Конфиденциальная информация – это документы (приватная информация) в электронном или бумажном виде, содержание которой доступно только определенной группе людей, а ее передача третьим лицам является грубым нарушением законодательства Российской Федерации.
Конфиденциальная информация – это коммерческая, военная, банковская, служебная или государственная тайна. Как правило, конфиденциальная информация может представлять собой особую категорию и относиться к коммерческой тайне.
Сегодня можно выделить несколько основных категорий конфиденциальной информации, каждая из которых относится к своей категории:
1. Научно-техническая. Здесь идет речь о новых идеях, открытия, патентах, оригинальных ноу-хау, современных методиках организации в производственной сфере, рационализаторских предложениях по внедрению неизвестных ранее и более совершенных технологий, появлению новых типов продукции, уникальных методах анализа конкурентоспособности, кодах и паролях, открывающих доступ к конфиденциальной информации, а также уникальное программное обеспечение.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
2. Производственная. К данной категории можно отнести новые технологии в производственной сфере, секретную конструкторскую информацию, схемы и чертежи, данные о материалах, планируемое время выхода товара на рынок, планы выпуска новой продукции, рецептура изготовления товаров, планы дальнейших вложений в новое производство и так далее.
3. Финансовая. К конфиденциальной информации финансового характера относится реальный размер прибыли компании, себестоимость производства (или продукции), банковские или торговые сделки, механизм формирования ценовой политики, уровень платежеспособности и так далее.
4. Деловая. Здесь речь идет о следующих данных – условиях заключения договоров с другими участниками рынка, внутренней организационной системы, планирования рекламной компании на ближайшее время, информации о конкурирующих компаниях и поставщиках, данные о работниках компании и переговорном процессе с деловыми партнерами, информации о коммерческой переписке и так далее.
Защита конфиденциальной информации
Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.
Система защиты информации — рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.
Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.
Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.
Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации.
Этот элемент включает:
• наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
• формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме.
• формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по Организации и технологии защиты информации;
• составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
• разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;
• методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;
• направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;
• технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); вне машинной технологии защиты электронных документов;
• порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;
• ведения всех видов аналитической работы;
• порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
• оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;
• пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;
• системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;
• действий персонала в экстремальных ситуациях;
• организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;
• организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
• работы по управлению системой защиты информации;
• критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты информации составляют 50—60% в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой даже самой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы конфиденциальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты — «элемент организационно-правовой защиты информации».
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.
Элемент включает в себя:
• сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
• средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;
• средства защиты помещений от визуальных способов технической разведки;
• средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
• средства противопожарной охраны;
• средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);
• технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.
Элемент включает в себя:
• автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
• программы защиты информации, работающие в комплексе с программами обработки информации;
• программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.);
Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии.
Элемент включает:
• регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
• определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
• регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;
• регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
• регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.
Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.
В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.
В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т.е. они должны быть «прозрачными».
Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.
Следовательно, безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является, прежде всего, организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.
Неразглашение конфиденциальной информации
В современных условиях развития рыночной экономики и усиления конкурентной борьбы, все большего проникновения гласных и негласных средств и систем сбора, обработки и накопления информации в сферу частной жизни, хозяйствования и в публично-властный сектор особую актуальность приобретают договоры о неразглашении информации. Такие договоры являются относительно новым явлением в правовой системе России и еще не получили надлежащей проработки. Однако договоры о неразглашении информации давно известны и широко применяются в мировой правовой практике. Другим названием договора о неразглашении информации является договор о конфиденциальности - оба названия на равных будут применяться в этой статье.
По договору о конфиденциальности одна сторона (конфиденциал) обязуется обеспечить и выполнять режим ограниченного доступа к информации, полученной от другой стороны (конфидента) или доступ к которой предоставлен такой второй стороной.
Согласно Федеральному закону "Об информации, информатизации и защите информации" режим доступа к информации - это предусмотренный правовыми нормами порядок получения, использования, распространения и хранения информации.
Существуют различные подвиды договора о конфиденциальности, которые выделяются в основном по виду информации, что является объектом договора (коммерческая, банковская, профессиональная тайна и т. п.). Однако во всем разнообразии договоров о конфиденциальности их характеризует главный признак - эти договоры являются юридической формой договоренности сторон об обеспечении режима ограниченного доступа к конфиденциальной информации.
Договоры о конфиденциальности имеют гражданско-правовую природу, поскольку их объектом является информация, которая в соответствии с ГК РФ является объектом именно гражданских прав, хотя такие договоры могут заключаться и в таких сферах, где превалирующим является регулирование другой отрасли права, например в сфере трудовых отношений, но в данном случае содержание прав и обязанностей сводится к таким действиям, которые не являются органически связанными с трудовой функцией работника.
Имея гражданско-правовую природу, договор о конфиденциальности, однако, не имеет своего отдельного специального законодательного регулирования. Законным основанием его заключения являются общие положения ГК РФ: стороны имеют право заключить договор, который не предусмотрен актами гражданского законодательства, но соответствует общим принципам гражданского законодательства.
Договор о конфиденциальности имеет ряд оригинальных свойств, которые являются достаточными для выделения его в отдельный договорной институт: предмет, объект и содержание договора о конфиденциальности. Существование этих особенностей не позволяет "подвести" договор о конфиденциальности под уже известные законодательству договорные конструкции. В связи с этим можно утверждать, что такой договор является отдельным договорным институтом, который хотя и не предусмотрен актами гражданского законодательства, однако является правомерным и соответствует общим принципам гражданского законодательства.
Чаще всего договоры о конфиденциальности заключаются в сопровождение другим договорным отношениям сторон. Вместе с тем такой договор могут заключить и лица, не состоящие между собой в любых других договорных отношениях, но между которыми по тем или иным причинам возникла необходимость в соблюдении режима ограниченного доступа к определенной информации. Сочетание элементов одного договора с элементами договора о конфиденциальности предопределяет возникновение смешанного договора.
Одновременное заключение сторонами того или иного договора с договором о конфиденциальности и даже изложение их в одном документе не лишают договора о конфиденциальности самостоятельного значения. От этого он никогда не приобретает акцессорного характера. Автономность этого договора можно сравнить с автономностью арбитражного соглашения в международном частном праве.
Договор о конфиденциальности может быть отдельным регулятором отношений контрагентов по соблюдению режима ограниченного доступа к конфиденциальной информации в договорах, для которых законодательством предусмотрено обязательство одного контрагента сообщать сведения другому, например: в договорах простого товарищества - каждый участник имеет право знакомиться со всеми документами по ведению общих дел участников, и отказ от этого права или его ограничение, в том числе и по согласованию участников, является ничтожным, и т.д.
В отдельных видах договорных отношений закон прямо устанавливает обязанность неразглашения полученной от контрагента или полученной в связи с выполнением договора информации. Так, например, по договору подряда на проведение проектных и изыскательских работ заказчик обязан, если иное не установлено самим договором, использовать проектно-сметную документацию, полученную от подрядчика, только для целей, установленных договором, не передавать проектно-сметную документацию другим лицам и не разглашать данные, содержащиеся в ней, без согласия подрядчика. На подрядчике лежит встречное обязательство по соблюдению конфиденциальности - не передавать без согласия заказчика проектно-сметную документацию другим лицам.
Договор о конфиденциальности является консенсуальным и чаще всего бесплатным, однако такой договор может быть платным.
По общему правилу договор о конфиденциальности является односторонним, в котором на стороне конфидента есть лишь право требовать обеспечения режима ограниченного доступа к определенной информации, а на стороне конфиденциала - обязательство такой режим обеспечить и выполнять.
