Тема 9. Современная нормативная база по защите информации; состав защищаемой информации; федеральные службы организующие защиту информации , полномочия органов власти, специальных федеральных органов и предприятий в области защиты информации.

Лекция 18. Нормативно-правовое обеспечение защиты конфиденциальной информации и персональных данных в Российской Федерации

Учебные вопросы:

1.Конфиденциальная информация, основные определения и термины. Законодательная и нормативная база правового регулирования вопросов защиты конфиденциальной информации.

2.Законодательная и нормативная база правового регулирования вопросов защиты персональных данных . Руководящие документы по защите персональных данных.

1.Конфиденциальная информация, основные определения и термины. Законодательная и нормативная база правового регулирования вопросов защиты конфиденциальной информации.

Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя[1].

Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны. В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления, или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе)[2].

Служебная тайна — информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства [3].

Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).

С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.

На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности. А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.

Конфиденциальность в законодательстве РФ

В законодательстве РФ есть отдельный закон №98-ФЗ определяющий конфиденциальность, а также действует Указ Президента 1997 года (с изменениями 2005 года) об утверждении перечня сведений конфиденциального характера.

Кроме того, в ГОСТ 17799-2005 конфиденциальность определена, как "обеспечение доступа к информации только авторизованным пользователям."

27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение: Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания

Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.

Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.

Лица, виновные в нарушении требований Федерального закона о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность в рамках уголовного кодекса РФ.

1. Понятие служебной тайны и её защита

В соответствии со ст. 139 ГК РФ "тайна" есть определенная неизвестная широкому кругу лиц информация. Строго говоря, "тайной" считается и такая информация, которая вообще никому неизвестна; в этом случае "тайна" есть нечто непознанное.

Более сложно дать определение понятию "служебная тайна". Проще говоря, служебная тайна - это информация, доступ к которой ограничен органами государственной власти и федеральными законами (сведения об усыновлении, вкладах граждан в различного рода банки, характере заболеваний пациентов и т. д.). Согласно ст.139 ГК РФ информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к ней нет свободного доступа на законном основании и обладатель примет меры к охране её конфиденциальности.

Потенциальными носителями служебной тайны являются, как минимум, все служащие, которые работают в государственных органах, органах законодательной, исполнительной и судебной власти, а также в подведомственных им предприятиях, учреждениях и организациях. Сейчас актуальным становится защита конфиденциальной информации, функционирующей в режиме служебной тайны.

Структура данного правового режима включает порядок документирование информации, установление права собственности на соответствующие информационные ресурсы, ограниченного доступа и правовую защиту. См. ст.ст. 2, 4, 10 ФЗ «Об информации, информатизации и защите информации» № 24 - ФЗ от 20.02.1995г. (в редакции от 10.02.2003г.) Таким образом, к числу основных обязанностей государственных служащих (ст.15, ч.ч. 1-7) относят запрет на разглашение сведений, составляющих государственную или иную охраняемую федеральным законом тайну, а также сведения, ставших ему известными в связи с исполнением должностных обязанностей, в том числе информации о частной жизни и здоровье граждан или затрагивающей их честь и достоинство. Аналогичная формулировка содержится и в иных федеральных законах, регулирующих отдельные виды государственной службы. Например, это п.7 ст.17 ФЗ от 21.07.1997г. № 144-ФЗ «О службе в таможенных органах» (в редакции от 01.12.2003г.) Тут существует несколько противоречий.

Сведения о частной жизни и здоровье граждан не являются охраняемой законом тайной. Но эти сведения устанавливает Конституция (ст.23). Сведения, ставшие известны госслужащему в процессе его обязанностей, законодатель также не относит к охраняемой законом тайне. Режим тайны этих сведений устанавливает Федеральный Закон «О государственной гражданской службе» в ст.17, запрещая её разглашение. При этом режим их тайны сведений установлен, а конфиденциальность - нет.

Основным правовым актом определяющим отношение к конфиденциальной информации является Федеральный закон №98-ФЗ «О коммерческой тайне» 2004 года.

