Формы и методы защиты конфиденциальной информации. Обеспечение информационной безопасности
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
- Введение
- 1.2 Ценность информации
- 1.4 Угрозы и система защиты конфиденциальной информации
- Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
- 2.1 Нормативно-методическая база конфиденциального делопроизводства
- 2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
- 2.3 Технологические основы обработки конфиденциальных документов
- Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
- 3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
- 3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
- 3.3 Совершенствование системы безопасности информации ограниченного доступа
- Заключение
- Список использованных источников и литературы
Введение
Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.
Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.
Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.
Базой исследования является ОАО "ЧЗПСН - Профнастил"
Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.
Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;
5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;
6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;
7. Рассмотреть технологические системы обработки конфиденциальных документов;
8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.
В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.
Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).
Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).
Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:
1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;
2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).
Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).
27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.
10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).
Основными в области безопасности конфиденциальной информации также являются законы РФ:
1. "О государственной тайне" от 22 июля 2004 г. (4);
2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);
3. "Об утверждении Перечня сведений конфиденциального характера" (11);
4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).
Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).
Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).
Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).
К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).
Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).
Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.
Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).
В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).
Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.
В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.
Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.
К числу неопубликованных источников, использованных в работе, относятся выписка из Устава ОАО "ЧЗПСН - Профнастил" (Приложение 11), документы текущего делопроизводства предприятия.
Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.
Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы
Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.
Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.
В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.
Заключение содержит выводы по выпускной квалифицированной работе.
Список использованных источников и литературы включает 110 наименований.
Работу дополняют приложения, в которых представлены: положения, инструкции, которые регламентируют порядок обращения с документами, содержащими сведения ограниченного доступа на предприятии, образцы бланков документов, регистрационные формы, выписка из Устава ОАО "ЧЗПСН - Профнастил".
Глава 1. Основы информационной безопасности и защиты информации
1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности
Издавна считалось, кто владеет информацией - тот владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации (89, с.45).
В мировой практике сначала применялись термины "промышленная тайна", "торговая тайна", "тайна кредитных отношений", т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном - "промысловая тайна" и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин "коммерческая тайна", объединяющий тайну любой деятельности, имеющей целью извлечение прибыли (46, с. 20).
Со второй половины XIX в. появляются и различные определения понятия коммерческой тайны, в первую очередь, в сфере уголовного и гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более высоким языком, тайну производства благ и тайну их распределения.
В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.
В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями СССР при контактах с другими странами, однако отечественной законодательной основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).
Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно было сформулировать определение коммерческой тайны. Такое определение было сделано в Законе "О предприятиях в СССР". В нем сказано: "Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам".
Коммерческая тайна в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя (32, с.13).
Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. (56, с.212).
Безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф (71, с.5 8).
Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).
В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных (61, с.32).
Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала.
Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).
Секретность - правила и условие доступа и допуска к объектам информации (89, с.50).
Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к информации.
Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.
Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом (91, с. 208).
1.2 Ценность информации
К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и деятельности граждан) (100, с.38).
Всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).
Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа (11).
При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.
Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа является то, что он представляет собой одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных секретов (94, с.78).
Информация может быть разделена на три категории (82, с.33).
Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее.
Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:
1. Доступную для всех сотрудников фирмы;
2. Доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.
Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.
Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).
Конфиденциальную информацию может составлять и определенная совокупность открытой информации, так же как и определенная совокупность информации для служебного пользования может составлять информацию ограниченного доступа. Поэтому необходимо четко определить условия, при которых гриф секретности информации может и должен быть повышен (55, с.83).
Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. На их сайте в новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.
Условия, при которых информация может быть отнесена к конфиденциальной, перечислены в ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:
1. Действительная или потенциальная коммерческая ценность информации в силу ее не известности третьим лицам;
2. Отсутствие свободного доступа к этой информации на законном основании;
3. Принятие обладателем информации не обходимых мер к охране ее конфиденциальности.
Таким образом, обеспечение конфиденциальности документной информации содержит три аспекта:
1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
3. Организация делопроизводства с конфиденциальными документами. (99, с.7-9).
Если эти условия не будут выполняться, у организации не будет оснований для привлечения кого бы то ни было к ответственности за разглашение конфиденциальной информации.
Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (8) не могут составлять коммерческую тайну:
1. Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
2. Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
3. Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
4. Документы о платежеспособности;
5. Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
6. Документы об уплате налогов и обязательных платежах;
7. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
8. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия (21).
Не могут быть отнесены к конфиденциальным и сведения по проблемам, включенным законодательно в понятие государственной тайны (12). Что же касается вопросов работы с документами, содержащими такую информацию, то в соответствии с Законом РФ "О государственной тайне" (4) определено, что гражданам, должностным лицам и организациям следует руководствоваться только законодательными актами, регламентирующими обеспечение защиты государственных секретов.
Согласно законодательству, конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (11). Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам фирмы (35, с.6). Можно так же сказать, что присвоение определенной информации грифа конфиденциальности, в том числе, способствует сохранению коммерческой тайны (8).
Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в "Перечне сведений конфиденциального характера" (11). Согласно, ему сведения конфиденциального характера группируются по нескольким основным категориям.
Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законом случаях.
Второй категорией указанных сведений информация, составляющая тайну следствия и судопроизводства. Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (2, с.52) и федеральным законом (служебная тайна).
Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с Конституцией РФ (1, с.25) и федеральным законом (врачебная, нотариальная, адвокатская (16), тайна переписки, телефонных переговоров, почтовых отправлений (10), телеграфных или иных сообщений (17) и так далее).
К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским кодексом РФ (2) и федеральными законами (коммерческая тайна) (6).
Завершается Перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них (53, с.51; 82, с.33).
Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.
Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение (58, с.224).
Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:
1. Техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. (53, с.50);
2. Деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Ценная информация охраняется нормами права (патентного, авторского, смежного), товарным знаком или включается в категорию информации, составляющую тайну фирмы (58, с.54).
Таким образом, как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную (65, с.5).
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.
Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем период (срок) и уровень (гриф) ее конфиденциальности (т.е. недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы (51, с.45-51).
Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной).
Перечень сведений, относимых к конфиденциальной информации, а также перечень сотрудников, допущенных к ней, оформляется приказом по фирме.
1.3 Каналы распространения и утечки конфиденциальной информации
Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.
Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей (83, с.48).
Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах (99, с.11). Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия (104, с.75).
Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус (94, с.89). Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).
Термин "разрушение" употребляется главным образом применительно к информации на магнитных носителях. Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину "искажение", они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации (36, с.59).
Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.
Разглашение информации является формой проявления уязвимости только конфиденциальной информации.
Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.
Уязвимость документированной информации приводит или может привести к утрате или утечке информации. (97, с.12).
К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.
К утечке конфиденциальной документированной информации приводит ее разглашение. Как отмечают некоторые авторы (77, с.94; 94, с.12) в литературе и даже в нормативных документах термин "утечка конфиденциальной информации" нередко заменяется или отождествляется с терминами: "разглашение конфиденциальной информации", "распространение конфиденциальной информации". Такой подход, с точки зрения специалистов, неправомерен. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). Это не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и "прихвачен" мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Немало примеров, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью "подсидки", причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации, если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно делить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.
Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме (91, с.123).
Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации. (8; 91, с.123)
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов (8; 68, с.37).
Из этого определения следует, во-первых, что материальные объекты - это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции (39, с.65).
Типы материальных объектов как носителей информации различны. Ими могут быть магнитные ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе (46, с.11). Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях информация отображается в виде символов и образов. Такая информация ФЗ "Об информации…" (8) отнесена к разряду документированной информации и представляет собой различные виды документов.
В последнее время произошли существенные коррективы в формы и средства получения конфиденциальной информации неформальными способами. Конечно, это касается в основном воздействия на человека как носителя конфиденциальной информации.
Человек как объект воздействия более подвержен неформальным воздействиям, чем технические средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей и жизненных обстоятельств (64, с.82).
Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и может осуществляться как индивидуально, так и группой лиц.
На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.
Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации (29).
Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации (36, с.62).
Технический канал утечки - информация передается посредством технических средств (29).
Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые (33).
Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт (101, с.256).
Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно) (101, с.256).
Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения (107, с.12).
В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию (91, с.239).
Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.
Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий (85, с.220).
Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.
Открытое воздействие осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое со смертельным исходом, после получения информации (95, с.78).
Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия (95, с.79). Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.
Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.
Такое скрытое воздействие может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации. (94, с.87)
Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.
Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.
К скрытым средствам можно отнести: прослушивание с использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный доступ к ПЭВМ и программно-техническим средствам.
Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное воздействие на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации (72).
Возможность манипулирования индивидуальными особенностями владеющего (носителя) конфиденциальной информацией его социальными потребностями с целью ее получения обязательно необходимо учитывать при расстановке, подборе кадров и проведении кадровой политики при организации работ с конфиденциальной информацией.
Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении информации устным способом.
Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения (добывания) злоумышленником ценной информации и документов. Эти каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной утечки информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой и охраняемой информации.
Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.
Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального уровня персонала, местоположения зданий и помещений и т.д.
Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.
Если речь идет об утечке информации по вине персонала, используется термин "разглашение информации". Человек может разглашать информацию устно, письменно, снятием информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д. (56, с.458).
Утечка (разглашение) информации характеризуется двумя условиями:
1. Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;
2. Информация переходит к случайному, третьему лицу.
Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации (37, с.5). Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как "промокашка" для перехвата необходимой информации.
Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
1. Утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, дела, конфиденциальных записей;
2. Игнорирования или умышленного невыполнения работником требований по защите документированной информации;
3. Излишней разговорчивости работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования: кафе, транспорте и т.п. (в последнее время это стало заметно с распространением мобильной связи);
4. Работы с документированной информацией с ограниченным доступом организации при посторонних лицах, несанкционированной передачи ее другому работнику;
5. Использования информации с ограниченным доступом в открытых документах, публикациях, интервью, личных записях, дневниках и т.п.;
6. Отсутствия грифов секретности (конфиденциальности) информации на документах, нанесения маркировки с соответствующими грифами на технических носителях;
7. Наличия в текстах открытых документов излишней информации с ограниченным доступом;
8. Самовольного копирования (сканирования) работником документов, в том числе электронных, в служебных или коллекционных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно устанавливают контакт с источником этой информации или преобразуют каналы ее объективного распространения в каналы ее разглашения или утечки.
Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.
Основными видами организационных каналов могут быть:
1. Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);
2. Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;
3. Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;
4. Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;
5. Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;
6. Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
7. Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;
8. Получение нужной информации от третьего (случайного) лица.
Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы (75, с.32).
Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.
Подобные документы
Организационно-распорядительная документация. Требования к оформлению, порядок обращения с конфиденциальными документами. Способы сохранения конфиденциального делопроизводства. Секретные архивы. Обеспечение безопасность конфиденциального делопроизводства.
курсовая работа , добавлен 15.01.2017
Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.
курсовая работа , добавлен 20.11.2012
Особенности работы с персоналом, владеющим конфиденциальной тайной. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных.
курсовая работа , добавлен 09.06.2011
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа , добавлен 03.02.2011
Особенности увольнения сотрудников, владеющих конфиденциальной информацией. Осуществление кадрового перевода на работу, связанную с секретной информацией. Методы проведения аттестации персонала. Оформление документации и распоряжений по предприятию.
реферат , добавлен 27.12.2013
Понятие "конфиденциальная информация". Порядок отнесения коммерческих сведений к коммерческой тайне. Общая характеристика ОАО "Связной Урал". Совершенствование механизма защиты конфиденциальной информации в предприятии. Анализ эффективности рекомендаций.
курсовая работа , добавлен 26.09.2012
Понятие и передача персональных данных. Защита и контроль информации. Уголовная, административная и дисциплинарная ответственность за нарушение правил работы с персональными данными. Главные правила ведения конфиденциального делопроизводства.
курсовая работа , добавлен 19.11.2014
Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".
дипломная работа , добавлен 23.10.2013
Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного и искусственного характера. Защита информации при проведении переговоров и в работе кадровой службы, подготовка конфиденциального совещания.
реферат , добавлен 27.01.2010
В решении проблемы информационной безопасности особое место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал включает в себя всех сотрудников.
Общая структура государственной системы защиты информации и основные направления ее развития и совершенствования изложены в Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000г. В соответствии с Доктриной информационную безопасность государства можно рассматривать в широком и узком смысле слова.
В широком смысле информационная безопасность Российской Федерации – это состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Таким образом, это система гарантий государства от внешних угроз и угроз основам конституционного строя внутри страны.
