Легальные признаки конфиденциальной информации - документированность, ограничение доступа к информации в соответствии с законодательством и отсутствие свободного доступа к ней на законном основании.
«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации». Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.
К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91 г. № 35.
В России законодательство в сфере охраны прав на конфиденциальную коммерческую информацию только начинает формироваться. Новым в регулировании отношений в данной сфере стало принятие Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Общее впечатление, которое остается после знакомства с текстом Закона, можно определить как противоречивое. С одной стороны, появился единый нормативный акт, детально определяющий режим и порядок защиты сведений, которые составляют коммерческую тайну. С другой стороны, Закон далеко не безупречен. При его создании законодателем были введены нормы, на взгляд исследователей, затрудняющие защиту коммерческой тайны и восстановление нарушенного права.
Закон не исключает применения общих норм о коммерческой тайне, предусмотренных ст. 139 ГК РФ, а в качестве источников называет ГК РФ и другие федеральные законы. Таким образом, Закон дополняет сложившуюся нормативную базу и лишь частично ее заменяет.
Однако уже при прочтении определения коммерческой тайны мы видим терминологические нестыковки Закона с ГК РФ. Закон определяет понятие коммерческой тайны через свойство информации: коммерческая тайна - это "конфиденциальность информации" (п. 1 ст. 3 Закона) (англ. confidence - секретность). ГК РФ рассматривает коммерческую тайну в первую очередь как разновидность информации, имеющей "коммерческую ценность в силу ее неизвестности третьим лицам", в отношении которой применяются меры по охране ее конфиденциальности (ст. 139 ГК РФ). При всей незначительности на первый взгляд несовпадения понятий мы получили два разных, конкурирующих по своей юридической силе определения.
Закон различает форму, в которой существует ценная информация, и содержание самой информации. К ней относится "научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау)" (п. 2 ст. 3 Закона.
Список видов информации, которая может иметь коммерческую ценность, открыт.
Закон по-прежнему наделяет собственника (владельца) информации правом самостоятельно определять ее ценность.
Определение коммерческой тайны, содержащееся в Законе, отражает характер самого Закона. Основной акцент в нем сделан на процедурах охраны коммерческой информации. Согласно Закону именно они позволяют обеспечить необходимый минимум условий для защиты нарушенного права в суде, а также проводят разграничение между законным и незаконным доступом как элементом состава правонарушения.
В связи с этим сложно понять определение обладателя информации, составляющей коммерческую тайну, данное в Законе. В соответствии с п. 4 ст. 3 Закона это лицо, которое владеет такой информацией "на законном основании". Таким образом, доказывая факт нарушения права, придется устанавливать законность владения им. Документально подтвердить права на коммерческую тайну можно, если они, например, подлежат государственной регистрации (патенты, свидетельства). В таком случае интересы собственника защищаются патентным, авторским правом. Если коммерческую тайну составляют договоренности, зафиксированные на аудио-носителе, или это незапатентованные идеи, доказать первичность и законность обладания такой информацией будет довольно сложно.
Очевидно, что нужно будет подтвердить объективную связь информации с ее владельцем. Например, информация об организации-владельце, ее сделках и т. п. должна содержать указание на организацию-владельца и быть защищена специальными ссылками на носителе о конфиденциальности, как это предусмотрено в п. 5 ч. 1 ст. 10 Закона.
В Законе говорится о передаче информации только на материальном носителе (п. 6 ст. 3 Закона) и на условиях специального договора. В этой части Закон ограничивает объем охраняемых в режиме тайны сведений по сравнению с определением, данным в ГК РФ, в ст. 139 которого не упоминаются материальные носители, а речь идет об охране конфиденциальной информации.
Следовательно, руководствуясь Законом, из правовой охраны исключены случаи, например, разглашения информации, не зафиксированной на материальных носителях. В частности, это могут быть сведения о каких-либо решениях, принятых организацией по продвижению своего продукта, и подобная информация.
С одной стороны, такой подход упрощает процесс доказывания, с другой - ограничивает возможности защиты интересов собственника информации.
Закон впервые вводит определение понятия "режим коммерческой тайны". При рассмотрении правовых оснований для защиты коммерческой тайны режиму коммерческой тайны следует уделить особой внимание. Его несоблюдение влечет утрату возможности защитить нарушенное право на коммерческую тайну (ч. 1 ст. 7 и ч. 2 ст. 10 Закона).
Система условий, составляющих режим коммерческой тайны, весьма объемна и требует значительных затрат со стороны владельца или получателя коммерческой тайны.
В частности, ч. 1 ст. 10 Закона предусматривает:
Владелец коммерческой тайны должен установить определенный порядок оборота конфиденциальной информации, а также предусмотреть дополнительные штатные единицы для контроля над таким оборотом. Кроме того, нужно привести в соответствие или разработать вновь большой пакет внутренней нормативной документации.
Как минимум организации - владельцу коммерческой тайны необходимо:
Таким образом, с одной стороны, Закон расширил полномочия органов государства по контролю хозяйственной деятельности организаций. С другой стороны, процесс защиты прав владельцев информации существенно усложнился.
Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.
Необходимость системного правового регулирования института служебной тайны вызвана рядом причин, в том числе: отсутствие в законодательстве единого подхода к соответствующей категории информации ограниченного доступа; многочисленными примерами незаконного распространения (продажи) информации, аккумулируемой в органах государственной власти и относящейся либо к личности, либо к деятельности хозяйствующих субъектов; ограничениями на распространение информации, накладываемыми по своему усмотрению руководителями органов государственной власти и государственными (муниципальными) служащими на представление информации гражданам, общественным организациям, средствам массовой информации.
