Защита информации в организации. Работа с конфиденциальной информацией

Введение

Глава 1. Основы информационной безопасности и защиты информации

1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности

1.2 Ценность информации

1.3 Каналы распространения и утечки конфиденциальной информации

1.4 Угрозы и система защиты конфиденциальной информации

Глава 2. Организация работы с документами, содержащими конфиденциальные сведения

2.1 Нормативно-методическая база конфиденциального делопроизводства

2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных

2.3 Технологические основы обработки конфиденциальных документов

Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"

3.1 Характеристика ОАО "ЧЗПСН - Профнастил"

3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"

3.3 Совершенствование системы безопасности информации ограниченного доступа

Заключение

Список использованных источников и литературы

Введение

Одной из важнейших составных частей национальной безопасности любой страны в настоящее время единодушно называется ее информационная безопасность. Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

Выбор темы данной выпускной квалификационной работы обусловлен тем фактом, что современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. И одной из главных составных частей экономической безопасности является информационная безопасность.

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Базой исследования является ОАО "ЧЗПСН - Профнастил"

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.

В задачи исследования, в соответствии с поставленной целью, входит:

1. Раскрыть основные составляющие информационной безопасности;

2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;

3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

4. Рассмотреть методы и средства защиты конфиденциальной информации;

5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;

6. Изучить политику безопасности в организации доступа к сведениям конфиденциального характера и порядок работы персонала с конфиденциальными документами;

7. Рассмотреть технологические системы обработки конфиденциальных документов;

8. Дать оценку системе защиты информации предприятия ОАО "ЧЗПСН - Профнастил" и привести рекомендации по ее совершенствованию.

В работе были использованы следующие методы исследования: методы познания (описание, анализ, наблюдение, опрос); общенаучные методы (анализ публикационного массива по теме), а также такой документоведческий метод как анализ документации предприятия.

Нормативно-правовая основа выпускной квалификационной работы базируется в первую очередь на Конституции как основном законе Российской Федерации) (1). Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (1).

Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150) (2).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (2).

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ (2).

27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (8) и № 152-ФЗ "О персональных данных" (9). В них даны базовые понятия информации и ее защиты. Такие как "информация", "конфиденциальность информации", "персональные данные" и т.д.

10 января 2002 года Президентом РФ был подписан очень важный закон "Об электронной цифровой подписи" (5), развивающий и конкретизирующий положения приведенного выше закона "Об информации…" (8).

Основными в области безопасности конфиденциальной информации также являются законы РФ:

2. "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) (6);

3. "Об утверждении Перечня сведений конфиденциального характера" (11);

4. Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" (13).

Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).

Подробно нормативно-методическая база конфиденциального делопроизводства, изложена во второй главе настоящей работы. В выпускной квалификационной работе были использованы труды ведущих специалистов-документоведов: И.В. Кудряева (83), А.И. Алексенцева (31; 32), Т.В. Кузнецовой (45; 67; 102), А.В. Пшенко (98), Л.В. Санкиной (92), Е.А. Степанова (81; 96).

Понятие информационной безопасности, основные ее составляющие, изложены в трудах В.А. Галатенко (82), В.Н. Ярочкина (56), Г. Зотова (66).

К. Ильин (52) в своих работах рассматривает вопросы безопасности информации при электронном документообороте). Аспекты информационной безопасности описаны в статьях В.Я. Ищейнова (76; 77), М.В. Мецатуняна (77), А.А. Малюка (74), В.К. Сенчагова (93), Е.А. Степанова (96).

Система защиты информации описана в работах Е.А. Степанова (81), З. Богатыренко (74), Т.А. Королькова (69), Г.Г. Аралбаевой (100), А.А. Шиверского (103), В.Н. Мартынова и В.М. Мартынова (49).

Правовому регулированию информации ограниченного доступа посвящены работы авторов: А.А. Антопольского (33), Е.А. Степанова (81), И.Л. Бачило (37, 38), О. Гаврилова (41). Последний, в своей статье указывает на несовершенство законодательства в рассматриваемой сфере.

Технологии обработки конфиденциальных документов посвятили свой труды Р.Н. Мосеев (75), М.И. Петров (89), В.И. Андреева (34), В.В. Галахов (44), А.И. Алексенцева (32).

В процессе подготовки работы были использованы научные, учебные, практические, методические рекомендации по организации защиты конфиденциальной информации подготовленные такими ведущими специалистами в этой области как А.И. Алексенцев (31; 32) и Е.А. Степанов (81; 96).

