"Нематериальный" характер защищаемого объекта является причиной того, что в информационной безопасности и числитель, и знаменатель в последней дроби - величины почти всегда субъективные. Отсюда и трудности с подсчетом ущерба, особенно в результате разглашения или утечки чего-нибудь "конфиденциального", и с переводом размера ущерба в денежный эквивалент, и с его компенсацией. Эти вопросы регулируются законодательством и договором между обладателем информации и потенциальным "ущербоприносителем", поэтому, как вы помните из предыдущей части , тексты последних я и запросил.
Дабы не соваться в непролазные юридические дебри, разросшиеся из различных областей законодательства, экспертных мнений и судебной практики, остановлюсь только на одном аспекте: информации, составляющей коммерческую тайну. Для меня, представителя реального сектора экономики, законодательство о коммерческой тайне является чуть ли не единственным инструментом, позволяющим хоть как-то защитить интересы бизнеса в информационной сфере и компенсировать ущерб, "... нанесенный случайными или преднамеренными действиями сотрудников, конкурентов и третьих лиц ..." в судебном, разумеется, порядке. Есть, конечно, Закон " О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком " - но у него несколько другое назначение, да и сведения, составляющие коммерческую тайну прежде, чем смогут быть отнесены к "инсайдерской информации", должны таковыми стать после принятия соответствующих режимных мер.
Итак, "коммерческая тайна" - тема, давно знакомая мне и набирающая в последнее время небывалую популярность в ИБ-кругах, защищающих различного рода бизнесы. "Сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны". Обрабатываются ли такие сведения в информационной системе их обладателя - предприятия, установившего требуемый законодательством режим? Как правило - да. Передает ли обладатель эти самые сведения другому юридическому лицу - контрагенту - при организации "облачного" ИТ-сервиса в его (контрагента) инфраструктуре? Все зависит от сервиса, но мы рассматриваем именно такой случай.
Могут ли сотрудники "облачного" провайдера - контрагента - получить доступ к сведениям, составляющим коммерческую тайну их обладателя? Да, конечно - более того, в ряде случаев такой доступ необходим для качественного оказания "облачных" услуг по договору. И мне, как обладателю этих сведений, потратившему немало ресурсов на их защиту в своей инфраструктуре, очень не хотелось бы, чтобы какой-нибудь безалаберный сотрудник (которых и у меня самого хватает) провайдера своими действиями свел все мои усилия "на нет". А если это вдруг произойдет - то мне бы очень хотелось, чтобы провайдер понес ответственность и компенсировал ущерб.
Таким образом, для исполнения моего желания об ответственности и ущербе нужно выполнить всего лишь два условия: первое - провайдер должен знать, что в его "облаке" обрабатывается мой "секрет производства", второе - договор с провайдером не должен предусматривать никакой "иной ответственности", кроме как компенсации ущерба в полном объеме, включая не только прямые убытки (которые, как известно, в нашем случае очень трудно посчитать), но и опосредованные (в том числе упущенную выгоду, прерывание деятельности, ухудшение имиджа и репутации и т.д.).
Если вы думаете, что провайдеры "облаков" стремятся выполнять желания клиентов в части компенсации ущерба - вы глубоко заблуждаетесь: все хотят денег, но никто не хочет ответственности. Свидетельство тому - договоры, которые мне удалось изучить. Самый простой способ - это исключение в договоре всех видов опосредованных убытков, связанных с нарушением провайдером требований по охране конфиденциальности полученных сведений. Такое очень часто встречается в договорах с российскими провайдерами - видимо потому, что прямые убытки трудно посчитать.
"Забугорные" провайдеры используют другой подход. За границей РФ нет никакой "коммерческой тайны" в нашем понимании, поэтому они используют термин "конфиденциальная информация". Так же, как и отечественные провайдеры, они могут исключить опосредованные убытки (которых за рубежом великое множество ) из области ответственности (оставляя при этом ответственность за неисполнение SLA, в котором нет ни слова о конфиденциальности) но чаще - просто ограничивают ее суммой контракта. Например, если вы платите "облачному" провайдеру за его услуги 5000$ в месяц - то и ответственность за нарушение конфиденциальности данных не может превышать 5000$.
И только один провайдер меня лично порадовал: он оказался настолько уверен в себе, что был готов признать любую информацию конфиденциальной и компенсировать любые убытки от любых неправомерных действий с ней, в том числе в досудебном порядке, не ограничивая ответственность фиксированной суммой. Выпучив от радости глаза, я обратился за консультацией к профессионалам и те, снисходительно сославшись на мое незнание судебной практики, охладили мой пыл.
Как и во всех остальных случаях, в этом для компенсации ущерба подтвердить факт получения провайдером конфиденциальной информации и посчитать убытки было недостаточно: необходимо было доказать правильность их расчета (причем в суде иностранной юрисдикции), а самое главное - доказать, что компания понесла их в результате неправомерных действий либо в результате несоблюдения провайдером требований по охране их конфиденциальности (целостности, доступности, что там еще...).
Если считать убытки - не совсем мое дело, то собирать доказательства - как раз моя задача. И я, еще больше погрузившись в детали "бумажной безопасности", перешел к активному общению с их авторами.
Продолжение следует...