Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Всё о служебной тайне и её охране». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Вначале система информационной безопасности разрабатывались для нужд военных. Стратегические данные, касающиеся обороноспособности, были настолько важны, что их утечка могла привести к огромным людским потерям. Соответственно, компьютерная безопасность обратилась к опыту криптографии, то есть шифрования. Появлялись криптошрифты и специальные программы, позволяющие автоматизировать процесс шифровки и дешифровки.
Понятно, что чтобы сегодня проникнуть в информационное поле какого-либо предприятия или человека совершенно необязательно взламывать двери или устанавливать «жучки». Эксперты говорят: «Полностью защищенный компьютер — это тот, который стоит под замком в сейфе в бронированной комнате и не включен даже в розетку». Воры пользуются программам типа «троянский конь» (устанавливаются на компьютер, самые простые просто крадут все пароли, продвинутые — позволяют просматривать содержимое экрана, перехватывать все вводимые с клавиатуры клавиши, изменять файлы и т.д.). Модными стали также атаки под названием «отказ в обслуживании», которые выводят из строя узлы сети. При этом работа узла становится невозможной на протяжении нескольких минут или даже часов. Понятно, что подобные остановки приносят огромные убытки.
Преступная практика диктует принципы работы специалиста по защите информации. Все меньше он занимается физической безопасностью (пропускным режимом, видеонаблюдением и т.д.) и все больше — сетевой и компьютерной. Существует принципиальная схема, по которой строится работа такого специалиста.
Во-первых, он проводит информационное обследование и анализ. Это самый важный этап, в результате которого появляется так называемая «модель нарушителя»: кто, зачем и как может нарушать безопасность. Чтобы грамотно провести обследование, профессионал должен знать основные направления экономического и социального развития отрасли, перспективы, специализацию и особенности предприятия, специфику работы конкурентов, детали прохождения информации по подразделениям, знать кадровые проблемы и быть в курсе «подводных течений» в коллективе.
На втором этапе разрабатываются внутренние организационно-правовые документы, которые максимально упорядочивают информационные потоки. Понятно, что здесь необходимы дополнительные знания: законодательства и права, основ организации, планирования и управления предприятием, делопроизводства и т.п.
Далее специалист по защите информации руководит приобретением, установкой и настройкой средств и механизмов защиты. И здесь ему не обойтись без серьезной подготовки: информационные технологии и программирование, квантовая и оптическая электроника, радиоэлектроника, криптографические методы защиты, безопасность жизнедеятельности.
И, наконец, на следующем этапе необходимо поддерживать, обновлять, модернизировать созданную систему безопасности. Крупнейшие банки, например, меняют программное обеспечение, отвечающее за защиту, примерно раз в полгода. В отделах, которые занимаются безопасностью, работают, как правило, наиболее опытные программисты, которые постоянно проходят обучение и получают дополнительную квалификацию.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы. Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень. В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел. Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста. Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
Как найти хорошего специалиста по ИБ?
Объективно оценить профессионализм специалиста по ИБ можно только на практике — работодателей всегда интересуют реальный опыт, они хотят знать, что человек умеет, с какими задачами сталкивался и как их решал.
Кто изучал рынок, тот понимает — дефицит специалистов по информационной безопасности определенно есть. Часто происходит так: в компании возникает необходимость в таком специалисте, составляют требования к кандидату, передают кадровикам. Чем жестче требования, тем больше шансов, что кандидатов из свободного поиска придет не больше нуля. Почему? Потому что эксперты по ИБ резюме в открытый доступ обычно не вывешивают. Если им захочется поменять работу, они легко ее сменят через свои контакты. Но что делать компании-работодателю?
Если для компании это приемлемо, можно попытаться переманить профессионала из других фирм. Можно рискнуть и взять новичка и попробовать вырастить спеца самостоятельно — взять подходящего кандидата из своих и вложить в него недостающий пакет знаний и навыков. Этот вариант хорош тем, что такому специалисту не придется «акклиматизироваться» — он уже знаком со сложившимися подходами к организации рабочих процессов, продуктом, корпоративной культурой. В качестве потенциальных кандидатов на переквалификацию можно рассматривать безопасников-технарей и разработчиков — они ближе всех к инфобезу.
