В уже далекие советские времена всевозможные «первые», «режимно-секретные отделы» были предметом жгучей ненависти работников предприятий и учреждений - от закрытых НИИ до статистических управлений. Невыполнение на первый взгляд никому не нужных требований и правил было чревато как минимум выговором и лишением премии, а как максимум - уголовным делом с последующей долгой «путевкой» в «солнечный Магадан».
Засекречено при СССР было все, что только можно. В том числе, и достаточно большое количество данных, которые, как казалось, не несли никакой прямой угрозы государственной безопасности. Поэтому многие «свободомыслящие» считали «гебистов», присваивающих грифы секретности и выдумывающих правила работы с документами, параноиками и дармоедами…
В 50-е годы западными спецслужбами реализовывалась программа «Легальный путешественник». В ходе официальных поездок по СССР их агенты занимались «невинными вещами» - просто собирали пробы воды, почвы. Целью «рыцарей плаща и кинжала» было выявление мест возможного проведения советских ядерных исследований. В ходе противодействия западным коллегам даже происходили курьезы. Один из агентов должен был посетить абсолютно бесперспективные незаселенные территории на Северном Урале. Сотрудникам советской контрразведки пришла в голову мысль направить шпионов по ложному следу, и пробы, полученные агентом во время отдыха на природе, были искусственно облучены. При этом не были проведены консультации с учеными. Когда агент привез своим кураторам пробы, они были просто шокированы - побывав в месте, где можно было их взять, человек уже не должен был вернуться обратно…
Противодействие попыткам иностранных спецслужб фотографировать всевозможные объекты, брать возле них пробы было важнейшей составляющей деятельности советской контрразведки. Сотрудники иностранных разведок вовсю охотились и за другой «полуоткрытой информацией» - данными о выпусках в военных и технических ВУЗах, новых транспортных магистралях, любыми статистическими показателями.
Сопоставляя эти, вроде бы невинные данные, аналитики ЦРУ и Пентагона делали выводы о местах размещения секретных объектов, обеспеченности ВПК и армии кадрами, общих затратах на «оборонку», мобилизационных планах и потенциальных перемещениях войск. По мнению экспертов, до 80 - 90% работы разведчиков - это работа с «открытыми» или «полуоткрытыми по безалаберности» источниками, правильный анализ коих способен дать информацию, разглашение которой стране пребывания крайне невыгодно…
На таких простых примерах автор показал, что самая невинная на первый взгляд производственная или управленческая информация может быть использована против вас.
Защита любых подобных данных - одна из основных задач службы собственной безопасности, в том числе и в коммерческой структуре.
И если в государственных учреждениях, а так же на государственных и негосударственных предприятиях, имеющих допуск к работе с гостайной, официально функционируют санкционированные государством режимно-секретные органы, то защита интересов «частников», обладающей конфиденциальной коммерческой информацией - это их личная проблема.
Мы не будем сейчас вникать в суть функционирования института коммерческой тайны, а попытаемся определиться с режимом и системой защиты конфиденциальной информации вообще.
1. При ССБ, канцелярии или секретариате любого более или менее серьезного предприятия должен быть создан «режимный» орган. В зависимости от масштабов в нем может работать и один человек, и десять и даже пятьдесят. Суть его - контроль за информацией, признанной руководством конфиденциальной, такой, какая при разглашении может интересам предприятия навредить.
2. Вырабатывается система признания информации конфиденциальной. Чтобы не изобретать велосипед, лучше, чтобы критерии конфиденциальности утверждались директором по предложению службы собственной безопасности, а «гриф» «накладывался», как директором, так и руководителями подразделений, ответственных за исполнение работ и документов.
3. По предприятию директором должен быть издан официальный приказ, запрещающий разглашать какую-либо служебную, рабочую информацию посторонним лицам. Желательно, чтобы под этим приказом все сотрудники поставили подписи об ознакомлении.
4. В идеале дополнительно при устройстве на работу, каждый сотрудник должен дать подписку о том, что он обязуется не разглашать информацию, полученную в ходе профессиональной деятельности, и знает, что она является конфиденциальной и принадлежит предприятию. Такая «подписка» является мощным фактором психологического сдерживания сотрудников от лишней болтливости. Особенность менталитета - подписался - значит, несу ответственность.
5. Грифы внутреннего ограничения доступа ни в коем случае, дабы потом не возникали неприятные казусы, не должны дублировать официальные государственные, но могут быть им созвучны (еще один психологический трюк) - «для рабочего пользования», «строго конфиденциально», «служебная информация», «для внутреннего пользования», «коммерческая тайна» - на сколько хватит фантазии у сотрудников ССБ.
6. Вся документация, которая содержит информацию, способную при разглашении нанести весомый ущерб предприятию, должна регистрироваться в «режимном» органе и быть строго запрещена к свободному копированию. Запрещено, соответственно, должно быть и ее электронное копирование.
7. Кстати, исходя из вышеуказанного пункта, если ваше предприятие занимается серьезными работами (применяет промышленные ноу-хау, работает со всевозможными базами данных и пр.) и на нем задействовано значительное количество людей (которых невозможно непосредственно контролировать), то вам лучше запретить использование на своей территории личных мобильных телефонов (современная мобилка - универсальная фото, видеокамера, диктофон, флешка), выдавая вместо этого «простенькие» корпоративные, а также занос-вынос любых запоминающих устройств типа флешек, накопителей, МП-3 плееров, и фото-, видео аппаратуры. Программистам можно поручить вообще технически закрыть возможность подключения «несанкционированных» внешних устройств.