Уровень нормативного регулирования порядка обращения со служебной информацией ограниченного распространения, институт которой ныне можно воспринимать в качестве аналога служебной тайны социалистического периода, по целому ряду причин нельзя признать удовлетворительным. Единственный нормативный акт, регулирующий данную группу правоотношений - "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденное постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233 (ДСП). Данное Положение распространяется только на деятельность федеральных органов исполнительной власти, хотя аналогичные сведения образуются и поступают в любые органы государственной власти и органы местного самоуправления. Многие важные условия, определяющие порядок отнесения сведений к категории служебной информации, не установлены в Положении и даны на откуп руководителям федеральных органов исполнительной власти, что нельзя признать правильным, поскольку ведение ограничений на доступ к информации должно устанавливаться только федеральным законом. Таким образом, уровень правового регулирования явно недостаточный, к тому же на уровне постановления Правительства Российской Федерации выстроить долговременную и стабильную систему защиты сведений, имеющих продолжительный срок хранения, невозможно, тем более когда речь идет об установлении ряда норм гражданско-правового характера. Несмотря на практически полное отсутствие нормативного регулирования в сфере отнесения сведений к служебной тайне, их защиты и установления санкций за противоправное распространение такой информации, данная категория присутствует в большом количестве федеральных законов (около 40), в том числе: ФЗ "Об основах государственной службы Российской Федерации", ФКЗ "О Правительстве РФ", ФЗ "О службе в таможенных органах Российской Федерации", ФЗ "О Центральном Банке Российской Федерации (Банке России)", ФЗ "Об основах муниципальной службы Российской Федерации", ФЗ "О реструктуризации кредитных организаций", ФЗ "О рынке ценных бумаг" и др. При этом отсутствие четко определенного правового института служебной тайны обусловило разнообразие правовых подходов, получивших закрепление в законодательстве. Так, в ФЗ "О реструктуризации кредитных организаций" упоминается служебная тайна кредитной организации (ст. 41), в ФЗ "О мерах по защите экономических интересов Российской Федерации при осуществлении внешней торговли товарами" в органах исполнительной власти циркулирует "конфиденциальная информация" (ст. 18), в ФЗ "Об основах государственной службы Российской Федерации" и ряде других законов используется термин "служебная информация", в ФЗ "О таможенном тарифе" в таможенном органе циркулирует информация, составляющая коммерческую тайну и конфиденциальная информация (ст. 14). Федеральный закон №119-ФЗ от 20.08.2004 "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" предусматривает в ряду мер безопасности в отношении защищаемого лица обеспечение конфиденциальности сведений о нем.
Данные сведения по своему содержанию составляют служебную тайну и законодательное закрепление механизмов распоряжения этими сведения поможет реализации указанного Федерального закона. Эти примеры свидетельствуют о том, что не только терминология, но и содержание института защиты служебной информации не имеют в законодательстве однозначного отражения.
По-разному решается в законодательстве вопрос о структуре конфиденциальной информации и соотношении различных видов тайн. В этой связи особую озабоченность вызывает включение категории "служебная тайна" в нормы статьи 139 ГК РФ, где соответствующие сведения по системным признакам практически слиты с коммерческой тайной, хотя, следуя здравой правовой логике, данные системы ограничения в доступе к информации по своей природе должны быть различны. На электронных рынках страны и с помощью рассылки не запрошенных сообщений электронной почты (так называемый "спам") бесконтрольно распространяются CD, содержащие базы данных (БД) с информацией о персоналиях и организациях. Например, БД "Таможня", ГИБДД, БТИ (Бюро технической инвентаризации), "Прописка", "Внешнеэкономическая деятельность", ЕГРП (Единая государственная регистрация предприятий), "Собственники квартир", "Доходы физических лиц", "Картотека МВД" (судимости и др.), ОВИР (зарегистрированные паспорта), "БД "Министерство юстиции", "Сирена" (перевозки частных лиц железнодорожным транспортом России), БД о безналичных расчетах предприятий с поставщиками и потребителями и другие. Очевидно, что подобная информация не может попасть на рынок без участия государственных служащих.
В настоящее время законодателями подготовлен проект закона «О служебной тайне», регулирующего защиту таких сведений.
К личным (персональным) данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию). Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути.
Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.
Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ETS N 108 (28 января 1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Основным федеральным законом, защищающим конфиденциальность личных данных, является закон «О персональных данных», принятый 27 июля 2006 г.
В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется.
Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.
Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.
В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы:
Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т. е. работодатель фактически осуществляет сбор персональных данных работника;
Таможенный кодекс РФ от 28 мая 2003 г. N 61-ФЗ, регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;
Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.
Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993 г. N 5487-1, Законах РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне", от 28 марта 1998 г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст. 137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".
Общая структура государственной системы защиты информации и основные направления ее развития и совершенствования изложены в Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000г. В соответствии с Доктриной информационную безопасность государства можно рассматривать в широком и узком смысле слова.
В широком смысле информационная безопасность Российской Федерации – это состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Таким образом, это система гарантий государства от внешних угроз и угроз основам конституционного строя внутри страны.
В узком смысле информационная безопасность – это охрана государственными органами различных видов тайны, разглашение которых может сказаться на политической, экономической, научно-технической и др. защищенности государства.
В целом, правовой институт защиты тайны можно рассматривать как институт регулирования информационных общественных отношений, который имеет три составляющие:
сведения, относимые к определенному виду тайны, а также принципы, критерии, по которым эти сведения классифицируются как тайна;
режим секретности (конфиденциальности) – механизм ограничения доступа к указанным сведениям, т.е. механизм их защиты;
санкции за неправомерное получение или распространение защищаемых сведений.
Целью государственной политики в области защиты информации является предотвращение ущерба информационной безопасности в результате несанкционированного (неправомерного) доступа к защищаемой информации.