Что должен знать и уметь специалист по информационной безопасности?
Требования к специалистам по информационной безопасности:
- Анализ защищённости веб-приложений и сетевой инфраструктуры
- Проведение аудита безопасности
- Подготовка документации и отчётов по результатам тестирований
- Владение инструментами: sqlmap, Snort, Burp Suite, Volatility, MSF, Nmap, IDA, Nessus w3af, BeEf, hashcat
- Разработка рекомендаций по безопасности
- Проведение тестов на проникновение
- Реверс-инжиниринг
- Знание основ шифрования
- Анализ вредоносного ПО.
Защита служебной тайны
Очевидно, что служебная тайна нуждается в защите. Сформирован целый ряд механизмов, охраняющих служебную тайну от незаконного завладения ею третьими лицами, внесения в нее изменений, уничтожения.
Соглашение о неразглашении, отражение в трудовом договоре четко прописанных дополнительных условий и мер по сохранению служебной тайны, разработка отдельного ЛНА, касающегося служебной тайны – это правовые инструменты защиты конфиденциальной служебной информации. Кроме них могут предусматриваться еще технические средства защиты, в том числе и кодирование сведений.
Важную роль играет организация процесса сохранности служебной информации в коллективе: учет работников с особым доступом к таким сведениям, их обучение, особый порядок работы с деловыми бумагами и иными носителями информации, составляющими служебную тайну. Работник, допустивший утечку тайных служебных сведений, может быть уволен по ст. 81 ТК РФ п.6 (в).
КоАП РФ статьей 13.14 предусматривает штрафы за разглашение сведений с ограниченным доступом. В частности, если «утечка» произошла по вине должностного лица, штраф может составить от 4 до 5 тыс. рублей.
За разглашение служебной тайны может наступить и уголовная ответственность. Так, статьей 155 УК РФ предусмотрен штраф до 80 тыс. руб., арест до 4 месяцев за разглашение тайны усыновления, удочерения. При этом недобросовестный чиновник может быть лишен права занимать определенные должности на срок до 3 лет.
Предусмотрены статьи и за разглашение служебной тайны, касающейся защиты участников судебных разбирательств, работников правоохранительных, контролирующих структур.
Как стать специалистом по информационной безопасности
К профессионалам в области защиты данных предъявляется немало требований, поэтому помимо освоения базового объема знаний и навыков придется постоянно совершенствовать свои навыки. Начать карьеру можно с junior-должности в небольшой компании, набраться опыта, чтобы впоследствии претендовать на вакансию среднего уровня или попробовать себя в более крупной фирме.
Нередко специалистами по информационной безопасности становятся люди, получившие базовое IT-образование. Например, частая история, когда в сферу защиту данных приходят системные администраторы или программисты. Имеющиеся у них знания и навыки позволяют быстро вникнуть в специфику кибербезопасности и найти свое место в этой сфере.
Достаточное количество узких специализаций внутри этого направления дает возможность сменить род деятельности. Например, сотрудник отдела расследования кибератак может переквалифицироваться в аналитика кода.
Курсы от GeekBrains в сфере информационной безопасности
Начать карьеру специалиста в области защиты данных можно и без вузовского образования. Проверенные курсы дают достаточный объем знаний, умений и навыков, чтобы приступить к работе.
Пройти обучение по программе компьютерной безопасности на образовательном портале GeekBrains могут и начинающие айтишники, и люди с опытом работе в этой сфере. После окончания курсов они могут рассчитывать на работу, связанную с защитой информации, в профильном подразделении крупной компании.
В программу включены такие темы, как основные принципы обеспечения сохранности персональных данных, обнаружение уязвимости сетей, отражение попыток несанкционированного проникновения. Выпускники курсов знают, как предотвращать опасность взлома на этапе создания приложений и сайтов, а также умеют шифровать коды для защиты конфиденциальной информации.
Раздел для коммерческой тайны в договоре
Для подстраховки советую посвятить коммерческой тайне целый раздел в договоре. Он помогает в двух случаях.