8. Ограничьте доступ сотрудников в Интернет. В первую очередь к личным почтовым серверам, социальным сетям. В рабочее время сотрудник должен пользоваться исключительно корпоративными «мейлом», «асей». У этих мер два огромных преимущества. Во-первых, все изложенные выше меры бесполезны, когда конфиденциальную информацию можно просто сбросить через свой ящик на «меил.ру» или профиль на «мамбе». Во-вторых, вы ограничите доступ сотрудников к отвлекающим от работы факторам, прекратите тем самым пустопорожний треп. Разрешите использовать корпоративные средства связи в крайнем случае для личных нужд. Но предупредите, что они, как собственность корпорации, могут контролироваться ССБ. Никто не будет против, если сотрудник отправит жене сообщение с просьбой купит хлеба и раньше забрать ребенка из школы. А вот обсуждение, кто будет «доктором», а кто «медсестрой» - придется отложить на другое время. По крайней мере, если не хотите, чтобы их читали и комментировали сотрудники ССБ.
9. Создайте простую инструкцию с подробным описанием процедур присвоения грифов, регистрации документов, копирования информации. Заставьте работника перед началом работы сдать по ней зачет.
10. Установите, да простят нас защитники прав человека, открытый видеоконтроль за рабочими местами. Если человек на работе занимается своими прямыми обязанностями - скрывать ему нечего. Просмотр порнороликов или, тем более, несанкционированное копирование клиентских баз в эти обязанности не входит.
Либеральный читатель может возмутиться такой постановке вопроса. Но! Рекомендации не содержат ничего противоправного. Здание, территория предприятия - его собственность. И руководство корпорации в праве устанавливать на его территории любые правила, кроме прямо запрещенных Уголовным кодексом (а-ля сексуальная эксплуатация или телесные наказания). Эти правила являются неотъемлемой составляющей функциональных обязанностей (желательно, чтобы они в них были отдельно закреплены), а, соответственно, и самой работы. Не нравится - выход через проходную. Если же какой-то сотрудник начинает бурно протестовать против запрета на использование личной флешки на работе - то это тревожный звоночек для ССБ. Одно из двух - либо ему есть что скрывать, либо он не совсем психически здоров. А любая из этих категорий на производстве - лишняя.
Помните, исполнение таких простых правил может и заставит потратить на них 1 - 2% рабочего времени, зато сэкономит добрые 50% времени, которые обычно тратятся на решение личных вопросов, треп и социальные сети. И главное, с большой долей вероятности предотвратит утечку информации, способную похоронить ваш бизнес.
Поучительная история.
Автор сам как-то стал свидетелем того, как достаточно серьезная фирма разрешала одному из своих менеджеров таскать везде за собой подаренный ему же за успехи в работе ноутбук. В один прекрасный день менеджер скопировал себе на ноутбук базы поставщиков, клиентов, уволился и открыл свою собственную фирму. При этом поставил ставку прибыли в два раза ниже (конечно, ему не нужно было тратиться на поиск клиентов и поставщиков, содержание сборочного производства, сервисной службы - по сути, он был «шабашником», предоставляющим «информационные услуги»). Остановить его удалось только через несколько месяцев, и то благодаря тому, что, уходя, он уворовал кое-что из техники корпорации. Доказывать разглашение коммерческой тайны в суде тяжело. А вот за кражу он свое получил…
А установи служба собственной безопасности на предприятии режим, исключающий пользование «левой» техникой и несанкционированное копирование информации, всех этих неприятностей удалось бы избежать. О том, как конфликт отразился на репутации одного из крупнейших предприятий в своем регионе - думаю, можно и не говорить…
Ради интереса автор тогда помониторил Интернет, навел справки у коллег и узнал, что подобные и даже полностью аналогичные случаи происходят на постсоветском пространстве повсеместно.
Разработка системы защиты конфиденциальной информации
Под разглашением КИ понимаются умышленные или неосторожные действия допущенных к КИ лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая работников АО, которым эта информация не была доведена в официально установленном порядке; утечка КИ - это несанкционированное распространение информации за пределы установленного физического пространства.
Комплексная защита КИ имеет целью решение двух задач: защиту права организации на КИ, в том числе относящуюся к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты КИ, образующих систему защиты конфиденциальной информации (СЗКИ)).
СЗКИ дает возможность укрепления экономической безопасности организации, что способствует созданию условий для долгосрочного устойчивого функционирования организации.
Что же такое конфиденциальная информация???
К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом -
. коммерческая,
. служебная,
. личная.
за исключением государственных секретов. (статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”)
«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации».
Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.
К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91г. № 35
Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.
В Федеральном законе от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информации о гражданах - персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Создание системы защиты КИ
Для того чтобы легально заниматься защитой конфиденциальной информации нужно получить лицензию на право осуществления деятельности по технической защите конфиденциальной информации (В соответствии с ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Утвержденным Постановлением Правительства Российской Федерации от 30 апреля 2002 г. N 290). :
Для этого нужно выполнить следующие требования:
а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации.
б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации; (пп. "б" в ред. Постановления Правительства РФ от 23.09.2002 N 689)
в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;
г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.
Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
а) заявление о выдаче лицензии с указанием:
лицензируемой деятельности;
наименования, организационно-правовой формы и места нахождения - для юридического лица;
фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя;
б) копии учредительных документов и документа, подтверждающего внесение записи о юридическом лице в Единый государственный реестр юридических лиц; (в ред. Постановления Правительства РФ от 06.02.2003 N 64)
в) копия свидетельства о государственной регистрации соискателя лицензии - индивидуального предпринимателя;
г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии;
е) сведения о квалификации специалистов по защите информации соискателя лицензии.
Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.
Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.
Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления.
Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.
Как Известно, право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определённых сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовые нормы обеспечения безопасности и защиты информации на любом предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе:
. предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
. предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
. создавать организационные структуры по защите конфиденциальной информации;
. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
. включать требования по защите информации в 5; договоры по всем видам хозяйственной деятельности;
. требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
. распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения
выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств с, производства;
. разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре.
Устав организации должен содержать следующие требования:
Раздел «Права и обязанности»:
1. Фирма имеет право:
. обеспечивать свою экономическую безопасность, определять состав, объем и порядок защиты конфиденциальной информации;
. требовать от сотрудников обеспечения экономической безопасности и защиты конфиденциальной информации;
. осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.
2. Фирма обязана:
. обеспечить экономическую безопасность и сохранность конфиденциальной информации;
. осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.
Раздел «Конфиденциальная информация»:
Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.
ВНЕСЕНИЕ ЭТИХ ДОПОЛНЕНИЙ ДАЕТ ПРАВО АДМИНИСТРАЦИИ:
. создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
. издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
. включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
. требовать защиты интересов фирмы перед государственными и судебными органами;
. распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.
Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора»
. Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.
. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.
. Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.
Раздел «Кадры. Обеспечение дисциплины труда»
Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.
Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями:
Раздел «Порядок приема и увольнения рабочих и служащих»
При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:
. проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
. оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:
. принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
. осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.
Раздел «Основные обязанности рабочих и служащих»
Рабочие и служащие обязаны:
. знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
. дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
. бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.
Раздел «Основные обязанности администрации»
Администрация и руководители подразделений обязаны:
. обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
. последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
. включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
. неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.
Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.
В договоре о проведении совместных работ должены содержаться следующие требования:
Раздел «Условия конфиденциальности»
Стороны обязуются не передавать лицензии лицам и не раскрывать публично сведения о проводимых совместно работах без взаимного согласования. За нарушение данного условия стороны несут финансовую ответственность по возмещению убытков, упущенной выгоды и морального ущерба.
Лица, нарушившие условия конфиденциальности, могут быть привлечены к ответственности в соответствии с действующим законодательством.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18).
Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.
Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов.
Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права.
Конфиденциальность — это форма обращения со сведениями, составляющими конфиденциальную информацию, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.
Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.
Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия.
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.
Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
. организацию охраны, режима, работу с кадрами,
с документами;
. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.
К основным организационным мероприятиям можно отнести:
. организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
. организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;
. организацию использования технических средств
сбора, обработки, накопления и хранения конфиденциальной информации;
. организацию работы по анализу внутренних и
внешних угроз конфиденциальной информации и
выработке мер по обеспечению ее защиты;
. организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
. организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, и выполнение, возврат, хранение и уничтожение;
Исходя из ситуации и в целях совершенствования системы защиты информации я предлагаю объединить все службы занимающиеся защитой информации в одну службу и назвать её службой безопасности, функции которой будут следующими:
. организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, арендаторами, партнерами и посетителями;
. руководит работами по технической защите, а так же по правовому и организационному регулированию отношений по защите государственной тайны и конфиденциальной информации;
. разрабатывает основополагающие документы с целью закрепления в них требований обеспечения безопасности и защиты государственной тайны и конфиденциальной информации, в частности устава, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
. разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся государственной тайны и конфиденциальной информации, при всех видах работ организует и контролирует выполнение требований инструкции по защите государственной тайны и конфиденциальной информации;
. изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки государственной тайны и конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций в отношении деятельности организации и е клиентов, партнеров, смежников;
. организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности организации;
. разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих конфиденциальную информацию и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
. обеспечивает строгое выполнение требований нормативных документов по защите конфиденциальной информации;
. осуществляет руководство службами и подразделениями безопасности предприятий организации в части оговоренных в договорах условий по защите государственной тайны и конфиденциальной информации;
. организует и регулярно проводит учебу сотрудников фирмы и службы безопасности по всем направлениям защиты государственной тайны и конфиденциальной информации, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;
. ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение государственной тайны и конфиденциальной информации;
. ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации.
Возглавляет службу безопасности начальник службы в должности заместителя генерального директора по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
. отдела охраны;
. Отдел по защите конфиденциальной информации:
. Сектор обработки документов с грифом "конфиденциальная информация";
. лаборатории контроля защищенности от НСД к информации автоматизированных систем и средств вычислительной техники.
. Лаборатория комплексного контроля эффективности противодействия иностранным техническим разведкам и технической защиты информации;
. группа анализа возможности образования технических каналов утечки информации;
Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы:
. Перечень сведений, составляющих конфиденциальную информацию организации;
. Договорное обязательство о неразглашении КИ
. Инструкция по защите конфиденциальной информации
Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).
