Информационная безопасность
..pdf2. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
Состав документируемой конфиденциальной информации зависит от компетенций и функций фирмы (предприятия), характера ее деятельности, взаимосвязей с другими фирмами, порядка разрешения вопросов. В свою очередь, этот состав влияет на качество соответствующей области деятельности, организацию и надежность обработки и защиты документов (прил. Д).
2.1. Коммерческая тайна
Появление предприятий с различными формами собственности привело к тому, что их коммерческие интересы стали требовать сохранения определенной информации в тайне от конкурентов с тем, чтобы в максимальной мере создать себе благоприятные условия хозяйствования.
В настоящее время понятие коммерческой тайны закреплено в ст. 139 Гражданского кодекса РФ. Коммерческая тайна рассматривается как информация о процессах производства, управления, маркетинговой политике и тому подобных, ценность которых состоит как раз в ее неизвестности третьим лицам, и в силу этого право на такую информацию официально не регистрируется в компетентных органах. В ст. 139 Гражданского кодекса РФ признаки сведений, составляющих коммерческую тайну, определены следующим образом:
–такие сведения представляют действительную либо потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
–к ней нет свободного доступа на законном основании;
–обладатель информации принимает меры к охране ее конфиденциальности.
Поскольку основой коммерческой тайны является монополия ее правообладателя, в первую очередь на нем лежит обязан-
11
elib.pstu.ru
ность обеспечить к ней ограниченный доступ, принять меры для предотвращения ее распространения. При этом руководитель предприятия вправе самостоятельно разработать перечень сведений, составляющих коммерческую тайну, либо критерии отнесения к ней вновь поступающей информации.
Обычно законодательство указывает на сведения, которые не могут являться коммерческой тайной. К ним относятся:
–учредительные документы и устав;
–документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
–сведения по установленным формам отчетности о финан- сово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему;
–документы о платежеспособности и пр.
Однако то, что законодательством указанные выше сведения запрещено относить к коммерческой тайне, не может рассматриваться как обязанность организации предоставлять их любому заинтересованному лицу. С другой стороны, неправильно рассматривать в качестве коммерческой тайны любую информацию, в распространении которой ее обладатель не заинтересован.
Перечни создаваемых конфиденциальных документов разрабатываются только на основе и в рамках перечней сведений, составляющих коммерческую и служебную тайну. Таким образом, определение состава конфиденциальных документов должно начинаться с разработки перечней сведений, составляющих соответствующий вид тайны.
Правовым основанием для установления состава сведений, относимых к коммерческой и служебной тайне, являются определения понятий этих видов тайны, так как в понятиях отражаются области деятельности, в которых могут быть конфиденци-
12
elib.pstu.ru
альные сведения. Определения понятий видов тайны формулируются в законах о соответствующих видах тайны.
Федеральный закон «О коммерческой тайне»3 дает следующее определение коммерческой тайны:
«научно-техническая, технологическая, коммерческая, организационная или иная используемая в экономической деятельности информация, в том числе ноу-хау, которая обладает действительной или потенциальной коммерческой ценностью в силу ее неизвестности третьим лицам, которые могли бы получить выгоду от ее разглашения или использования, к которой нет свободного доступа на законном основании и по отношению к которой принимаются адекватные ее ценности правовые, организационные, технические и иные меры охраны».
Право отнесения информации к коммерческой тайне, как и право установления режима защиты коммерческой тайны в целом, Закон предоставляет обладателю коммерческой тайны и, если это следует из обязательств, содержащихся в договоре, конфиденту коммерческой тайны.
Обладатель коммерческой тайны определяется как «физи-
ческое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме».
Конфидент коммерческой тайны определяется как «физи-
ческое или юридическое лицо, которому в силу служебного положения, договора или на ином законном основании известна коммерческая тайна другого лица».
2.2. Составляющие коммерческой тайны
Прежде чем приступить к определению информации, относящейся к категории коммерческой тайны, предприниматель должен учесть, что вся имеющаяся информация по степени
3 В ред. Федеральных законов от 02.02.2006 № 19-ФЗ, от
18.12.2006 №231-ФЗ, от24.07.2007 №214-ФЗ, от11.07.2011 №200-ФЗ.