Конфидент может совпадать в одном лице с франчайзером информации. Однако возможны ситуации, когда конфидент вступает в договор конфиденциальности как управомоченная сторона от имени и/или в интересах собственника информации.
Для договорных отношений этого вида характерно проявление особого доверия одной стороны другой. Это превращает обязательства в обязательства, в которых личность должника и лицо кредитора имеют важное значение для каждой из сторон со всеми правовыми последствиями. В частности, невозможным является возложение конфиденциалом выполнения договора о конфиденциальности на третье лицо.
К существенным условиям договора о конфиденциальности относятся:
а) определение (индивидуализация) объекта договора, то есть собственно информации;
б) определение прав и обязанностей сторон по конкретным условиям режима ограниченного доступа к информации;
в) определение срока, в течение которого конфиденциал обязан обеспечивать и выполнять режим конфиденциальности информации.
Договор о конфиденциальности не может заключаться также в отношении секретной информации (государственной тайны), поскольку правовой режим последней определяется законодательством императивным методом и частноправовому регулированию договорами отдельных лиц не подлежит.
Важно отметить, что предоставление информации или предоставление доступа к информации, которая является объектом договора о конфиденциальности, не входит в его содержание и не составляет обязательства конфидента именно по этому договору. Договор о конфиденциальности регулирует только обеспечение режима ограниченного доступа к информации.
Срок договора конфиденциальности стороны определяют по своему усмотрению, но он не может быть длиннее, чем общий срок, на который правообладателем информации установлен режим ограниченного доступа к информации.
Потеря информацией признаков конфиденциальности (например, вследствие ее разглашения или преобразования на общеизвестную) прекращает обязательство конфиденциала в связи с невозможностью их исполнения.
Специальных способов защиты гражданских прав вследствие нарушения договора о конфиденциальности законодательство РФ не предусматривает. Вместе с тем необходимо отметить, что наибольшую проблему в процессе защиты нарушенных прав стороны в договоре о конфиденциальности составляет сложность обеспечения надлежащей доказательной базы.
Следовательно, можно прийти к выводу, что в России существуют достаточные нормативно-правовые предпосылки для активного использования на практике договоров о неразглашении информации. Гибкая модель, функциональность и универсальность договоров о конфиденциальности позволяют широко применять их в самых разнообразных сферах общественной жизни.
Разглашение конфиденциальной информации
Информация, содержащая определенного рода сведения, согласно закону, находится под особой охраной. Рядом законодательных актов предусмотрена ответственность за разглашение персональных данных, а также сведений, составляющих банковскую, коммерческую и другие тайны, охраняемые законом.
Содержание информации, охраняемой законом
Виды конфиденциальных сведений, за нарушение тайны которых может наступить ответственность, предусмотрены соответствующим указом Президента России.
К таким сведениям можно отнести:
• тайна следствия и судопроизводства;
• персональные данные, а также частная жизнь гражданина, включая его переписку, телефонные переговоры и т.д.;
• сведения о коммерческой деятельности организации или предпринимателя, доступ к которым ограничен в силу закона или внутренних актов предприятия;
• служебная информация, не подлежащая разглашению, любые сведения, составляющие служебную тайну;
• информация, полученная в ходе исполнения профессиональных обязанностей, в том числе врачебная, адвокатская тайна и т.д.
Таким образом, ответственность может наступить не только за разглашение личной информации, охране подлежат и другие сведения, передача которых посторонним лицам недопустима.
Виды ответственности
За разглашение неподлежащей обнародованию информации, в зависимости от характера распространенных сведений, может быть предусмотрена дисциплинарная, административная и уголовная ответственность. Параллельно может быть рассмотрен вопрос и о привлечении к гражданско-правовой ответственности путем взыскания ущерба, в том числе и морального вреда.
Дисциплинарная ответственность представляет собой наказание, назначенное работнику руководством предприятия или учреждения после проведенных служебных проверок и расследований, в результате которых признана вина сотрудника в утечке сведений. Ответственность за разглашение конфиденциальной информации в данном случае может быть выражена в виде выговора, замечания, предупреждения о неполном служебном соответствии или увольнения. Ответственность такого вида применяется в рамках трудовых отношений, решение о назначении меры наказания принимает, как правило, руководитель организации или учреждения, в соответствии с положениями специального и трудового законодательства.
Административная ответственность может наступить как за разглашение персональных данных, так и за нарушение защиты информации, кроме государственной тайны. Предметом административной ответственности выступает и распространение сведений о частной жизни – в этом случае виновное лицо может получить наказание в виде штрафа в сумме до 10 тысяч рублей.
Составы уголовных преступлений, связанных с распространением сведений, весьма разнообразны. Так, предметом наказания может выступать и разглашение персональных данных, уголовная ответственность здесь, например, за нарушение неприкосновенности частной жизни, может повлечь и реальное лишение свободы. Кроме того, уголовное наказание может повлечь и нарушение тайны переписки, телефонных переговоров, необоснованный и незаконный отказ в предоставлении информации гражданину.
Гражданско-правовая ответственность может выступать как сопутствующее наказание, так и самостоятельный вид ответственности. Как уже говорилось выше, пострадавшее лицо вправе взыскать не только материальный вред, нанесенный вследствие неправомерного разглашения сведений, но и моральный ущерб, причиненный действиями виновного лица.
Административная, гражданско-правовая и уголовная ответственность за распространение конфиденциальной информации наступает только в случае принятия судом соответствующего решения и признания лица виновным в таком деянии.
Разглашение информации – достаточно сложный состав правонарушения. При рассмотрении вопроса о привлечении к ответственности за такие действия, как правило, зачастую допускаются ошибки, неправильно применяются те или иные нормы права.
Не менее сложно защитить свои интересы в случае нарушения и распространения конфиденциальной информации – здесь необходимо правильно определить состав правонарушения, составить иск или обратиться в правоохранительные органы с заявлением.
На нашем сайте вы можете получить исчерпывающую информацию о правильности применения норм права, видах ответственности, порядке составления иска и других процессуальных документов. В соответствующем разделе сайта можно получить бесплатную юридическую консультацию онлайн – наши юристы, имея большой опыт участия в делах такой категории, быстро и квалифицированно ответят на любой вопрос, касающийся защиты информации и ответственности за распространение сведений.
Техническая защита конфиденциальной информации
Техническая защита конфиденциальной информации на предприятии должна обеспечивать инженерно-технические мероприятия порядка доступа, а также целостности и доступности (противодействия блокированию) информации.
Мероприятия по защите конфиденциальной информации должны обеспечивать:
- Предупреждение появления угроз;
- Выявление появления угроз;
- Предупреждение влияния угроз на информационную систему;
- Локализация воздействия угроз на информационную систему;
- Ликвидация последствий воздействия угроз на информационную систему.
Обеспечение безопасности конфиденциальной информации в информационной
системе может быть эффективным только в том случае, когда ее защита будет представлять собой непрерывный и целенаправленный процесс, постоянно осуществляющийся на всех этапах жизненного цикла конфиденциальной информации. Так комплексная система защиты конфиденциальной информации в информационной системе помимо функций, задач и средств собственно обеспечения защиты конфиденциальной информации должна включать функции, задачи и средства управления в качестве одного из основных компонентов.
Комплексная система защиты конфиденциальной информации информационной системы и ее составляющих должна реализоваться на принципах:
- Системности;
- Комплектности;
- Адекватности;
- Функциональной самостоятельности;
- Удобства пользования;
- Ограничение доступа к конфиденциальной информации;
- Полный контроль за работой информационной системы;
- Своевременное реагирование на появление угроз;
- Экономичности.