В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.
Под сведениями (и их носителями) понимаются:
. Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);
. Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;
. Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.
Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих конфиденциальную информацию, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.
В совокупности под конфиденциальной информацией надо понимать сведения, не являющиеся государственными секретами, но которые связаны, прежде всего, с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб её интересам или интересам их владельцев.
Законодательной основой защиты конфиденциальной информацией является часть вторая ГК РФ.
При разработки перечня следует руководствоваться:
. Конституцией РФ, принятой 12 декабря 1993 года
. Законом РФ “ О государственной тайне ” № 5485-1 от 21.07.93
. Федеральным законом РФ “ Об информации, информатизации и защите информации” № 24-ФЗ от 20.02.95
. Указом Президента РФ “об утверждении Перечня сведений, отнесённых к государственной тайне” № 1203 от 30.11.95
. Указом Президента РФ “об утверждении Перечня сведений, конфиденциального характера” № 188 от 06.03.97
. Постановлением Правительства РФ “ о Перечне сведений, которые не могут составлять коммерческую тайну” № 35 от 05.12.91
. Сведения, являющиеся общедоступными на законных основаниях, в том числе в соответствии с Постановлением Правительства РФ № 35 от 05.12.91.:
. Учредительные документы (решение о создании предприятия или договор учредителей) и устав;
. Документы, дающие право заниматься предпринимательской деятельности (регистрационные удостоверения, лицензии, патенты);
. Сведения по установленным формам отчётности о финансово- хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;
. Документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а так же о наличии свободных рабочих мест;
. Документы об уплате налогов и обязательных платежах;
. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а так же других нарушениях законодательств РФ и размерах причиненного при этом ущерба;
. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах и других организациях, занимающихся предпринимательской деятельностью.
. Анализом преимуществ и недостатков для работы открытым и закрытым (внутренним) применением таких сведений.
. Анализом характера возможного ущерба в случае несанкционированного распространения сведений конфиденциального;
После разработки проекта перечня, он обсуждается и утверждается на ЭТК и согласовывается с генеральным директором организации, начальниками основных служб и отделов Перечень вводится приказом генерального директора организации в виде приложения к нему.
Сотрудники организации, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.
Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.
Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство (приложение 2) об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.
Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к КИ, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации. При написании такой инструкции следует руководствовать положениями ГОСТа Р6 30-2003- “ Унифицированные системы документации.”, а так же “ Унифицированная система организационно-распорядительной документации. Требования к оформлению документов”, который был принят и введен в действие постановлением Госстандарта РФ от 3 марта 2003 г. N 65-ст.
Инструкция по защите конфиденциальной информации должна состоять из следующих частей:
1.ОБЩИЕ ПОЛОЖЕНИЯ.
2. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
3.ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
4.СИСТЕМА ДОСТУПА СОТРУДНИКОВ К СВЕДЕНИЯМ СОСТАВЛЯЮЩИМ КИ.
4.1.КРУГ ЛИЦ, ИМЕЮЩИХ ПРАВО ДАВАТЬ РАЗРЕШЕНИЕ НА ДОСТУП К КОНФИДЕНЦИАЛЬНЫМ ДОКУМЕНТАМ
4.2.ПОРЯДОК ОФОРМЛЕНИЯ РАЗРЕШЕНИЯ НА ДОСТУП К КОНФИДЕНЦИАЛЬНЫМ ДОКУМЕНТАМ
4.3. ПОРЯДОК ДОСТУПА НА СОВЕЩАНИЯ ПО ВОПРОСАМ, СОДЕРЖАЩИМ КОНФИДЕНЦИАЛЬНЫЕ СВЕДЕНИЯ
5.ПОДГОТОВКА И ИЗДАНИЕ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
6.УЧЕТ, ПРОХОЖДЕНИЕ И ОТПРАВЛЕНИЕ ИЗДАННЫХ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
7.ПРИЕМ, УЧЕТ И ПРОХОЖДЕНИЕ ПОСТУПИВШИХ ДОКУМЕНТОВ
8.УЧЕТ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ ВЫДЕЛЕННОГО ХРАНЕНИЯ
9.УЧЕТ ЖУРНАЛОВ И КАРТОТЕК
10.ОРГАНИЗАЦИЯ ХРАНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
11.ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ КОНТРОЛЯ ИСПОЛНЕНИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
12.РАЗМНОЖЕНИЕ ДОКУМЕНТОВ
13.УНИЧТОЖЕНИЕ ДОКУМЕНТОВ
14.СОСТАВЛЕНИЕ И ОФОРМЛДЕНИЕ НОМЕНКЛАТУРЫ ДЕЛ С ГРИФОМ «КОНФИДЕНЦИАЛЬНО»
15.ФОРМИРОВАНИЕ И ОФОРМЛЕНИЕ ДЕЛ
16.ПРОВЕРКА НАЛИЧИЯ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ.
17.ПОДГОТОВКА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ НА АРХИВНОЕ ХРАНЕНИЕ
18.ПОРЯДОК ПЕРЕДАЧИ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ В АРХИВ
19.ПРИЛОЖЕНИЯ
Защита КИ является одним из важнейших факторов создания предпосылок для стабильного существования и прогрессивного развития организации.
