установления режима является возможность привлечения виновного в нарушении исключительных прав на секрет производства к дисциплинарной, административной или уголовной ответственности. Я как-то об этом писал, но появились и новые решения.

Итак, первое и главное. В последние пару лет суды научились анализировать полноту принятия мер по установлению режима, предусмотренных частью 1 статьи 10 ФЗ «О коммерческой тайне» и организации работы с информацией, составляющей коммерческую тайну (ИКТ), предусмотренных частью 1 статьи 11. Это очень радует, поскольку ранее судьи в это особо не вникали. К примеру, не признается законным увольнение работников по п.п. «в» пункта 6 ст.81 ТК РФ (разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей), если даже часть режимных мер не принята – нет учета лиц, получивших доступ к ИКТ или грифов на документах в электронном виде. Можно высекать на граните и ставить на проходной организации цитату из одного приговора: А.Б.В. «не может нести неблагоприятные последствия за бездействие других работников этого юридического лица, ненадлежащую организацию с их стороны работы по охране сведений конфиденциального характера, невведение обладателем информации в отношении нее режима коммерческой тайны».

Суды, как с этим не пытаются спорить некоторые коллеги, принимают доказательства неправомерных действий, собранные службой безопасности или ИТ-подразделением пострадавшего работодателя, - электронные письма, копии баз данных, даже логи, причем, по понятным причинам, к электронным письмам отношение гораздо более благосклонное, чем к логам. А вот конструкции типа «мог предположить, что данные сведения составляют», «имел основания полагать», «другие лица, кроме него, не могли», отметаются напрочь. Как замечательно написано в одном из приговоров, «предположительные доводы органа предварительного следствия и стороны государственного обвинения о наличии в действиях А.А.А. состава преступления, не основаны на нормах материального и процессуального права и не могут быть положены в основу обвинительного приговора суда». А в одном из процессов суд напомнил работодателю, что такого основания для отстранения от работы, как разглашение секретов, Трудовой кодекс не предусматривает (см.ст.76 с исчерпывающим перечнем оснований).

Весьма значительная часть судебных процессов посвящена краже, выносу, уносу, продаже, передаче клиентских баз. Недаром профессия «менеджер по продажам со своей базой» - самая востребованная на рынке труда. При этом, определяя обладателя охраняемой информации и возможность ее независимого получения самостоятельно одной из сторон, суды стали сравнивать оспариваемые сведения, и, при наличии большого количества совпадений, принимать сторону того, от кого эта информация ушла к конкуренту.

Есть совершенно замечательные решения. Суд посчитал отправку работником письма с персональными данными другого работника со своего служебного почтового ящика на свой же почтовый адрес публичного сервиса www.mail.ru разглашением. Читаем внимательно: «Пользовательским соглашением, текст которого размещен на сайте www.mail.ru, в соответствии с условиями которого ООО «Мэйл. Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации». Вот так. Поэтому увольнение по тому же п.п. «в» пункта 6 ст.81 ТК РФ (разглашение персональных данных другого работника) суд посчитал правомерным, причем доказательства отправки сам работодатель в суд и принес. На заметку всем обладателям охраняемой законом информации. Открывается новый пласт ограничительной деятельности, особенно для тех, кто допускает использование публичных почтовых сервисов.

В связи с этим очень интересным представляется еще одно решение. Определяя обязанности своего работника по охране коммерческой тайны, обладатель обязал его «не распространять сведения, составляющие конфиденциальную информацию, следующими способами: устно, письменно, в средствах массовой информации». А он отправил их «электронным способом, не охватываемым условиями Соглашения о конфиденциальности, соответственно чему доказательств распространения работником конфиденциальной информации способами, предусмотренными Соглашением о конфиденциальности, суду ответчиком не представлено». А? Каково? Я всегда говорил, что в защите информации ограниченного доступа 80% работы связано с правовыми и оргмерами, и только 20% - с техническими.

И, наконец, про технические меры. Сложилось впечатление, что будь у пострадавших от неправомерных действий инсайдеров поставленная система контроля-блокирования-логирования, и дел самих могло бы не быть, а уж если случилось бы – в суде выиграли бы точно.

