Разграничение информации в
современном коммерческом предприятии
В настоящее время проблема защиты конфиденциальной деловой
информации возникает все чаще и чаще. Современная компания,
которая хочет оставаться конкурентоспособной на рынке, тем
более в России, должна проводить комплекс работ по защите
конфиденциальной и иной «чувствительной» информации. Во многих
компаниях сформированы подразделения экономической разведки
(проще – экономического шпионажа), целью которых является
получение защищаемой информации от компании-конкурента.
Для обеспечения безопасности информации современного
коммерческого предприятия уже разработаны
организационно-технические меры, которые выполняются в меру
оснащенности организации средствами защиты и согласно уровню
понимания проблемы ее руководством и сотрудниками.
Однако, как правило, возникает вопрос, как выбрать ту
информацию, которую следует защищать, так как подвергать этой
процедуре всю информацию, циркулирующую по ЛВС
(локально-вычислительной сети) компании, не имеет смысла хотя бы
по экономическим соображениям. Вот здесь и возникает
необходимость разделения информации по уровням – грифам.
Данный процесс, к сожалению, часто приобретает спонтанный
характер. В некоторых случаях, когда во главу угла ставятся
требования современных западных стандартов (например, ISO
17799), используют следующую классификацию:
- открытая информация;
- конфиденциальная информация;
- cтрого конфиденциальная информация.
Такое деление не является правильным с учетом нормативных
документов, действующих на территории РФ. Согласно действующему
законодательству Российской Федерации можно применить следующее
разграничение информации по грифу конфиденциальности:
- открытая информация (ОИ);
- для внутреннего использования (ДВИ);
- конфиденциальная информация (КИ).
При этом необходимо отметить, что право на отнесение
информации к какому-либо грифу конфиденциальности и определение
перечня и состава такой информации принадлежит ее обладателю.
Базовыми принципами защиты информации являются
конфиденциальность, целостность и доступность, соблюдение
которых есть необходимое условие обеспечения безопасности
различных категорий информации.
Открытая информация
К открытой информации относится:
- информация, подписанная руководством, для передачи вовне
(например, для конференций, презентаций и т. п.);
- информация, полученная из внешних открытых источников;
- информация, находящаяся на внешнем web-сайте компании.
ОИ важно соблюдение принципов целостности и доступности.
Многие считают, что защищать открытую информацию не имеет
смысла. Однако это не так. Согласитесь, подмена первой страницы
на web-сайте компании, в зависимости от того, чем именно она
будет заменена, может привести к тем или иным нежелательным
последствиям различной тяжести.
Информация для внутреннего использования
К информации ДВИ относится любая информация, используемая
сотрудниками в рамках своих подразделений, тематических групп,
которая:
- циркулирует между подразделениями и необходима для
нормального их функционирования;
- является результатом работ с информацией из открытых
источников (например, дайджест новостей по
телекоммуникационному рынку для руководства);
- не относится к информации конфиденциального характера;
- не относится к открытой информации.
То есть к ДВИ можно отнести всю внутреннюю информацию,
циркулирующую в сети компании, потеря которой не влечет
губительных последствий для ее деятельности.
Для ДВИ необходимо соблюдение следующих принципов:
целостности, доступности и конфиденциальности (при выходе ее за
пределы ЛВС компании).
Конфиденциальная информация
Конфиденциальная информация – документированная информация,
доступ к которой ограничивается в соответствии с
законодательством Российской Федерации, не являющаяся
общедоступной информацией и в случае разглашения способная
нанести ущерб правам и охраняемым законом интересам
предоставившего ее лица.
Документированная информация (документ) – зафиксированная на
материальном носителе информация с реквизитами, позволяющими ее
идентифицировать.
Перечень сведений конфиденциального характера изложен в Указе
Президента РФ № 188 и в общих чертах относит к таковым следующую
информацию: персональные данные, сведения, составляющие тайну
следствия и судопроизводства, служебную, профессиональную и
коммерческую тайну и сведения о сущности изобретения, полезной
модели или промышленного образца до официальной публикации
информации о них.
Для защиты КИ необходимо соблюдение принципов
конфиденциальности, целостности и доступности.
В современной компании (например, телекоммуникационной)
конфиденциальная информация может подразделяться на следующие
категории:
- персональные данные;
- служебная информация;
- коммерческая тайна;
- профессиональная тайна.
Персональные данные – сведения о фактах, событиях и
обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность. Персональные данные на всех
работников компании обычно хранятся в отделе кадров. При этом
компания несет ответственность перед работниками в соответствии
с законодательством Российской Федерации за нарушение режима
защиты, обработки и порядка использования этой информации.