Основными условиями обеспечения информационной безопасности организации в контексте намеченного подхода к решению задач защиты КИ являются:
. построение моделей злоумышленников и конкурентов на основе поиска и аутентификации информации о их намерениях и устремлениях;
. определение перечня сведений, составляющих объект защиты интересов концерна в конкретных областях его деятельности;
. формирование предпочтительной для концерна структуры системы защиты КИ на основе синтеза, структурной оптимизации и технико-экономической оценки альтернативных вариантов СКЗКИ;
. управление процессом реализации избранного замысла защиты КИ и координация работ по организации защиты КИ между всеми заинтересованными структурными подразделениями организации;
. совмещение организационно-административных мер защиты КИ с активными вовлечением в указанный процесс всего персонала организации;
. введение персональной ответственности (в том числе и материальной) должностных лиц всех уровней, а также других работников концерна, допущенных к КИ, за обеспечение установленного в АО режима конфиденциальности.
Вышеперечисленные документы разработаны с учетом общих требований к содержанию и оформлению подобных документов.
Разработанные автором документы вы можете получить, для этого достаточно отправить просьбу об получении такой инструкции мне на e-mail указав название организации, область деятельности).
Эффективная защита информации в компьютерных системах достигается путем применения соответствующих средств, которые условно можно разделить на несколько групп:
1) разграничения доступа к информации;
2) защиты информации при передаче ее по каналам связи;
3) защиты от утечки информации по различным физическим полям, возникающим при работе технических средств компьютерных систем;
4) защиты от воздействия программ-вирусов;
5) безопасности хранения и транспортировки информации на носителях и ее защиты от копирования.
Основное назначение таких средств – разграничение доступа к локальным и сетевым информационным ресурсам компьютерных систем, которые обеспечивают: идентификацию и аутентификацию пользователей, разграничение доступа зарегистрированных пользователей к информационным ресурсам, регистрацию действий пользователей, защиту загрузки операционной системы с гибких носителей, контроль целостности средств защиты информации и информационных ресурсов. Несмотря на функциональную общность средств защиты информации данной группы, они отличаются друг от друга условиями функционирования, сложностью настройки и управления параметрами, используемыми идентификаторами, перечнем регистрируемых событий и стоимостью. Средства защиты информации делятся на формальные , которые выполняют эту функцию по заранее предусмотренной процедуре без участия человека, и неформальные (ограничивающие деятельность персонала или жестоко регламентирующие ее).
К основным средствам защиты относятся технические и программные ; технические средства принято делить на физические и аппаратные .
Физические средства реализуются за счет автономных устройств и охранных систем (охранная сигнализация, экранирующие оболочки для аппаратуры, внутренняя экранирующая защита отдельных помещений, средства внешнего и внутреннего наблюдения, замки на дверях и т.п.).
Аппаратные средства – это приборы, непосредственно встраиваемые в устройства, которые сопрягаются с аппаратурой, используемой для обработки данных по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу и специальные регистры).
К программным средствам относятся специальные программы, и/или модули, выполняющие функции защиты информации.
Применение лишь одного из названных способов защиты информации не решает проблемы - необходим комплексный подход. Обычно используют два основных метода: преграда и управление доступом.
Преграда – создание физических препятствий (для доступа на территорию организации, напрямую к физическим носителям информации).
Управление доступом – регламентация и регулирование санкционированного обращения к техническим, программным, информационным ресурсам системы.
В свою очередь санкционированное управление доступом обеспечивается за счет определенных функций защиты :
Идентификации пользователей – начальное присвоение каждому пользователю персонального имени, кода, пароля, аналоги которых хранятся в системе защиты;
Аутентификации (проверка полномочий) – процесс сравнения предъявляемых идентификаторов с хранящимися в системе;
Создание условий для работы в пределах установленного регламента, то есть разработка и реализация комплексных мероприятий, при которых несанкционированный доступ сводится к минимуму;
Регистрация обращений к защищаемым ресурсам;
Адекватное реагирование на совершение несанкционированных действий.
Антивирусные программы - самое распространенное средство защиты - от отдельных компьютеров домашних пользователей до огромных корпоративных сетей (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).
Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи.
Средства прозрачного шифрования обеспечивают защиту данных от непреднамеренного разглашения и не позволяют шпионам проникать в данные других пользователей. При этом ключи шифрования хранятся в учетных записях, поэтому для легальных владельцев информации ее дешифрация происходит незаметно. Таких решений на рынке несколько; в частности их предлагает компания Microsoft. Решение Microsoft используется в операционной системе в виде криптографической файловой системы EFS. Однако если сотрудник, который имеет права доступа к зашифрованным данным, случайно отправит их по электронной почте или перенесет на незашифрованный носитель, то защита будет нарушена. Чтобы исключить риск таких случайных утечек, компания может контролировать передачу данных по протоколам электронной почты и Web (для защиты пересылки по Web-почте). Но от скрытой пересылки данных, которую могут придумать шпионы, подобные системы, скорее всего, не смогут обеспечить безопасность. В частности, ни одна защита не может вскрыть правильно зашифрованный файл, а, значит, не может проверить его содержание. Впрочем, для отечественных компаний наиболее интересными являются услуги по разработке комплексной системы защиты, которая подразумевает в том числе и создание механизмов для предотвращения внутренних угроз.