Основные понятия, используемые в настоящем Федеральном законе №98-ФЗ

Для целей настоящего Федерального закона используются следующие

основные понятия:

1) коммерческая тайна - конфиденциальность информации, позволяющая

ее обладателю при существующих или возможных обстоятельствах увеличить

доходы, избежать неоправданных расходов, сохранить положение на рынке

товаров, работ, услуг или получить иную коммерческую выгоду;

2) информация, составляющая коммерческую тайну, -

научно-техническая, технологическая, производственная,

финансово-экономическая или иная информация (в том числе составляющая

секреты производства (ноу-хау), которая имеет действительную или

потенциальную коммерческую ценность в силу неизвестности ее третьим

лицам, к которой нет свободного доступа на законном основании и в

отношении которой обладателем такой информации введен режим коммерческой

тайны;

3) режим коммерческой тайны - правовые, организационные, технические

и иные принимаемые обладателем информации, составляющей коммерческую

тайну, меры по охране ее конфиденциальности;

4) обладатель информации, составляющей коммерческую тайну, - лицо,

которое владеет информацией, составляющей коммерческую тайну, на законном

основании, ограничило доступ к этой информации и установило в отношении

ее режим коммерческой тайны;

5) доступ к информации, составляющей коммерческую тайну, -

ознакомление определенных лиц с информацией, составляющей коммерческую

тайну, с согласия ее обладателя или на ином законном основании при

условии сохранения конфиденциальности этой информации;

6) передача информации, составляющей коммерческую тайну, - передача

информации, составляющей коммерческую тайну и зафиксированной на

материальном носителе, ее обладателем контрагенту на основании договора в

объеме и на условиях, которые предусмотрены договором, включая условие о

принятии контрагентом установленных договором мер по охране ее

конфиденциальности;

7) контрагент - сторона гражданско-правового договора, которой

обладатель информации, составляющей коммерческую тайну, передал эту

информацию;

8) предоставление информации, составляющей коммерческую тайну, -

передача информации, составляющей коммерческую тайну и зафиксированной на

материальном носителе, ее обладателем органам государственной власти,

иным государственным органам, органам местного самоуправления в целях

выполнения их функций;

9) разглашение информации, составляющей коммерческую тайну, -

действие или бездействие, в результате которых информация, составляющая

коммерческую тайну, в любой возможной форме (устной, письменной, иной

форме, в том числе с использованием технических средств) становится

известной третьим лицам без согласия обладателя такой информации либо

вопреки трудовому или гражданско-правовому договору

Статья 4. Право на отнесение информации к информации, составляющей

коммерческую тайну, и способы получения такой информации

1. Право на отнесение информации к информации, составляющей

коммерческую тайну, и на определение перечня и состава такой информации

принадлежит обладателю такой информации с учетом положений настоящего

Федерального закона.

2. Информация, самостоятельно полученная лицом при осуществлении

исследований, систематических наблюдений или иной деятельности, считается

полученной законным способом несмотря на то, что содержание указанной

информации может совпадать с содержанием информации, составляющей

коммерческую тайну, обладателем которой является другое лицо.

3. Информация, составляющая коммерческую тайну, полученная от ее

обладателя на основании договора или другом законном основании, считается

полученной законным способом.

4. Информация, составляющая коммерческую тайну, обладателем которой

является другое лицо, считается полученной незаконно, если ее получение

осуществлялось с умышленным преодолением принятых обладателем информации,

составляющей коммерческую тайну, мер по охране конфиденциальности этой

информации, а также если получающее эту информацию лицо знало или имело

достаточные основания полагать, что эта информация составляет

коммерческую тайну, обладателем которой является другое лицо, и что

осуществляющее передачу этой информации лицо не имеет на передачу этой

информации законного основания.

Правовая защита информации в режиме служебной тайны основана на системе уголовных и административных санкций за преступления и правонарушения, объектом которых оказывается обращение с этой информацией. Это касается не только распространения, но и других видов противоправных действий. Так, в Уголовном кодексе РФ Уголовный кодекс РФ № 63-ФЗ от 13.06.1996г. (в редакции 28.12.2004г.) имеются составы, которые устанавливают уголовную ответственность за непредоставление информации, в том числе и сведений, функционирующих в режиме служебной тайны. Ст.140 УК РФ - отказ гражданину предоставить информацию - охраняет положения ст.24 Конституции РФ - право на информацию, непосредственно затрагивающую законные права и интересы граждан. Нарушение этого права может проявляться не только в отказе, но и в предоставлении неполной или заведомо ложной информации. Часть 2 ст.287 УК РФ предусматривает уголовную ответственность за отказ в предоставлении информации Федеральному Собранию РФ или Счётной Палате РФ лицом, занимающим государственную должность Российской Федерации или её субъекта. Объективная сторона может выражаться в неправомерном отказе, в уклонении от предоставления информации, в предоставлении заведомо ложной информации, неполной информации.