План мероприятий по обеспечению технической защиты конфиденциальной информации разрабатывается на основании технологии обработки конфиденциальной информации, анализа рисков, сформулированной политики ее безопасности. План определяет основные задачи защиты, общие правила обработки конфиденциальной информации в информационной системе, цель построения и функционирования комплексной системы защиты конфиденциальной информации. План должен фиксировать на определенный момент времени исполнителей не имеющих допуска и доступа к конфиденциальной информации, но участвующие в обслуживании системы, состав необходимой технической документации.
План по обеспечению технической и комплексной защиты конфиденциальных данных на всех этапах их сбора, обработки и хранения должен регулярно пересматриваться и при необходимости изменяться. Изменения и дополнения к нему утверждаются в том порядке и на том же руководящем уровне, что и основные документы.
При выполнении работ запрещается:
- Ознакомление с конфиденциальной информацией представителей других организаций и сотрудников не работающих по этой теме;
- Привлекать другие организации для выполнения работ;
- Использовать материалы, полученные при выполнении работ в статьях, диссертациях, выступлениях на симпозиумах, конференциях и тому подобное.
Для технической защиты конфиденциальной информации следует применять меры сокрытия или меры технической дезинформации.
Количество методов, направленных на защиту информации, надо увеличивать, а сами методы совершенствовать. Только в таком случае можно надеяться на успех.
Уровень защиты информации в организации и на предприятии должен иметь в своей основе рациональное зерно – не нужно чрезмерно увлекаться запретами на пользование некоторых видов данных. Так через компьютерные сети формируются банки данных общего пользования, но поскольку такая информация имеет обычно конфиденциальный или служебный характер, то реализовывать банки данных общего пользования целесообразнее на уровне локальной сети.
Соглашение конфиденциальной информации
Соглашение о неразглашении используется, когда необходимо чтобы одна сторона обязуется обеспечить и выполнять режим ограниченного доступа к информации, полученной от другой стороны или доступ к которой предоставлен такой второй стороной.
Данное соглашение известно как соглашение о конфиденциальности является юридическим контрактом, по крайней мере, между двумя сторонами, который обрисовывает в общих чертах конфиденциальный материал, знание, или информацию, которой стороны желают поделиться друг с другом в определенных целях, но желают ограничить доступ к третьими лицами.
Стороны соглашения о неразглашении конфиденциальной информации. Конфиденциал – получает конфиденциальную информацию, по отношению к которой обязуется обеспечить и выполнять режим ограниченного доступа к информации. Конфидент – передает конфиденциальную информацию. Регламент коммерческой тайны описывается в законе "О коммерческой тайне".
Встречаются следующие виды соглашения
Одностороннее соглашение, когда существует сторона которая передает информацию и сторона которая получает информацию.
Взаимное соглашение, когда обе стороны будут предоставлять конфиденциальную информацию. Этот тип соглашения распространен, когда организации или физические лица рассматривают некоторое совместное предприятие или слияние компаний.
Например, когда стороны готовятся к переговорам, направленным на заключение долгосрочного контракта. Данные переговоры подразумевают обмен информацией, которая составляет коммерческую тайну. Для обеспечения конфиденциальности стороны в первую очередь заключают соглашение о неразглашении конфиденциальной информации. В данном случае соглашение о неразглашении выступает в роле правового механизма, позволяющего защитить коммерческую тайну.
Основной целью соглашения является то, что в соответствие с соглашением о неразглашении стороны принимают на себя обязательство не раскрывать именно конфиденциальную информацию, полученную ими взаимодействии. Обязательство по неразглашению возникает только в отношении действительно конфиденциальной информации. Это не затрагивает право сторон раскрывать информацию, полученную из открытых публичных источников.
Второй целью соглашение о неразглашении – возложить на виновную в раскрытии конфиденциальности сторону обязанность по компенсации убытков невиновной стороны. В случае огласки соглашение служит правовым основанием для иска о взыскании убытков.
Для договорных отношений этого вида характерно проявление особого доверия одной стороны другой. В частности, невозможным является возложение конфиденциалом выполнения соглашения о конфиденциальности на третье лицо.
К существенным условиям соглашения о конфиденциальности относятся:
• определение (индивидуализация) объекта договора, то есть собственно информации;
• определение прав и обязанностей сторон по конкретным условиям режима ограниченного доступа к информации;
• определение срока, в течение которого конфиденциал обязан обеспечивать и выполнять режим конфиденциальности информации.
Соглашение о неразглашении конфиденциальной информации не может заключаться также в отношении секретной информации (государственной тайны), поскольку правовой режим последней определяется законодательством императивным методом и частноправовому регулированию договорами отдельных лиц не подлежит.
Положение о конфиденциальной информации
1. Общие положения
1.1. Настоящее Положение регулирует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации «Об информации, информатизации и защите информации», иными федеральными законами и нормативными правовыми актами Российской Федерации отношения, связанные с охраной и использованием конфиденциальной информации Открытого акционерного общества «_ _ _ _ _ _ _ _ _ _ _ _» (далее по тексту настоящего Положения Общество).
1.2. Конфиденциальная информация Общества – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления и существования, отнесенная к таковой в соответствии с настоящим Положением, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, ограничения к доступу и разглашению которой предпринимаются согласно настоящего Положения.
1.3. Общество имеет исключительное право на использование конфиденциальной информации любыми не запрещенными законом способами по собственному усмотрению.
1.4. В соответствии с настоящим Положением Общество принимает меры к охране конфиденциальной информации, ограничению доступа к ней третьих лиц.
1.5. Целью охраны конфиденциальной информации является обеспечение экономической и правовой безопасности Общества.
1.6. В случае если в связи с осуществлением своей деятельности обществу становятся известны сведения, составляющие в соответствии с законодательством Российской Федерации государственную тайну, Общество обязано предпринимать меры по их охране в соответствии с Федеральным законом Российской Федерации «О государственной тайне» и иными нормативными правовыми актами о государственной тайне.
1.7. Действие настоящего Положения распространяется на все структурные подразделения Общества, в том числе обособленные – филиалы и представительства.
2. Коммерческая тайна Общества
2.1. Коммерческой тайной Общества является следующая информация:
2.1.1. Данные первичных учетных документов бухгалтерского учета Общества;
2.1.2. Содержание регистров бухгалтерского учета Общества;
2.1.3. Содержание внутренней бухгалтерской отчетности Общества;
2.1.4. Совершаемые и совершенные Обществом сделки, в том числе договоры, их предмет, содержание, цена и другие их существенные условия;
2.1.5. Сведения об открытых в кредитных учреждениях расчетных и иных счетах, в том числе в иностранной валюте, о движении средств по этим счетам, и об остатке средств на этих счетах, сведения об имеющихся вкладах в банках, в том числе в иностранной валюте (банковская тайна);
2.1.6. Секреты производства (ноу-хау) и иная информация, составляющая производственную тайну;
2.1.7. Иные сведения, отнесенные к коммерческой тайне в соответствии с настоящим положением.
2.2. Отнесение информации, указанной в пункте 2.1. настоящего Положения, к информации, составляющей коммерческую тайну Общества, не требует издания каких-либо иных актов помимо настоящего Положения.
2.3. Любая иная информация, за исключением информации, которая в соответствии с законодательством не может быть отнесена к коммерческой тайне, может быть отнесена к коммерческой тайне по решению Генерального директора Общества.
2.4. Отнесение информации, указанной в пункте 2.3. настоящего Положения, к информации, составляющей коммерческую тайну Общества, осуществляется путем издания в каждом конкретном случае приказа Генерального директора Общества. Инициатива в издании приказа Генерального директора об отнесении той или иной информации к коммерческой тайне Общества может исходить от акционеров Общества, руководителей структурных подразделений Общества, руководителей обособленных структурных подразделений Общества, контрагентов Общества.
