Системы защиты информации в ведущих зарубежных странах. Ч. 2

81

ным законодательствами, а также законодательством о недобросовестной конкуренции. Основные нормативные правовые акты – закон «О нарушении конфиденциальности» 1981 г., «Соглашение о торговых аспектах интеллектуальной собственности», принятое в рамках ВТО и действующее с 1 января 1995 г., направленное на унификацию правил коммерческого оборота интеллектуальной собственности в странах – членах ВТО, закон «О частных предприятиях безопасно-

сти» 2001 г.

ВВеликобритании охрана коммерческой тайны основывается на концепции обычного права «нарушения оказанного доверия» или «злоупотребление доверием».

Вкоммерческой сфере обеспечение охраны конфиденциальности закрытых сведений осуществляется индивидуально и самостоятельно собственником информации. Необходимо обратить внимание на то, что, хотя термин «собственник» и употребляется в отношении обладателя конфиденциальной информации, однако никакая информация не является собственностью кого-либо в строгом понимании этого термина.

Трудовое законодательство в осуществлении правового аспекта защиты секретов фирм играет неоспоримо важную роль. Приоритет защиты коммерческой тайны в Великобритании состоит в том, что защита обеспечивается договорными обязательствами между работодателем и работником, а в рамках гражданско-правовых отношений применяется «соглашение о конфиденциальности» между контрагентами, при этом такие обязательства могут и подразумеваться. Например, в том случае, если коммерческая тайна раскрывается сторонам на этапе преддоговорных переговоров, получатель информации не должен злоупотреблять оказанным ему доверием и использовать конфиденциальные сведения в своих интересах.

Английские суды придерживаются буквального толкования оговорки о конфиденциальности и рассматривают права и обязанности сторон в соответствии с конкретными положениями договора (устного или письменного). Как правило, расширительное толкование договора не допускается. Однако это правило дополняется возможностью применения «неписаных» положений, которые вытекают из поведения лиц в соответствии с заключенным соглашением.

Объем обязательств по защите коммерческой тайны зависит, в частности, от того, на каких условиях была осуществлена передача ин-

82

формации. Так, использование информации может быть ограничено теми целями, которые оговаривались сторонами в соглашении о ее передаче. Подобные ограничения могут быть специально предусмотрены в договоре, а также могут устанавливаться, исходя из требований разумности. Помимо этого, ограничения по использованию информации могут быть также установлены в отношении третьих лиц, получивших какие-либо сведения от лица, на которое распространяется обязанность о неразглашении конфиденциальной информации. Например, если работник раскрывает своему новому работодателю конфиденциальную информацию, к которой он имел доступ на предыдущем месте работы, на нового работодателя также распространяются соответствующие ограничения.

Врамках трудовых отношений на работника возлагаются следующие обязанности:

– не разглашать конфиденциальную информацию несанкционированным лицам;

– не осуществлять копирование (или даже намеренное запоминание) конфиденциальной информации в целях использования в собственных интересах;

– не осуществлять в рабочее время деятельность, противоречащую интересам работодателя;

– после прекращения трудового договора работник не вправе использовать коммерческие секреты своего бывшего работодателя (минимум в течение двух лет).

Вцелях предотвращения разглашения коммерческих секретов работодатели включают в трудовой договор специальные положения, запрещающие работнику участвовать в конкурентной борьбе против работодателя. Учитывая, что подобные положения существенно ограничивают развитие предпринимательской деятельности, они могут быть действительны только при условии, если работодатель докажет, что они разумны и обоснованны. Данные положения трудового договора не могут использоваться для полного ограничения конкуренции,

алишь защищают законные интересы работодателя. Таким образом, условия о сохранении коммерческой тайны не могут выходить за рамки разумной защиты интересов работодателя.

Как и в российском законодательстве, в законодательстве Великобритании предусматривается защита конфиденциальности коммерческой тайны при предоставлении ее в органы государственной власти.

83

В этом случае государственные служащие, например налоговые инспекторы, полицейские, обязуются не разглашать информацию, ставшую им известной в результате исполнения служебных обязанностей. Но при этом возложение такой обязанности осуществляется посредством подписания государственными служащими специального соглашения.

Если при разрешении вопросов о нарушении конфиденциальности коммерческой тайны дело доходит до суда, то суд должен определить, имело ли место неправомерное использование переданной конфиденциальной информации или ее несанкционированное разглашение. Для этого необходимо установить следующие факты:

–работник намеренно скопировал, запомнил или переместил документы;

–работник действовал с помощью обмана или мошенничества;

–информация является собственностью работодателя, и ее использование выходит за рамки воспроизведения профессионального опыта работника;

–работник был специально предупрежден, что информация является секретной, и обязался выполнять требование о ее неразглашении;

–работник занимает руководящую должность.