Служебная информация – служебные сведения, доступ к
которым ограничен органами государственной власти в соответствии
с Гражданским кодексом РФ и федеральными законами.
Служебная информация – информация органов государственной
власти, которую они передают в коммерческие структуры. Отнесение
информации к грифу «служебная информация» проводится только
органами государственной власти. Например, защита служебной
тайны для отрасли связи РФ определена Приказом Министерства РФ
по связи и информатизации № 62 от 20.05.03 «О введении в
действие СТР-К».
Коммерческая тайна – информация, не являющаяся
государственными секретами, связанная с производственной,
технической, технологической информацией, управлением финансовой
и другой деятельностью предприятия, разглашение (передача,
утечка) которой может нанести ущерб его интересам.
К сожалению, закон «О коммерческой тайне», который помог бы
расставить все по своим местам, до сих пор не принят. Целью
законопроекта «О коммерческой тайне» является, как это указано в
п. 1 ст. 1, «предупреждение недобросовестной конкуренции и
обеспечение условий для создания и эффективного функционирования
рынков товаров и услуг в Российской Федерации». Иначе говоря,
проект направлен на установление баланса между интересами
хозяйствующих субъектов, общества и государства, то есть
недопущение вмешательства в деятельность предприятий, с одной
стороны, и защиту общества от необоснованного ограничения
предприятиями доступа к информации о своей деятельности – с
другой. При этом необходимо отметить, что положения проекта
основаны на нормах п. 2 ст. 34 Конституции Российской Федерации,
в соответствии с которыми «не допускается экономическая
деятельность, направленная на монополизацию и недобросовестную
конкуренцию». Другим конституционным основанием данного проекта
являются нормы п. 1 ст. 44, направленные на защиту свободы
творчества и интеллектуальной собственности. Указанный
законопроект также развивает ст. 139 «Служебная и коммерческая
тайна» Гражданского кодекса РФ.
В ожидании принятия проекта попробуем сами определить
критерии отнесения информации к рассматриваемой категории.
К коммерческой тайне может относиться научно-техническая,
технологическая, производственная информация, в том числе
секреты производства (ноу-хау), финансово-экономическая и иная
информация, которая имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам, к
которой нет свободного доступа на законном основании и к охране
конфиденциальности которой обладатель коммерческой тайны принял
следующие меры:
- определил перечень информации, составляющей коммерческую
тайну;
- ограничил свободный доступ к ней путем установления
порядка обращения с этой информацией и контроля его
соблюдения;
- организовал договорное регулирование отношений с
работниками и с контрагентами по вопросам условий передачи и
использования информации, составляющей коммерческую тайну;
- нанес на материальные носители информации, составляющей
коммерческую тайну, и (или) сопроводительные документы гриф
«Коммерческая тайна» с указанием ее обладателя.
Режим коммерческой тайны считается установленным после
принятия обладателем коммерческой тайны указанных мер.
Основными признаками коммерческой тайны современного
предприятия является конфиденциальность сведений, отношений,
переписки и переговоров между сторонами или сделок. К другим
признакам коммерческой тайны, проявляющимся при ее разглашении,
относятся:
- нанесение экономического ущерба компании;
- возникновение у компании убытков в виде упущенной выгоды;
- снижение экономической, технической эффективности
деятельности компании, в том числе и внешнеэкономической;
- нанесение ущерба имиджу компании и дискредитация его как
добросовестного, надежного партнера по внешнеэкономической и
иной деятельности;
- нанесение ущерба престижу и репутации партнера, с которым
заключается или осуществлена коммерческая сделка.
Одна и та же информация, правомерно полученная или
самостоятельно созданная разными лицами, может одновременно
составлять коммерческую тайну каждого такого лица.
Необходимо не забывать о существовании еще одного «подвида»
конфиденциальной информации – профессиональной тайны.
Профессиональная тайна – сведения, связанные с
профессиональной деятельностью, доступ к которым ограничен в
соответствии с Конституцией Российской Федерации и федеральными
законами. В части компании, занимающейся предоставлением услуг
связи, – это информация операторов связи и иных клиентов,
которая передается и обрабатывается в
информационно-телекоммуникационных ресурсах компании.
Итак, мы рассмотрели принципы, которыми можно
руководствоваться при категорировании производственной
информации, соблюдая положения ныне действующего
законодательства РФ в данной области. Вместе с тем, без принятия
законов, которые бы четко оговаривали все условия отнесения тех
или иных сведений к коммерческой тайне или персональным данным,
отечественный предприниматель будет продолжать сталкиваться с
многочисленными трудностями в случаях нарушения своих прав в
рассматриваемой области.
Д. Костров
Защита информации. Конфидент # 2, 2004
Источник:
Защита информации. Конфидент
|