2.5. К коммерческой тайне не может быть отнесена следующая информация:
2.5.1. Учредительные документы Общества и Договор о создании Общества;
2.5.2. Регистрационные удостоверения, лицензии, патенты и иные документы, дающие право заниматься предпринимательской деятельностью;
2.5.3. Документы о платежеспособности;
2.5.4. Сведения о численности, составе работников Общества, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
2.5.5. Документы об уплате налогов и обязательных платежах;
2.5.6. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба, в случае если данные факты установлены вступившим в законную силу решением (приговором) суда, арбитражного суда;
2.5.7. Сведения об участии должностных лиц предприятия в производственных кооперативах, товариществах, обществах с ограниченной ответственностью, акционерных обществах и других организациях, осуществляющих предпринимательскую деятельность;
2.5.8. Идентификационный номер налогоплательщика (ИНН);
2.5.9. Содержание внешней бухгалтерской отчетности Общества, в том числе содержание: бухгалтерского баланса; отчета о прибылях и убытках; приложений к ним, предусмотренных нормативными актами; аудиторского заключения, подтверждающего достоверность бухгалтерской отчетности Общества; пояснительной записки к данным внешней бухгалтерской отчетности;
2.5.10. Иная информация, которая не может быть отнесена к коммерческой тайне в соответствии с законодательством Российской Федерации.
2.5.11. К коммерческой тайне не относится информация, разглашенная Обществом самостоятельно или с его согласия.
3. Служебная тайна Общества
3.1. Служебную тайну Общества составляют любые сведения, в том числе сведения, содержащиеся в служебной переписке, телефонных переговорах, почтовых отправлениях, телеграфных и иных сообщениях, передаваемых по сетям электрической и почтовой связи, которые стали известны работнику Общества в связи с исполнением им возложенных на него трудовых обязанностей.
3.2. К служебной тайне не относится информация, разглашенная Обществом самостоятельно или с его согласия, а также иная информация, ограничения доступа к которой не допускаются в соответствии с законодательством РФ.
4. Банковская тайна Общества
4.1. Банковскую тайну составляют сведения о состоянии банковского счета и банковского вклада, операций по счету и сведений о клиенте.
4.2. Сведения, составляющие банковскую тайну, могут быть предоставлены только Обществу или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом.
5. Налоговая тайна Общества
5.1. Налоговую тайну составляют любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным органам сведения об Обществе.
5.2. Не относятся к налоговой тайне следующая информация:
5.2.1. Информация, разглашенная Обществом самостоятельно или с его согласия;
5.2.2. Информация об идентификационном номере налогоплательщика (ИНН);
5.2.3. Информация о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;
5.2.4. Информация, предоставляемая налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам).
5.3. В соответствии с законодательством Российской Федерации налоговая тайна не подлежит разглашению налоговыми органами, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом. К разглашению налоговой тайны относится, в частности, использование или передача другому лицу коммерческой (в том числе производственной) тайны Общества, ставшей известной должностному лицу налогового органа, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
Поступившие в налоговые органы, органы государственных внебюджетных фондов или таможенные органы сведения, составляющие налоговую тайну, имеют в соответствии с законодательством Российской Федерации специальный режим хранения и доступа.
6. Охрана конфиденциальной информации Общества
6.1. Охрана конфиденциальной информации Общества состоит в принятии комплекса мер, направленных на ограничение доступа к конфиденциальной информации третьих лиц, на предотвращение несанкционированного разглашения конфиденциальной информации, выявление нарушений режима конфиденциальной информации Общества, пресечение нарушений режима конфиденциальной информации Общества, привлечение лиц, нарушающих режим конфиденциальной информации Общества к установленной ответственности.
6.2. Обязательным условием трудовых договоров, заключаемых с работниками Общества, является условие о соблюдении работником служебной и коммерческой тайны.
6.3. Каждый работник Общества при принятии на работу предупреждается под расписку об ответственности за нарушение режима служебной и коммерческой тайны.
6.4. Руководители структурных подразделение обязаны не реже одного раза в квартал проводить среди непосредственно подчиненных им работников инструктаж по соблюдению режима служебной и коммерческой тайны. Вновь принятый на работу работник проходит инструктаж при принятии на работу. Данные о проведенном инструктаже фиксируются в специальном журнале.
6.5. Заключаемые Обществом, в лице любых уполномоченных лиц договоры должны содержать условие о сохранении контрагентами конфиденциальности.
6.6. В рабочих и иных помещениях Общества создаются условия, ограничивающие доступ к конфиденциальной информации третьих лиц и несанкционированное разглашение конфиденциальной информации, в том числе устанавливаются технические средства защиты от несанкционированного доступа к информации (сейфы и металлические ящики для хранения документов и пр.).
6.7. В Обществе создается служба охраны, действующая в соответствии с Положением об охране.
6.8. Общество предпринимает меры по выявлению фактов нарушения режима конфиденциальной информации Общества.
6.9. Общество предпринимает все допустимые законом способы по пресечению выявленных нарушений режима конфиденциальной информации Общества.
6.10. Лица, виновные в нарушении режима конфиденциальной информации Общества привлекаются к установленной ответственности.
7. Порядок использования и предоставления конфиденциальной информации Общества
7.1. Использование конфиденциальной информации Общества допускается только теми работниками Общества, которым доступ к такой информации необходим в силу выполняемых ими функций.
7.2. Предоставление конфиденциальной информации Общества третьим лицам возможно не иначе как с санкции Генерального директора Общества.
7.3. Внешняя бухгалтерская отчетность Общества является публичной. Публичность бухгалтерской отчетности заключается в ее опубликовании в газетах и журналах, доступных пользователям бухгалтерской отчетности, либо распространении среди них брошюр, буклетов и других изданий, содержащих бухгалтерскую отчетность, а также в ее передаче территориальным органам государственной статистики по месту регистрации организации для предоставления заинтересованным пользователям.
Годовая бухгалтерская отчетность публикуется Обществом не позднее 01 июня года, следующего за отчетным.
7.4. Общество представляет годовую бухгалтерскую отчетность в соответствии с учредительными документами акционерам, а также территориальным органам государственной статистики по месту их регистрации. Другим органам исполнительной власти, банкам и иным пользователям бухгалтерская отчетность представляется в соответствии с законодательством Российской Федерации.
7.5. Иные случаи предоставления конфиденциальной информации предусмотрены действующим законодательством Российской Федерации.
8. Заключительные положения
8.1. Лица виновные в нарушении режима конфиденциальной информации Общества привлекаются в установленном порядке к уголовной, административной, дисциплинарной и гражданско-правовой ответственности.
8.2. Во всем ином, что не урегулировано настоящим Положением, применяются положения действующего законодательства Российской Федерации.
Конфиденциальная коммерческая информация
Важно отметить, что соответствие информации вышеперечисленным критериям еще не является достаточным основанием для признания ее конфиденциальной. Второе необходимое условие для этого — установление режима коммерческой тайны обладателем данной информации. Данный режим должен быть направлен на исключение доступа к конфиденциальной информации любых лиц без согласия ее обладателя, а также обеспечение возможности использования конфиденциальной информации работниками и контрагентами без нарушения режима коммерческой тайны.
