Борзунов К.К. Системы защиты информации в ведущих зарубежных странах Ч. 1
.pdf91
«присвоение» определяется в законе максимально широко и распространяется на любое незаконное действие, включая кражу, мошенничество, сокрытие, несанкционированное копирование, изготовление зарисовок, чертежей, фотографий, пересылку, загрузку файлов и иные виды несанкционированной передачи коммерческой тайны. Уголовная ответственность устанавливается также за приобретение, покупку или владение коммерческой тайной другого лица, переданной или присвоенной без ведома ее обладателя.
Согласно этому закону раскрытие информации, являющейся коммерческой тайной, органам государственной власти в ходе предварительного следствия или иного расследования не влияет на ее правовой статус. Предоставление информации необходимо для осуществления государственных полномочий, причем законодательство устанавливает достаточные гарантии надлежащей защиты коммерческой тайны. Помимо специально предусмотренной нормы об обеспечении конфиденциальности информации, раскрываемой в ходе судебного заседания, закон устанавливает дополнительные ограничения на получение информацииорганамигосударственнойвластибезсогласияееобладателя.
Среди особенностей американского законодательства о защите коммерческой тайны следует отметить огромное внимание законодателя к мерам уголовной ответственности как к наиболее эффективному средству обеспечения прав и интересов обладателя коммерческой тайны. Считается, что предусмотренная законом гражданская ответственность (возмещение убытков) недостаточна для предотвращения информационных преступлений. Таким образом, защита коммерческой тайны осуществляется не только в частных, но и в публичных интересах – в целях обеспечения конкурентоспособности национальной экономики.
Американская судебная практика не дает однозначного ответа на вопрос, теряет ли информация статус коммерческой тайны в случае ее анонимного опубликования в сети Интернет. Так, в ряде судебных решений указывалось, что отказ в юридической защите в этом случае лишь стимулирует нарушителей законодательства публиковать неправомерно полученную информацию в сети Интернет в целях разрушения института коммерческой тайны.
Следует отметить, что суды не всегда относят к коммерческой тайне информацию, которая считается компанией (и действительно является) ценной для осуществления предпринимательской деятельности. Так, клиентская база компании может быть признана состав-
92
ляющей коммерческую тайну только в том случае, если клиенты, содержащиеся в ней, не известны в соответствующей отрасли промышленности или торговли, могут быть найдены только с применением значительных организационных и финансовых ресурсов, а на создание базы данных потребовалось значительное количество времени. В этом случае экономическая ценность клиентской базы будет заключаться именно в отсутствии аналогичной информации у конкурентов.
За нарушение прав обладателя коммерческой тайны закон предусматривает наказание в виде лишения свободы сроком до 10 лет и штрафа в размере до полумиллиона долларов США. Если субъектом преступления является юридическое лицо, штраф может достигать 5 млн долл. Повышенные наказания предусмотрены также, если кража коммерческих секретов осуществляется в интересах иностранных граждан и организаций. Кроме того, закон предусматривает конфискацию любой собственности, приобретенной с нарушением прав обладателя коммерческой тайны, а также использованной для совершения соответствующих преступных деяний. Положения о конфискации собственности наделяют федеральные органы власти полномочиями по демонтажу и изъятию компьютерных сетей, принтеров и других устройств, использованных для совершения предусмотренных законом преступлений.
В соответствии с положениями американского законодательства министр юстиции имеет право обращаться в суд с гражданским иском о получении судебного запрета на деятельность компании в целях защиты обладателя коммерческой тайны от дальнейших нарушений его прав. Подобные иски могут подаваться как отдельно, так и в рамках уголовного преследования. Во время судебного разбирательства суд может применять любые предусмотренные процессуальным законодательством меры для обеспечения конфиденциальности охраняемой законом информации.
Механизм защиты коммерческой тайны состоит из трех основных составляющих:
−реализация норм права, направленных на защиту интересов ее владельцев;
−реализация норм, установленных руководством предприятия (приказов, распоряжений, инструкций);
−деятельность специальных структурных подразделений, обеспечивающих соблюдение этих норм (подразделения режима, службы безопасности).
93
Мировой опыт в области защиты производственных секретов показывает, что только административные меры не гарантируют достижение желаемого результата, поэтому предприниматели, не отказываясь от административных мер, активно привлекают к процессу защиты конфиденциальной информации всех сотрудников фирмы. Специалисты считают, что сохранность секретов на 80 % зависит от правильного выбора, расстановки и воспитания кадров. Вторым по важности направлением защиты коммерческой тайны является ограничение доступа к секретной информации. Каждый сотрудник должен иметь доступ только к той информации, которая ему необходима в процессе выполнения прямых служебных обязанностей. Третьим направлением в работе с кадрами является проведение воспитательной работы.