Работы И.Л. Бачило (38), К.Б. Гельман-Виноградова (43), Н.А. Храмцовской (48), В.М. Кравцова (51) посвящены спорным аспектам информационной безопасности.

В целом, можно сказать, что проблема информационной безопасности, в общем, обеспечена источниками, источниковая база позволяет осветить поставленные задачи. Значимость литературы по данному вопросу велика и соответствует его актуальности.

Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения. И по оценкам аналитиков, чьи статьи были использованы в работе, Е.А. Войниканиса (40), Т.А. Партыки (57), В.А. Мазурова (71) и др., вряд ли это целесообразно.

Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованных источников и литературы, приложений.

Во введении формулируются актуальность и практическая значимость темы, цель исследования, задачи, степень разработанности исследуемой проблемы, объект, предмет, база исследования, исследовательский инструментарий структура и содержание выпускной квалификационной работы

Первая глава: "Основы информационной безопасности и защиты информации" содержит в себе историю вопроса и основные понятия информационной безопасности. Такие как, ценность информации, конфиденциальность. В параграфе 1.2 указаны каналы распространения, утечки информации, в следующем, рассматривается система угрозы и система защиты конфиденциальных сведении.

Глава "Организация работы с конфиденциальными документами". состоит из нормативно-методических основ конфиденциального делопроизводства, далее даны порядок работы сотрудников и организация их доступа к конфиденциальным сведениям. Технология работы с обозначенными сведениями описана в последнем параграфе второй главы.

В третьей главе на примере предприятия ОАО "ЧЗПСН - Профнастил" рассматривается система защиты информации ограниченного доступа, анализ работы с конфиденциальными документами. даются рекомендации, изменения и дополнения к сформировавшейся на предприятии технологии конфиденциального делопроизводства.

"Кадровик. Трудовое право для кадровика", 2011, N 10

ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ

Автор обращается к проблеме обеспечения информационной безопасности организации. Основное внимание уделено коммерческой и служебной тайнам, а также особенностям работы с персоналом, владеющим конфиденциальной информацией.

Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности администрации компании в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. Для защиты информации компании требуется комплекс мер, образующих систему. В теории под системой защиты информации понимают рациональную совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке . Элементами такой системы являются меры правового, организационного, технического и др. характера.

Правовой элемент является обязательным для любого типа организации и для любой даже самой простой системы защиты информации. При его отсутствии организация не сможет должным образом защитить конфиденциальную информацию, а также привлечь к ответственности лиц, виновных в ее разглашении и утрате.

Правовой элемент, то есть меры юридического характера, направлен в основном на надлежащее оформление документов, а также на грамотную работу с персоналом организации, поскольку в основе системы защиты информации лежит человеческий фактор. Вообще, в решении проблемы информационной безопасности организации значительное место занимает выбор эффективных методов работы с персоналом, а вопросы управления персоналом включаются в число главных при обеспечении безопасности информации.

В трудовых отношениях работодатель и работник обмениваются большим объемом информации различного характера, в том числе и конфиденциальной. Например, работодатель получает доступ к персональным данным работника, а работнику становится известной закрытая информация работодателя. В настоящей статье речь пойдет именно о конфиденциальной информации работодателя.

Персонал организации

как объект и субъект угроз безопасности

В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов, а иногда и криминальных структур. Разглашение конфиденциальной информации может нанести существенный экономический ущерб организации. Очевидно, что тайный сбор сведений, информации, хищение документов, материалов, образцов, составляющих коммерческую, промышленную, служебную тайну, организуется с целью завоевать рынок, сэкономить на приобретении ноу-хау и пр. К сожалению, нередкой является ситуация, когда сотрудник какой-либо организации, желая увеличить зарплату, предлагает свою кандидатуру фирме-конкуренту и одновременно обещает принести с собой базы данных старой компании. По неофициальным данным, от "промышленного шпионажа" в той или иной форме страдают около 80% организаций.

Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.

Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна. Реализация мер кадровой службы по защите информации компании предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.

Типичные ошибки предприятий

Мельникова Е. И. приводит данные исследования на тему "Методы и средства защиты коммерческой тайны на предприятии", которое было проведено в Ульяновске . В нем приняли участие 40 предприятий города из числа крупного, среднего и малого бизнеса, и был сделан вывод о том, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует везде.

Согласно указанному исследованию на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео - и фотосъемочной аппаратуры. В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации. На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение. На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении).