В узком смысле информационная безопасность – это охрана государственными органами различных видов тайны, разглашение которых может сказаться на политической, экономической, научно-технической и др. защищенности государства.
В целом, правовой институт защиты тайны можно рассматривать как институт регулирования информационных общественных отношений, который имеет три составляющие:
сведения, относимые к определенному виду тайны, а также принципы, критерии, по которым эти сведения классифицируются как тайна;
режим секретности (конфиденциальности) – механизм ограничения доступа к указанным сведениям, т.е. механизм их защиты;
санкции за неправомерное получение или распространение защищаемых сведений.
Целью государственной политики в области защиты информации является предотвращение ущерба информационной безопасности в результате несанкционированного (неправомерного) доступа к защищаемой информации.
Государственная политика в области защиты информации проводится в соответствии с установленными принципами:
законности (установление единой нормативно-правовой базы в области защиты информации);
обеспечения баланса интересов личности и государства в процессе соблюдения конституционных прав человека и гражданина на получение, доступ к информации и законодательного ограничения на распространение информации в целях обеспечения информационной безопасности государства;
научной обоснованности, принятия оптимальных решений в сфере защиты информации;
системности, комплексности (использование всех форм и методов защиты информации, централизация управления системой защиты информации, четкое взаимодействие всех ее элементов, реализация принципа персональной ответственности);
непрерывности в деятельности по выявлению и предотвращению угроз защищаемой информации;
превентивности, т.е. предварительного, упреждающего характера мероприятий по предотвращению угроз защищаемой информации.
В Доктрине информационной безопасности называются первоочередные проблемы в данной сфере, требующие безотлагательного решения в современных условиях.
К ним относятся:
укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
обеспечение запрета на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;
разработка и принятие нормативно-правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях информации ограниченного распространения;
обеспечение доступа граждан к открытым государственным информационным ресурсам. В этой сфере планируется интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Развитием положений Доктрины информационной безопасности Российской Федерации об обеспечении доступа граждан к открытым государственным информационным ресурсам является, в частности, принятие постановления Правительства Российской Федерации № 98 от 12 февраля 2003 г. «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти». Постановлением утвержден Перечень сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационных системах общего пользования, в т.ч. в сети Интернет.
Перечень сведений включает:
федеральные законы, указы Президента, правовые акты Правительства;
сведения о законопроектной деятельности Правительства, проектах федеральных законов, федеральных целевых программ и концепций, разрабатываемых федеральными органами исполнительной власти;
сведения об основных показателях социально-экономического развития Российской Федерации и использования федерального бюджета;
обзоры обращений граждан и организаций в Правительство Российской Федерации и федеральные органы исполнительной власти, о принятых мерах;
сведения о государственной службе в аппарате Правительства Российской Федерации и федеральных органах исполнительной власти;
сведения об официальных визитах и рабочих поездках Председателя Правительства, членов Правительства, правительственных делегаций и др.
Первоочередные меры по совершенствованию нормативного правового обеспечения информационной безопасности должны предусматривать разработку следующих законопроектов:
О персональных данных.
О праве на информацию.
О неприкосновенности частной жизни, о личной и семейной тайне.
О служебной тайне.
О национальной безопасности.
Реализация данных задач связана с реализацией Федеральной целевой программы «Электронная Россия (2002-2010 гг.)», утвержденной постановлением Правительства Российской Федерации от 28.01.2002 № 65.
Программой помимо задач обеспечения информационной безопасности Российской Федерации предусмотрена разработка Концепции обеспечения общедоступности государственных информационных ресурсов, а также проведения инвентаризации и анализа существующих в России государственных информационных систем и информационных ресурсов.
Доктрина информационной безопасности Российской Федерации называет следующие общие методы обеспечения информационной безопасности:
правовые;
организационно-технические методы;
экономические.
Доктрина информационной безопасности Российской Федерации называет четыре группы объектов обеспечения информационной безопасности. К ним относятся:
информационные ресурсы, содержащие конфиденциальную информацию;
средства и системы информатизации (в т.ч. – средства вычислительной техники, информационно-вычислительные комплексы, сети и системы); программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение); АСУ, системы связи и передачи данных, осуществляющие обработку информации ограниченного доступа, и их информативные физические поля;
технические средства, системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного распространения.
Законодательством Российской Федерации установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа, которая подлежит защите от незаконного распространения (разглашения) и относится к охраняемой законом тайне.
Основу законодательства в этой области составляют статьи Конституции РФ о праве граждан на информацию, соответствующие международным нормам в этой области. Охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайны (ст. 23). Не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24). Эти положения находят развитие в Федеральных законах.
Федеральный закон «Об информации, информационным технологиям и о защите информации» от 27 июля 2006 г. № 149-ФЗ для реализации права на доступ к информации дополнительно устанавливает следующие гарантии:
органы государственной власти и органы местного самоуправления создают доступные для каждого информационные ресурсы по вопросам деятельности этих органов и подведомственных им организаций, а также в пределах своей компетенции осуществляют массовое информационное обеспечение пользователей по вопросам прав, свобод и обязанностей граждан, их безопасности и другим вопросам, представляющим общественный интерес;
граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцами этих ресурсов необходимость получения запрашиваемой ими информации. Исключение составляет информация с ограниченным доступом;
органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, обеспечивают условия для оперативного и полного представления пользователю документированной информации в соответствии с обязанностями, установленными уставами (положениями) этих органов и организаций;
граждане и организации имеют право на доступ к документируемой информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами;
информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть использована ими для создания производной информации в целях ее коммерческого распространения с обязательной ссылкой на источник информации;
отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке. Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом. Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.
В современном законодательстве отсутствует четкость и единство в понятийном аппарате в области защиты информации. Только в федеральных законах упоминается свыше 30 видов тайны, которые выступают в виде прямых ограничений при реализации информационных прав и свобод, среди них: торговая тайна; промышленная тайна; секретный торговый процесс; информация, которую нельзя получить в ходе обычной административной практики и др.
В последние годы предпринимались попытки упорядочивания состава видов тайны. В 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» вся информация с ограниченным доступом была разделена на государственную тайну и конфиденциальную информацию (ст. 8 и 10). При этом из видов конфиденциальной информации в данном законе назывались лишь личная и семейная тайна, персональные данные, тайна переписки, телефонных, почтовых и телеграфных и иных сообщений. Однако в 1996 г. в Федеральном законе «Об участии в международном информационном обмене» (ст. 8) государственная тайна определена как один из видов конфиденциальной информации.