Государственная политика в области защиты информации проводится в соответствии с установленными принципами:
законности (установление единой нормативно-правовой базы в области защиты информации);
обеспечения баланса интересов личности и государства в процессе соблюдения конституционных прав человека и гражданина на получение, доступ к информации и законодательного ограничения на распространение информации в целях обеспечения информационной безопасности государства;
научной обоснованности, принятия оптимальных решений в сфере защиты информации;
системности, комплексности (использование всех форм и методов защиты информации, централизация управления системой защиты информации, четкое взаимодействие всех ее элементов, реализация принципа персональной ответственности);
непрерывности в деятельности по выявлению и предотвращению угроз защищаемой информации;
превентивности, т.е. предварительного, упреждающего характера мероприятий по предотвращению угроз защищаемой информации.
В Доктрине информационной безопасности называются первоочередные проблемы в данной сфере, требующие безотлагательного решения в современных условиях.
К ним относятся:
укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
обеспечение запрета на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;
разработка и принятие нормативно-правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях информации ограниченного распространения;
обеспечение доступа граждан к открытым государственным информационным ресурсам. В этой сфере планируется интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Развитием положений Доктрины информационной безопасности Российской Федерации об обеспечении доступа граждан к открытым государственным информационным ресурсам является, в частности, принятие постановления Правительства Российской Федерации № 98 от 12 февраля 2003 г. «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти». Постановлением утвержден Перечень сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационных системах общего пользования, в т.ч. в сети Интернет.
Перечень сведений включает:
федеральные законы, указы Президента, правовые акты Правительства;
сведения о законопроектной деятельности Правительства, проектах федеральных законов, федеральных целевых программ и концепций, разрабатываемых федеральными органами исполнительной власти;
сведения об основных показателях социально-экономического развития Российской Федерации и использования федерального бюджета;
обзоры обращений граждан и организаций в Правительство Российской Федерации и федеральные органы исполнительной власти, о принятых мерах;
сведения о государственной службе в аппарате Правительства Российской Федерации и федеральных органах исполнительной власти;
сведения об официальных визитах и рабочих поездках Председателя Правительства, членов Правительства, правительственных делегаций и др.
Первоочередные меры по совершенствованию нормативного правового обеспечения информационной безопасности должны предусматривать разработку следующих законопроектов:
О персональных данных.
О праве на информацию.
О неприкосновенности частной жизни, о личной и семейной тайне.
О служебной тайне.
О национальной безопасности.
Реализация данных задач связана с реализацией Федеральной целевой программы «Электронная Россия (2002-2010 гг.)», утвержденной постановлением Правительства Российской Федерации от 28.01.2002 № 65.
Программой помимо задач обеспечения информационной безопасности Российской Федерации предусмотрена разработка Концепции обеспечения общедоступности государственных информационных ресурсов, а также проведения инвентаризации и анализа существующих в России государственных информационных систем и информационных ресурсов.
Доктрина информационной безопасности Российской Федерации называет следующие общие методы обеспечения информационной безопасности:
правовые;
организационно-технические методы;
экономические.
Доктрина информационной безопасности Российской Федерации называет четыре группы объектов обеспечения информационной безопасности. К ним относятся:
информационные ресурсы, содержащие конфиденциальную информацию;
средства и системы информатизации (в т.ч. – средства вычислительной техники, информационно-вычислительные комплексы, сети и системы); программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение); АСУ, системы связи и передачи данных, осуществляющие обработку информации ограниченного доступа, и их информативные физические поля;
технические средства, системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного распространения.
Законодательством Российской Федерации установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа, которая подлежит защите от незаконного распространения (разглашения) и относится к охраняемой законом тайне.
Основу законодательства в этой области составляют статьи Конституции РФ о праве граждан на информацию, соответствующие международным нормам в этой области. Охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайны (ст. 23). Не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ст. 24). Эти положения находят развитие в Федеральных законах.
Федеральный закон «Об информации, информационным технологиям и о защите информации» от 27 июля 2006 г. № 149-ФЗ для реализации права на доступ к информации дополнительно устанавливает следующие гарантии:
органы государственной власти и органы местного самоуправления создают доступные для каждого информационные ресурсы по вопросам деятельности этих органов и подведомственных им организаций, а также в пределах своей компетенции осуществляют массовое информационное обеспечение пользователей по вопросам прав, свобод и обязанностей граждан, их безопасности и другим вопросам, представляющим общественный интерес;
граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцами этих ресурсов необходимость получения запрашиваемой ими информации. Исключение составляет информация с ограниченным доступом;
органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, обеспечивают условия для оперативного и полного представления пользователю документированной информации в соответствии с обязанностями, установленными уставами (положениями) этих органов и организаций;
граждане и организации имеют право на доступ к документируемой информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами;
информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть использована ими для создания производной информации в целях ее коммерческого распространения с обязательной ссылкой на источник информации;
отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке. Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом. Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.
В современном законодательстве отсутствует четкость и единство в понятийном аппарате в области защиты информации. Только в федеральных законах упоминается свыше 30 видов тайны, которые выступают в виде прямых ограничений при реализации информационных прав и свобод, среди них: торговая тайна; промышленная тайна; секретный торговый процесс; информация, которую нельзя получить в ходе обычной административной практики и др.
В последние годы предпринимались попытки упорядочивания состава видов тайны. В 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» вся информация с ограниченным доступом была разделена на государственную тайну и конфиденциальную информацию (ст. 8 и 10). При этом из видов конфиденциальной информации в данном законе назывались лишь личная и семейная тайна, персональные данные, тайна переписки, телефонных, почтовых и телеграфных и иных сообщений. Однако в 1996 г. в Федеральном законе «Об участии в международном информационном обмене» (ст. 8) государственная тайна определена как один из видов конфиденциальной информации.
В соответствии с Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» конкретизируется обобщенное понятие конфиденциальной информации. В соответствии с перечнем сведения конфиденциального характера отнесены к следующим группам:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.) (профессиональная тайна);
сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Федеральным законом «Об информации, информационных технологиях и о защите информации» определяются следующие цели защиты информации:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества и государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
В данном законе определяется, что режим защиты информации устанавливается:
в отношении конфиденциальной документированной информации – собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
в отношении персональных данных – федеральным законом.