Таким образом, для обеспечения защиты интеллектуальной собственности на предприятиях вводится определенный порядок работы с информацией и доступа к ней, включающий комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах или на организационно-распорядительных документах руководителя фирмы.
Эффективная защита коммерческой тайны возможна при обязательном выполнении следующих условий:
−единство в решении производственных, коммерческих, финансовых и режимных вопросов;
−координация мер безопасности между всеми заинтересованными подразделениями предприятия;
−научная оценка информации и объектов, подлежащих классификации (защите);
−разработка защитных мер до начала проведения режимных работ;
−персональная ответственность (в том числе материальная) руководителей всех уровней, исполнителей, участвующих в конфиденциальных работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ;
−включение основных обязанностей рабочих, специалистов и администрации по соблюдению требований режима в коллективный договор, контракт, трудовое соглашение, правила трудового распорядка;
−организация специального делопроизводства, порядка хранения, перевозки носителей коммерческой тайны;
94
−ведение соответствующей маркировки классифицированных (защищаемых) документов и других носителей конфиденциальных сведений;
−формирование списка лиц, уполномоченных руководителем предприятия (фирмы) классифицировать информацию и объекты, содержащие сведения, составляющие коммерческую тайну;
−оптимальное ограничение числа лиц, допускаемых к коммерческой тайне;
−наличие единого порядка доступа и оформления пропусков;
−выполнение требований по защите коммерческой тайны при проектировании и техническом оснащении специальных помещений,
впроцессе научно-исследовательских и опытно-конструкторских работ, испытаний и производства изделий, сбыта, рекламы, подписания контрактов, при проведении особо важных совещаний, в ходе использования технических средств обработки, хранения и передачи информации;
−организация взаимодействия с государственными органами власти, имеющими полномочия по контролю определенных видов деятельности предприятий и фирм;
−наличие охраны, пропускного и внутриобъектового режимов;
−плановость разработки и осуществления мер по защите коммерческой тайны, систематический контроль за эффективностью принимаемых мер;
−создание системы обучения исполнителей правилам обеспечения сохранности коммерческой тайны.
Система доступа к коммерческой тайне в США. В целях обеспечения правомерного доступа сотрудников фирмы к конфиденциальным сведениям, содержащимся в конфиденциальных документах, необходимо внедрить соответствующую систему доступа. Для этого вначале составляется перечень сведений, содержащих коммерческую тайну, определяется ценность того или иного документа и затем ему присваивается соответствующий гриф. Для коммерческой тайны в США используются разнообразные грифы: «секрет фирмы», «конфиденциально», «строго конфиденциально», «секрет производства» и т.д.
Затем составляется |
список сотрудников, допущенных к тем |
или иным документам. |
Он утверждается вице-президентом фирмы |
и является правовой основой для практической реализации доступа.
95
Система доступа к конфиденциальной информации должна отвечать следующим требованиям:
−распространяться на все виды конфиденциальных документов;
−определять порядок доступа всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию;
−определять порядок доступа к коммерческой информации представителей различных государственных служб;
−устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам;
−регламентировать права определенных должностных лиц на оформление доступа сотрудников;
−исключать возможность бесконтрольной и несанкционированной выдачи конфиденциальных документов.
Правовой основой для привлечения к ответственности за предание огласке, утерю, утечку сведений, составляющих коммерческую тайну, является их занесение в перечень сведений, составляющих коммерческую тайну. Туда же должны быть занесены сроки пересмотра грифов. Перечень доводится до сведения всех сотрудников под расписку об ознакомлении.
На многих американских фирмах конфиденциальная информация разбивается на блоки, каждому из которых присваивается свой код, а для каждого сотрудника разрабатывается и выдается ему на руки карта-предписание с перечнем тех кодов, по которым он может получить информацию, необходимую и достаточную для нормального выполнения его должностных обязанностей.
Со всеми сотрудниками, получившими доступ, в фирмах США проводятся соответствующие занятия, преследующие следующие цели:
−четкое знание сотрудником объемов охраняемой информации, за безопасность которой он несет личную ответственность;
−понимание работником характера и ценности данных, с которыми он работает, возможных способов и методов проникновения к этим данным, которыми может воспользоваться потенциальный нарушитель;
−обучение установленным правилам и процедурам хранения и защиты коммерческих сведений.
96
При организации защиты коммерческой тайны, имущественных и финансовых ценностей директор предприятия руководствуется, прежде всего, экономической целесообразностью.
Всвязи с обострением конкурентной борьбы на внутренних и внешних рынках и соответственно расширением масштабов промышленного шпионажа все большее число не только крупных, но средних и даже мелких фирм создает собственные службы безопасности. Как правило, эти службы возглавляют бывшие сотрудники правоохранительных органов либо отставные офицеры военной разведки и контрразведки. Значительную часть персонала составляют лица, имевшие ранее непосредственное отношение к вопросам обеспечения безопасности в государственных учреждениях.