Контроль содержимого. Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого - это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета. Одна из приоритетных задач производителей подобных средств, - сделать так, чтобы работа системы контроля содержимого не ощущалась пользователем.
Межсетевые экраны были и являются базовым средством, обеспечивающим защиту подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защиту потоков данных, передаваемых по открытым сетям. Первое (и самое главное), что необходимо сделать для обеспечения сетевой безопасности, это установить и правильно сконфигурировать межсетевой экран (другое название – брандмауэр или firewall). Брандмауэр - в информатике - программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Брандмауэр защищает соединяемую с Интернет корпоративную сеть от проникновения извне и исключает возможность доступа к конфиденциальной информации. Правильное конфигурирование и сопровождение брандмауэра - обязанность опытного системного администратора.
Для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей лучше использовать Интернет-шлюзы или Интернет-маршрутизаторы.
Межсетевые экраны также осуществляют антивирусное сканирование загружаемого содержимого WEB или E-mail. Антивирусные базы данных обновляются через Интернет, чтобы обеспечить защиту сети по мере появления новых вирусов. Вся статистика о потоке данных, сигнализация об атаках из Интернета и сведения об активности пользователей по web-навигации сохраняются в реальном времени и могут быть предоставлены в виде отчета.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
(п. 7 ст. 2 Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»)
Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
В соответствии с требованиями, установленными ч.ч.1 - 4 Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Соблюдение требований, установленных Федеральными законами и принятыми в соответствии с ними нормативными правовыми актами возможно только с применением программных и аппаратных комплексов по защите от несанкционированного доступа.
Средства защиты конфиденциальной информации
в автоматизированных системах организаций должны отвечать целому ряду требований, таким, как надежность, масштабируемость, совместимость и соответствие законодательству.
В Российской Федерации надежность средства защиты конфиденциальной информации и соответствие технических параметров средства защиты требованиям законодательства подтверждается сертификацией ФСТЭК. В соответствии с законодательством, защита конфиденциальной информации должна происходить с использованием решений, сертифицированных ФСТЭК по требованиям руководящих документов (РД) и на отсутствие недекларированных возможностей (НДВ).
При построении подсистемы информационной безопасности необходимо учитывать необходимость её соответствия требованиям РД Гостехкомиссии России: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Так как встроенные средства безопасности операционных систем не имеют удовлетворяющего требованиям РД гибкого и надёжного механизма защиты конфиденциальной информации, организациям и компаниям следует обеспечивать безопасность конфиденциальной информации на должном уровне специальными аппаратными и программными средствами защиты.
"Кадровик. Трудовое право для кадровика", 2011, N 10
ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ
Автор обращается к проблеме обеспечения информационной безопасности организации. Основное внимание уделено коммерческой и служебной тайнам, а также особенностям работы с персоналом, владеющим конфиденциальной информацией.
Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности администрации компании в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. Для защиты информации компании требуется комплекс мер, образующих систему. В теории под системой защиты информации понимают рациональную совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке . Элементами такой системы являются меры правового, организационного, технического и др. характера.
Правовой элемент является обязательным для любого типа организации и для любой даже самой простой системы защиты информации. При его отсутствии организация не сможет должным образом защитить конфиденциальную информацию, а также привлечь к ответственности лиц, виновных в ее разглашении и утрате.
Правовой элемент, то есть меры юридического характера, направлен в основном на надлежащее оформление документов, а также на грамотную работу с персоналом организации, поскольку в основе системы защиты информации лежит человеческий фактор. Вообще, в решении проблемы информационной безопасности организации значительное место занимает выбор эффективных методов работы с персоналом, а вопросы управления персоналом включаются в число главных при обеспечении безопасности информации.
В трудовых отношениях работодатель и работник обмениваются большим объемом информации различного характера, в том числе и конфиденциальной. Например, работодатель получает доступ к персональным данным работника, а работнику становится известной закрытая информация работодателя. В настоящей статье речь пойдет именно о конфиденциальной информации работодателя.
Персонал организации
как объект и субъект угроз безопасности
В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов, а иногда и криминальных структур. Разглашение конфиденциальной информации может нанести существенный экономический ущерб организации. Очевидно, что тайный сбор сведений, информации, хищение документов, материалов, образцов, составляющих коммерческую, промышленную, служебную тайну, организуется с целью завоевать рынок, сэкономить на приобретении ноу-хау и пр. К сожалению, нередкой является ситуация, когда сотрудник какой-либо организации, желая увеличить зарплату, предлагает свою кандидатуру фирме-конкуренту и одновременно обещает принести с собой базы данных старой компании. По неофициальным данным, от "промышленного шпионажа" в той или иной форме страдают около 80% организаций.
Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.
Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна. Реализация мер кадровой службы по защите информации компании предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Типичные ошибки предприятий
Мельникова Е. И. приводит данные исследования на тему "Методы и средства защиты коммерческой тайны на предприятии", которое было проведено в Ульяновске . В нем приняли участие 40 предприятий города из числа крупного, среднего и малого бизнеса, и был сделан вывод о том, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует везде.
Согласно указанному исследованию на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео - и фотосъемочной аппаратуры. В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации. На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение. На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении).
Виды конфиденциальной информации
Конфиденциальная информация, несомненно, относится к информации ограниченного доступа. Кстати, правовой режим последней в нормативных правовых актах недостаточно определен . Какую же информацию можно отнести к конфиденциальной в предпринимательской деятельности? Как именовать такую информацию? Как документально оформить обязанность работника хранить секретную информацию работодателя?