Федеральный закон «Об информации, информационных технологиях и о защите информации» запрещает относить к информации с ограниченным доступом:
законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнесенных к государственной тайне;
документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Гражданским кодексом (ГК) Российской Федерации (ст. 139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты.
Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:
Информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
К ней нет свободного доступа на законном основании.
Обладатель информации принимает меры по охране ее конфиденциальности.
Общие требования к защите информации в сфере международного информационного обмена установлены в Указе Президента Российской Федерации от 17 мая 2004 г. «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». В данном Указе устанавливаются требования по обеспечению безопасности международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей «Интернет».
В соответствии с Указом субъектам международного информационного обмена рекомендуется не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, служебную информацию ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в т.ч. в международную ассоциацию сетей «Интернет».
Владельцам открытых общедоступных государственных информационных ресурсов необходимо осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих их целостность и доступность, в т.ч. криптографических средств защиты для подтверждения достоверности информации.
Владельцам и пользователям указанных ресурсов необходимо осуществлять размещение технических средств, подключаемых к открытым информационным системам и сетям связи, используемым в международном информационном обмене, включая сеть «Интернет», вне помещений, предназначенных для ведения закрытых переговоров и научная деятельность в этой области.
Возрождение в современных условиях предпринимательской деятельности повлекло за собой разработку нормативных документов по вопросам, связанным с защитой коммерческой тайны.
В СССР первое и единственное нормативное определение коммерческой тайны было дано в законе «О предприятиях в СССР» от 4 июня 1990 г. (ст. 33). В данной статье указывалось, что «под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам».
Вопросы защиты коммерческой тайны нашли отражение в статьях 10, 13 - 15 Закона РСФСР от 22.03.1991 № 948-1 (в ред. от 21.03.2002 № 31-ФЗ) «О конкуренции и ограничении монополистической деятельности на товарных рынках».
Статья 10 закона относит получение, использование, разглашение научно-технической, производственной или торговой информации, в том числе коммерческой тайны, без согласия ее владельца к формам недобросовестной конкуренции.
В соответствии с Федеральным законом N 98-ФЗ "О коммерческой тайне" от 29 июля 2004 г. под коммерческой тайной понимается «конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».
К информации, составляющей коммерческую тайну, в соответствии с п. 2 ст. 3 данного закона относится научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Данное положение закона можно толковать достаточно широко, так как в нем упоминается «иная» информация, которую можно отнести к коммерческой тайне. Кроме того, смысл данного определения практически копирует ст. 139 ГК Российской Федерации. Изменения коснулись, в основном, уточнений применительно к технологиям и вместо принятия мер к охране конфиденциальности введен режим коммерческой тайны.
Положения данного закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.
Сведения, которые не могут составлять коммерческую тайну, определены в постановлении Правительства Российской Федерации от 5 декабря 1991 № 35 (в редакции постановления Правительства Российской Федерации от 3 октября 2002 г. № 731), а также в законе «О коммерческой тайне».
Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:
о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
В части 1 статьи 10 указывается, что меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
определение перечня информации, составляющей коммерческую тайну;
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и лиц, которым такая информация была предоставлена или передана;
регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации.
К обязательным мерам относятся также установление порядка обращения с защищаемой информацией и контроль за соблюдением такого порядка (ч. 1.2 ст. 10), нанесение на материальные носители защищаемой информации грифа «Коммерческая тайна» (ч. 1.5 ст. 10) и др. Невыполнение перечисленных мер приводит к тому, что в организации не может быть информации, составляющей коммерческую тайну. На это прямо указано в части 2 ст.10 – «режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи».
В целях охраны конфиденциальности информации работодатель также обязан:
ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
Меры по охране конфиденциальности информации признаются разумно достаточными, если:
исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
В уже далекие советские времена всевозможные «первые», «режимно-секретные отделы» были предметом жгучей ненависти работников предприятий и учреждений - от закрытых НИИ до статистических управлений. Невыполнение на первый взгляд никому не нужных требований и правил было чревато как минимум выговором и лишением премии, а как максимум - уголовным делом с последующей долгой «путевкой» в «солнечный Магадан».
Засекречено при СССР было все, что только можно. В том числе, и достаточно большое количество данных, которые, как казалось, не несли никакой прямой угрозы государственной безопасности. Поэтому многие «свободомыслящие» считали «гебистов», присваивающих грифы секретности и выдумывающих правила работы с документами, параноиками и дармоедами…
В 50-е годы западными спецслужбами реализовывалась программа «Легальный путешественник». В ходе официальных поездок по СССР их агенты занимались «невинными вещами» - просто собирали пробы воды, почвы. Целью «рыцарей плаща и кинжала» было выявление мест возможного проведения советских ядерных исследований. В ходе противодействия западным коллегам даже происходили курьезы. Один из агентов должен был посетить абсолютно бесперспективные незаселенные территории на Северном Урале. Сотрудникам советской контрразведки пришла в голову мысль направить шпионов по ложному следу, и пробы, полученные агентом во время отдыха на природе, были искусственно облучены. При этом не были проведены консультации с учеными. Когда агент привез своим кураторам пробы, они были просто шокированы - побывав в месте, где можно было их взять, человек уже не должен был вернуться обратно…
Противодействие попыткам иностранных спецслужб фотографировать всевозможные объекты, брать возле них пробы было важнейшей составляющей деятельности советской контрразведки. Сотрудники иностранных разведок вовсю охотились и за другой «полуоткрытой информацией» - данными о выпусках в военных и технических ВУЗах, новых транспортных магистралях, любыми статистическими показателями.
Сопоставляя эти, вроде бы невинные данные, аналитики ЦРУ и Пентагона делали выводы о местах размещения секретных объектов, обеспеченности ВПК и армии кадрами, общих затратах на «оборонку», мобилизационных планах и потенциальных перемещениях войск. По мнению экспертов, до 80 - 90% работы разведчиков - это работа с «открытыми» или «полуоткрытыми по безалаберности» источниками, правильный анализ коих способен дать информацию, разглашение которой стране пребывания крайне невыгодно…
На таких простых примерах автор показал, что самая невинная на первый взгляд производственная или управленческая информация может быть использована против вас.