Создание служб безопасности отражает объективную потребность деловых кругов в уменьшении коммерческих рисков и повышении безопасности предпринимательской деятельности.
Выявлена тенденция к расширению функций государственных и ведомственных спецслужб по обеспечению безопасности коммерческой деятельности частнопредпринимательских организаций за рубежом и содействию в формировании в них частных служб безопасности. Так, представители ФБР на предприятиях совместно с кадровым аппаратом и службой безопасности обязаны:
−проводить квалифицированную спецпроверку лиц, допускаемых к работе с секретными документами и материалами;
−создавать агентурно-осведомительную сеть;
−распространять среди персонала опыт контрразведывательного обеспечения закрепленных за ними объектов.
Впоследние годы службами безопасности введен более строгий контроль за технической и коммерческой документацией, передаваемой местными фирмами иностранным специалистам, которых разрешено знакомить лишь с материалами, имеющими особую отметку.
Службы безопасности стремятся устанавливать деловые контакты с полицейскими органами, которые располагают значительным оперативным опытом, подготовленным аппаратом сотрудников, современным техническим оснащением, разветвленным агентурным аппаратом.
Как показывает изучение американских документов, в первую очередь служебных инструкций и функциональных предписаний, частные службы безопасности в США требуют от принимаемого на
97
работу кандидата заполнения анкет, в которых обязательно указываются сведения о его прошлой жизни и деятельности, состоянии здоровья. Кроме того, требуются отзывы и рекомендации с предыдущих мест работы и документы об образовании.
Втех штатах, где это разрешено законом, проводятся испытания
спомощью «детектора лжи». Кроме того, службы безопасности совместно с психологами и врачами проводят обязательное многоуровневое психологическое тестирование в целях выявления подлинных способностей кандидата работать в неординарных, экстремальных условиях. В ряде случаев применяются весьма сложные технические системы выявления и анализа психофизических характеристик личности.
Частные службы безопасности предпочитают брать на работу бывших полицейских, сотрудников ФБР и ЦРУ, а также бывших военнослужащих, проходивших службу в разведке, контрразведке, спецчастях, погранвойсках.
Как показывает изучение опыта ведущих американских компаний, отбор кандидатов на работу в системе безопасности проводится аппаратами отделов кадров в два этапа: на первом этапе изучаются анкетные данные кандидата, на втором – осуществляется общая оценка его моральных и деловых качеств.
Данные анкеты изучаются главным образом экспертами отдела кадров. В ряде случаев для дополнительного анализа анкеты кандидата приглашают графологов, психологов, психоаналитиков, юристов в целях обеспечения полноты формулировок окончательного заключения и выявления возможных противоречий в характере проверяемого лица. Все указанные кандидатом сведения подлежат документальному подтверждению.
На основании комплексного анализа результатов проверки анкетных данных решается вопрос о целесообразности дальнейших контактов с кандидатом. В случае положительного решения с ним проводятся собеседования. Опытный специалист, используя особые методики и тесты, обращает внимание на такие негативные черты характера кандидата, как возбудимость, раздражительность, беспокойство, повышенная чувствительность и т.д. Отмеченные отрицательные моменты требуют более тщательного и углубленного изучения. Одновременно выявляются такие черты характера, как коммуникабельность, работоспособность, темперамент, которые позволяют прогнозировать его поведение в различных ситуациях.
98
Если претендент успешно проходит собеседование, он подвергается испытаниям на полиграфе («детекторе лжи»). Цель испытаний – проверка достоверности всех фактов, приведенных им в анкете и во время собеседований, а также выявление истинных мотивов и намерений кандидата при поступлении на работу в службу безопасности. После этого применяются методики исследования почерка, которые позволяют выделить черты характера, указывающие на предрасположенность данного лица к совершению нечестных поступков. Далее может следовать другой тест: кандидат в течение 30 минут должен ответить на специально подобранные 90 вопросов. Комплексный анализ ответов дает возможность психологам провести достаточно полную оценку характера кандидата с точки зрения истинных моральных и деловых качеств. По мнению экспертов, даже каждый в отдельности из упомянутых методов проверки достаточно эффективен, а в совокупности они с высокой точностью позволяют определить профессиональную пригодность данного лица к работе в системе безопасности.
Важным элементом эффективной деятельности коммерческих служб безопасности является наличие современной системы подготовки и переподготовки персонала.