По общему правилу обязанность соблюдать конфиденциальность возникает у лица либо в момент приобретения информации, либо в тот момент, когда оно узнало об этой обязанности. Такая обязанность у лица, получившего информацию, состоит в неразглашении и неиспользовании конфиденциальной информации, если только не будет дано соответствующее разрешение, а также в принятии мер для защиты информации, предотвращения ее раскрытия или использования без разрешения собственника информации. Смерть лица, предоставившего конфиденциальную информацию, не влечет автоматического прекращения обязанности соблюдать конфиденциальность.

В случае, если переданные сведения использовались иным образом, суд устанавливает соответствующий запрет и обязывает ответчика возместить причиненные убытки. Рассматривая спор между работником и работодателем, суд должен учитывать природу конкретных трудовых отношений, статус работника, уровень доступности информации и принятые работодателем меры по ее защите. После

84

прекращения трудовых отношений требования к бывшему работнику

осохранении коммерческой тайны существенно сокращаются.

Взаконодательстве Великобритании существует кодекс специальных норм, направленных на защиту конфиденциальной информации при осуществлении правосудия. В соответствии с законом «О нарушении конфиденциальности» лицо имеет право раскрывать информацию, полученную конфиденциально для целей судопроизводства только по решению суда, директиве суда или согласно другим правилам суда. Лица, которым такая информация была раскрыта в результате исполнения решения или директивы суда, должны соблюдать обязанность конфиденциальности в отношении указанной информации.

Одним из способов защиты коммерческой тайны и иной конфиденциальной информации при осуществлении судопроизводства является ведение закрытого судебного разбирательства. Это связано с тем, что для того чтобы судебное разбирательство о нарушении конфиденциальности коммерческой тайны дало результат, собственнику необходимо четко сформулировать, какая информация считается коммерческой тайной. Информация, которая раскрывается для присутствующих в закрытом судебном заседании, не становится общедоступной.

Организация защиты коммерческой тайны на конкретном предприятии или фирме в Великобритании определяется, как уже было сказано, самим собственником. Меры обеспечения сохранности информации на отдельном предприятии могут быть различны по масштабам и формам и зависеть от производственных, финансовых и иных возможностей предприятия, от количества и качества охраняемых секретов. При этом выбор таких мер необходимо осуществлять исходя из принципа разумной достаточности. Упор делается на достижении трех целей:

– конфиденциальность информации – защита от несанкционированного разглашения или раскрытия;

– целостность информации – обеспечение точности и достоверности данных;

– доступность – свойство информации, а также систем обработки и хранения информации при необходимости предоставить доступ к информации санкционированным пользователям.

85

Однако довольно часто разработанные системы защиты отличаются своей консервативностью и остаются неизменными, несмотря на непрекращающиеся обновления условий внешней и внутренней безопасности.

Проблемами защиты информации в Великобритании начали заниматься достаточно давно. В 1993 г. появились разработанные группой представителей из восьми британских фирм «Нормы управления информационной безопасностью», предназначенные руководству компаний для разработки мер по обеспечению информационной безопасности. По мнению разработчиков норм, они рассчитаны, прежде всего, на применение в малых и средних фирмах, которые до сих пор не ставили перед собой проблему обеспечения информационной безопасности. Основными принципами «Норм управления информационной безопасностью» являются:

–наличие документа, регламентирующего порядок обеспечения информационной безопасности;

–распределение ответственности за безопасность;

–обучение правилам информационной безопасности;

–информирование об инцидентах и нарушениях установленных режимов конфиденциальности информации;

–планирование непрерывности производственного процесса;

–контроль за копированием документов;

–зашита официальных документов фирмы;

–соблюдение законодательства в области защиты данных;

–соблюдение распорядка обеспечения информационной безопасности.

В настоящее время практически во всех компаниях и финансовых учреждениях имеются специальные службы по информационной безопасности, а в штатном расписании – должности специалистов по компьютерной безопасности и безопасности программного и сетевого обеспечения. Крупные компании вводят в штат дополнительную должность – сотрудника, занимающегося противодействием хищению ценной информации. Кроме того, многие компании для своей защиты имеют собственные службы безопасности. Первоначально такие службы безопасности появились в банковской и страховой сферах. Лучшие кадры полиции и спецслужб всегда стремились работать

втаких специфических подразделениях охраны и защиты частнопредпринимательских интересов. Отбор кандидатов в систему безо-

86

пасности частной предпринимательской деятельности проводится в два этапа: изучение анкетных данных кандидата; оценка моральных качеств кандидата.