Защита любых подобных данных - одна из основных задач службы собственной безопасности, в том числе и в коммерческой структуре.
И если в государственных учреждениях, а так же на государственных и негосударственных предприятиях, имеющих допуск к работе с гостайной, официально функционируют санкционированные государством режимно-секретные органы, то защита интересов «частников», обладающей конфиденциальной коммерческой информацией - это их личная проблема.
Мы не будем сейчас вникать в суть функционирования института коммерческой тайны, а попытаемся определиться с режимом и системой защиты конфиденциальной информации вообще.
1. При ССБ, канцелярии или секретариате любого более или менее серьезного предприятия должен быть создан «режимный» орган. В зависимости от масштабов в нем может работать и один человек, и десять и даже пятьдесят. Суть его - контроль за информацией, признанной руководством конфиденциальной, такой, какая при разглашении может интересам предприятия навредить.
2. Вырабатывается система признания информации конфиденциальной. Чтобы не изобретать велосипед, лучше, чтобы критерии конфиденциальности утверждались директором по предложению службы собственной безопасности, а «гриф» «накладывался», как директором, так и руководителями подразделений, ответственных за исполнение работ и документов.
3. По предприятию директором должен быть издан официальный приказ, запрещающий разглашать какую-либо служебную, рабочую информацию посторонним лицам. Желательно, чтобы под этим приказом все сотрудники поставили подписи об ознакомлении.
4. В идеале дополнительно при устройстве на работу, каждый сотрудник должен дать подписку о том, что он обязуется не разглашать информацию, полученную в ходе профессиональной деятельности, и знает, что она является конфиденциальной и принадлежит предприятию. Такая «подписка» является мощным фактором психологического сдерживания сотрудников от лишней болтливости. Особенность менталитета - подписался - значит, несу ответственность.
5. Грифы внутреннего ограничения доступа ни в коем случае, дабы потом не возникали неприятные казусы, не должны дублировать официальные государственные, но могут быть им созвучны (еще один психологический трюк) - «для рабочего пользования», «строго конфиденциально», «служебная информация», «для внутреннего пользования», «коммерческая тайна» - на сколько хватит фантазии у сотрудников ССБ.
6. Вся документация, которая содержит информацию, способную при разглашении нанести весомый ущерб предприятию, должна регистрироваться в «режимном» органе и быть строго запрещена к свободному копированию. Запрещено, соответственно, должно быть и ее электронное копирование.
7. Кстати, исходя из вышеуказанного пункта, если ваше предприятие занимается серьезными работами (применяет промышленные ноу-хау, работает со всевозможными базами данных и пр.) и на нем задействовано значительное количество людей (которых невозможно непосредственно контролировать), то вам лучше запретить использование на своей территории личных мобильных телефонов (современная мобилка - универсальная фото, видеокамера, диктофон, флешка), выдавая вместо этого «простенькие» корпоративные, а также занос-вынос любых запоминающих устройств типа флешек, накопителей, МП-3 плееров, и фото-, видео аппаратуры. Программистам можно поручить вообще технически закрыть возможность подключения «несанкционированных» внешних устройств.
8. Ограничьте доступ сотрудников в Интернет. В первую очередь к личным почтовым серверам, социальным сетям. В рабочее время сотрудник должен пользоваться исключительно корпоративными «мейлом», «асей». У этих мер два огромных преимущества. Во-первых, все изложенные выше меры бесполезны, когда конфиденциальную информацию можно просто сбросить через свой ящик на «меил.ру» или профиль на «мамбе». Во-вторых, вы ограничите доступ сотрудников к отвлекающим от работы факторам, прекратите тем самым пустопорожний треп. Разрешите использовать корпоративные средства связи в крайнем случае для личных нужд. Но предупредите, что они, как собственность корпорации, могут контролироваться ССБ. Никто не будет против, если сотрудник отправит жене сообщение с просьбой купит хлеба и раньше забрать ребенка из школы. А вот обсуждение, кто будет «доктором», а кто «медсестрой» - придется отложить на другое время. По крайней мере, если не хотите, чтобы их читали и комментировали сотрудники ССБ.
9. Создайте простую инструкцию с подробным описанием процедур присвоения грифов, регистрации документов, копирования информации. Заставьте работника перед началом работы сдать по ней зачет.
10. Установите, да простят нас защитники прав человека, открытый видеоконтроль за рабочими местами. Если человек на работе занимается своими прямыми обязанностями - скрывать ему нечего. Просмотр порнороликов или, тем более, несанкционированное копирование клиентских баз в эти обязанности не входит.
Либеральный читатель может возмутиться такой постановке вопроса. Но! Рекомендации не содержат ничего противоправного. Здание, территория предприятия - его собственность. И руководство корпорации в праве устанавливать на его территории любые правила, кроме прямо запрещенных Уголовным кодексом (а-ля сексуальная эксплуатация или телесные наказания). Эти правила являются неотъемлемой составляющей функциональных обязанностей (желательно, чтобы они в них были отдельно закреплены), а, соответственно, и самой работы. Не нравится - выход через проходную. Если же какой-то сотрудник начинает бурно протестовать против запрета на использование личной флешки на работе - то это тревожный звоночек для ССБ. Одно из двух - либо ему есть что скрывать, либо он не совсем психически здоров. А любая из этих категорий на производстве - лишняя.
Помните, исполнение таких простых правил может и заставит потратить на них 1 - 2% рабочего времени, зато сэкономит добрые 50% времени, которые обычно тратятся на решение личных вопросов, треп и социальные сети. И главное, с большой долей вероятности предотвратит утечку информации, способную похоронить ваш бизнес.
Поучительная история.