В соответствии с Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» конкретизируется обобщенное понятие конфиденциальной информации. В соответствии с перечнем сведения конфиденциального характера отнесены к следующим группам:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.) (профессиональная тайна);
сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Федеральным законом «Об информации, информационных технологиях и о защите информации» определяются следующие цели защиты информации:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества и государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
В данном законе определяется, что режим защиты информации устанавливается:
в отношении конфиденциальной документированной информации – собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
в отношении персональных данных – федеральным законом.
Федеральный закон «Об информации, информационных технологиях и о защите информации» запрещает относить к информации с ограниченным доступом:
законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнесенных к государственной тайне;
документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Гражданским кодексом (ГК) Российской Федерации (ст. 139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты.
Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:
Информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
К ней нет свободного доступа на законном основании.
Обладатель информации принимает меры по охране ее конфиденциальности.
Общие требования к защите информации в сфере международного информационного обмена установлены в Указе Президента Российской Федерации от 17 мая 2004 г. «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». В данном Указе устанавливаются требования по обеспечению безопасности международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей «Интернет».
В соответствии с Указом субъектам международного информационного обмена рекомендуется не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, служебную информацию ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в т.ч. в международную ассоциацию сетей «Интернет».
Владельцам открытых общедоступных государственных информационных ресурсов необходимо осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих их целостность и доступность, в т.ч. криптографических средств защиты для подтверждения достоверности информации.
Владельцам и пользователям указанных ресурсов необходимо осуществлять размещение технических средств, подключаемых к открытым информационным системам и сетям связи, используемым в международном информационном обмене, включая сеть «Интернет», вне помещений, предназначенных для ведения закрытых переговоров и научная деятельность в этой области.
Возрождение в современных условиях предпринимательской деятельности повлекло за собой разработку нормативных документов по вопросам, связанным с защитой коммерческой тайны.
В СССР первое и единственное нормативное определение коммерческой тайны было дано в законе «О предприятиях в СССР» от 4 июня 1990 г. (ст. 33). В данной статье указывалось, что «под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам».
Вопросы защиты коммерческой тайны нашли отражение в статьях 10, 13 - 15 Закона РСФСР от 22.03.1991 № 948-1 (в ред. от 21.03.2002 № 31-ФЗ) «О конкуренции и ограничении монополистической деятельности на товарных рынках».
Статья 10 закона относит получение, использование, разглашение научно-технической, производственной или торговой информации, в том числе коммерческой тайны, без согласия ее владельца к формам недобросовестной конкуренции.
В соответствии с Федеральным законом N 98-ФЗ "О коммерческой тайне" от 29 июля 2004 г. под коммерческой тайной понимается «конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».
К информации, составляющей коммерческую тайну, в соответствии с п. 2 ст. 3 данного закона относится научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Данное положение закона можно толковать достаточно широко, так как в нем упоминается «иная» информация, которую можно отнести к коммерческой тайне. Кроме того, смысл данного определения практически копирует ст. 139 ГК Российской Федерации. Изменения коснулись, в основном, уточнений применительно к технологиям и вместо принятия мер к охране конфиденциальности введен режим коммерческой тайны.
Положения данного закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.
Сведения, которые не могут составлять коммерческую тайну, определены в постановлении Правительства Российской Федерации от 5 декабря 1991 № 35 (в редакции постановления Правительства Российской Федерации от 3 октября 2002 г. № 731), а также в законе «О коммерческой тайне».
Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:
о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
В части 1 статьи 10 указывается, что меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
определение перечня информации, составляющей коммерческую тайну;
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и лиц, которым такая информация была предоставлена или передана;
регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации.
К обязательным мерам относятся также установление порядка обращения с защищаемой информацией и контроль за соблюдением такого порядка (ч. 1.2 ст. 10), нанесение на материальные носители защищаемой информации грифа «Коммерческая тайна» (ч. 1.5 ст. 10) и др. Невыполнение перечисленных мер приводит к тому, что в организации не может быть информации, составляющей коммерческую тайну. На это прямо указано в части 2 ст.10 – «режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи».
В целях охраны конфиденциальности информации работодатель также обязан:
ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
Меры по охране конфиденциальности информации признаются разумно достаточными, если:
исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
- - коммерческая;
- - служебная;
- - личная (персональная) за исключением государственных секретов (статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”).
Легальные признаки конфиденциальной информации - документированность, ограничение доступа к информации в соответствии с законодательством и отсутствие свободного доступа к ней на законном основании.
«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации». Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.
К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91 г. № 35.
В России законодательство в сфере охраны прав на конфиденциальную коммерческую информацию только начинает формироваться. Новым в регулировании отношений в данной сфере стало принятие Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Общее впечатление, которое остается после знакомства с текстом Закона, можно определить как противоречивое. С одной стороны, появился единый нормативный акт, детально определяющий режим и порядок защиты сведений, которые составляют коммерческую тайну. С другой стороны, Закон далеко не безупречен. При его создании законодателем были введены нормы, на взгляд исследователей, затрудняющие защиту коммерческой тайны и восстановление нарушенного права.
Закон не исключает применения общих норм о коммерческой тайне, предусмотренных ст. 139 ГК РФ, а в качестве источников называет ГК РФ и другие федеральные законы. Таким образом, Закон дополняет сложившуюся нормативную базу и лишь частично ее заменяет.
Однако уже при прочтении определения коммерческой тайны мы видим терминологические нестыковки Закона с ГК РФ. Закон определяет понятие коммерческой тайны через свойство информации: коммерческая тайна - это "конфиденциальность информации" (п. 1 ст. 3 Закона) (англ. confidence - секретность). ГК РФ рассматривает коммерческую тайну в первую очередь как разновидность информации, имеющей "коммерческую ценность в силу ее неизвестности третьим лицам", в отношении которой применяются меры по охране ее конфиденциальности (ст. 139 ГК РФ). При всей незначительности на первый взгляд несовпадения понятий мы получили два разных, конкурирующих по своей юридической силе определения.
Закон различает форму, в которой существует ценная информация, и содержание самой информации. К ней относится "научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау)" (п. 2 ст. 3 Закона.