Другая группа составов предусматривает уголовную ответственность за нарушение режима функционирования информации в электронном виде. Это преступления в сфере компьютерной информации. Неправомерный доступ к ней со стороны (ст.272 УК РФ) может проявляться со стороны их сотрудников, органов исполнительной власти и может выражаться, например, в просмотре закрытой информации или даже внесении изменений в базу (банк) данных, в программное обеспечение.

1.2 Понятие коммерческой тайны

В пункте 2 ч.1 ст.3 Федерального Закона от 29.07.2004 г. №98-ФЗ «О коммерческой тайне» информация, составляющая коммерческую тайну, определяется как научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны. Ст.139 ГК РФ, полностью повторяя первые два из перечисленных условий отнесения информации к коммерческой тайне, в качестве третьего закрепляет принятие обладателем информации мер к охране её конфиденциальности. При этом ГК РФ не приводит границы между коммерческой и служебной тайной, распространяя одинаковые признаки на оба понятия. Таким образом, законодательство использует фактически одинаковые признаки для определения трёх понятий: информация, составляющая секрет производства (ноу-хау); информация, составляющая коммерческую тайну; информация, составляющая служебную тайну.

Исходя из изложенного, возникают некоторые вопросы. Во-первых, есть ли различия между информацией, составляющей коммерческую и служебную тайну или это синонимы? На наш взгляд, признак коммерческой ценности к служебной тайне неприменим Однако информация, составляющая служебную тайну, может иметь экономическую ценность в том смысле, что лицо, получившее к ней доступ, может продать её за определённую сумму третьим лицам, неправомерно получив тем самым доход.. Указанная ценность есть свойство приносить прибыль от использования информации её обладателем в процессе предпринимательской деятельности. Служебную же тайну составляют сведения, доступ к которым ограничен органами государственной власти Поэтому то, что названо служебной информацией на рынке ценных бумаг в гл.8 Федерального Закона от 22.04.1996г. №39-ФЗ «О рынке ценных бумаг» (действует в редакции от 28.07.2004г.), на самом деле является информацией, связанной с профессиональной деятельностью.. Следовательно, такая информация используется этими органами для государственно-властных (публичных) функций, а потому несовместима с предпринимательской деятельностью. Мы видим, что коммерческая тайна отличается от служебной тайной как минимум по двум признакам:

a) по субъекту, устанавливающему перечень сведений, относимых к служебной или коммерческой тайне;

b) по сфере использования.

Разновидностью коммерческой или служебной тайны нельзя считать банковскую тайну. Банковская тайна - обособленная группа сведений, связанных с профессиональной деятельностью кредитных организаций, Банка России и Агентства по страхованию вкладов (АСВ), доступ к которой ограничен на основании ст.857 ГК РФ и ст.26 Федерального закона от 2.12.1990 г. № 395-I «О банках и банковской деятельности» (действует в редакции с 29.07.2004 г.).

Во-вторых, как соотносятся понятия «коммерческая тайна» и «информация, составляющая секрет производства (ноу-хау)? До принятия ФЗ «О коммерческой тайне» буквальное толкование ст.151 Основ гражданского законодательства и ст.139 ГК РФ позволяло прийти к выводу о совпадении указанных понятий. Теперь в ст.3 ФЗ «О коммерческой тайне» чётко закреплено, что ноу-хау - один из видов информации, составляющей коммерческую тайну. Понятие «ноу-хау» дословно означает «знать, как» (сокращённо от «знать, как делать»). Впервые этот термин был применён в американской судебной практике в 1916 г. и стал использоваться в правовой литературе большинства стран.

В-третьих, идентичны ли понятия «коммерческая тайна» и «информация, составляющая коммерческую тайну»? Полагаем, что они соотносятся как форма и содержание. Иными словами, коммерческая тайна - содержание конфиденциальности информации, формализованное соответствующим грифом, в то время как информация, составляющая коммерческую тайну - это соответствующие сведения. Согласно п.1 ч.1 ст.3 ФЗ «О коммерческой тайне», коммерческая тайна - конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Такая формулировка подчёркивает цель и значение коммерческой тайны, а также её неразрывную связь с предпринимательской деятельностью.