Раздел привлекает внимание юриста партнера. Когда юрист видит шаблонную фразу о конфиденциальных сведениях, он не обращает на нее внимание. Юрист может думать так: «Это копипаст из шаблонов. Скорее всего, формальность, самого режима тайны нет. Мой клиент ничем не рискует».
Если информацию о коммерческой тайне расписать подробно, юрист встревожится, дернет клиента и убедится, что клиент сможет сохранить коммерческую тайну. Так юрист помогает другой компании сохранить секреты.
Помогает устоять в суде. Партнер слил секрет, и это дорого обошлось компании — можно подать в суд и отсудить штраф. Подробный раздел дает суду больше оснований поддержать компанию.
Чтобы раздел сработал, в нем надо написать, что считается секретом, что нельзя с ним делать, какой штраф и как компания узнает, кто виноват. Обо всем по порядку.
Расследование из-за тайны
Штраф за нарушение условий коммерческой тайны не выглядит таким уж пугающим: всё-таки не так просто получить штраф с обидчика, и все это знают. Встряхнуть партнера можно рассказом, как компания будет доказывать факт нарушения условий.
Подходит любой процесс: можно собрать комиссию, предупредить о записи всех разговоров и выборочной проверке писем. Что угодно, лишь бы это смотрелось внушительно.
Задача — показать, что компания серьезно относится к коммерческой тайне. И если заметит неладное, готова потратить время и деньги на расследование. В договоре можно написать так:
Если заказчик заподозрил разглашение коммерческой тайны, он вправе:
- проверить письма, сообщения и запись разговоров с корпоративного телефона и почты;
- пригласить исполнителя на беседу для выяснения обстоятельств;
- собрать экспертную комиссию из своих сотрудников, айти-специалистов, нотариуса и других специалистов при необходимости;
- по итогам расследования составить акт и передать его в суд;
Идеально в договоре описать права партнера во время расследования. Иначе суд может сказать, что партнер ничего о проступке не знал и компания лишила его возможности оправдаться. Чтобы не рисковать, в договоре можно написать так:
Исполнитель вправе:
- присутствовать на заседаниях экспертной комиссии;
- дать письменные комментарии к акту по итогам расследования;
- отказаться от участия в расследовании.
Для суда тоже пригодится описание служебного расследования и акт по его итогам. Такая проработка показывает, что компания заранее продумала план, просто так вину на партнера не вешает, а во всем разбирается.
В целом, подход к коммерческой тайне в договоре с партнером такой: чем подробнее и точнее всё опишете, тем меньше шансов, что партнер сольет ваши секреты. А если такое случится, будет возможность получить с него штраф.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Информационная безопасность: где и кем работать
Чаще всего работодатели просят, чтобы специалист по кибербезопасности обладал профильным или околопрофильным образованием в этой сфере, в частности окончил какой-либо вуз или хотя бы колледж.
Специалист по информационной безопасности может работать во многих местах, главное, чтобы его работодатель был как-то связан с IT-технологиями. Поэтому такого специалиста можно встретить в:
-
крупных производственных компаниях, иногда даже международного уровня;
-
банках и финансовых организациях;
-
компаниях по разработке и внедрению программного обеспечения;
-
государственных организациях;
-
и др.
Даже в небольших веб-студиях может быть собственный специалист по кибербезопасности, чтобы оказывать услугу по организации безопасности данных своим клиентам.
Как и во многих IT-специальностях, в сфере информационной безопасности идет градация специалистов по их профессиональным навыкам и опыту. От этой градации в первую очередь зависит уровень оплаты труда. Например, выделяют следующие уровни экспертов по информационной безопасности:
-
Junior. Это начальный уровень. Иногда для работы в этой позиции не требуют наличия профильного диплома. Зарплата таких специалистов начинается от 30-35 тысяч рублей РФ.
-
Middle. Как правило, это уже дипломированные специалисты с определенным опытом работы. Иногда, чтобы занять такую позицию, молодые специалисты устраиваются «джуном» и параллельно идут учиться и повышать свою квалификацию. Зарплата таких специалистов колеблется в районе 100 000 рублей.