Список видов информации, которая может иметь коммерческую ценность, открыт.
Закон по-прежнему наделяет собственника (владельца) информации правом самостоятельно определять ее ценность.
Определение коммерческой тайны, содержащееся в Законе, отражает характер самого Закона. Основной акцент в нем сделан на процедурах охраны коммерческой информации. Согласно Закону именно они позволяют обеспечить необходимый минимум условий для защиты нарушенного права в суде, а также проводят разграничение между законным и незаконным доступом как элементом состава правонарушения.
В связи с этим сложно понять определение обладателя информации, составляющей коммерческую тайну, данное в Законе. В соответствии с п. 4 ст. 3 Закона это лицо, которое владеет такой информацией "на законном основании". Таким образом, доказывая факт нарушения права, придется устанавливать законность владения им. Документально подтвердить права на коммерческую тайну можно, если они, например, подлежат государственной регистрации (патенты, свидетельства). В таком случае интересы собственника защищаются патентным, авторским правом. Если коммерческую тайну составляют договоренности, зафиксированные на аудио-носителе, или это незапатентованные идеи, доказать первичность и законность обладания такой информацией будет довольно сложно.
Очевидно, что нужно будет подтвердить объективную связь информации с ее владельцем. Например, информация об организации-владельце, ее сделках и т. п. должна содержать указание на организацию-владельца и быть защищена специальными ссылками на носителе о конфиденциальности, как это предусмотрено в п. 5 ч. 1 ст. 10 Закона.
В Законе говорится о передаче информации только на материальном носителе (п. 6 ст. 3 Закона) и на условиях специального договора. В этой части Закон ограничивает объем охраняемых в режиме тайны сведений по сравнению с определением, данным в ГК РФ, в ст. 139 которого не упоминаются материальные носители, а речь идет об охране конфиденциальной информации.
Следовательно, руководствуясь Законом, из правовой охраны исключены случаи, например, разглашения информации, не зафиксированной на материальных носителях. В частности, это могут быть сведения о каких-либо решениях, принятых организацией по продвижению своего продукта, и подобная информация.
С одной стороны, такой подход упрощает процесс доказывания, с другой - ограничивает возможности защиты интересов собственника информации.
Закон впервые вводит определение понятия "режим коммерческой тайны". При рассмотрении правовых оснований для защиты коммерческой тайны режиму коммерческой тайны следует уделить особой внимание. Его несоблюдение влечет утрату возможности защитить нарушенное право на коммерческую тайну (ч. 1 ст. 7 и ч. 2 ст. 10 Закона).
Система условий, составляющих режим коммерческой тайны, весьма объемна и требует значительных затрат со стороны владельца или получателя коммерческой тайны.
В частности, ч. 1 ст. 10 Закона предусматривает:
- - определение перечня информации, составляющей коммерческую тайну;
- - ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- - учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
- - регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- - нанесение на материальные носители (документы), которые содержат информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и местонахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Владелец коммерческой тайны должен установить определенный порядок оборота конфиденциальной информации, а также предусмотреть дополнительные штатные единицы для контроля над таким оборотом. Кроме того, нужно привести в соответствие или разработать вновь большой пакет внутренней нормативной документации.
Как минимум организации - владельцу коммерческой тайны необходимо:
- - разработать положения о коммерческой тайне и о документообороте всех носителей информации с грифом "Коммерческая тайна";
- - выпустить приказ по организации о допуске к коммерческой тайне;
- - предусмотреть в трудовом контракте дополнительные условия о добровольном обязательстве работника соблюдать режим коммерческой тайны.
Таким образом, с одной стороны, Закон расширил полномочия органов государства по контролю хозяйственной деятельности организаций. С другой стороны, процесс защиты прав владельцев информации существенно усложнился.
Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.
Необходимость системного правового регулирования института служебной тайны вызвана рядом причин, в том числе: отсутствие в законодательстве единого подхода к соответствующей категории информации ограниченного доступа; многочисленными примерами незаконного распространения (продажи) информации, аккумулируемой в органах государственной власти и относящейся либо к личности, либо к деятельности хозяйствующих субъектов; ограничениями на распространение информации, накладываемыми по своему усмотрению руководителями органов государственной власти и государственными (муниципальными) служащими на представление информации гражданам, общественным организациям, средствам массовой информации.
Уровень нормативного регулирования порядка обращения со служебной информацией ограниченного распространения, институт которой ныне можно воспринимать в качестве аналога служебной тайны социалистического периода, по целому ряду причин нельзя признать удовлетворительным. Единственный нормативный акт, регулирующий данную группу правоотношений - "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденное постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233 (ДСП). Данное Положение распространяется только на деятельность федеральных органов исполнительной власти, хотя аналогичные сведения образуются и поступают в любые органы государственной власти и органы местного самоуправления. Многие важные условия, определяющие порядок отнесения сведений к категории служебной информации, не установлены в Положении и даны на откуп руководителям федеральных органов исполнительной власти, что нельзя признать правильным, поскольку ведение ограничений на доступ к информации должно устанавливаться только федеральным законом. Таким образом, уровень правового регулирования явно недостаточный, к тому же на уровне постановления Правительства Российской Федерации выстроить долговременную и стабильную систему защиты сведений, имеющих продолжительный срок хранения, невозможно, тем более когда речь идет об установлении ряда норм гражданско-правового характера. Несмотря на практически полное отсутствие нормативного регулирования в сфере отнесения сведений к служебной тайне, их защиты и установления санкций за противоправное распространение такой информации, данная категория присутствует в большом количестве федеральных законов (около 40), в том числе: ФЗ "Об основах государственной службы Российской Федерации", ФКЗ "О Правительстве РФ", ФЗ "О службе в таможенных органах Российской Федерации", ФЗ "О Центральном Банке Российской Федерации (Банке России)", ФЗ "Об основах муниципальной службы Российской Федерации", ФЗ "О реструктуризации кредитных организаций", ФЗ "О рынке ценных бумаг" и др. При этом отсутствие четко определенного правового института служебной тайны обусловило разнообразие правовых подходов, получивших закрепление в законодательстве. Так, в ФЗ "О реструктуризации кредитных организаций" упоминается служебная тайна кредитной организации (ст. 41), в ФЗ "О мерах по защите экономических интересов Российской Федерации при осуществлении внешней торговли товарами" в органах исполнительной власти циркулирует "конфиденциальная информация" (ст. 18), в ФЗ "Об основах государственной службы Российской Федерации" и ряде других законов используется термин "служебная информация", в ФЗ "О таможенном тарифе" в таможенном органе циркулирует информация, составляющая коммерческую тайну и конфиденциальная информация (ст. 14). Федеральный закон №119-ФЗ от 20.08.2004 "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" предусматривает в ряду мер безопасности в отношении защищаемого лица обеспечение конфиденциальности сведений о нем.