Для установления режима коммерческой тайны руководитель организации, владеющей конфиденциальной информацией, должен организовать проведение следующих обязательных мероприятий:
- издать приказ с указанием перечня информации, составляющей коммерческую тайну (рекомендуется указать не только определенные виды информации, но и перечислить признаки, позволяющие идентифицировать информацию), и ознакомить с ним работников организации;
- утвердить локальный нормативный акт (напр., положение о коммерческой тайне), регламентирующий порядок обращения с данной информацией (условия хранения, копирования, передачи, уничтожения и т. п.), меры по контролю за соблюдением такого порядка, ответственность в случае его нарушения, и ознакомить с ним работников организации;
- издать приказ с указанием перечня лиц, которым предоставляется допуск к сведениям, содержащим коммерческую тайну, и ознакомить с ним работников организации;
- организовать ведение реестра лиц, допущенных к сведениям, содержащим коммерческую тайну;
- предусмотреть в трудовых договорах с работниками и в гражданско-правовых договорах с контрагентами, которым предоставляется допуск к конфиденциальной информации, условия и порядок ее использования;
- создать необходимые условия для соблюдения работниками установленного режима коммерческой тайны (предоставление сейфов, закрытых помещений для хранения информации, выделение отдельного рабочего кабинета и т. п.);
- организовать нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Выполнение вышеуказанных условий позволяет считать режим коммерческой тайны установленным и предоставляет обладателю конфиденциальной информации право защищать свои интересы в случае их нарушения.
Так, если нарушение допущено со стороны контрагента, допуск к конфиденциальной информации которому был предоставлен на основании гражданско-правового договора, обладатель такой информации вправе требовать возмещения причиненных убытков в полном объеме (реальный ущерб и упущенная выгода).
Если нарушителем является работник организации — обладателя конфиденциальной информации, то виновное лицо обязано возместить причиненный реальный ущерб. И, кроме того, может быть привлечено к дисциплинарной ответственности (замечание, выговор, увольнение), административной ответственности или уголовной ответственности.
Если неправомерные действия совершены должностным лицом государственного органа, получившего допуск к конфиденциальной информации, обладатель информации вправе требовать возмещения причиненных таким нарушением убытков в полном объеме (реальный ущерб и упущенная выгода), равно как настаивать на привлечении виновных должностных лиц к дисциплинарной, административной либо уголовной ответственности по аналогии с ответственностью для работников организации.
Запрос государственных органов о предоставлении данных
Отдельно приведем несколько рекомендаций в случае, если организацией получен запрос государственных органов о предоставлении данных, содержащих коммерческую тайну.
Следует обратить внимание, что подобное требование должно быть мотивированным. В запросе должны быть указаны цель и правовые основания запроса, а также сроки предоставления информации.
На документах, предоставляемых в государственный орган, необходимо нанести гриф «Коммерческая тайна» с указанием данных организации — обладателя, что обяжет орган государственной власти обеспечить условия по защите полученной информации от доступа третьих лиц.
Утечка конфиденциальной информации
Утечку информации в общем плане можно рассматривать как неправомерный выход конфиденциальных сведений за пределы организации или круга лиц, которым эти сведения были доверены.
Утечка информации по своей сущности всегда предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.
Утечка охраняемой информации может произойти при наличии ряда обстоятельств. Если есть конкурент (злоумышленник), который такой информацией интересуется и затрачивает определенные силы и средства для ее получения, и если есть условия, при которых конкурент может рассчитывать на овладение интересующей его информацией (затратив на это меньше сил, чем если бы он добывал ее самостоятельно). Будем исходить из того, что конкуренты есть всегда и у всех.
Причины и условия утечки информации при всех своих различиях имеют много общего.
Причины связаны, как правило, с несовершенством норм по сохранению коммерческих секретов, а также с нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.
Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки коммерческих секретов.
К таким факторам и обстоятельствам относятся:
- недостаточное знание работниками предприятия правил защиты коммерческой тайны и непонимание (или недопонимание) необходимости их тщательного соблюдения;
- использование неатгестованных технических средств обработки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, - организационными и инженерно-техническими мерами;
- текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну.
Таким образом, большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за недоработок руководителей предприятий и их сотрудников.
Кроме того, утечке информации способствуют:
- стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);
- неблагоприятные погодные условия (гроза, дождь, снег);
- катастрофы (пожар, взрывы);
- неисправности, отказы, аварии технических средств и оборудования.
Требования конфиденциальной информации
При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований:
• осведомление сотрудников о закрытости данной информации,
• общее ознакомление сотрудников с основными возможными методами атак на информацию,
• ограничение физического доступа,
• полный набор документации по правилам выполнения операций с данной информацией.
При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:
• расчет рисков атак на информацию;
• поддержания списка лиц, имеющих доступ к данной информации;
• по возможности выдача подобной информации по расписку (в т.ч. электронную);
• автоматическая система проверки целостности системы и ее средств безопасности;
• надежные схемы физической транспортировки;
• обязательное шифрование при передаче по линиям связи;
• схема бесперебойного питания ЭВМ.
При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:
• детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);
• защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;
• криптографическая проверка целостности информации
Лицензия конфиденциальной информации
Наиболее востребованной является лицензия на деятельность по технической защите конфиденциальной информации.
При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается, помещениях со средствами (системами), подлежащими защите, помещениях, предназначенных для ведения конфиденциальных переговоров;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Лицензирование деятельности по технической защите конфиденциальной информации
Под технической защитой конфиденциальной информации понимается выполнение работ или оказание услуг, направленных на её защиту от несанкционированного доступа, от утечки по техническим каналам, а так же от специальных воздействий на данную информацию с целью её уничтожения, искажения или блокирования доступа к ней. Виды работ по технической защите конфиденциальной информации, подлежащие лицензированию, определены Постановлением Правительства РФ № 79.
Конфиденциальная информация обрабатывается только на аттестованных объектах информатизации (ОИ), с использованием сертифицированных ФСТЭК технических средств защиты. Необходимо провести аттестацию ОИ, на котором будет обрабатываться или храниться конфиденциальная информация.
Лицензия на защиту конфиденциальной информации (техническая защита конфиденциальной информации)
При проведении аттестации ОИ исследованиям подвергается помещение, в котором будет обрабатываться конфиденциальная информация и технические средства, на которых обрабатывается конфиденциальная информация, а так же технические средства не участвующие в обработке информации, но установленные в данном помещении. Для достижения ОИ характеристик, удовлетворяющих требованиям безопасности, устанавливаются в необходимом количестве средства защиты информации. Аттестация необходима для того, чтобы подтвердить возможности Заказчика по обработке конфиденциальной информации. К аттестации ОИ могут привлекаться только организации, имеющие лицензию ФСТЭK в части проведения аттестационных испытаний и аттестации на соответствие требованиям по защите информации. Периодичность аттестации ОИ – один раз в три года.
С целью обеспечения должного уровня защиты персональных данных, правительством РФ был издан Закон № 152 ФЗ «О персональных данных». В соответствии со ст. 19 этого закона, организация, обрабатывающая персональные данные, обязана «принять меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». ФСТЭК осуществляет контроль и надзор за соблюдением требований российского законодательства в области защиты персональных данных и является одним из контролирующих органов в этой сфере.
Порядок получения лицензии фстэк на деятельность по технической защите конфиденциальной информации
Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации начинается с подготовки соискателя лицензии к выполнению лицензионных требований.
А именно наличие у соискателя лицензии:
• штатных специалистов с высшим или средним профессиональным образованием в области технической защиты информации. В случае необходимости организуется подготовка специалистов на курсах повышения квалификации по программам, согласованным с ФСТЭК России;
• помещения для осуществления лицензируемой деятельности, принадлежащего на правах собственности или на другом законном основании;
• контрольно-измерительного оборудования, прошедшего метрологическую проверку;
• средств контроля защищенности информации от несанкционированного доступа;
• автоматизированной системы для обработки конфиденциальной информации, с установленными на ней сертифицированными средствами защиты;
• программ для ЭВМ, для осуществления лицензируемого вида деятельности;
• нормативно методической документации, национальных стандартов и технической документации для выполнения заявленных работ.