Автор сам как-то стал свидетелем того, как достаточно серьезная фирма разрешала одному из своих менеджеров таскать везде за собой подаренный ему же за успехи в работе ноутбук. В один прекрасный день менеджер скопировал себе на ноутбук базы поставщиков, клиентов, уволился и открыл свою собственную фирму. При этом поставил ставку прибыли в два раза ниже (конечно, ему не нужно было тратиться на поиск клиентов и поставщиков, содержание сборочного производства, сервисной службы - по сути, он был «шабашником», предоставляющим «информационные услуги»). Остановить его удалось только через несколько месяцев, и то благодаря тому, что, уходя, он уворовал кое-что из техники корпорации. Доказывать разглашение коммерческой тайны в суде тяжело. А вот за кражу он свое получил…
А установи служба собственной безопасности на предприятии режим, исключающий пользование «левой» техникой и несанкционированное копирование информации, всех этих неприятностей удалось бы избежать. О том, как конфликт отразился на репутации одного из крупнейших предприятий в своем регионе - думаю, можно и не говорить…
Ради интереса автор тогда помониторил Интернет, навел справки у коллег и узнал, что подобные и даже полностью аналогичные случаи происходят на постсоветском пространстве повсеместно.
Эффективная защита информации в компьютерных системах достигается путем применения соответствующих средств, которые условно можно разделить на несколько групп:
1) разграничения доступа к информации;
2) защиты информации при передаче ее по каналам связи;
3) защиты от утечки информации по различным физическим полям, возникающим при работе технических средств компьютерных систем;
4) защиты от воздействия программ-вирусов;
5) безопасности хранения и транспортировки информации на носителях и ее защиты от копирования.
Основное назначение таких средств – разграничение доступа к локальным и сетевым информационным ресурсам компьютерных систем, которые обеспечивают: идентификацию и аутентификацию пользователей, разграничение доступа зарегистрированных пользователей к информационным ресурсам, регистрацию действий пользователей, защиту загрузки операционной системы с гибких носителей, контроль целостности средств защиты информации и информационных ресурсов. Несмотря на функциональную общность средств защиты информации данной группы, они отличаются друг от друга условиями функционирования, сложностью настройки и управления параметрами, используемыми идентификаторами, перечнем регистрируемых событий и стоимостью. Средства защиты информации делятся на формальные , которые выполняют эту функцию по заранее предусмотренной процедуре без участия человека, и неформальные (ограничивающие деятельность персонала или жестоко регламентирующие ее).
К основным средствам защиты относятся технические и программные ; технические средства принято делить на физические и аппаратные .
Физические средства реализуются за счет автономных устройств и охранных систем (охранная сигнализация, экранирующие оболочки для аппаратуры, внутренняя экранирующая защита отдельных помещений, средства внешнего и внутреннего наблюдения, замки на дверях и т.п.).
Аппаратные средства – это приборы, непосредственно встраиваемые в устройства, которые сопрягаются с аппаратурой, используемой для обработки данных по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу и специальные регистры).
К программным средствам относятся специальные программы, и/или модули, выполняющие функции защиты информации.
Применение лишь одного из названных способов защиты информации не решает проблемы - необходим комплексный подход. Обычно используют два основных метода: преграда и управление доступом.
Преграда – создание физических препятствий (для доступа на территорию организации, напрямую к физическим носителям информации).
Управление доступом – регламентация и регулирование санкционированного обращения к техническим, программным, информационным ресурсам системы.
В свою очередь санкционированное управление доступом обеспечивается за счет определенных функций защиты :
Идентификации пользователей – начальное присвоение каждому пользователю персонального имени, кода, пароля, аналоги которых хранятся в системе защиты;
Аутентификации (проверка полномочий) – процесс сравнения предъявляемых идентификаторов с хранящимися в системе;
Создание условий для работы в пределах установленного регламента, то есть разработка и реализация комплексных мероприятий, при которых несанкционированный доступ сводится к минимуму;
Регистрация обращений к защищаемым ресурсам;
Адекватное реагирование на совершение несанкционированных действий.
Антивирусные программы - самое распространенное средство защиты - от отдельных компьютеров домашних пользователей до огромных корпоративных сетей (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).
Средства прозрачного шифрования обеспечивают защиту данных от непреднамеренного разглашения и не позволяют шпионам проникать в данные других пользователей. При этом ключи шифрования хранятся в учетных записях, поэтому для легальных владельцев информации ее дешифрация происходит незаметно. Таких решений на рынке несколько; в частности их предлагает компания Microsoft. Решение Microsoft используется в операционной системе в виде криптографической файловой системы EFS. Однако если сотрудник, который имеет права доступа к зашифрованным данным, случайно отправит их по электронной почте или перенесет на незашифрованный носитель, то защита будет нарушена. Чтобы исключить риск таких случайных утечек, компания может контролировать передачу данных по протоколам электронной почты и Web (для защиты пересылки по Web-почте). Но от скрытой пересылки данных, которую могут придумать шпионы, подобные системы, скорее всего, не смогут обеспечить безопасность. В частности, ни одна защита не может вскрыть правильно зашифрованный файл, а, значит, не может проверить его содержание. Впрочем, для отечественных компаний наиболее интересными являются услуги по разработке комплексной системы защиты, которая подразумевает в том числе и создание механизмов для предотвращения внутренних угроз.
Контроль содержимого. Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого - это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета. Одна из приоритетных задач производителей подобных средств, - сделать так, чтобы работа системы контроля содержимого не ощущалась пользователем.
Межсетевые экраны были и являются базовым средством, обеспечивающим защиту подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защиту потоков данных, передаваемых по открытым сетям. Первое (и самое главное), что необходимо сделать для обеспечения сетевой безопасности, это установить и правильно сконфигурировать межсетевой экран (другое название – брандмауэр или firewall). Брандмауэр - в информатике - программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Брандмауэр защищает соединяемую с Интернет корпоративную сеть от проникновения извне и исключает возможность доступа к конфиденциальной информации. Правильное конфигурирование и сопровождение брандмауэра - обязанность опытного системного администратора.