Данные сведения по своему содержанию составляют служебную тайну и законодательное закрепление механизмов распоряжения этими сведения поможет реализации указанного Федерального закона. Эти примеры свидетельствуют о том, что не только терминология, но и содержание института защиты служебной информации не имеют в законодательстве однозначного отражения.
По-разному решается в законодательстве вопрос о структуре конфиденциальной информации и соотношении различных видов тайн. В этой связи особую озабоченность вызывает включение категории "служебная тайна" в нормы статьи 139 ГК РФ, где соответствующие сведения по системным признакам практически слиты с коммерческой тайной, хотя, следуя здравой правовой логике, данные системы ограничения в доступе к информации по своей природе должны быть различны. На электронных рынках страны и с помощью рассылки не запрошенных сообщений электронной почты (так называемый "спам") бесконтрольно распространяются CD, содержащие базы данных (БД) с информацией о персоналиях и организациях. Например, БД "Таможня", ГИБДД, БТИ (Бюро технической инвентаризации), "Прописка", "Внешнеэкономическая деятельность", ЕГРП (Единая государственная регистрация предприятий), "Собственники квартир", "Доходы физических лиц", "Картотека МВД" (судимости и др.), ОВИР (зарегистрированные паспорта), "БД "Министерство юстиции", "Сирена" (перевозки частных лиц железнодорожным транспортом России), БД о безналичных расчетах предприятий с поставщиками и потребителями и другие. Очевидно, что подобная информация не может попасть на рынок без участия государственных служащих.
В настоящее время законодателями подготовлен проект закона «О служебной тайне», регулирующего защиту таких сведений.
К личным (персональным) данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию). Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути.
Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.
Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ETS N 108 (28 января 1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Основным федеральным законом, защищающим конфиденциальность личных данных, является закон «О персональных данных», принятый 27 июля 2006 г.
В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется.
Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.
Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.
В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы:
Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т. е. работодатель фактически осуществляет сбор персональных данных работника;
Таможенный кодекс РФ от 28 мая 2003 г. N 61-ФЗ, регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;
Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.
Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993 г. N 5487-1, Законах РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне", от 28 марта 1998 г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст. 137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".
В настоящее время одной из наиболее значимых задач в области информационной безопасности является информационная защита, в частности, защита персональных данных, коммерческой тайны и другой информации конфиденциального характера в сферах муниципальных учреждений, в том числе предприятий ЖКХ, гостиничного и санаторно-курортного обслуживания, а также медицинских и лечебно-профилактических учреждений (ЛПУ), расположенных в местах постоянного проживания и отдыха россиян.
Необходимость решения подобных задач диктуется государственными правовыми и нормативными актами, требующими выполнения работ по созданию систем защиты информации конфиденциального характера, в том числе систем защиты персональных данных в организациях, являющихся операторами персональных данных. Таким образом, защищается не только информация конкретной организации, но и конституционные права граждан.
Компания «РНТ» располагает собственным методологическим подходом к решению данных задач. Предлагаемое решение «РНТ» включает полный комплекс средств защиты информации, организационно-технических мер и работ по их разработке и внедрению.
1 этап - предпроектные работы.
На данном этапе производится предварительный анализ существующих систем организации защиты, формируется перечень защищаемых информационных систем, а также перечень защищаемых данных, выявляются ключевые техпроцессы их обработки, формулируются цели обработки и требования к необходимым организационно-техническим мерам, разрабатываются модели угроз и возможностей потенциальных нарушителей безопасности, определяются требуемые уровни защищённости и формируется техническое задание, включающее требования к работам последующих этапов. Этап также включает участие в подготовке внутренних организационных документов Заказчика.
2 этап – проектирование.
На данном этапе производится выбор технических средств и проектирование системы защиты информации. Результатом этапа являются эскизный, а также технический либо технорабочий проекты.
3 этап – внедрение.
На данном этапе производится закупка и поставка технических средств и внедрение системы защиты информации, сопровождаемое комплексом необходимых настроек и испытаний.
4 этап – аттестация системы.
На данном этапе производятся аттестационные испытания системы защиты информации. По результатам выдаётся Аттестат соответствия ФСТЭК России, либо (для коммерческих структур) – Заключение о соответствии системы защиты информации требованиям Регуляторов.
После ввода системы защиты информации в эксплуатацию целесообразно заключение договора технического сопровождения с Центром технической поддержки и сопровождения АО «РНТ».
В решении применяются отечественные сертифицированные средства защиты информации как собственного производства АО «РНТ», такие как СОА «ФОРПОСТ» и ПК «ФАНТОМ», так и других российских лидеров в области защиты информации.
Преимущества решения
Наличие у «РНТ» целостного методологического подхода позволяет одновременно оптимизировать процесс обработки информации, снизить трудозатраты и финансовые затраты, связанные с обслуживанием внедрённого комплекса мер силами Заказчика. Важным результатом внедрения решения «РНТ» является оптимизация нормативных основ обработки информации, а также сокращение возможных претензий и исков, связанных с обработкой информации как со стороны частных лиц, так и со стороны различных организаций, в частности, контролирующих государственных структур.
"Кадровик. Трудовое право для кадровика", 2011, N 10
ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ
Автор обращается к проблеме обеспечения информационной безопасности организации. Основное внимание уделено коммерческой и служебной тайнам, а также особенностям работы с персоналом, владеющим конфиденциальной информацией.
Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности администрации компании в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. Для защиты информации компании требуется комплекс мер, образующих систему. В теории под системой защиты информации понимают рациональную совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке . Элементами такой системы являются меры правового, организационного, технического и др. характера.
Правовой элемент является обязательным для любого типа организации и для любой даже самой простой системы защиты информации. При его отсутствии организация не сможет должным образом защитить конфиденциальную информацию, а также привлечь к ответственности лиц, виновных в ее разглашении и утрате.