-
Senior. Это третья ступенька в карьерной лестнице специалиста по информационной безопасности. В основном в этих позициях эксперт руководит небольшими отделами и большими проектами. На таком специалисте лежит максимальная ответственность по защите информации, поэтому зарплата у него соответствующая и составляет порядка 300 000 рублей.
Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?
У меня для этого есть фраза: «Представь, что мошенники обманули клиента твоей компании: вместо того, чтобы принести деньги тебе, он принес их другим людям. А с претензией он вернется в твою компанию. В итоге ты в двойном минусе — и финансово, и репутационно. И я делаю всё для того, чтобы этого не случилось».
Лично я провожу встречи с клиентами из разных отраслей: банков, ритейла, страхования, e-commerce и прочее. Но несмотря на то, что я — руководитель, часть работ я продолжаю делать руками, чтобы мозг не переставал работать, был заточен и под управленческие, и под «ручные» задачи. Я вообще считаю, что учиться нужно всегда, поэтому сейчас активно изучаю скрипты, веб-программирование, веб-интерфейсы. Мне это нужно для работы, чтобы не происходило следующего: ты открываешь код одной из страниц мошеннического сайта, смотришь на него полчаса и не понимаешь, что делать.
Как стать специалистом по информационной безопасности
Сегодня в России практически невозможно получить высшее образование в сфере информационной безопасности, ориентированное на практику. Некоторые ВУЗы предлагают специализацию в сфере компьютерной криминалистики, но она чаще всего заточена на юридические аспекты, нежели на технические. Несмотря на то, что в большинстве случаев в компании нанимают людей с профильным образованием, часто встречаются истории, когда человек приходит на начальные позиции из другой сферы и получает опыт на месте. Главное — чтобы у него было понимание IT-сфер, высокая обучаемость и заинтересованность. Однако даже если базовых знаний в IT нет, их можно получить в среднем за год. Все зависит от мотивации конкретного человека. А дальше можно развиваться уже непосредственно в том направлении, которое нравится.
Зарплатная вилка в сфере информационной безопасности для junior-специалистов начинается от 40 до 80 тыс. рублей, а «потолка» зарплаты на более высоких позициях пока не существует. Однако чтобы быть хорошим специалистом в этой сфере, нужно постоянно держать руку на пульсе, даже в нерабочее время. Поэтому человек, который приходит заниматься информационной безопасностью только ради денег, обычно долго не задерживается. Также у такого сотрудника должны быть любопытство и усидчивость: иногда нужно брать очень много данных из разных источников, анализировать их. Например, вы подозреваете мошенничество в 1000 ссылках. Пока вы все их не изучите, не сможете увидеть полную картину. И эту работу, к сожалению, пока невозможно автоматизировать — чтобы ее сделать, нужно думать именно как человек и представлять себя на месте и мошенника, и жертвы.
Практически все кейсы в данной сфере нестандартны. Если человек привык делать всё по накатанной, у него не получится здесь работать. И последнее важное качество — оптимизм. Работа в информационной безопасности означает борьбу, которая никогда не заканчивается. Нужно понимать, что если здесь и сейчас никто не обманул очередную жертву, это уже победа.
Информацией первой категории владеет само государство и, естественно, именно оно выдвигает требования по ее защите и контролирует их выполнение. Соответствующие положения закреплены в Законе Российской Федерации «О государственной тайне», принятом в 1993 году. Следует знать, что нарушение этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом.
В настоящее время разработан Перечень должностных лиц, имеющих право отнесения сведений к категории государственной тайны. Таких должностных лиц около сорока. Всем ведомствам, возглавляемым этими лицами, Правительством Российской Федерации поручено разработать конкретные перечни сведений, составляющих государственную тайну, которые являются развитием общероссийского Перечня. Такой перечень сформирован Гостехкомиссией России, согласован с заинтересованными министерствами и ведомствами и представлен в Правительство Российской Федерации. До его утверждения, наверное, рано говорить о его широком опубликовании, однако всегда можно получить исчерпывающую консультацию по вопросу отнесения сведений к категории государственной тайны, обратившись непосредственно в Гостехкомиссиию России или соответствующие министерства и ведомства.