ВСША в 1980-е – начале 1990-х гг. бывшими сотрудниками ЦРУ
иФБР был основан ряд учебных заведений, в которых ведется подготовка специалистов для специальных органов страны, а также для частных служб безопасности фирм и банков США. Как показывает анализ программ и учебных планов подобных заведений, их слушателей в обязательном порядке знакомят с особенностями деятельности разведывательных служб, обучают приемам выявления агентов органов разведки, разнообразным приемам обеспечения безопасности фирм и т.д. Кроме того, изучаются следующие основные направления обеспечения безопасности компаний: физическая охрана объектов, электронные системы охраны, методы проверки кадрового состава, методы противодействия промышленному шпионажу.
Вкачестве основных функций, выполняемых службой безопасности компании, можно выделить:
−обеспечение режима охраны и контроль внутриобъектовой обстановки в контролируемой зоне;
−разработка, реализация и обеспечение работоспособности технических систем защиты;
−контроль за деятельностью сотрудников организации, особенно имеющих дело с коммерческой тайной;
99
−оценка состояния внешней и внутренней безопасности компании (оценка безопасности контролируемых зон, зданий, объектов, а также прилегающих территорий);
−проведение неотложных мер в случае реализации внешней угрозы – охрана следов, улик и орудий преступления, контроль за посторонними лицами, находящимися в здании до, во время и после совершения преступления, охрана свидетелей;
−обеспечение антитеррористической защиты.
Основное требование к организации безопасности – комплексность. Для достижения главной цели, которую преследует служба безопасности, – защиты коммерческих секретов – должна применяться совокупность всех мер, средств, сил, практических решений организационного и инженерно-технического характера. Контролю подлежит не только доступ к конфиденциальной информации и документам, в которых она зафиксирована, но и доступ в помещения, где она обрабатывается и хранится. Разграничивается доступ сотрудников к конфиденциальным сведениям, устанавливается система контроля доступа в соответствующие зоны, а также система видеонаблюдения и сигнализации.
Большое внимание уделяется сохранности документов и носителей конфиденциальных сведений в процессе их хранения и использования. Компании, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать потери ключей от них или передачи их на хранение другим лицам, даже из числа особо доверенных.
Основную угрозу коммерческой тайне представляет промышленный шпионаж, субъектами которого являются компании-конкуренты, иностранные фирмы и спецслужбы, а также лица, занимающиеся подобной деятельностью в пользу конкурентов на основе коммерческой договоренности (в том числе частные детективные и сыскные агентства). В свою очередь, службы безопасности компаний должны комплексно применять различные методы и способы пресечения попыток добывания или разглашения информации, используя существующий арсенал разнообразных видов технических средств защиты. При этом не последнюю роль выполняет информационно-аналитическая функция службы безопасности, которая состоит в выявлении и предупреждении реализации угроз, поступающих как из вне, так и со стороны сотрудников компании, которые, имея разнообразную мотивацию, нередко идут на неправомерные действия.
100
К юридическим мерам относятся такие способы охраны конфиденциальности информации, которые предполагают использование различных правовых возможностей, имеющихся у обладателя информации. К ним можно отнести, в первую очередь, разработку и принятие локальных нормативных актов, таких как «Перечень сведений, составляющих коммерческую тайну», «Положение о коммерческой тайне», имеющих большое значение для обеспечения конфиденциальности информации.
В зарубежной практике применяется и такой юридический способ защиты интересов обладателей коммерческой тайны, как «соглашение о неконкуренции» – письменное обязательство увольняющегося работника не заниматься определенное после увольнения время деятельностью в той же сфере, в какой осуществляет свою деятельность работодатель.
Практика защиты коммерческой тайны в США, помимо соглашения о сохранении коммерческой тайны, подписываемого в ходе оформления на работу, предусматривает проведение специальной разъяснительной работы, которая также регламентирована соответствующими документами. Кроме того, поступающему на работу может быть предложено написать заявление, касающееся коммерческой тайны, к которой он имел доступ по месту предыдущей работы1. Речь идет о своего рода предупредительной работе, которая направлена на сохранение высокой репутации фирмы в деловом мире. В указанном заявлении нанимающийся на работу сообщает работодателю, что он обязан сохранять в тайне секреты, полученные им по прежнему месту работы. Здесь же он указывает срок сохранения такой информации в тайне, а также информирует нового работодателя о том, что эту информацию он не вправе раскрывать и использовать по новому месту работы.
Следует отметить и другое обстоятельство, касающееся увольнения работников, имевших доступ к коммерческой тайне. Практика защиты коммерческой тайны в США предусматривает написание заявления увольняющимся работником, в котором он ставит фирму в известность относительно взятых им на себя обязательств о сохранении коммерческой тайны. В заявлении служащий сообщает, что обязательства по сохранению коммерческой тайны им выполнены и что в процессе своей работы он не участвовал в какой-либо деятельности, составляющей конкуренцию фирме или противоречащей его обязательствам как служащего.
1 См.: Практика защиты коммерческой тайны в США. М. : Наука, 1990.