Правовой элемент, то есть меры юридического характера, направлен в основном на надлежащее оформление документов, а также на грамотную работу с персоналом организации, поскольку в основе системы защиты информации лежит человеческий фактор. Вообще, в решении проблемы информационной безопасности организации значительное место занимает выбор эффективных методов работы с персоналом, а вопросы управления персоналом включаются в число главных при обеспечении безопасности информации.
В трудовых отношениях работодатель и работник обмениваются большим объемом информации различного характера, в том числе и конфиденциальной. Например, работодатель получает доступ к персональным данным работника, а работнику становится известной закрытая информация работодателя. В настоящей статье речь пойдет именно о конфиденциальной информации работодателя.
Персонал организации
как объект и субъект угроз безопасности
В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов, а иногда и криминальных структур. Разглашение конфиденциальной информации может нанести существенный экономический ущерб организации. Очевидно, что тайный сбор сведений, информации, хищение документов, материалов, образцов, составляющих коммерческую, промышленную, служебную тайну, организуется с целью завоевать рынок, сэкономить на приобретении ноу-хау и пр. К сожалению, нередкой является ситуация, когда сотрудник какой-либо организации, желая увеличить зарплату, предлагает свою кандидатуру фирме-конкуренту и одновременно обещает принести с собой базы данных старой компании. По неофициальным данным, от "промышленного шпионажа" в той или иной форме страдают около 80% организаций.
Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.
Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна. Реализация мер кадровой службы по защите информации компании предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Типичные ошибки предприятий
Мельникова Е. И. приводит данные исследования на тему "Методы и средства защиты коммерческой тайны на предприятии", которое было проведено в Ульяновске . В нем приняли участие 40 предприятий города из числа крупного, среднего и малого бизнеса, и был сделан вывод о том, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует везде.
Согласно указанному исследованию на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео - и фотосъемочной аппаратуры. В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации. На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение. На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении).
Виды конфиденциальной информации
Конфиденциальная информация, несомненно, относится к информации ограниченного доступа. Кстати, правовой режим последней в нормативных правовых актах недостаточно определен . Какую же информацию можно отнести к конфиденциальной в предпринимательской деятельности? Как именовать такую информацию? Как документально оформить обязанность работника хранить секретную информацию работодателя?
Для определения конфиденциальной информации используются различные термины, каждый из которых не является точным и корректным: "коммерческая тайна", "служебная тайна", "инсайдерская информация", "профессиональная тайна" и пр. Несколько слов следует сказать о каждом из приведенных понятий.
Ее субъектами могут являться исключительно государственные или муниципальные служащие;
К ней может относиться лишь та конфиденциальная информация, которая становится известной лицам в силу исполнения профессиональных обязанностей, связанных с государственной или муниципальной службой;
У нее особый качественный состав .
Следует заметить, что в действующем законодательстве отсутствуют четкие ориентиры для определения сущности служебной тайны и приходится руководствоваться научными подходами.
Данный термин не подходит для использования его при определении конфиденциальной информации коммерческой компании, а также государственной организации, где государственная служба не предусмотрена.
Термин "инсайдерская информация" в дословном переводе означает внутреннюю информацию компании.
Словарь трудового права. Инсайдер (inside англ. - внутри) - лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы.
Пункт 1 ст. 1 Директивы 2003/6/ЕС определяет инсайдерскую информацию как информацию, публично не раскрытую, обладающую известной ценностью, относящуюся к одному или нескольким эмитентам финансовых инструментов либо к одному или нескольким таким инструментам, которая в случае раскрытия непременно окажет значительное влияние на котировки финансовых инструментов или соответствующих деривативов .
В отличие от стран с развитым рынком ценных бумаг, Россия до сих пор не ввела термин "инсайдерская информация" на законодательном уровне. Законопроект "Об инсайдерской информации" был отклонен. Термин не вошел в нормативную лексику. Вместо понятия "инсайдерская информации" в Федеральном законе от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг" (ред. от 11.07.2011) закреплено понятие "служебная информация". Ею признается: 1) любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах; 2) информация, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг.
В. И. Добровольский отмечает, что в мировой практике понятию "служебная информация" соответствует понятие "инсайдерская информация", так как это понятие является наиболее универсальным, включающим в себя служебную, коммерческую, конфиденциальную и т. п. информацию .
В России термин "служебная информация" также подразумевает конфиденциальную информацию, однако применяется в сфере фондового рынка. Термин "инсайдерская информация" вообще употребляется неофициально.
Относить ли информацию к конфиденциальной?
Легальное определение имеет понятие "коммерческая тайна". Это, во-первых, режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; а во-вторых, это сама информация, то есть сведения любого характера (производственные, технические, экономические, организационные и другие), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Обладатель информации имеет право отнести ее к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну, приведенный в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (ред. от 11.07.2011, далее - Закон о коммерческой тайне). Этот перечень не является закрытым, поскольку в отношении иных подлежащих раскрытию сведений Закон о коммерческой тайне ссылается на другие нормативные акты.
Таким образом, если работник пожаловался кому-то, что ему задерживают зарплату, или рассказал кому-либо об имеющихся в организации вакансиях, то такие действия не будут разглашением коммерческой тайны.
Для того чтобы защитить информацию, нередко при заключении трудового договора от сотрудника требуется соблюдение такого условия, как неразглашение коммерческой тайны организации. Помимо условий о коммерческой тайне в трудовом договоре не исключена и возможность подписания отдельного документа о защите информации, составляющей коммерческую тайну, что по своей сути является логическим завершением юридического оформления защиты информации на уровне хозяйствующего субъекта. Г. М. Колебошин справедливо указывает на то, что в литературе высказывается предложение именно о целесообразности заключения с работником дополнительного соглашения о неразглашении, которое может быть включено условием в трудовой договор или существовать в виде отдельного документа . Так, в организации может существовать локальный нормативный акт, посвященный коммерческой тайне, - положение о коммерческой тайне (далее - Положение). Принимая на работу сотрудника, который будет иметь доступ к закрытой информации, работодатель должен под расписку ознакомить его с действующими в организации локальными нормативными актами, имеющими непосредственное отношение к трудовой функции данного работника (ст. 68 ТК РФ; ст. 11 Закона о коммерческой тайне), в том числе с Положением. Оно может содержать перечень конфиденциальных сведений, который устанавливает руководитель исходя из специфики работы компании. То есть работник должен быть ознакомлен с перечнем информации, составляющей коммерческую тайну работодателя, а также с установленным режимом коммерческой тайны и мерами ответственности за его нарушение.