После проведения подготовительных мероприятий подается заявление на получение лицензии в орган по лицензированию. К заявке прилагаются документы, подтверждающие возможности Заказчика осуществлять лицензируемые виды работ. ФСТЭК проверяет комплектность представленных документов, полноту и достоверность указанных в них сведений. По результатам проверки принимается решение о выдаче лицензии. В соответствии с федеральным законом № 99-ФЗ лицензия выдается бессрочно. ФСТЭК может отказать в выдаче лицензии в случае невыполнения соискателем одного из лицензионных требований, представления неправильно оформленных документов или выявления в них сведений, не соответствующих действительности.
Защита конфиденциальной информации - лицензия фстэк
Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ.
В соответствии с Постановлением Правительства РФ № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации», обязательному лицензированию подлежит деятельность юридических лиц и предпринимателей по разработке и производству средств защиты конфиденциальной информации.
Если организация разрабатывает или производит средства защиты информации, не являющейся государственной тайной, то такие виды деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия на деятельность по разработке и производству средств технической защиты конфиденциальной информации выдается соискателям лицензии, удовлетворяющим лицензионные требования на ТЗКИ и имеющим на законных основаниях средства проектирования, разработки и производства средств защиты информации. Кроме этого в организации должна быть в наличии система производственного контроля, включающая в себя правила и процедуры проверки и оценки системы разработки (производства) средств защиты информации, учёта изменений, вносимых в ПКД на разрабатываемую (производимую) продукцию, учета готовой продукции.
Кроме ФСТЭК лицензию на разработку и производство средств ТЗКИ вы дает Федеральная служба безопасности России для организаций разрабатывающих и производящих средства ТЗКИ, которые затем устанавливаются на объектах Администрации Президента, Совбеза, Федерального Собрания, Правительства, Конституционного Суда, Верховного Суда и Высшего Арбитражного Суда Российской Федерации.
Важнейшими средствами, обеспечивающими защиту сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства, средства ТЗКИ, биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензии на техническую защиту конфиденциальной информации, на разработку и производство средств технической защиты конфиденциальной информации выдаются ФСТЭК, а лицензии на оказание услуг в области шифрования, разработку, распространение и техническое обслуживание шифровальных средств выдаются ФСБ.
Обязанности предприятий, действующих на основании лицензии фстэк
Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Лицензионный контроль осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и статьей 19 Федерального закона "О лицензировании отдельных видов деятельности".
Организациям, претендующим на получение лицензий ФСТЭК на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны и на проведение работ, связанных с созданием средств защиты информации, понадобится также лицензия ФСБ на работу со сведениями, составляющими государственную тайну.
Перечень конфиденциальной информации
В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.
Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ). Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.
Перечень конфиденциальных данных, определенных законодательством:
Вид
конфиденциальной
информации
Перечень сведений
Законодательная
норма
Информация,
составляющая
коммерческую
тайну
Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления профессиональной
деятельности, которые имеют
действительную или потенциальную
коммерческую ценность в силу
неизвестности их третьим лицам
Статья 3
Федерального
закона
N 98-ФЗ "О
коммерческой
тайне"
Банковская
тайна
Сведения об операциях, о счетах и
вкладах организаций - клиентов банков и
корреспондентов
Статья 26
Федерального
закона
N 395-1 "О
банках и
банковской
деятельности"
Адвокатская
тайна,
нотариальная
тайна
Сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю; сведения, которые стали
известны нотариусу в связи с его
профессиональной деятельностью
Основы
законодательства
Российской
Федерации о
нотариате (утв.
ВС РФ
N 4462-1); ст. 8
Федерального
закона
N 63-ФЗ "Об
адвокатской
деятельности и
адвокатуре в
Российской
Федерации"
Сведения,
связанные с
аудитом
организации
Любые сведения и документы, полученные
и (или) составленные аудиторской
организацией и ее работниками, а также
индивидуальным аудитором и работниками,
с которыми им заключены трудовые
договоры, при оказании услуг,
предусмотренных настоящим Федеральным
законом, за исключением:
1) сведений, разглашенных самим лицом,
которому оказывались услуги,
предусмотренные настоящим Федеральным
законом, либо с его согласия;
2) сведений о заключении с аудируемым
лицом договора о проведении
обязательного аудита;
3) сведений о величине оплаты
аудиторских услуг
Статья 9
Федерального
закона
N 307-ФЗ "Об
аудиторской
деятельности"
На практике режим конфиденциальности определяется:
- перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
- договорным регулированием отношений с работниками;
- договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
- нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.
Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.
Режим коммерческой тайны не может быть установлен в отношении следующих сведений:
- содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
- содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
- о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.
Рассмотрим порядок установления перечня в конкретной компании.
Как поступать с сотрудником, разгласившим конфиденциальную информацию?
Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.
Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.
Таким образом, налагая дисциплинарное взыскание, работодатель должен:
- доказать, что работник нанес материальный вред организации;
- установить, что работник разгласил конфиденциальные данные, включенные в перечень;
- подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.
Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.
Перечень конфиденциальной информации в отдельной организации
В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:
- сведения о производстве и управлении;
- данные об уровне заработной платы сотрудников;
- персональные данные сотрудников;
- управленческие решения, планы развития производства, инвестиционные программы;
- протоколы совещаний;
- конфиденциальные договоры;
- сведения о переговорах;
- сведения о кадровом составе, штатном расписании;
- стоимость и цены;
- бухгалтерская отчетность, первичная документация;
- сведения об уплаченных налогах и сборах;
- отчеты аудиторов.
Обратите внимание: персональные данные и конфиденциальная информация - не равнозначные понятия. Последнее является более широким и может включать в себя различные бухгалтерскую отчетность, данные о кадровом составе организации и иные сведения, которые охраняются компанией в соответствии с установленным режимом коммерческой тайны.
Информация, составляющая коммерческую тайну (секрет производства), - это сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которых такие сведения в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становятся известны третьим лицам без согласия обладателя либо вопреки трудовому или гражданско-правовому договору (Определение Мосгорсуда по делу N 33-36486).
Понятие персональных данных установлено в Федеральном законе N 152-ФЗ "О персональных данных". Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, если конфиденциальная информация может относиться и к физическим, и к юридическим лицам, персональные данные - только к физическим. Перечень конфиденциальных данных, отнесенных к таковым на законодательном уровне, приведен в приложении.
Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона N 129-ФЗ "О бухгалтерском учете", ни ст. 89 Федерального закона N 208-ФЗ "Об акционерных обществах" не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа по делу N А27-25441/2009).
Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.
Порядок защиты конфиденциальной информации
В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
- определение перечня данных, составляющих коммерческую тайну;
- ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
- учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
- регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации.
В целях охраны конфиденциальности информации работодатель обязан:
- ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).
Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.
Признание данных конфиденциальными может быть оспорено в суде.
При этом в компании могут быть предприняты следующие действия:
- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
- ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
- стенографирование совещаний;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
- учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
- резервирование технических средств и дублирование массивов и носителей информации;
- защита от копирования информации, применение сертифицированных средств ее защиты;
- использование защищенных каналов связи;
- криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.
Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.
Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом "О коммерческой тайне", суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.
В суде компания доказала следующие факты: ознакомление работника с положением "О коммерческой тайне", соблюдение процедуры привлечения к дисциплинарной ответственности, факт отправки документов в адрес заместителя генерального директора сторонней организации - данных о контрагентах, сведений о сроках и способах оказания услуг, размерах вознаграждения.
Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.
Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т. к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.
Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.
Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.
В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.
Безопасность конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.
Такими действиями являются:
- ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
- модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
- разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.