Для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей лучше использовать Интернет-шлюзы или Интернет-маршрутизаторы.
Межсетевые экраны также осуществляют антивирусное сканирование загружаемого содержимого WEB или E-mail. Антивирусные базы данных обновляются через Интернет, чтобы обеспечить защиту сети по мере появления новых вирусов. Вся статистика о потоке данных, сигнализация об атаках из Интернета и сведения об активности пользователей по web-навигации сохраняются в реальном времени и могут быть предоставлены в виде отчета.
Разработка системы защиты конфиденциальной информации
Под разглашением КИ понимаются умышленные или неосторожные действия допущенных к КИ лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая работников АО, которым эта информация не была доведена в официально установленном порядке; утечка КИ - это несанкционированное распространение информации за пределы установленного физического пространства.
Комплексная защита КИ имеет целью решение двух задач: защиту права организации на КИ, в том числе относящуюся к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты КИ, образующих систему защиты конфиденциальной информации (СЗКИ)).
СЗКИ дает возможность укрепления экономической безопасности организации, что способствует созданию условий для долгосрочного устойчивого функционирования организации.
Что же такое конфиденциальная информация???
К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом -
. коммерческая,
. служебная,
. личная.
«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации».
Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.
К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91г. № 35
Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.
В Федеральном законе от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информации о гражданах - персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Создание системы защиты КИ
Для того чтобы легально заниматься защитой конфиденциальной информации нужно получить лицензию на право осуществления деятельности по технической защите конфиденциальной информации (В соответствии с ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Утвержденным Постановлением Правительства Российской Федерации от 30 апреля 2002 г. N 290). :
Для этого нужно выполнить следующие требования:
а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации.
б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации; (пп. "б" в ред. Постановления Правительства РФ от 23.09.2002 N 689)
в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
а) заявление о выдаче лицензии с указанием:
лицензируемой деятельности;
наименования, организационно-правовой формы и места нахождения - для юридического лица;
фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя;
б) копии учредительных документов и документа, подтверждающего внесение записи о юридическом лице в Единый государственный реестр юридических лиц; (в ред. Постановления Правительства РФ от 06.02.2003 N 64)
в) копия свидетельства о государственной регистрации соискателя лицензии - индивидуального предпринимателя;
г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии;
е) сведения о квалификации специалистов по защите информации соискателя лицензии.
Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.
Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.
Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления.
Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.
Как Известно, право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определённых сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовые нормы обеспечения безопасности и защиты информации на любом предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе:
. предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
. предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
. создавать организационные структуры по защите конфиденциальной информации;
. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
. включать требования по защите информации в 5; договоры по всем видам хозяйственной деятельности;
. требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
. распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения
выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств с, производства;
. разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре.
. обеспечивать свою экономическую безопасность, определять состав, объем и порядок защиты конфиденциальной информации;
. требовать от сотрудников обеспечения экономической безопасности и защиты конфиденциальной информации;
. осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.
. обеспечить экономическую безопасность и сохранность конфиденциальной информации;
. осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.
. создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
. включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
. требовать защиты интересов фирмы перед государственными и судебными органами;
. распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.
Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора»
. Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.
. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.
. Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.
Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями:
Раздел «Порядок приема и увольнения рабочих и служащих»
При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:
. проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
. оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:
. принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
. осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.
Раздел «Основные обязанности рабочих и служащих»
Рабочие и служащие обязаны:
. знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
. дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
. бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.
Раздел «Основные обязанности администрации»
Администрация и руководители подразделений обязаны:
. обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
. последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
. включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
. неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.
В договоре о проведении совместных работ должены содержаться следующие требования:
Раздел «Условия конфиденциальности»
Стороны обязуются не передавать лицензии лицам и не раскрывать публично сведения о проводимых совместно работах без взаимного согласования. За нарушение данного условия стороны несут финансовую ответственность по возмещению убытков, упущенной выгоды и морального ущерба.
Лица, нарушившие условия конфиденциальности, могут быть привлечены к ответственности в соответствии с действующим законодательством.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18).
Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.
Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов.
Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права.
Конфиденциальность — это форма обращения со сведениями, составляющими конфиденциальную информацию, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.
Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.
Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия.
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.
Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
. организацию охраны, режима, работу с кадрами,
с документами;
. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
. организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
. организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;
. организацию использования технических средств
сбора, обработки, накопления и хранения конфиденциальной информации;
. организацию работы по анализу внутренних и
внешних угроз конфиденциальной информации и
выработке мер по обеспечению ее защиты;
. организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
. организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, и выполнение, возврат, хранение и уничтожение;
Исходя из ситуации и в целях совершенствования системы защиты информации я предлагаю объединить все службы занимающиеся защитой информации в одну службу и назвать её службой безопасности, функции которой будут следующими:
. организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, арендаторами, партнерами и посетителями;
. руководит работами по технической защите, а так же по правовому и организационному регулированию отношений по защите государственной тайны и конфиденциальной информации;
. разрабатывает основополагающие документы с целью закрепления в них требований обеспечения безопасности и защиты государственной тайны и конфиденциальной информации, в частности устава, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
. разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся государственной тайны и конфиденциальной информации, при всех видах работ организует и контролирует выполнение требований инструкции по защите государственной тайны и конфиденциальной информации;
. изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки государственной тайны и конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций в отношении деятельности организации и е клиентов, партнеров, смежников;
. организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности организации;
. разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих конфиденциальную информацию и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
. обеспечивает строгое выполнение требований нормативных документов по защите конфиденциальной информации;
. осуществляет руководство службами и подразделениями безопасности предприятий организации в части оговоренных в договорах условий по защите государственной тайны и конфиденциальной информации;
. организует и регулярно проводит учебу сотрудников фирмы и службы безопасности по всем направлениям защиты государственной тайны и конфиденциальной информации, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;
. ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение государственной тайны и конфиденциальной информации;
. ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации.