Виды конфиденциальной информации

Конфиденциальная информация, несомненно, относится к информации ограниченного доступа. Кстати, правовой режим последней в нормативных правовых актах недостаточно определен . Какую же информацию можно отнести к конфиденциальной в предпринимательской деятельности? Как именовать такую информацию? Как документально оформить обязанность работника хранить секретную информацию работодателя?

Для определения конфиденциальной информации используются различные термины, каждый из которых не является точным и корректным: "коммерческая тайна", "служебная тайна", "инсайдерская информация", "профессиональная тайна" и пр. Несколько слов следует сказать о каждом из приведенных понятий.

Ее субъектами могут являться исключительно государственные или муниципальные служащие;

К ней может относиться лишь та конфиденциальная информация, которая становится известной лицам в силу исполнения профессиональных обязанностей, связанных с государственной или муниципальной службой;

У нее особый качественный состав .

Следует заметить, что в действующем законодательстве отсутствуют четкие ориентиры для определения сущности служебной тайны и приходится руководствоваться научными подходами.

Данный термин не подходит для использования его при определении конфиденциальной информации коммерческой компании, а также государственной организации, где государственная служба не предусмотрена.

Термин "инсайдерская информация" в дословном переводе означает внутреннюю информацию компании.

Словарь трудового права. Инсайдер (inside англ. - внутри) - лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы.

Пункт 1 ст. 1 Директивы 2003/6/ЕС определяет инсайдерскую информацию как информацию, публично не раскрытую, обладающую известной ценностью, относящуюся к одному или нескольким эмитентам финансовых инструментов либо к одному или нескольким таким инструментам, которая в случае раскрытия непременно окажет значительное влияние на котировки финансовых инструментов или соответствующих деривативов .

В отличие от стран с развитым рынком ценных бумаг, Россия до сих пор не ввела термин "инсайдерская информация" на законодательном уровне. Законопроект "Об инсайдерской информации" был отклонен. Термин не вошел в нормативную лексику. Вместо понятия "инсайдерская информации" в Федеральном законе от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг" (ред. от 11.07.2011) закреплено понятие "служебная информация". Ею признается: 1) любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах; 2) информация, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг.

В. И. Добровольский отмечает, что в мировой практике понятию "служебная информация" соответствует понятие "инсайдерская информация", так как это понятие является наиболее универсальным, включающим в себя служебную, коммерческую, конфиденциальную и т. п. информацию .

В России термин "служебная информация" также подразумевает конфиденциальную информацию, однако применяется в сфере фондового рынка. Термин "инсайдерская информация" вообще употребляется неофициально.

Относить ли информацию к конфиденциальной?

Легальное определение имеет понятие "коммерческая тайна". Это, во-первых, режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; а во-вторых, это сама информация, то есть сведения любого характера (производственные, технические, экономические, организационные и другие), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Обладатель информации имеет право отнести ее к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну, приведенный в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (ред. от 11.07.2011, далее - Закон о коммерческой тайне). Этот перечень не является закрытым, поскольку в отношении иных подлежащих раскрытию сведений Закон о коммерческой тайне ссылается на другие нормативные акты.

Таким образом, если работник пожаловался кому-то, что ему задерживают зарплату, или рассказал кому-либо об имеющихся в организации вакансиях, то такие действия не будут разглашением коммерческой тайны.

Для того чтобы защитить информацию, нередко при заключении трудового договора от сотрудника требуется соблюдение такого условия, как неразглашение коммерческой тайны организации. Помимо условий о коммерческой тайне в трудовом договоре не исключена и возможность подписания отдельного документа о защите информации, составляющей коммерческую тайну, что по своей сути является логическим завершением юридического оформления защиты информации на уровне хозяйствующего субъекта. Г. М. Колебошин справедливо указывает на то, что в литературе высказывается предложение именно о целесообразности заключения с работником дополнительного соглашения о неразглашении, которое может быть включено условием в трудовой договор или существовать в виде отдельного документа . Так, в организации может существовать локальный нормативный акт, посвященный коммерческой тайне, - положение о коммерческой тайне (далее - Положение). Принимая на работу сотрудника, который будет иметь доступ к закрытой информации, работодатель должен под расписку ознакомить его с действующими в организации локальными нормативными актами, имеющими непосредственное отношение к трудовой функции данного работника (ст. 68 ТК РФ; ст. 11 Закона о коммерческой тайне), в том числе с Положением. Оно может содержать перечень конфиденциальных сведений, который устанавливает руководитель исходя из специфики работы компании. То есть работник должен быть ознакомлен с перечнем информации, составляющей коммерческую тайну работодателя, а также с установленным режимом коммерческой тайны и мерами ответственности за его нарушение.