С учетом этого угрозы могут быть классифицированы по следующим кластерам:
По величине принесенного ущерба:
- предельный, после которого фирма может стать банкротом;
- значительный, но не приводящий к банкротству;
- незначительный, который фирма за какое-то время может компенсировать и др.
По вероятности возникновения:
- весьма вероятная угроза;
- вероятная угроза;
- маловероятная угроза.
По причинам появления:
- стихийные бедствия;
- преднамеренные действия.
По характеру нанесенного ущерба:
- материальный;
- моральный.
По характеру воздействия:
- активные;
- пассивные.
По отношению к объекту:
- внутренние;
- внешние.
Источниками внешних угроз являются:
- недобросовестные конкуренты;
- преступные группировки и формирования;
- отдельные лица и организации административно-управленческого аппарата.
Источниками внутренних угроз могут быть:
- администрация предприятия;
- персонал;
- технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
- 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
- 17% угроз совершается извне - внешние угрозы;
- 1% угроз совершается случайными лицами.
Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
Передача конфиденциальной информации
Надо сказать, что в определенных случаях закон обязывает представлять информацию независимо от ее конфиденциальности. Но учитывая, что такие действия нарушают в какой-то степени наши конституционные права, то такие обстоятельства должны быть обязательно определены Законом, не подзаконными актами, а именно законом. Желания всех и вся получить информацию - понятны, но не всегда согласуются с законом. Порядок обязательного представления информации, отнесенной к конфиденциальной информации устанавливается законодательством.
Итак, посмотрим кому и какую конфиденциальную информацию мы должны передавать:
1. В интересах борьбы с преступностью, осуществления правосудия, соблюдения налогового и антимонопольного законодательства, рядом нормативных актов определен круг организаций и лиц, которые в соответствующих случаях имеют право на получение конфиденциальной информации в пределах своей компетенции.
К таким органам относятся:
• судебные органы;
• органы прокуратуры;
• органы, осуществляющие оперативно-розыскную деятельность;
• органы следствия и дознания.
2. В случае предоставления в обязательном порядке информации органам и организациям, ответственным за формирование и использование государственных информационных ресурсов в соответствии с утвержденными Правительством Российской Федерации Перечнями.
К таким органам, например, можно отнести:
• органы статистики;
• органы (фонды) пенсионного страхования;
• органы (фонды) медицинского страхования;
• органы налоговой службы;
• организации-депозитарии ценных бумаг;
• органы Архивной Службы России и пр.
Конкретный перечень представляемой в обязательном порядке информации с адресами ее представления прилагается к уставу каждого юридического лица (положению о нем). А должностные лица регистрационных органов, виновные в том, что не обеспечили регистрируемых юридических лиц таким перечнем, привлекаются к дисциплинарной ответственности вплоть до снятия с должности.
3. По обращениям депутатов Совета Федерации и депутата Государственной Думы Федерального Собрания Российской Федерации по вопросам, связанным с их депутатской деятельностью безотлагательно предоставляется необходимая информация и документация независимо от степени их секретности в соответствии с федеральным законодательством о государственной тайне. Однако, обратим Ваше внимание, что законодатель предусмотрел предоставление именно информации, составляющей государственную тайну (что подчеркнуто ссылкой на Федеральный Закон о "О государственной тайне", это справедливо, так как именно государство является собственником этой категории информации и вправе устанавливать правила доступа к ней), а обязательность предоставления сведений конфиденциального характера - не определяется (это прерогатива собственника конфиденциальной информации). Это дает право предоставлять такую информацию депутатам на общих основаниях и с соблюдением требований, определяемых собственником информации.
4. В случае обязательной внешней аудиторской проверки с целью установления достоверности бухгалтерской (финансовой) отчетности и соответствия совершенных финансовых и хозяйственных операций нормативным актам Российской Федерации, проводимой по поручению государственных органов, органов дознания, следователя, прокурора, суда и арбитражного суда в соответствии с процессуальным законодательством Российской Федерации.
Обмен конфиденциальной информацией по волеизъявлению собственника
Кроме обязательного представления информации государственным органам, в обычной жизни существует много других моментов, когда собственник конфиденциальной информации хочет сам (или это ему крайне необходимо) по каким-то причинам передать третьему лицу такую информацию. От этого иногда зависит его коммерческий успех и деловая репутация. Однако и эти случаи во многом регулируются законом и собственник информации имеет определенные права, о которых мы поговорим ниже.
Вот некоторые из таких случаев:
1. Добровольная передача конфиденциальной информации в состав государственных информационных ресурсов по правилам, установленным для включения документов в соответствующие информационные системы.
2. Добровольная передача конфиденциальной информации на основе условий договора (мены, дарения, купли-продажи, совместной деятельности и пр.) или в порядке универсального правопреемства (по завещанию, в связи с реорганизацией юридического лица и пр.).
3. Передача конфиденциальной информации учредителям, участникам хозяйственных товариществ и обществ, контрагентам, партнерам, субподрядчикам, арендаторам, сотрудникам для выполнения служебных обязанностей по трудовому договору или контракту или зарубежному партнеру с использованием средства международного информационного обмена.
4. Передача конфиденциальной информации при использовании услуг оператора связи (телефонных, телеграфных, телетайпных, факсимильных, телематических, и др.) по транспортированию информационных потоков, по сетям электрической и почтовой связи.
5. При необходимости передачи конфиденциальной информации адвокату, нотариусу, аудитору, организациям-депозитариям для выполнения ими возложенных законом действий и обязанностей.
Какую информацию обязаны предоставлять
Итак, круг организаций, которые могут получить информацию достаточно широк. Но всеми ли и всю ли информацию надо безоговорочно передавать? Мы уже упомянули, что любую информацию, а особенно конфиденциального характера надо передавать только строго дозировано, в пределах компетенции запрашивающего ведомства и, поэтому, для предотвращения разглашения конфиденциальных сведений через должностных лиц и представителей федеральных органов государственной власти, органов власти субъектов российской Федерации, необходимо знать их реальные права и предоставлять им только ту информацию, которая входит в их компетенцию и необходима им для выполнения служебных функций. Не плохо также уяснить то, как закон трактует, что может служить основанием обязательной передачи каких-либо сведений.
Так, по требованию прокурора и следователя безвозмездно представляются статистическая и иная информация, справки, документы и их копии, необходимые при осуществлении возложенных на органы прокуратуры функций.
Прокурор, следователь, орган дознания и судья по телефонному, телеграфному или письменному запросу могут истребовать и получить объяснения о фактах совершенных или подготовляемых преступлениях. Исходя из духа статьи закона, конфиденциальная информация, в этом случае может быть предоставлена только по письменному запросу.
Необходимо помнить, что закрепленное в законе право истребовать какие-либо материалы не означает безусловность их предоставления. Уголовно-процессуальное законодательство не предусматривает обязанность безусловно предоставить истребуемые материалы, а соответственно и нет ответственности за отказ в предоставлении истребуемых материалов, за исключением отдельных случаев. В принципе, законодательство не исключает необходимости соблюдения специальной процедуры (порядка) при предоставлении истребуемой информации. Федеральным законом определено, что собственник документов, массива документов, информационных систем или уполномоченные им лица устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Вообще-то говоря, установлено, что и для органов прокуратуры, внутренних дел, налоговой полиции, ФСБ России конфиденциальность определенной информации (банковская и коммерческая тайна) не является препятствием для получения сведений и документов о финансово-экономической деятельности, вкладах и операциях по счетам физических и юридических лиц, причастных к совершению тяжких преступлений и преступлений, совершенных преступными группами. Основанием для предоставления банковскими и коммерческими структурами таких документов является мотивированное требование (запрос) прокурора, следователя, руководителя органа дознания по возбужденному уголовному делу. Органы полиции, при наличии данных о правонарушениях в финансовой, хозяйственной, предпринимательской и торговой деятельности могут изымать необходимые документы на материальные ценности, денежные средства, кредитные и финансовые операции.