Если в организации не принято локальных нормативных актов, регламентирующих работу с конфиденциальной информацией, сотрудники с ними не ознакомлены, не обеспечена сохранность таких сведений, говорить о разглашении коммерческой тайны не приходится, а значит, законных претензий к работнику, разгласившему такие сведения, предъявлено быть не может, за исключением случая, когда сбор таких сведений осуществлен путем похищения документов, подкупа или угроз.
Также администрация обязана создать работнику необходимые условия для соблюдения им режима коммерческой тайны (например, предоставить сейф для хранения секретных материалов).
Итак, работник должен четко знать, что относится к коммерческой тайне организации, как она охраняется, и иметь возможность ее соблюдать.
Ответственность за разглашение
В ст. 14 Закона о коммерческой тайне указано, что лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с Законом о коммерческой тайне быть привлечено к ответственности. Если сотруднику, не ознакомленному с перечнем секретных документов, случайно в руки попал документ, из формы и текста которого ему непонятно, что эта информация относится к коммерческой тайне, ответственности за ее разглашение он также не понесет.
Не следует забывать, что к тайной информации не должно быть свободного доступа. Например, если сотрудник фирмы передал кому-либо сведения о деятельности фирмы, которые можно узнать и на сайте компании, проступком это не является.
Разглашение коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. При разглашении сведений, составляющих коммерческую тайну, работник может быть уволен по односторонней инициативе работодателя, в соответствии со ст. 81 ТК РФ.
Споры, возникшие в связи с разглашением коммерческой тайны, рассматриваются, как правило, в рамках гражданско-правовых и трудовых отношений и крайне редко доходят до уголовного преследования. Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Судебная практика по этому вопросу весьма скудна.
Действия работодателя по защите информации
Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Работодателю необходимо:
Разработать перечень информации, относящейся к коммерческой тайне;
Ограничить и регламентировать доступ к носителям информации;
Определить круг лиц, имеющих право доступа к информации;
Нанести на документы, составляющие коммерческую тайну, надпись "Конфиденциальная информация" (при этом необходимо указывать обладателя информации, его местонахождение и наименование);
Ознакомить работников с локальными актами о коммерческой тайне;
Внести в трудовые договоры, особенно с вновь принимаемыми лицами, пункт об обязательстве работника не разглашать определенную информацию работодателя.
При формулировании соглашения (договорного обязательства) об обязанности не разглашать сведения либо Положения о коммерческой тайне можно учесть опыт американских компаний, где в соглашение включаются следующие пункты :
Детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;
Краткое изложение порядка охраны конфиденциальных сведений;
Изложение мер, которые должен принимать сам работник для обеспечения сохранности данных сведений;
Перечень наказаний, которые могут последовать за разглашение конфиденциальных сведений.
Очевидно, что подобное письменное обязательство о неразглашении секретов компании не дает полных гарантий сохранения этих сведений, однако, как показывает практика, заметно снижает риск разглашения персоналом такой информации.
В документы иногда вносят пункт об обязанности сотрудника сообщать в службу безопасности компании или непосредственному руководителю о попытке постороннего лица получить любую информацию об организации, в том числе конфиденциальную, а также о случаях утери носителей информации.
Можно сделать ряд рекомендаций по поводу увольнения сотрудника, владеющего конфиденциальной информацией. При написании сотрудником заявления об увольнении необходимо последовательно выполнить следующие действия: принять все числящиеся за сотрудником документы, базы данных, носители информации и пр., принять пропуск данного сотрудника (идентификатор), ключи и печати, провести собеседование с увольняющимся сотрудником.
На собеседовании стоит напомнить лицу о том, что им были подписаны документы, обязывающие его хранить секреты компании. Некоторые авторы рекомендуют составить еще одно соглашение уже с увольняющимся лицом о неразглашении конфиденциальных данных после ухода из организации. Если опять обратиться к опыту США, то там с особенно ценными увольняющимися сотрудниками нередко заключается соглашение об оказании консультационных услуг в течение ряда лет. При этом все это время такому лицу выплачивается жалованье. Такая материальная и моральная связь с бывшим местом работы, как считается, не дает человеку поводов разглашать конфиденциальную информацию. В нашей стране такая практика в силу известных причин вряд ли может получить широкое распространение и будет применима лишь к топ-менеджерам крупных компаний.
Таким образом, действующие нормативные правовые акты не предусматривают эффективную защиту для конфиденциальной информации организации. Для того чтобы защитить внутреннюю информацию, работодателю необходимо самому позаботиться о секретах компании, правильно оформив как саму конфиденциальную информацию, так и отношения с работником, такой информацией обладающим. При выполнении указанных в настоящей статье действий организация может рассчитывать на вынесение решения в ее пользу при возможном судебном разбирательстве.
Библиографический список
1. Корнеев И. К., Степанов Е. А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.
2. Мельникова Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности // Юридический мир. 2009. N 12. С. 40 - 43.
3. Шевердяев С. Н. Конституционно-правовой режим информации ограниченного доступа // Конституционное и муниципальное право. 2007. N 1.
4. Яковец Е. Н., Смирнова И. Н. Нормативное регулирование оборота сведений, составляющих служебную тайну // Информационное право. 2009. N 4.
5. Директива 2003/6/ЕС "Об инсайдерской деятельности и рыночном манипулировании, злоупотреблениях на рынке". Directive 2003/6/EC of the European Parliament and of the Council of 28 January 2003 on insider dealing and market manipulation (market abuse). OJL 096, 12.04.2003. P. 0016 - 0025.
6. Добровольский В. И. Инсайдерская информация в мировой практике, служебная информация и коммерческая тайна в России // Предпринимательское право. 2008. N 4.
7. Колебошин Г. М. Обязанности работника в отношении коммерческой тайны работодателя // Трудовое право. 2007. N 5.
8. Ищейнов В. Я. Технология определения сведений, относимых к коммерческой тайне, и факторы риска // Делопроизводство. 2010. N 2. С. 50.
И. Погодина
зав. кафедрой
гражданского права и процесса
Владимирского государственного
университета имени А. Г. и Н. Г.Столетовых
Подписано в печать