Если в организации не принято локальных нормативных актов, регламентирующих работу с конфиденциальной информацией, сотрудники с ними не ознакомлены, не обеспечена сохранность таких сведений, говорить о разглашении коммерческой тайны не приходится, а значит, законных претензий к работнику, разгласившему такие сведения, предъявлено быть не может, за исключением случая, когда сбор таких сведений осуществлен путем похищения документов, подкупа или угроз.

Также администрация обязана создать работнику необходимые условия для соблюдения им режима коммерческой тайны (например, предоставить сейф для хранения секретных материалов).

Итак, работник должен четко знать, что относится к коммерческой тайне организации, как она охраняется, и иметь возможность ее соблюдать.

Ответственность за разглашение

В ст. 14 Закона о коммерческой тайне указано, что лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с Законом о коммерческой тайне быть привлечено к ответственности. Если сотруднику, не ознакомленному с перечнем секретных документов, случайно в руки попал документ, из формы и текста которого ему непонятно, что эта информация относится к коммерческой тайне, ответственности за ее разглашение он также не понесет.

Не следует забывать, что к тайной информации не должно быть свободного доступа. Например, если сотрудник фирмы передал кому-либо сведения о деятельности фирмы, которые можно узнать и на сайте компании, проступком это не является.

Разглашение коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. При разглашении сведений, составляющих коммерческую тайну, работник может быть уволен по односторонней инициативе работодателя, в соответствии со ст. 81 ТК РФ.

Споры, возникшие в связи с разглашением коммерческой тайны, рассматриваются, как правило, в рамках гражданско-правовых и трудовых отношений и крайне редко доходят до уголовного преследования. Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Судебная практика по этому вопросу весьма скудна.

Действия работодателя по защите информации

Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Работодателю необходимо:

Разработать перечень информации, относящейся к коммерческой тайне;

Ограничить и регламентировать доступ к носителям информации;

Определить круг лиц, имеющих право доступа к информации;

Нанести на документы, составляющие коммерческую тайну, надпись "Конфиденциальная информация" (при этом необходимо указывать обладателя информации, его местонахождение и наименование);

Ознакомить работников с локальными актами о коммерческой тайне;

Внести в трудовые договоры, особенно с вновь принимаемыми лицами, пункт об обязательстве работника не разглашать определенную информацию работодателя.

При формулировании соглашения (договорного обязательства) об обязанности не разглашать сведения либо Положения о коммерческой тайне можно учесть опыт американских компаний, где в соглашение включаются следующие пункты :

Детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;

Краткое изложение порядка охраны конфиденциальных сведений;

Изложение мер, которые должен принимать сам работник для обеспечения сохранности данных сведений;

Перечень наказаний, которые могут последовать за разглашение конфиденциальных сведений.

Очевидно, что подобное письменное обязательство о неразглашении секретов компании не дает полных гарантий сохранения этих сведений, однако, как показывает практика, заметно снижает риск разглашения персоналом такой информации.

В документы иногда вносят пункт об обязанности сотрудника сообщать в службу безопасности компании или непосредственному руководителю о попытке постороннего лица получить любую информацию об организации, в том числе конфиденциальную, а также о случаях утери носителей информации.

Можно сделать ряд рекомендаций по поводу увольнения сотрудника, владеющего конфиденциальной информацией. При написании сотрудником заявления об увольнении необходимо последовательно выполнить следующие действия: принять все числящиеся за сотрудником документы, базы данных, носители информации и пр., принять пропуск данного сотрудника (идентификатор), ключи и печати, провести собеседование с увольняющимся сотрудником.

На собеседовании стоит напомнить лицу о том, что им были подписаны документы, обязывающие его хранить секреты компании. Некоторые авторы рекомендуют составить еще одно соглашение уже с увольняющимся лицом о неразглашении конфиденциальных данных после ухода из организации. Если опять обратиться к опыту США, то там с особенно ценными увольняющимися сотрудниками нередко заключается соглашение об оказании консультационных услуг в течение ряда лет. При этом все это время такому лицу выплачивается жалованье. Такая материальная и моральная связь с бывшим местом работы, как считается, не дает человеку поводов разглашать конфиденциальную информацию. В нашей стране такая практика в силу известных причин вряд ли может получить широкое распространение и будет применима лишь к топ-менеджерам крупных компаний.