Для определения конфиденциальной информации используются различные термины, каждый из которых не является точным и корректным: "коммерческая тайна", "служебная тайна", "инсайдерская информация", "профессиональная тайна" и пр. Несколько слов следует сказать о каждом из приведенных понятий.
Ее субъектами могут являться исключительно государственные или муниципальные служащие;
К ней может относиться лишь та конфиденциальная информация, которая становится известной лицам в силу исполнения профессиональных обязанностей, связанных с государственной или муниципальной службой;
У нее особый качественный состав .
Следует заметить, что в действующем законодательстве отсутствуют четкие ориентиры для определения сущности служебной тайны и приходится руководствоваться научными подходами.
Данный термин не подходит для использования его при определении конфиденциальной информации коммерческой компании, а также государственной организации, где государственная служба не предусмотрена.
Термин "инсайдерская информация" в дословном переводе означает внутреннюю информацию компании.
Словарь трудового права. Инсайдер (inside англ. - внутри) - лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы.
Пункт 1 ст. 1 Директивы 2003/6/ЕС определяет инсайдерскую информацию как информацию, публично не раскрытую, обладающую известной ценностью, относящуюся к одному или нескольким эмитентам финансовых инструментов либо к одному или нескольким таким инструментам, которая в случае раскрытия непременно окажет значительное влияние на котировки финансовых инструментов или соответствующих деривативов .
В отличие от стран с развитым рынком ценных бумаг, Россия до сих пор не ввела термин "инсайдерская информация" на законодательном уровне. Законопроект "Об инсайдерской информации" был отклонен. Термин не вошел в нормативную лексику. Вместо понятия "инсайдерская информации" в Федеральном законе от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг" (ред. от 11.07.2011) закреплено понятие "служебная информация". Ею признается: 1) любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах; 2) информация, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг.
В. И. Добровольский отмечает, что в мировой практике понятию "служебная информация" соответствует понятие "инсайдерская информация", так как это понятие является наиболее универсальным, включающим в себя служебную, коммерческую, конфиденциальную и т. п. информацию .
В России термин "служебная информация" также подразумевает конфиденциальную информацию, однако применяется в сфере фондового рынка. Термин "инсайдерская информация" вообще употребляется неофициально.
Относить ли информацию к конфиденциальной?
Легальное определение имеет понятие "коммерческая тайна". Это, во-первых, режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; а во-вторых, это сама информация, то есть сведения любого характера (производственные, технические, экономические, организационные и другие), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Обладатель информации имеет право отнести ее к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну, приведенный в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (ред. от 11.07.2011, далее - Закон о коммерческой тайне). Этот перечень не является закрытым, поскольку в отношении иных подлежащих раскрытию сведений Закон о коммерческой тайне ссылается на другие нормативные акты.
Таким образом, если работник пожаловался кому-то, что ему задерживают зарплату, или рассказал кому-либо об имеющихся в организации вакансиях, то такие действия не будут разглашением коммерческой тайны.
Для того чтобы защитить информацию, нередко при заключении трудового договора от сотрудника требуется соблюдение такого условия, как неразглашение коммерческой тайны организации. Помимо условий о коммерческой тайне в трудовом договоре не исключена и возможность подписания отдельного документа о защите информации, составляющей коммерческую тайну, что по своей сути является логическим завершением юридического оформления защиты информации на уровне хозяйствующего субъекта. Г. М. Колебошин справедливо указывает на то, что в литературе высказывается предложение именно о целесообразности заключения с работником дополнительного соглашения о неразглашении, которое может быть включено условием в трудовой договор или существовать в виде отдельного документа . Так, в организации может существовать локальный нормативный акт, посвященный коммерческой тайне, - положение о коммерческой тайне (далее - Положение). Принимая на работу сотрудника, который будет иметь доступ к закрытой информации, работодатель должен под расписку ознакомить его с действующими в организации локальными нормативными актами, имеющими непосредственное отношение к трудовой функции данного работника (ст. 68 ТК РФ; ст. 11 Закона о коммерческой тайне), в том числе с Положением. Оно может содержать перечень конфиденциальных сведений, который устанавливает руководитель исходя из специфики работы компании. То есть работник должен быть ознакомлен с перечнем информации, составляющей коммерческую тайну работодателя, а также с установленным режимом коммерческой тайны и мерами ответственности за его нарушение.
Если в организации не принято локальных нормативных актов, регламентирующих работу с конфиденциальной информацией, сотрудники с ними не ознакомлены, не обеспечена сохранность таких сведений, говорить о разглашении коммерческой тайны не приходится, а значит, законных претензий к работнику, разгласившему такие сведения, предъявлено быть не может, за исключением случая, когда сбор таких сведений осуществлен путем похищения документов, подкупа или угроз.
Также администрация обязана создать работнику необходимые условия для соблюдения им режима коммерческой тайны (например, предоставить сейф для хранения секретных материалов).
Итак, работник должен четко знать, что относится к коммерческой тайне организации, как она охраняется, и иметь возможность ее соблюдать.