Собственниками второй категории информации являемся мы с Вами, так как эта информация затрагивает нашу с Вами личную жизнь. Однако, понимая степень значимости этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство взяло ее под свой патронаж и рассматривает ее защиту, как одну из своих важных задач.
К сожалению, правовая сторона этого вопроса на современном этапе проработана недостаточно. Только Закон «Об информации, информатизации и защите информации» относит персональную информацию к категории конфиденциальной и требует ее защиты наравне с информацией, составляющей государственную тайну, однако дальнейшего развития эти положения, в том числе и в плане конкретной ответственности за разглашение персональных данных, их утрату или искажение, пока не получили. Будем надеяться, что находящийся в настоящее время в Правительстве Российской Федерации законопроект «О персональных данных», который планируется рассмотреть и представить в Государственную Думу, решит эти вопросы.
Информацией третьей категории владеют сами учреждения, и поэтому они вправе ей распоряжаться, а, следовательно, и выбирать степень ее защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно, только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.
Суть этих формальностей, изложенных в статье 139 Гражданского кодекса Российской Федерации, заключается в том, что, во-первых, информация должна иметь действительную или потенциальную коммерческую ценность, во-вторых, учреждению необходимо принять определенные меры по охране конфиденциальности и, в-третьих, все сотрудники, знакомые с этими сведениями, должны быть официально предупреждены об их конфиденциальности. Только при соблюдении всех перечисленных условий закон будет на Вашей стороне, и Вы сможете потребовать возмещения убытков, понесенных от разглашения коммерческой тайны.
При отнесении информации к категории «коммерческая тайна» следует руководствоваться положениями Гражданского кодекса Российской Федерации (статья 139), Федерального Закона «Об информации, информатизации и защите информации» (часть 3, статья 10) и Постановления Правительства Российской Федерации от 5 декабря 1991 года за номером 35 «О перечне сведений, которые не могут составлять коммерческую тайну».
Сведения, относимые к категории «коммерческая тайна», можно разделить на две группы:
- Научно-техническая и технологическая информация, связанная непосредственно с деятельностью учреждения, то есть конструкторская и технологическая документация, сведения об используемых материалах, описание методов и способов производства разрабатываемых изделий, специфический или уникальный программный продукт, перспективные планы развития или модернизации производства;
- Деловая информация о деятельности учреждения, то есть финансовая документация, перспективные планы развития, аналитические материалы об исследованиях конкурентов и эффективности работы на рынке товаров и услуг, различные сведения о партнерах и т.п.
На страже информационной защиты
Несчётное количество программистов мирового уровня не зря едят свой хлеб с многомиллионных инвестиций в антивирусные разработки. Каждый продукт, разрабатываемый с целью борьбы с максимально широким спектром вредоносного ПО, обладает своими фирменными чертами и особенностями. Именно они в основном и определяют конкурентоспособность антивирусов на практике перед многочисленными виртуальными угрозами. К сожалению, даже не всем сотрудникам антивирусных компаний доверено знать подобную информацию, однако же общий принцип работы программных технологий защиты данных по сей день остаётся неизменным:
- Реактивный подход к обеспечению безопасности. Суть метода — классифицировать и запретить какую-либо вредоносную активность лишь при обнаружении таковой. Подобная технология обладает одним весомым минусом — первые моменты начала работы вируса до его определения могут повлечь за собой определённый ущерб. Худший сценарий — вредоносная активность не будет замечена максимально оперативно при подобной технологии защиты. Яркий тому пример — наделавший шума червь Stuxnet, нанёсший основательный ущерб Иранской ядерной программе. Обнаружен он был исключительно благодаря удачному стечению обстоятельств при неполадках в работе компьютера, совершенно никак не связанных с целью той атаки.
- Проактивные технологии защиты информации. Такая технология запрещает любые действия в компьютерных системах, кроме определённого перечня разрешённых. Процесс внедрения подобной защиты требует немало внимания и усилий, однако же профессиональная настройка позволяет избавиться от нужды в постоянных обновлениях. Помимо этого, обеспечивается более высокий уровень безопасности данных — технология по своей сути способна защитить информацию даже от неизвестных угроз.