13
elib.pstu.ru
конфиденциальности, утрата которой может вызвать различные по тяжести последствия, может быть распределена по группам:
–высшая степень конфиденциальности. Данная информа-
ция является ключевой в деятельности фирмы, основой ее нормального функционирования. Утрата или разглашение этой информации нанесет непоправимый ущерб деятельности фирмы. Это угроза высокой степени тяжести, последствия реализации которой могут ликвидировать саму фирму;
–строго конфиденциальная информация. Утечка этой ин-
формации может вызвать значительные по тяжести последствия. Это информация о стратегических планах фирмы, перспективных соглашениях и т.п.;
–конфиденциальная информация. Ее разглашение наносит фирме ущерб, сопоставимый с текущими затратами фирмы, ущерб может быть преодолен в сравнительно короткие сроки;
–информация ограниченного доступа. Ее утечка оказывает незначительное негативное воздействие на экономическое положениефирмы(должностныеинструкции, структурауправления).
–открытая информация. Ее распространение не представляет угроз экономической безопасности фирмы. Наоборот, отсутствие данной информации может оказать негативное воздействие на экономическое положение фирмы.
2.3. Защита коммерческой тайны
Отсутствие мер защиты лишает предприятие возможности предъявлять претензии к лицам, получившим секретную информацию. Сущность мер защиты состоит в ограничении свободного доступа к конфиденциальной информации и в разработке правил правомерного ее использования для нужд органи- зации-правообладателя. Первое осуществляется путем разработки внутренних нормативных актов в форме приказа, положения, иного подобного документа, где содержится перечень сведений, подлежащих хранению в режиме коммерческой тайны. В том случае, если поступление такой информации ожида-
14
elib.pstu.ru
ется и в будущем, возможно, необходимо разработать критерии отнесения новой информации к коммерческой тайне.
Письменное закрепление видов конфиденциальной информации в качестве коммерческой тайны необходимо для того, чтобы в случае возникновения спора с третьими лицами по поводу ее неправомерного получения были доказательства того, что похищенные сведения действительно являлись тайной предприятия.
Обычно в перечень секретной информации входят сведения о структуре организации, руководителях подразделений, распоряжающихся финансовыми потоками предприятия, о круге клиентов(в томчисле потенциальных), заключенных контрактахит.п.
Государство не может обеспечить защиту всех видов тайн (кроме государственной). Государство лишь устанавливает права и ответственность граждан и чиновников, вырабатывает стандарты, обеспечивает кадрами для защиты различных видов тайн, а также помогает становлению негосударственного компонента системы защиты тайн в государстве и обществе.
Основные элементы механизма защиты коммерческой тайны предприятия:
–наличие перечня сведений, относимых к коммерческой
тайне;
–система учета и охраны территории, новых материалов и продукции;
–контроль посетителей;
–порядок конфиденциального делопроизводства;
–система контроля средств копирования, размножения и уничтожения документов;
–защита в средствах связи и вычислительной технике;
–система мотивации и обучения персонала;
–наличие специализированных служб по безопасности и защите.
Законом фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство.
15
elib.pstu.ru
Право на коммерческую тайну означает ограничение государственного вмешательства в экономическую жизнь предприятий, частную жизнь людей, т.е. олицетворяет заботу о правах человека, правах личности.
Перечень сведений, составляющих коммерческую тайну, приведен в прил. А.
2.4. Разработка перечня конфиденциальной информации
Обязательность письменного удостоверения информации закрепляется перечнями конфиденциальных документов, издаваемых фирмой (предприятием). Целями разработки таких перечней должно являться не только определение состава издаваемых документов, необходимых и достаточных для деятельности фирмы (предприятия), обеспечение достоверности и юридической силы конфиденциальной информации, но и установление конкретных лиц, имеющих право составлять и подписывать (утверждать) документы, предотвращение необоснованной рассылки документов.
Порядок разработки перечня:
1. Создание специальной комиссии.
В комиссию включаются квалифицированные специалисты по всем направлениям деятельности фирмы, предприятия или организации, имеющие доступ к информации соответствующего вида тайны. Кроме того, в состав комиссии должны входить руководитель службы защиты информации (службы безопасности) и лицо, ответственное за конфиденциальное делопроизводство.
Комиссия назначается приказом руководителя предприятия. В этом же приказе устанавливаются общий механизм и сроки разработки перечня. Разработка перечня может быть возложена и на экспертную комиссию предприятия, осуществляющую экспертизу ценности документов, если ее состав отвечает требованиям, предъявляемым к комиссии по составлению перечня.
16
elib.pstu.ru
2. Определение всего состава информации фирмы. Осуществляется на основе анализа всех направлений дея-
тельности фирмы (предприятия, организации). При этом выявляется вся информация, отображенная на любом носителе, любым способом и в любом виде, а также с учетом перспектив развития фирмы (предприятия, организации). Эта информация классифицируется по тематическому признаку.