Таким образом, действующие нормативные правовые акты не предусматривают эффективную защиту для конфиденциальной информации организации. Для того чтобы защитить внутреннюю информацию, работодателю необходимо самому позаботиться о секретах компании, правильно оформив как саму конфиденциальную информацию, так и отношения с работником, такой информацией обладающим. При выполнении указанных в настоящей статье действий организация может рассчитывать на вынесение решения в ее пользу при возможном судебном разбирательстве.

Библиографический список

1. Корнеев И. К., Степанов Е. А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.

2. Мельникова Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности // Юридический мир. 2009. N 12. С. 40 - 43.

3. Шевердяев С. Н. Конституционно-правовой режим информации ограниченного доступа // Конституционное и муниципальное право. 2007. N 1.

4. Яковец Е. Н., Смирнова И. Н. Нормативное регулирование оборота сведений, составляющих служебную тайну // Информационное право. 2009. N 4.

5. Директива 2003/6/ЕС "Об инсайдерской деятельности и рыночном манипулировании, злоупотреблениях на рынке". Directive 2003/6/EC of the European Parliament and of the Council of 28 January 2003 on insider dealing and market manipulation (market abuse). OJL 096, 12.04.2003. P. 0016 - 0025.

6. Добровольский В. И. Инсайдерская информация в мировой практике, служебная информация и коммерческая тайна в России // Предпринимательское право. 2008. N 4.

7. Колебошин Г. М. Обязанности работника в отношении коммерческой тайны работодателя // Трудовое право. 2007. N 5.

8. Ищейнов В. Я. Технология определения сведений, относимых к коммерческой тайне, и факторы риска // Делопроизводство. 2010. N 2. С. 50.

И. Погодина

зав. кафедрой

гражданского права и процесса

Владимирского государственного

университета имени А. Г. и Н. Г.Столетовых

Подписано в печать

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Образовательная энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

• программно-аппаратные средства
• защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

• - коммерческая;
• - служебная;
• - личная (персональная) за исключением государственных секретов (статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”).

Легальные признаки конфиденциальной информации - документированность, ограничение доступа к информации в соответствии с законодательством и отсутствие свободного доступа к ней на законном основании.

«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации». Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.

К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91 г. № 35.

В России законодательство в сфере охраны прав на конфиденциальную коммерческую информацию только начинает формироваться. Новым в регулировании отношений в данной сфере стало принятие Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

Общее впечатление, которое остается после знакомства с текстом Закона, можно определить как противоречивое. С одной стороны, появился единый нормативный акт, детально определяющий режим и порядок защиты сведений, которые составляют коммерческую тайну. С другой стороны, Закон далеко не безупречен. При его создании законодателем были введены нормы, на взгляд исследователей, затрудняющие защиту коммерческой тайны и восстановление нарушенного права.

Закон не исключает применения общих норм о коммерческой тайне, предусмотренных ст. 139 ГК РФ, а в качестве источников называет ГК РФ и другие федеральные законы. Таким образом, Закон дополняет сложившуюся нормативную базу и лишь частично ее заменяет.

Однако уже при прочтении определения коммерческой тайны мы видим терминологические нестыковки Закона с ГК РФ. Закон определяет понятие коммерческой тайны через свойство информации: коммерческая тайна - это "конфиденциальность информации" (п. 1 ст. 3 Закона) (англ. confidence - секретность). ГК РФ рассматривает коммерческую тайну в первую очередь как разновидность информации, имеющей "коммерческую ценность в силу ее неизвестности третьим лицам", в отношении которой применяются меры по охране ее конфиденциальности (ст. 139 ГК РФ). При всей незначительности на первый взгляд несовпадения понятий мы получили два разных, конкурирующих по своей юридической силе определения.

Закон различает форму, в которой существует ценная информация, и содержание самой информации. К ней относится "научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау)" (п. 2 ст. 3 Закона.

Список видов информации, которая может иметь коммерческую ценность, открыт.

Закон по-прежнему наделяет собственника (владельца) информации правом самостоятельно определять ее ценность.

Определение коммерческой тайны, содержащееся в Законе, отражает характер самого Закона. Основной акцент в нем сделан на процедурах охраны коммерческой информации. Согласно Закону именно они позволяют обеспечить необходимый минимум условий для защиты нарушенного права в суде, а также проводят разграничение между законным и незаконным доступом как элементом состава правонарушения.

