С того момента времени, как получил 3 по ИБ за реферат «Правовое регулирование защиты информации», а затем переговорил на эту тему с преподавателем, очень сильно задумался над вопросами коммерческой тайны(в дальнейшем КТ).
Суть вопроса в следующем.
Так как КТ не регулируется государством, то программное обеспечение(в дальнейшем ПО) для введения в компании(рассматривается крупная компания с большим количеством компьютерной техники) режима КТ обязательной сертификации не подлежит.
Обрисуем немного ситуацию.
На компьютерах нашей компании, так как она крупная и обладает большим кол-вом информации, попадающей под гриф КТ, стоит DHL-система, которая занимается тем, что просто сканирует весь трафик, как входящий, так и исходящий. То есть, если с какого-то устройства в компании была отправлена информация, составляющая КТ, то система без труда оповестит о местонахождении устройства системных администраторов компании.
Представим себе следующую ситуацию:
1. DHL-система сигнализирует об утечки данных с компьютера Васи Пупкина
2. Васю Пупкина вызывают и спрашивают: «Василий, вы отличный сотрудник. Мы в недоумении, объясните нам причины вашего поступка. Зачем вы отправили такой важный документ в другую компанию?»
3. Вася отвечает, что не отправлял.(Далее Васю, конечно, просто уволят, и ситуация не выйдет за рамки компании)
4. Компания подает на Васю в суд.
5. Вася в итоге платит огромный штраф, так как доказать, что он этого не делал, не может. А ранее в судебной практике такие дела всегда выигрывали компании по тем же причинам, обвиняемый не может ничего доказать, так как буквой закона не написано, что ПО, обеспечивающее режим КТ, должно проходить обязательную сертификацию и соответствовать каким-либо стандартам.
Но больше всего меня поразил следующий факт. Сертификат производителя ПО не гарантирует стабильную работу этого самого ПО, что само по себе уже выглядет абсурдным.
То есть, вот что я хочу сказать. По своей профессии я — программист. Если у меня на руках есть какой-то сертификат о том, что я — хороший программист(например, сертификаты компании Oracle), то это дает работодателю понять, какие задачи мне можно поручать, а какие нет. Если я с ними не справляюсь, то за что тогда мне выдали сертификат. То есть, в данном случае мой сертификат является гарантией моей работы. А в случае с ПО никто не несет никакой ответственности и не дает никаких гарантий.
Итак, имеем:
— В случае сбоя работы в ПО никто не сможет доказать этот сбой(эксперты тоже скорее всего не помогут, так как поиск ошибки в коде такого ПО — это поиск иголки в стоге сена)
— Компания лишается квалифицированного сотрудника и грифа секретности на определенных данных
— Сотрудник лишается работы и гарантии строиться на новую(слава очень быстро распространяется)
— Компания будет вынуждена менять ПО
Вот и вопрос, как с этим быть?
Мне кажется, что стоит просто взять КТ под контроль государственных органов, составить перечень ПО, которое должно быть установлено в компании, а также составить список требований, которому должно соответствовать ПО, ну и ввести сертификацию ПО, чтобы было, с кого спросить за убытки, которые несет компания по причине сбоя в в работе ПО.
Автор: eustimenko