Возглавляет службу безопасности начальник службы в должности заместителя генерального директора по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
. отдела охраны;
. Отдел по защите конфиденциальной информации:
. Сектор обработки документов с грифом "конфиденциальная информация";
. лаборатории контроля защищенности от НСД к информации автоматизированных систем и средств вычислительной техники.
. Лаборатория комплексного контроля эффективности противодействия иностранным техническим разведкам и технической защиты информации;
. группа анализа возможности образования технических каналов утечки информации;
Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:
. Перечень сведений, составляющих конфиденциальную информацию организации;
. Договорное обязательство о неразглашении КИ
. Инструкция по защите конфиденциальной информации
Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).
В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.
Под сведениями (и их носителями) понимаются:
. Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);
. Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;
. Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.
. Конституцией РФ, принятой 12 декабря 1993 года
. Законом РФ “ О государственной тайне ” № 5485-1 от 21.07.93
. Федеральным законом РФ “ Об информации, информатизации и защите информации” № 24-ФЗ от 20.02.95
. Указом Президента РФ “об утверждении Перечня сведений, отнесённых к государственной тайне” № 1203 от 30.11.95
. Указом Президента РФ “об утверждении Перечня сведений, конфиденциального характера” № 188 от 06.03.97
. Постановлением Правительства РФ “ о Перечне сведений, которые не могут составлять коммерческую тайну” № 35 от 05.12.91
. Сведения, являющиеся общедоступными на законных основаниях, в том числе в соответствии с Постановлением Правительства РФ № 35 от 05.12.91.:
. Учредительные документы (решение о создании предприятия или договор учредителей) и устав;
. Документы, дающие право заниматься предпринимательской деятельности (регистрационные удостоверения, лицензии, патенты);
. Сведения по установленным формам отчётности о финансово- хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;
. Документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а так же о наличии свободных рабочих мест;
. Документы об уплате налогов и обязательных платежах;
. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а так же других нарушениях законодательств РФ и размерах причиненного при этом ущерба;
. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах и других организациях, занимающихся предпринимательской деятельностью.
. Анализом преимуществ и недостатков для работы открытым и закрытым (внутренним) применением таких сведений.
. Анализом характера возможного ущерба в случае несанкционированного распространения сведений конфиденциального;
1.ОБЩИЕ ПОЛОЖЕНИЯ.
2. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
3.ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
4.СИСТЕМА ДОСТУПА СОТРУДНИКОВ К СВЕДЕНИЯМ СОСТАВЛЯЮЩИМ КИ.
4.1.КРУГ ЛИЦ, ИМЕЮЩИХ ПРАВО ДАВАТЬ РАЗРЕШЕНИЕ НА ДОСТУП К КОНФИДЕНЦИАЛЬНЫМ ДОКУМЕНТАМ
4.2.ПОРЯДОК ОФОРМЛЕНИЯ РАЗРЕШЕНИЯ НА ДОСТУП К КОНФИДЕНЦИАЛЬНЫМ ДОКУМЕНТАМ
4.3. ПОРЯДОК ДОСТУПА НА СОВЕЩАНИЯ ПО ВОПРОСАМ, СОДЕРЖАЩИМ КОНФИДЕНЦИАЛЬНЫЕ СВЕДЕНИЯ
5.ПОДГОТОВКА И ИЗДАНИЕ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
6.УЧЕТ, ПРОХОЖДЕНИЕ И ОТПРАВЛЕНИЕ ИЗДАННЫХ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
7.ПРИЕМ, УЧЕТ И ПРОХОЖДЕНИЕ ПОСТУПИВШИХ ДОКУМЕНТОВ
8.УЧЕТ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ ВЫДЕЛЕННОГО ХРАНЕНИЯ
9.УЧЕТ ЖУРНАЛОВ И КАРТОТЕК
10.ОРГАНИЗАЦИЯ ХРАНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
11.ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ КОНТРОЛЯ ИСПОЛНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
12.РАЗМНОЖЕНИЕ ДОКУМЕНТОВ
13.УНИЧТОЖЕНИЕ ДОКУМЕНТОВ
14.СОСТАВЛЕНИЕ И ОФОРМЛДЕНИЕ НОМЕНКЛАТУРЫ ДЕЛ С ГРИФОМ «КОНФИДЕНЦИАЛЬНО»
15.ФОРМИРОВАНИЕ И ОФОРМЛЕНИЕ ДЕЛ
16.ПРОВЕРКА НАЛИЧИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ.
17.ПОДГОТОВКА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ НА АРХИВНОЕ ХРАНЕНИЕ
18.ПОРЯДОК ПЕРЕДАЧИ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ В АРХИВ
19.ПРИЛОЖЕНИЯ
Защита КИ является одним из важнейших факторов создания предпосылок для стабильного существования и прогрессивного развития организации.
Основными условиями обеспечения информационной безопасности организации в контексте намеченного подхода к решению задач защиты КИ являются:
. построение моделей злоумышленников и конкурентов на основе поиска и аутентификации информации о их намерениях и устремлениях;
. определение перечня сведений, составляющих объект защиты интересов концерна в конкретных областях его деятельности;
. формирование предпочтительной для концерна структуры системы защиты КИ на основе синтеза, структурной оптимизации и технико-экономической оценки альтернативных вариантов СКЗКИ;
. управление процессом реализации избранного замысла защиты КИ и координация работ по организации защиты КИ между всеми заинтересованными структурными подразделениями организации;
. совмещение организационно-административных мер защиты КИ с активными вовлечением в указанный процесс всего персонала организации;
. введение персональной ответственности (в том числе и материальной) должностных лиц всех уровней, а также других работников концерна, допущенных к КИ, за обеспечение установленного в АО режима конфиденциальности.