При этом учитывается, что отсутствие в анкетных данных сведений о каких-либо нарушениях противоправного или этического характера не обязательно свидетельствует о честности и надежности кандидата, так как не исключено, что для их совершения просто не было соответствующих мотивов. Данные анкеты изучаются с точки зрения их полноты и наличия возможных противоречий. Все указанные кандидатом сведения подлежат документальному подтверждению.

На основании результатов проверки анкетных данных решается вопрос о целесообразности дальнейших контактов с кандидатом. В случае положительного решения с ним проводятся собеседования. Опытный специалист, используя особые методики и тесты, обращает при этом внимание на такие негативные черты кандидата, как раздражительность, беспокойство, повышенная чувствительность и т.д. Отмеченные негативные моменты в дальнейшем требуют более тщательного изучения. Одновременно выявляются коммуникабельность, манеры, темперамент и другие черты, которые позволяют прогнозировать поведение в различных ситуациях.

Если кандидат успешно проходит собеседования, он подвергается испытаниям на полиграфе («детекторе лжи»). Цель испытаний – проверка на соответствие фактов, приведенных в анкете и во время собеседований, а также мотивов и истинных намерений кандидата при поступлении на работу. Затем применяются методики исследования почерка, которые позволяют выделять черты характера, указывающие на предрасположенность к совершению нечестных поступков.

Далее следует новый тест – кандидат в течение 30 минут должен ответить на 90 специально подобранных вопросов. Анализ ответов дает возможность произвести оценку характера кандидата с точки зрения его моральных качеств. По мнению экспертов, каждый из вышеупомянутых методов и методик проверки достаточно эффективен, а в своей совокупности они позволяют с высокой степенью точности дать ответ на вопрос о пригодности того или иного лица к работе в системе безопасности.

В качестве основных функций, выполняемых службой безопасности компании, можно выделить следующие:

87

–обеспечение режима охраны и контроль внутриобъектовой обстановки в контролируемой зоне;

–разработка, реализация и обеспечение работоспособности технических систем защиты;

–учет и контроль персонала – как службы безопасности, так и сотрудников организации, особенно имеющих дело с коммерческой тайной. Данная категория персонала входит в группу риска. На них заводится учетная карточка, куда вносятся все необходимые данные;

–оценка состояния внешней и внутренней безопасности компании. Внешнее направление аналитической деятельности заключается

воценке безопасности прилегающих территорий, зон, объектов. Внимание уделяется следующим сведениям: кто проживает по соседству, имеются ли в данном районе другие охраняемые коммерческие предприятия, останавливают ли сотрудники патрульно-постовой службы подозрительных лиц в ночное время, как далеко расположен полицейский участок, сколько времени потребуется полиции, чтобы прибыть в компанию после получения сигнала тревоги;

–проведение неотложных мер в случае реализации внешней угрозы. Они включают охрану улик преступления, контроль за посторонними лицами, находящимися в здании до, во время и после совершения преступления, охрану свидетелей и другие;

–обеспечение антитеррористической защиты.

Основное свойство организации безопасности – комплексность. Если основная цель, которую преследует служба безопасности, – защита коммерческих секретов, то для достижения нужного результата применяется совокупность мер, средств, сил, практических решений организационного и инженерно-технического характера. Защите подлежит не только конфиденциальная информация и документы, в которых она зафиксирована, но и доступ в помещения, где она обрабатывается и хранится. Для этого разграничивается доступ сотрудников к конфиденциальным сведениям, устанавливается система идентификации при входе в соответствующие контролируемые зоны, а также система видеонаблюдения и сигнализации.

Великобритания имеет большой опыт в обеспечении безопасности частного предпринимательского сектора. Кроме того, в Великобритании очень развито научно-исследовательское направление в создании новых средств защиты, комплексов автоматизированного обеспечения безопасности. Государством предусмотрена защита от распро-

88

странения некачественных средств защиты. Это достигается, например, тем, что правительством Великобритании учрежден знак качества – CCT Mark – для продуктов по информационной безопасности, удовлетворяющих утвержденным стандартам. По утверждению экспертов CSIA (новое подразделение кабинета министров, работающее с партнерами в частном и государственном секторах, а также с иностранными партнерами над улучшением защиты ИТ и телекоммуникаций в стране), наличие такого знака качества поможет менеджерам по безопасности в государственном секторе и частным покупателям лучше ориентироваться в данных продуктах. Процесс сертификации занимает примерно 20 дней, стоит недорого по сравнению с другими схемами сертификации продуктов и представляет маркетинговые преимущества.

Большое значение придается сохранности документов, носителей конфиденциальных сведений в процессе их хранения. Компании, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных. В таких случаях часто используют сейфы (шкафы), открываемые с помощью специальной магнитной карты или других сложных сигнальных электронных устройств. Следует отметить, что и эта мера значительно затрудняет к ним доступ, особенно при наличии комплекса защитных (физических и технических) мер в здании, где расположен сейф или иное хранилище.