В связи с этим сложно понять определение обладателя информации, составляющей коммерческую тайну, данное в Законе. В соответствии с п. 4 ст. 3 Закона это лицо, которое владеет такой информацией "на законном основании". Таким образом, доказывая факт нарушения права, придется устанавливать законность владения им. Документально подтвердить права на коммерческую тайну можно, если они, например, подлежат государственной регистрации (патенты, свидетельства). В таком случае интересы собственника защищаются патентным, авторским правом. Если коммерческую тайну составляют договоренности, зафиксированные на аудио-носителе, или это незапатентованные идеи, доказать первичность и законность обладания такой информацией будет довольно сложно.

Очевидно, что нужно будет подтвердить объективную связь информации с ее владельцем. Например, информация об организации-владельце, ее сделках и т. п. должна содержать указание на организацию-владельца и быть защищена специальными ссылками на носителе о конфиденциальности, как это предусмотрено в п. 5 ч. 1 ст. 10 Закона.

В Законе говорится о передаче информации только на материальном носителе (п. 6 ст. 3 Закона) и на условиях специального договора. В этой части Закон ограничивает объем охраняемых в режиме тайны сведений по сравнению с определением, данным в ГК РФ, в ст. 139 которого не упоминаются материальные носители, а речь идет об охране конфиденциальной информации.

Следовательно, руководствуясь Законом, из правовой охраны исключены случаи, например, разглашения информации, не зафиксированной на материальных носителях. В частности, это могут быть сведения о каких-либо решениях, принятых организацией по продвижению своего продукта, и подобная информация.

С одной стороны, такой подход упрощает процесс доказывания, с другой - ограничивает возможности защиты интересов собственника информации.

Закон впервые вводит определение понятия "режим коммерческой тайны". При рассмотрении правовых оснований для защиты коммерческой тайны режиму коммерческой тайны следует уделить особой внимание. Его несоблюдение влечет утрату возможности защитить нарушенное право на коммерческую тайну (ч. 1 ст. 7 и ч. 2 ст. 10 Закона).

Система условий, составляющих режим коммерческой тайны, весьма объемна и требует значительных затрат со стороны владельца или получателя коммерческой тайны.

В частности, ч. 1 ст. 10 Закона предусматривает:

• - определение перечня информации, составляющей коммерческую тайну;
• - ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
• - учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
• - регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
• - нанесение на материальные носители (документы), которые содержат информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и местонахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Владелец коммерческой тайны должен установить определенный порядок оборота конфиденциальной информации, а также предусмотреть дополнительные штатные единицы для контроля над таким оборотом. Кроме того, нужно привести в соответствие или разработать вновь большой пакет внутренней нормативной документации.

Как минимум организации - владельцу коммерческой тайны необходимо:

• - разработать положения о коммерческой тайне и о документообороте всех носителей информации с грифом "Коммерческая тайна";
• - выпустить приказ по организации о допуске к коммерческой тайне;
• - предусмотреть в трудовом контракте дополнительные условия о добровольном обязательстве работника соблюдать режим коммерческой тайны.

Таким образом, с одной стороны, Закон расширил полномочия органов государства по контролю хозяйственной деятельности организаций. С другой стороны, процесс защиты прав владельцев информации существенно усложнился.

Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.

Необходимость системного правового регулирования института служебной тайны вызвана рядом причин, в том числе: отсутствие в законодательстве единого подхода к соответствующей категории информации ограниченного доступа; многочисленными примерами незаконного распространения (продажи) информации, аккумулируемой в органах государственной власти и относящейся либо к личности, либо к деятельности хозяйствующих субъектов; ограничениями на распространение информации, накладываемыми по своему усмотрению руководителями органов государственной власти и государственными (муниципальными) служащими на представление информации гражданам, общественным организациям, средствам массовой информации.