Врачу, исцелися сам

Вы поверите дерматологу, лицо которого покрыто сыпью и струпьями? Пойдете к стоматологу, от которого надо отойти на пару метров, чтобы не чувствовать запаха его зубов?

Извините за натурализм, но иные аналогии не приходят в голову, когда приходится знакомиться с документами компаний, особенно выплеснувшихся на рынок информационной безопасности в последние годы и продвигающих свои услуги на поляне, расчищенной государственным регулированием.

Иногда хочется найти руководителя или владельца компании и приватно сообщить ему: «Юрист твой – враг твой». Неграмотность в вопросах, которыми занимается компания, где такой юрист работает, может свести на нет все усилия специалистов, затраченные на пресейл. Например, в договоре на оказание услуг по защите информации ограниченного доступа компания-исполнитель предлагает заказчику принять на себя ответственность за охрану конфиденциальности сведений, указанных в договоре. Хотелось бы только понять, зачем это заказчику, и какие именно тайны исполнителя надо строго хранить?

Или исполнитель настаивает на обязательстве обоюдно защищать конфиденциальную информацию. Принесшей на рынок знания и навыки своих консультантов компании-исполнителю неплохо бы разобраться с законодательством и выяснить, что понятия конфиденциальной информации нет ни в одном законе, а исполнитель, судя по определению, предлагаемому в договоре, относит к таковой исключительно сведения, составляющие, в соответствии с формальными признаками, коммерческую тайну, но тщательно этого термина избегает (видимо, потому, что режима коммерческой тайны не установил или установить не умеет).

В коммерческом предложении на выполнение работ по персональным данным упорно отстаивается тезис об обязательности получения письменного согласия субъекта на любую обработку персданных и обещается научить заказчика способам получения «правильного» согласия на все случаи жизни. Почитать ФЗ-152 и выяснить, что согласие – всего лишь одно из одиннадцати законных оснований обрабатывать персональные данные, новоявленным консультантам некогда, поскольку надо деньги зарабатывать. Как и некогда выяснить, что в законе «О персональных данных» всего пять случаев получения согласия в письменной форме, а в остальных ситуациях оно должно быть просто доказываемым. Любым разумным способом.

В предложении на построение системы защиты коммерческой тайны говорится об обязательности аттестации информационной системы заказчика как финального аккорда всей работы «по приведению в соответствие», хотя аттестовать можно только объект информатизации, и для коммерческой тайны этого вовсе не требуется, да, и если говорить честно, невозможно в принципе. Но положение Гостехкомиссии аж 1994 года читать в лом, да и не выгодно – на аттестации можно нарубить еще денег.

Менеджер по продажам, приехавший вместе с инженером «ломать» заказчика на установку антивирусов производства компании А, упорно «не замечает», что на принесенных ими ноутбуках в трее свернут значок антивируса производителя Б. Чего, спрашивается, тогда толкаете А?

Инженер, настаивающий на обязательности установки для удаленного доступа в систему заказчика только сертифицированного клиента системы криптографической защиты, в ходе демонстрации втыкает в свой ноут токен, поднимает https и на голубом глазу демонстрирует эффективность использования продвигаемого решения.

Представитель вендора, убеждающий  применять шифрование дисков на мобильных устройствах, выносимых за пределы охраняемой территории, приходит на встречу с планшетом, на котором записаны все параметры предлагаемого решения, внутренние цены, типовые договора и особые условия поставки, с которыми он периодически сверяется, продвигая предложение. Естественно, без всякого их расшифрования.

И так до бесконечности.

У продвинутых заказчиков, которых с каждым годом становится все больше, вслед за Станиславским из груди невольно рвется «Не верю!». Но они на переговорах тактично и воспитанно молчат. Только не надо удивляться, что коммерческое предложение не принято, а проект договора возвращен после вроде бы успешных переговоров с категорическим отказом обсуждать работу в дальнейшем. Помешали сыпь на лице дерматолога и перекошенный костюм модного портного.