Основную угрозу коммерческой тайне представляет промышленный шпионаж, субъектами которого являются компании-конкуренты, иностранные фирмы и организации, а также лица, занимающиеся подобной деятельностью в пользу конкурентов на основе коммерческой договоренности (в том числе частные детективные и сыскные агентства). В свою очередь, службы безопасности, создаваемые в компании, должны предоставлять меры и способы пресечения попыток утечки или разглашения информации, используя арсенал разнообразных видов технических средств защиты. При этом не последнюю роль выполняет информационно-аналитическая функция службы безопасности, которая состоит в отслеживании и предупреждении реализации угроз, поступающих как извне, так и со стороны сотрудников компании, которые, имея разнообразную мотивацию, идут на совершение неправомерных действий.

89

В целом организационная сторона защиты коммерческой тайны в компаниях Великобритании, по существу, мало чем отличается от организации защиты в компаниях, организациях и предприятиях Европы, США, России. Тем более, что благодаря осуществлению международного обмена между этими странами передается и накопленный опыт в сфере информационной безопасности. Государство предоставляет компаниям поддержку в осуществлении защиты конфиденциальной информации, главным образом регулируя законодательную базу, а также развитие науки в этой сфере, обучая и квалифицируя кадры. А политику безопасности устанавливает собственник информации, исходя из анализа состояния безопасности компании.

Однако следует заметить, что нередки случаи, когда собственник относится к решению проблемы защиты коммерческой тайны не слишком тщательно, экономя средства на эту сферу. Любая компания может воспользоваться услугами профессиональных служб (хотя бы в качестве консультанта по вопросам обеспечения информационной безопасности, либо использовать их услуги постоянно на коммерческой основе).

6.5. Роль частных охранно-сыскных и детективных агентств в обеспечении защиты коммерческой тайны

В Великобритании на сегодняшний день существует самая жесткая система органов защиты информации, поскольку первоначально она создавалась в рамках государства и ради ее целей. И по сей день все организации, контролирующие защиту информации в Великобритании, подчинены правительству. В структуру системы органов защиты информации входят службы безопасности в промышленных и торговых компаниях, службы безопасности в оборонной промышленности, частные службы безопасности, объединения служб безопасности (например, ассоциация британских детективов). Численность частных детективов и охранников в Великобритании в несколько раз превышает численность штата полиции. Подавляющее большинство из них работают в различных агентствах и бюро, некоторые из которых представляют собой довольно крупные организации и имеют международный статус.

Роль частных охранно-сыскных и детективных агентств в сфере информационной безопасности Великобритании неоспорима. Средний бизнес, который не может создавать свои собственные службы

90

безопасности, может воспользоваться предлагаемыми услугами частных служб безопасности, которые часто объединяют усилия и сотрудничают друг с другом и с государственными структурами, например при обеспечении антитеррористической безопасности. Несмотря на то, что правила защиты конфиденциальной (в том числе служебной) информации создают трудности для этого нового сотрудничества, взаимодействие государственных и частных служб безопасности, осуществляемое в результате этого сотрудничества, позволяет властям получать в случае необходимости доступ к более обширным базам данных и гораздо быстрее, чем это было раньше. Кроме того, между ними существует договоренность об обмене информацией, если на охраняемой территории совершится преступление. Частные агентства – большое подспорье и для государственных правоохранительных служб, в первую очередь, по причине их большой загруженности. Государству также выгодно иметь такие частные службы охраны из-за возможности сократить расходы на полицию из государственного бюджета.

Правительство Великобритании отреагировало на требования о совершенствовании законов о частных службах безопасности тщательным изучением богатого опыта, накопленного частным сектором безопасности и расследований. В 2001 г. парламентом Великобритании был принят закон «О частных предприятиях безопасности», в соответствии с которым было создано ведомство по надзору за предприятиями безопасности. Задача новой структуры – выработка норм регулирования и лицензирования всего спектра частных услуг в сфере безопасности. Ведомство по надзору за предприятиями безопасности привлекает к обсуждению процедуры выдачи лицензий специалистов из различных секторов сферы безопасности.

Но главная опасность заключается не столько в несовершенстве и консервативности законодательства, регулирующего деятельность частных детективных и охранных служб, сколько в правонарушениях, которые совершают частные детективы и охранники с использованием своих служебных полномочий или нередко с их превышением. Бόльшая часть злоупотреблений по службе, допускаемых указанными лицами, связана с посягательствами на права человека, несоблюдением прав личности. По результатам одного из исследований, проведенного в Великобритании, уровень правонарушений и престу-