Нередко приходится слышать утверждение, что аутсорсинг и информационная безопасность — понятия взаимоисключающие
Термин «информационная безопасность» в ряде официальных документов, к которым, в частности, относится и Доктрина информационной безопасности РФ от 9 сентября 2000 г. № ПР-1895, определяется как «состояние защищенности интересов в информационной сфере». Такое объяснение термина «информационная безопасность», к сожалению, мало что дает применительно к обеспечению информационной безопасности при аутсорсинге: во-первых, непонятно, что образует «информационную сферу» при аутсорсинге, во-вторых, что такое «защищенность» интересов. С точки зрения правовой науки, есть понятия «охраны» и «защиты» прав и интересов. Результатом мер правовой охраны является возможность свободной реализации прав и законных интересов, результатом защитных мер — восстановление нарушенных прав и интересов. Однако можно ли понимать «защищенность» интересов как их «восстановленность» после нарушения? Термин «защищенность» поэтому следует признать в этом контексте неудачным.
Нельзя опираться и на понимание «информационной безопасности» как «безопасности информации». Во-первых, в этом случае понятие информационной безопасности сливается с понятием защиты информации. Использовать же два понятия для обозначения одного и того же явления действительности неразумно. Во-вторых, при этом информационная безопасность понимается слишком узко: нельзя сводить информационную безопасность только к безопасности (защите) информации, в рамках информационной безопасности должна обеспечиваться еще, как минимум, и защита от использования недостоверной информации.
Говоря об обеспечении информационной безопасности при аутсорсинге, правильнее всего понимать под этим термином систему мер по безопасному хранению информации, упорядочению и контролю информационных потоков. Информационная безопасность, таким образом — это прежде всего отсутствие небрежности в обработке, передаче, хранении информации.
Правовые проблемы обеспечения информационной безопасности при аутсорсинге можно наглядно показать, сравнив механизмы ее обеспечения безопасности в рамках организации и при обращении к услугам сторонних поставщиков. С точки зрения права, все процессы, происходящие внутри организации, могут быть урегулированы на основании локальных актов (приказов руководителя, коллективных и индивидуальных трудовых договоров). Локальными актами работникам организации могут быть определены обязанности по обеспечению информационной безопасности, установлены меры контроля исполнения данных обязанностей (отчеты, проверки), меры ответственности за нарушение обязанностей.
Плюсы и минусы
Иначе складывается ситуация, если функции по обеспечению отдельных направлений деятельности организации передаются третьим лицам. Организация-аутсорсер для заказчика выступает своего рода «черным ящиком»: контролировать процессы внутри аутсорсера для заказчика не представляется возможным. Единственное, что можно требовать от аутсорсера — соблюдения тех обязательств, которые были предусмотрены соглашением между ним и заказчиком, и возмещения убытков в случае нарушения данных обязательств или причинения вреда.
В таком положении есть как плюсы, так и минусы. С одной стороны, заказчику уже нет необходимости контролировать все процессы, отданные на аутсорсинг: раз эти направления деятельности переданы профессионалам, на исполнителях и лежит ответственность за их надлежащую реализацию. В случае же неисполнения аутсорсером своих обязанностей все понесенные заказчиком убытки будут возмещены в полном объеме. С работников же взыскать причиненные ими убытки можно, как правило, лишь в размере ежемесячного заработка. С другой стороны, специфика передаваемых на аутсорсинг видов деятельности может быть такой, что чрезвычайные ситуации в них легче предотвратить, чем ликвидировать. Например, в банковской сфере весьма критичен аутсорсинг информационных систем, ведь утрата контроля над, допустим, хранимыми персональными данными клиентов, может привести к прекращению деятельности банка в целом. Кроме того, убытки трудно доказуемы, особенно в части упущенной прибыли. Все это свидетельствует о том, что возмещение убытков не способно в полной мере восстановить имущественную сферу заказчика.
В связи с этим вопрос об обеспечении информационной безопасности при аутсорсинге приобретает большое значение. Оптимизация бизнес-процессов путем передачи непрофильных направлений деятельности на аутсорсинг позволяет повысить эффективность расходов; но обращение к аутсорсерам требует внедрения мер обеспечения информационной безопасности в отношениях с ними, а следовательно, и расходов на эти меры. Вопрос обеспечения информационной безопасности при аутсорсинге, следовательно, это вопрос нахождения оптимального баланса между аутсорсингом (и приносимой им экономией средств) и информационной безопасностью (и расходами на ее обеспечение).
С правовой точки зрения имеет значение вопрос, кто именно будет определять этот баланс. Как правило, решение здесь принимает заказчик, определяя перечень видов деятельности, по которым будут использоваться услуги сторонней организации, и бюджет расходов на аутсорсинг и обеспечение информационной безопасности. Однако в некоторых случаях поиск баланса может быть возложен и на исполнителя, который, в отличие от заказчика, является профессионалом и может на основе своих знаний и навыков подсказать лучшее решение. Но при этом проблема контроля за исполнителем-аутсорсером встает со всей остротой.
Поиск оптимального баланса между интересами информационной безопасности и использованием аутсорсинга в некоторых случаях мог бы быть упрощен за счет применения средств, обеспечивающих исполнение аутсорсером своих обязательств. Хотя возмещение убытков и не способно восстановить имущественные интересы во всех случаях, однако, как правило, этого бывает достаточно для сохранения жизнеспособности компании-заказчика, если убытки возмещаются своевременно и в полном объеме.