Уровень нормативного регулирования порядка обращения со служебной информацией ограниченного распространения, институт которой ныне можно воспринимать в качестве аналога служебной тайны социалистического периода, по целому ряду причин нельзя признать удовлетворительным. Единственный нормативный акт, регулирующий данную группу правоотношений - "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденное постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233 (ДСП). Данное Положение распространяется только на деятельность федеральных органов исполнительной власти, хотя аналогичные сведения образуются и поступают в любые органы государственной власти и органы местного самоуправления. Многие важные условия, определяющие порядок отнесения сведений к категории служебной информации, не установлены в Положении и даны на откуп руководителям федеральных органов исполнительной власти, что нельзя признать правильным, поскольку ведение ограничений на доступ к информации должно устанавливаться только федеральным законом. Таким образом, уровень правового регулирования явно недостаточный, к тому же на уровне постановления Правительства Российской Федерации выстроить долговременную и стабильную систему защиты сведений, имеющих продолжительный срок хранения, невозможно, тем более когда речь идет об установлении ряда норм гражданско-правового характера. Несмотря на практически полное отсутствие нормативного регулирования в сфере отнесения сведений к служебной тайне, их защиты и установления санкций за противоправное распространение такой информации, данная категория присутствует в большом количестве федеральных законов (около 40), в том числе: ФЗ "Об основах государственной службы Российской Федерации", ФКЗ "О Правительстве РФ", ФЗ "О службе в таможенных органах Российской Федерации", ФЗ "О Центральном Банке Российской Федерации (Банке России)", ФЗ "Об основах муниципальной службы Российской Федерации", ФЗ "О реструктуризации кредитных организаций", ФЗ "О рынке ценных бумаг" и др. При этом отсутствие четко определенного правового института служебной тайны обусловило разнообразие правовых подходов, получивших закрепление в законодательстве. Так, в ФЗ "О реструктуризации кредитных организаций" упоминается служебная тайна кредитной организации (ст. 41), в ФЗ "О мерах по защите экономических интересов Российской Федерации при осуществлении внешней торговли товарами" в органах исполнительной власти циркулирует "конфиденциальная информация" (ст. 18), в ФЗ "Об основах государственной службы Российской Федерации" и ряде других законов используется термин "служебная информация", в ФЗ "О таможенном тарифе" в таможенном органе циркулирует информация, составляющая коммерческую тайну и конфиденциальная информация (ст. 14). Федеральный закон №119-ФЗ от 20.08.2004 "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" предусматривает в ряду мер безопасности в отношении защищаемого лица обеспечение конфиденциальности сведений о нем.

Данные сведения по своему содержанию составляют служебную тайну и законодательное закрепление механизмов распоряжения этими сведения поможет реализации указанного Федерального закона. Эти примеры свидетельствуют о том, что не только терминология, но и содержание института защиты служебной информации не имеют в законодательстве однозначного отражения.

По-разному решается в законодательстве вопрос о структуре конфиденциальной информации и соотношении различных видов тайн. В этой связи особую озабоченность вызывает включение категории "служебная тайна" в нормы статьи 139 ГК РФ, где соответствующие сведения по системным признакам практически слиты с коммерческой тайной, хотя, следуя здравой правовой логике, данные системы ограничения в доступе к информации по своей природе должны быть различны. На электронных рынках страны и с помощью рассылки не запрошенных сообщений электронной почты (так называемый "спам") бесконтрольно распространяются CD, содержащие базы данных (БД) с информацией о персоналиях и организациях. Например, БД "Таможня", ГИБДД, БТИ (Бюро технической инвентаризации), "Прописка", "Внешнеэкономическая деятельность", ЕГРП (Единая государственная регистрация предприятий), "Собственники квартир", "Доходы физических лиц", "Картотека МВД" (судимости и др.), ОВИР (зарегистрированные паспорта), "БД "Министерство юстиции", "Сирена" (перевозки частных лиц железнодорожным транспортом России), БД о безналичных расчетах предприятий с поставщиками и потребителями и другие. Очевидно, что подобная информация не может попасть на рынок без участия государственных служащих.

В настоящее время законодателями подготовлен проект закона «О служебной тайне», регулирующего защиту таких сведений.

К личным (персональным) данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию). Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути.

Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.

Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ETS N 108 (28 января 1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Основным федеральным законом, защищающим конфиденциальность личных данных, является закон «О персональных данных», принятый 27 июля 2006 г.

В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется.

Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы:

Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т. е. работодатель фактически осуществляет сбор персональных данных работника;

Таможенный кодекс РФ от 28 мая 2003 г. N 61-ФЗ, регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;

Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;

Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.

Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993 г. N 5487-1, Законах РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне", от 28 марта 1998 г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст. 137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".

Сегодня мы поговорим об утечки и средствах защиты конфиденциальной информации.

Термин конфиденциальная информация означает доверительная, не подлежащая огласке, секретная. Разглашение ее может квалифицироваться как уголовно наказуемое преступление. Любое лицо, имеющее доступ к такой информации, не имеет право разглашать ее другим лицам, без согласия правообладателя.

Cодержание

Конфиденциальная информация и закон

Указ президента РФ № 188 от 06.03.1997 г. определяет сведения, имеющие конфиденциальный характер. К ним относятся:

1. Сведения, относящиеся к коммерции.
2. Сведения, связанные относящиеся к служебной деятельности.
3. Врачебная, адвокатская, личная (переписка, телефонные разговоры и.т.д.) тайна.
4. Тайна следствия, судопроизводства, сведения об осужденных.
5. Персональные данные граждан, сведения об их личной жизни.