3. Отбор конфиденциальной информации.
На этом этапе определяется, какая из установленной информации должна быть конфиденциальной и отнесена к коммерческой или служебной тайне. Базовым критерием при этом является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет две составляющие: неизвестность информации третьим лицам и получение преимуществ в силу этой неизвестности.
В сфере коммерческой деятельности ценность информации обусловлена прежде всего рыночной потребностью в информации как источнике получения прибыли, поэтому отнесение информации к коммерческой тайне позволяет получить прибыль и предотвратить убытки. Конфиденциальность такой информации создает для ее собственника преимущества в конкурентной борьбе и выступает как средство защиты от недобросовестной конкуренции.
4. Определение сроков конфиденциальности.
После установления состава конфиденциальной информации определяются сроки ее конфиденциальности либо указываются обстоятельства и события, при наступлении которых конфиденциальность снимается. Сроки конфиденциальности должны соответствовать срокам действия условий, необходимых и достаточных для признания данной информации конфиденциальной в соответствии с законодательством.
Результаты работы оформляются в виде перечня сведений, составляющих коммерческую тайну, и перечня сведений, со-
17
elib.pstu.ru
ставляющих служебную тайну. При значительном объеме конфиденциальных сведений они классифицируются в перечнях по разделам, соответствующим сферам деятельности фирмы (предприятия, организации).
5. Утверждение перечня.
Перечень подписывается всеми членами комиссии, утверждается и вводится в действие приказами руководителя предприятия. В приказах должны быть определены мероприятия по обеспечению функционирования перечней и контролю их выполнения. С приказами и перечнями необходимо ознакомить под расписку всех сотрудников организации, работающих с соответствующей конфиденциальной информацией.
6. Внесение изменений в перечень.
Дополнение и изменение состава включенных в перечни сведений может происходить с разрешения руководителя при наличии подписей руководителя подразделения по принадлежности сведений и руководителя службы защиты информации (службы безопасности). При существенном изменении состава сведений перечни должны составляться заново. Об изменениях в составе коммерческой и служебной тайны обладатель (собственник) информации обязан в письменной форме известить конфидентов (владельцев) данной информации.
В процессе определения необходимых конфиденциальных документов следует рассмотреть возможность их сокращения за счет разработки интегральных документов, в которые можно включить показатели нескольких документов, в том числе путем замены разовых первичных документов накопительными документами. Однако объединение документов должно осуществляться с таким расчетом, чтобы в итоге не происходило необоснованного ознакомления со всем документом лиц, имеющих доступ только к части содержания (показателей) документа.
Установление видов конфиденциальных документов должно осуществляться с учетом оптимального объема содержащейся в них информации, исключающего избыточную, в том числе
18
elib.pstu.ru
дублирующую информацию, поскольку избыточная информация – это конфиденциальные данные, утечка которых может нанести ущерб.
После установления состава документов определяется круг лиц, имеющих право составлять и подписывать (утверждать) каждый вид документа, а также организаций, которым данный документ должен направляться.
Перечень конфиденциальных документов по каждому виду тайны может иметь следующую форму (табл. 1):
Т а б л и ц а 1
|
|
|
|
ФИО, имеющих |
|
Куда |
|
№ |
Наименование |
Гриф |
Срок |
право |
Кол-во |
на- |
|
кон- |
кон- |
состав- |
|
экзем- |
прав- |
||
|
документа |
фид.-ти |
фид.-ти |
лять |
подпи- |
пляров |
ляют- |
|
|
|
|
док-ты |
сывать |
|
ся |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
Сроки конфиденциальности документов должны соответствовать срокам конфиденциальности включаемых в документы сведений, определенным перечнями сведений, составляющих коммерческую и служебную тайну.
Если при направлении документов другим предприятиям каждый адресат не должен знать, кому еще направлен данный документ, в графе 8 по соответствующему виду документа делается пометка «раздельное адресование».
Вопросы для самопроверки
1.Что такое информационная безопасность?
2.Перечислите виды информации с ограниченным досту-
пом.
3.Что относится к информации, интеллектуально ценной для организации?
4.Что такое коммерческая тайна?
19
elib.pstu.ru
5.Перечислите сведения, составляющие коммерческую
тайну.
6.Перечислите признаки сведений, составляющих коммерческую тайну.
7. Каковы основные положения Федерального закона «О коммерческой тайне»?
8. Каков порядок разработки перечня конфиденциальной информации в организации?
20
elib.pstu.ru