Ответственность за разглашение
В ст. 14 Закона о коммерческой тайне указано, что лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с Законом о коммерческой тайне быть привлечено к ответственности. Если сотруднику, не ознакомленному с перечнем секретных документов, случайно в руки попал документ, из формы и текста которого ему непонятно, что эта информация относится к коммерческой тайне, ответственности за ее разглашение он также не понесет.
Не следует забывать, что к тайной информации не должно быть свободного доступа. Например, если сотрудник фирмы передал кому-либо сведения о деятельности фирмы, которые можно узнать и на сайте компании, проступком это не является.
Разглашение коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. При разглашении сведений, составляющих коммерческую тайну, работник может быть уволен по односторонней инициативе работодателя, в соответствии со ст. 81 ТК РФ.
Споры, возникшие в связи с разглашением коммерческой тайны, рассматриваются, как правило, в рамках гражданско-правовых и трудовых отношений и крайне редко доходят до уголовного преследования. Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Судебная практика по этому вопросу весьма скудна.
Действия работодателя по защите информации
Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Работодателю необходимо:
Разработать перечень информации, относящейся к коммерческой тайне;
Ограничить и регламентировать доступ к носителям информации;
Определить круг лиц, имеющих право доступа к информации;
Нанести на документы, составляющие коммерческую тайну, надпись "Конфиденциальная информация" (при этом необходимо указывать обладателя информации, его местонахождение и наименование);
Ознакомить работников с локальными актами о коммерческой тайне;
Внести в трудовые договоры, особенно с вновь принимаемыми лицами, пункт об обязательстве работника не разглашать определенную информацию работодателя.
При формулировании соглашения (договорного обязательства) об обязанности не разглашать сведения либо Положения о коммерческой тайне можно учесть опыт американских компаний, где в соглашение включаются следующие пункты :
Детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;
Краткое изложение порядка охраны конфиденциальных сведений;
Изложение мер, которые должен принимать сам работник для обеспечения сохранности данных сведений;
Перечень наказаний, которые могут последовать за разглашение конфиденциальных сведений.
Очевидно, что подобное письменное обязательство о неразглашении секретов компании не дает полных гарантий сохранения этих сведений, однако, как показывает практика, заметно снижает риск разглашения персоналом такой информации.
В документы иногда вносят пункт об обязанности сотрудника сообщать в службу безопасности компании или непосредственному руководителю о попытке постороннего лица получить любую информацию об организации, в том числе конфиденциальную, а также о случаях утери носителей информации.
Можно сделать ряд рекомендаций по поводу увольнения сотрудника, владеющего конфиденциальной информацией. При написании сотрудником заявления об увольнении необходимо последовательно выполнить следующие действия: принять все числящиеся за сотрудником документы, базы данных, носители информации и пр., принять пропуск данного сотрудника (идентификатор), ключи и печати, провести собеседование с увольняющимся сотрудником.
На собеседовании стоит напомнить лицу о том, что им были подписаны документы, обязывающие его хранить секреты компании. Некоторые авторы рекомендуют составить еще одно соглашение уже с увольняющимся лицом о неразглашении конфиденциальных данных после ухода из организации. Если опять обратиться к опыту США, то там с особенно ценными увольняющимися сотрудниками нередко заключается соглашение об оказании консультационных услуг в течение ряда лет. При этом все это время такому лицу выплачивается жалованье. Такая материальная и моральная связь с бывшим местом работы, как считается, не дает человеку поводов разглашать конфиденциальную информацию. В нашей стране такая практика в силу известных причин вряд ли может получить широкое распространение и будет применима лишь к топ-менеджерам крупных компаний.
Таким образом, действующие нормативные правовые акты не предусматривают эффективную защиту для конфиденциальной информации организации. Для того чтобы защитить внутреннюю информацию, работодателю необходимо самому позаботиться о секретах компании, правильно оформив как саму конфиденциальную информацию, так и отношения с работником, такой информацией обладающим. При выполнении указанных в настоящей статье действий организация может рассчитывать на вынесение решения в ее пользу при возможном судебном разбирательстве.
Библиографический список
1. Корнеев И. К., Степанов Е. А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.
2. Мельникова Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности // Юридический мир. 2009. N 12. С. 40 - 43.
3. Шевердяев С. Н. Конституционно-правовой режим информации ограниченного доступа // Конституционное и муниципальное право. 2007. N 1.
4. Яковец Е. Н., Смирнова И. Н. Нормативное регулирование оборота сведений, составляющих служебную тайну // Информационное право. 2009. N 4.
5. Директива 2003/6/ЕС "Об инсайдерской деятельности и рыночном манипулировании, злоупотреблениях на рынке". Directive 2003/6/EC of the European Parliament and of the Council of 28 January 2003 on insider dealing and market manipulation (market abuse). OJL 096, 12.04.2003. P. 0016 - 0025.
6. Добровольский В. И. Инсайдерская информация в мировой практике, служебная информация и коммерческая тайна в России // Предпринимательское право. 2008. N 4.
7. Колебошин Г. М. Обязанности работника в отношении коммерческой тайны работодателя // Трудовое право. 2007. N 5.
8. Ищейнов В. Я. Технология определения сведений, относимых к коммерческой тайне, и факторы риска // Делопроизводство. 2010. N 2. С. 50.
И. Погодина
зав. кафедрой
гражданского права и процесса
Владимирского государственного
университета имени А. Г. и Н. Г.Столетовых
Подписано в печать