Коммерческая тайна — это информация, дающая возможность ее обладателю получить конкурентное преимущество, выгоду от представления услуг или продажи товаров. Инсайдерская информация о компании (смена руководства и.т.д.) способная повлиять на стоимость акций.

Служебная тайна — информация, имеющаяся в органах госуправления, документы имеют гриф «Для служебного пользования» и не подлежат разглашению третьим лицам.

К профессиональной тайне относится тайна следствия, адвокатская, судопроизводства, нотариальная и.т.д.

Любые персональные данные (Ф.И.О, место работы, адрес, и.т.д.), сведения о частной жизни гражданина.

Утечка такой информации может наступить в следующих случаях:

1. Неэффективное хранение и доступ к конфиденциальной информации, плохая система защиты.
2. Постоянная смена кадров, ошибки персонала, тяжелый психологический климат в коллективе.
3. Плохое обучение персонала эффективным способам защиты информации.
4. Неумение руководства организации контролировать работу сотрудников с закрытой информацией.
5. Бесконтрольная возможность проникновения в помещение, где хранится информация, посторонних лиц.

Пути утечки информации

Они могут быть организационные и технические.

Организационные каналы:

1. Поступление на работу в организацию, с целью получения закрытой информации.
2. Получение интересующей информации от партнеров, клиентов с использованием методов обмана, введение в заблуждения.
3. Криминальный доступ получения информации (кража документов, похищение жесткого диска с информацией).

Технические каналы:

1. Копирование подлинника документа закрытую информацию или его электронную версию.
2. Запись конфиденциального разговора на электронные носители (диктофон, смартфон и другие записывающие устройства).
3. Устная передача содержания документа ограниченного доступа третьим лицам, не имеющим права доступа к нему.
4. Криминальное получение информации с помощью радиозакладок, скрытно установленных микрофонов и видеокамер.

Меры по защите информации

Система защиты закрытой информации предполагает:

1. Предупреждению несанкционированного доступа к ней.
2. Перекрытие каналов утечки.
3. Регламентации работы с конфиденциальной информацией.

Служба безопасности предприятия должна организовывать практическую реализацию системы защиты информации, обучение персонала, контроль соблюдения нормативных требований.

Организационные методы

1. Разработка системы обработки конфиденциальных данных.
2. Доведение до персонала фирмы положение об ответственности за разглашение конфиденциальных документов, их копирование или фальсификацию.
3. Составление списка документов ограниченного доступа, разграничение персонала по допуску к имеющейся информации.
4. Отбор персонала для обработки конфиденциальных материалов, инструктирование сотрудников.

Технические методы

1. Использование криптографических средств при электронной переписке, ведение телефонных разговоров по защищенным линиям связи.
2. Проверка помещения, где ведутся переговоры, на отсутствие радиозакладок, микрофонов, видеокамер.
3. Доступ персонала в защищенные помещения с помощью идентифицирующих средств, кода, пароля.
4. Использование на компьютерах и других электронных устройствах программно- аппаратных методов защиты.

Политика компании в области информационной безопасности включает в себя:

1. Назначение ответственного лица за безопасность в организации.
2. Контроль использования программно-аппаратных средств защиты.
3. Ответственность начальников отделов и служб за обеспечение защиты информации.
4. Введение пропускного режима для сотрудников и посетителей.
5. Составления списка допуска лиц к конфиденциальным сведениям.

Организация информационной безопасности

Компьютеры, работающие в локальной сети, серверы, маршрутизаторы должны быть надежно защищены от несанкционированного съема информации. Для этого:

1. За эксплуатацию каждого компьютера назначается ответственный сотрудник.
2. Системный блок опечатывается работником IT службы.
3. Установка любых программ производится специалистами IT службы.
4. Пароли должны генерироваться работниками IT службы и выдаваться под роспись.
5. Запрещается использование сторонних источников информации, на всех носителях информации делается маркировка.
6. Для подготовки важных документов использовать только один компьютер. На нем ведется журнал учета пользователей.
7. Программно-аппаратное обеспечение должно быть сертифицировано.
8. Защита информационных носителей (внешние диски) от несанкционированного доступа.

Система работы с конфиденциальной информацией гарантирует информационную безопасность организации, позволяет сохранять от утечек важные сведения. Это способствует устойчивому функционированию предприятия долгое время.

Нет похожих записей.