Органы ФСБ России имеют право безвозмездно получать от государственных органов, предприятий, учреждений и организаций независимо от форм собственности информацию, необходимую для выполнения возложенных на них обязанностей, за исключением случаев, когда федеральными законами установлен специальный порядок получения информации.
Налоговые органы имеют право получать безвозмездно от министерств, ведомств, предприятий и учреждений независимо от форм собственности физических лиц информацию, необходимую для исполнения возложенных обязанностей, за исключением случаев, когда законом установлен специальный порядок получения такой информации. Кроме того они вправе получать от банков и кредитных учреждений информацию о совершении физическими лицами операций с крупными валютными суммами.
Налоговая служба Российской Федерации имеет право производить проверки денежных документов, регистров бухгалтерского учета, отчетов, планов, смет, деклараций и иных документов, связанных с исчислением и уплатой налогов и других платежей в бюджет. Кроме того она может контролировать своевременность предоставления плательщиками бухгалтерских отчетов, балансов, налоговых расчетов, отчетов и других документов, связанных с исчислением и уплатой платежей в бюджет, а также проверять достоверность этих документов в части правильности определения прибыли, дохода, иных объектов обложения и исчисления налогов и платежей в бюджет. При необходимости эти документы могут быть и изъяты на основании мотивированного постановления должностного лица налоговой инспекции. Предоставление же сведений, составляющих коммерческую тайну по запросам налоговой полиции и налоговой службы производится только по возбужденному уголовному делу или по материалам проверки, проводимой в порядке обязательности рассмотрения заявлений и сообщений о преступлении.
По требованию суда, прокуратуры, органов следствия, арбитражного суда, нотариус может дать необходимую справку о совершенных нотариальных действиях, содержащих конфиденциальную информацию доверителя.
Особое место в процессе обмена информацией вообще и конфиденциальной в частности занимают взаимоотношения со средствами массовой информации. Законодательно закреплено, что поиск, получение, производство и распространение массовой информации не подлежит ограничениям, за исключением случаев, предусмотренных законодательством о средствах массовой информации. Как один из таких случаев, законодатель называет недопустимость использования средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Поэтому, несмотря на то, что любая редакция имеет право в устной и письменной форме запрашивать информацию о деятельности государственных органов и организаций, общественных объединений и их должностных лиц, а руководители этих органов обязаны предоставлять такую информацию, они вправе и отказать редакции в ее получении, если запрашиваемая информация содержит какую-либо тайну. В этом случае журналист может получить доступ только к документам и материалам без фрагментов, содержащих такие сведения.
Информация конфиденциального характера
Основной социальной ценностью, главным продуктом производства и основным товаром в информационном обществе является информация. В настоящее время ни в одной из научных областей общества, в том числе и праве, нет единого определения информации.
Термин «информация» происходит от латинского слова «informatio», что означает – разъяснение, сообщение, осведомленность.
Принято считать, что информация – прежде всего философская категория.
Существует множество философских концепций информации, и все осветить было бы крайне трудно. Известно философское определение американского ученого-математика Винера: информация – это не энергия и не материя.
Под информацией в технике понимают сообщения, передаваемые в форме знаков или сигналов.
С середины ХХ столетия под информацией понимается обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передача признаков от клетки к клетке, от организма к организму (генетическая информация) – это одно из основных понятий кибернетики.
Признаки информации:
– нематериальный характер, когда ценность информации заключается в ее сути, а не в материальном носителе, на котором она закреплена; субъективный характер, когда информация является интеллектуальной собственностью;
– информация должна быть объективной для включения в правовой оборот; количественная определенность; возможность многократного использования;
– сохранение передаваемой информации у передающего субъекта;
– способность к воспроизведению, копированию, сохранению и накапливанию.
Что можно делать с информацией:
– создавать, принимать, комбинирвать, хранить;
– передавать, копировать, обрабатывать, искать;
– воспринимать, формализовать, делить на части, измерять;
– использовать, распространять, упрощать, разрушать;
– запоминать, преобразовывать, собирать, и т. д.
Все эти процессы, связанные с определенными операциями над информацией, называются информационными процессами.
Информацию можно структурировать и классифицировать, исходя из различных признаков:
а) по степени доступа – общедоступная информация; информация, доступ к которой не может быть ограничен:
– информация с ограниченным доступом;
– информация, не подлежащая распространению;
б) по степени систематизации – систематизированная в информационных системах (каталоги, энциклопедии, рубрикаторы и т. д. и несистематизированная информация, т. е. свободная;
в) по виду носителя – на бумажном носителе, видео- и звуковая, компьютерная информация;
г) по сфере применения – массовая информация, распространяемая через СМИ, Интернет и отраслевая, предназначенная для круга лиц, связанного профессиональными интересами.
Под информацией понимаются: сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Термины «явления» и «процессы» охватывают как конкретные фактографические данные, так и неформализованные знания или заблуждения об окружающем или воображаемом мире.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления:
- документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
- безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами;
- доступ к информации (доступ) – ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;
- доступность (санкционированная доступность) информации – состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
- защита информации от несанкционированного доступа или воздействия – деятельность, направленная на получения информации без прав;
- несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;
- персональные данные – информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность;
- конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Основным документом, содержащим рекомендации по отнесению данных к конфиденциальным является утвержденный Указом Президента РФ № 188 перечень сведений конфиденциального характера.
В нем указано, что к конфиденциальным понятиям следует относить:
- Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- Сведения, составляющие тайну следствия и судопроизводства.
- Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
- Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
- Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
- Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Как можно заметить, в этом перечне нет упоминания о государственной тайне, хотя, последняя полностью подпадает под определение конфиденциальной информации и является важнейшим информационным звеном, несанкционированный доступ к которому способен нанести ущерб безопасности государства.
В связи с этим становятся немного непонятными мотивации органов государственной власти в связи с таким обособлением государственной тайны от конфиденциальной информации.
Стратегия информационной безопасности и её цели
Проанализировав достаточно большое количество литературы, я не вижу четкого определения ИБ, поэтому сформулировала своё – информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия.
Самое главное в этом определении это то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом, а вот как раз этого главного принципа большинство сегодняшних руководителей не понимают и вследствие чего являются жертвами злоумышленников.
Стратегия – средство достижения желаемых результатов. Комбинация из запланированных действий и быстрых решений по адаптации фирмы к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления её конкурентных позиций. То есть стратегию информационной безопасности.
(Стратегию информационной безопасности) нужно определять с учетом быстрого реагирования на новые угрозы и возможности.
Среди целей ИБ главными можно выделить следующие:
- Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа.
- Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
- Целостность – поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации.
Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные.
Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.
- Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались.
В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
Административный уровень информационной безопасности
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации (предприятия, фирмы).
Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности.
Политика безопасности – это совокупность документированных решений, принимаемых руководством организации и направленных на обеспечение информационной безопасности. Политика безопасности отражает подход организации к защите своих информационных активов.
Политику безопасности можно считать стратегией организации (предприятия, фирмы) в области информационной безопасности.
Для выработки такой стратегии и претворения ее в жизнь необходимы, несомненно, политические решения, принимаемые на уровне высшего руководства фирмы.
На основе политики безопасности разрабатывается программа безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения и т. д.
На основе программы безопасности разрабатываются конкретные правила, инструкции, нормативы и рекомендации, касающиеся работы персонала по обеспечению информационной безопасности. Эти правила относятся к процедурному уровню защиты.
Таким образом, в организационном обеспечении информационной безопасности выделяются меры административного уровня (политика и программа безопасности) и меры процедурного уровня.