Страхование и аутсорсинг
Страхование пока еще недостаточно широко используется как средство управления рисками при аутсорсинге. Широкому распространению данного средства препятствует, помимо организационных, еще и ряд правовых проблем. Одной из основных при этом является то, что страхование риска ответственности по договору допускается, согласно статье 932 Гражданского кодекса РФ, только в случаях, установленных законом. В законодательных же актах возможность данного вида страхования предусматривается в основном применительно к транспортным обязательствам.
Во многих случаях невозможно и страхование имущества, передаваемого заказчиком аутсорсеру. Это объясняется тем, что страхователем может быть только лицо, имеющее интерес в имуществе, аутсорсер же во многих случаях лишь получает имущество (оборудование и т. п.) на ответственное хранение, а это не считается, с точки зрения права, основанием для возникновения у него интереса в хранимом имуществе. Страхователем, следовательно, может быть только сам заказчик, но для него расходы на выплату страховой премии могут оказаться не?эффективными. Кроме того, если в повреждении застрахованного имущества будет виновен аутсорсер, к нему могут быть предъявлены требования страховщика, возместившего ущерб, а это уже может не устраивать аутсорсера.
Еще один вид страхования, который может использоваться в качестве средства обеспечения возмещения убытков при аутсорсинге, — страхование риска ответственности за причинение вреда. Однако ограничением для использования данного вида страхования выступает то, что страхуются только внедоговорные риски, то есть риски, не связанные с исполнением договорных обязательств между сторонами. Такого рода риски, как уже говорилось выше, могут страховаться только в случаях, предусмотренных законом.
Во многих случаях ущерб, связанный с ненадлежащим обеспечением информационной безопасности при аутсорсинге, вообще не может быть исчислен в денежном выражении. И это касается не только случаев разглашения конфиденциальной информации или использования недостоверной или устаревшей информации, полученной от аутсорсера. Обращение к услугам аутсорсера по-новому ставит вопросы, связанные с соблюдением авторского права. Дело в том, что при использовании аутсорсинга авторские права должны соблюдаться в обеих компаниях, а не в какой-либо одной из них: лицензии на программные продукты, как правило, должны получаться как заказчиком, так и аутсорсером, использование произведений, создаваемых аутсорсером, возможно только после «очистки» авторских прав на них.
В качестве интересного примера можно привести следующий случай. Заказчик поручил некой организации создание и ведение корпоративной информационной системы. Система была создана и запущена в эксплуатацию. Однако впоследствии выяснилось, что программный код системы был отлажен и скомпилирован с использованием демонстрационной версии среды разработки программных продуктов. В лицензии же на среду разработки оговаривалось, что созданные в период ее бесплатного использования программные продукты не могут быть коммерческими, то есть распространяться за деньги. Таким образом, созданный для заказчика программный продукт был контрафактным, причем контрафактность здесь практически «неисцелима», — так как легальное использование созданной информационной системы возможно только по специальному разрешению правообладателя среды разработки.
Несмотря на то, что фактически обязательства аутсорсера в данном случае не были выполнены (созданную информационную систему заказчик использовать не мог), возмещение убытков было крайне проблематично, так как их было чрезвычайно трудно оценить и доказать. Кроме того, и расторжение договора на аутсорсинг в одностороннем порядке заказчиком в этом случае вряд ли возможно, поскольку нельзя заранее сказать, будет ли данное нарушение аутсорсером своих обязательств признано существенным — ведь фактически программный продукт был создан.
С одной стороны, надлежащее обеспечение информационной безопасности — это, в том числе, и соблюдение всех законодательных требований, и соблюдение прав других лиц. В частности, необходимо убедиться, что компанией-аутсорсером соблюдаются требования законодательства о лицензировании, сертификации, требования трудового и налогового законодательства. С другой стороны, интересы обеспечения информационной безопасности не должны становиться основанием для нарушения или ограничения прав и законных интересов других лиц. В связи с этим необходимо крайне осторожно использовать технические средства защиты информации, средства скрытого наблюдения, контроля трафика и т. п. Если в отношении собственных сотрудников применение данного рода средств возможно, когда это оговаривается в локальных актах организации, то в отношении третьих лиц (в том числе работников организации-аутсорсера) это недопустимо.
Обеспечение информационной безопасности при аутсорсинге только правовыми мерами крайне затруднительно, однако без использования правовых средств обойтись также нельзя. Отношения с привлекаемыми организациями-аутсорсерами должны носить доверительный характер. Неправовая составляющая доверительности будет выражаться в том, что аутсорсер позволяет заказчику контролировать свои внутренние процессы и принимает по указанию заказчика меры по недопущению проблемных ситуаций. С точки зрения же правовых мер, доверительность будет означать возможность расторжения договора с аутсорсером в одностороннем порядке. Такая мера позволит избежать возникновения ущерба в тех случаях, когда деятельность данного аутсорсера перестает отвечать интересам информационной безопасности заказчика.
Кроме того, использование аутсорсинга возможно лишь постольку, поскольку цели его использования находятся в одной плоскости с интересами информационной безопасности. Информационная безопасность как упорядоченность и организованность информационных процессов и хранения информации, направлена, как и аутсорсинг, на повышение эффективности и устойчивости бизнеса. Однако если интересы информационной безопасности начинают противоречить интересам аутсорсинга, от передачи данных видов деятельности сторонним организациям лучше отказаться. Нельзя отдавать на аутсорсинг все.
Николай Дмитрик — юрист, ООО «Парк-Медиа-Консалтинг», dmitric@parkmedia.ru