Защита и обработка конфиденциальных документов

Статья 10. Охрана конфиденциальности информации

1. Меры по охране конфиденциальности информации, принимаемые ее

обладателем, должны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую

тайну, путем установления порядка обращения с этой информацией и контроля

за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей

коммерческую тайну, и (или) лиц, которым такая информация была

предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей

коммерческую тайну, работниками на основании трудовых договоров и

контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие

информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с

указанием обладателя этой информации (для юридических лиц - полное

наименование и место нахождения, для индивидуальных предпринимателей -

фамилия, имя, отчество гражданина, являющегося индивидуальным

предпринимателем, и место жительства).

2. Режим коммерческой тайны считается установленным после принятия

обладателем информации, составляющей коммерческую тайну, мер, указанных в

части 1 настоящей статьи.

3. Индивидуальный предприниматель, являющийся обладателем

информации, составляющей коммерческую тайну, и не имеющий работников, с

которыми заключены трудовые договоры, принимает меры по охране

конфиденциальности информации, указанные в части 1 настоящей статьи, за

исключением пунктов 1 и 2, а также положений пункта 4, касающихся

регулирования трудовых отношений.

4. Наряду с мерами, указанными в части 1 настоящей статьи,

обладатель информации, составляющей коммерческую тайну, вправе применять

при необходимости средства и методы технической защиты конфиденциальности

этой информации, другие не противоречащие законодательству Российской

Федерации меры.

5. Меры по охране конфиденциальности информации признаются разумно

достаточными, если:

1) исключается доступ к информации, составляющей коммерческую тайну,

любых лиц без согласия ее обладателя;

2) обеспечивается возможность использования информации, составляющей

коммерческую тайну, работниками и передачи ее контрагентам без нарушения

режима коммерческой тайны.

6. Режим коммерческой тайны не может быть использован в целях,

противоречащих требованиям защиты основ конституционного строя,

нравственности, здоровья, прав и законных интересов других лиц,

обеспечения обороны страны и безопасности государства.

Информационная безопасность входит в общую систему безопасности бизнеса, однако по своему значению именно ИБ является одним из главных приоритетов в работе службы безопасности. Защита конфиденциальной информации при работе над документами, является основой информационной защиты компании.

Необходимо помнить о том, что информацию очень сложно сохранить, не дать ей уйти за пределы организации.

С появлением новых технологий (компьютеры и оргтехника) защитить информацию становится все труднее. Множество конкурентов не упустят малейшей возможности получить конфиденциальную информацию фирмы-конкурента и использовать ее в своих целях. Для того чтобы избежать утечки информации, составляющей тайну фирмы, создаются службы по контролю за документами конфиденциального характера, их передвижением и хранением в организации.

Безопасность ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

Злоумышленник - это недобросовестный конкурент, лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агенты иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельные преступные элементы, психически больные лица и др.). Понятие "злоумышленник" тесно связано с понятием "постороннее лицо", то есть любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных служб, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организационных структур, а также сотрудники данной фирмы, не имеющие права доступа в определенные помещения, к конкретному документу, информации, базе данных.

Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компанией или другой структурой (далее - фирма), является его собственной или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью.

Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность информации может также отражать ее перспективное научное, техническое или технологическое значение.

Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на два вида:

- техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п.;

- деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

Ценная информация охраняется нормами гражданского, патентного и авторского права или включается в категорию информации, составляющую тайну фирмы.

Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы, - основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, определяющем срок и уровень (гриф) ее конфиденциальности (то есть недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы.

Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране.

Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.

Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости.

Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны - государственной или негосударственной). Документы, содержащие сведения, которые составляют негосударственную тайну (служебную, коммерческую, банковскую, тайну фирмы и др.) или содержат персональные данные, именуются конфиденциальными.

Несмотря на то что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, то есть собственник устанавливает правовой режим этой информации в соответствии с законом. Вместе с тем к конфиденциальным документам нельзя относить учредительные документы, уставы предпринимательских структур, финансовую документацию, сведения о заработной плате персонала и другую документированную информацию, необходимую правоохранительным и налоговым государственным органам.

Под конфиденциальным документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые относятся к негосударственной тайне и составляют интеллектуальную собственность юридического или физического лица. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. К конфиденциальным относятся следующие документы:

- в государственных структурах - документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения (называемые в чиновничьем обиходе документами для служебного пользования), содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;

- в предпринимательских структурах и направлениях подобной деятельности - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства;

- независимо от принадлежности - документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т.п.

Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается.

Особенностью конфиденциального документа является то, что он одновременно представляет собой:

- массовый носитель ценной, защищаемой информации;

- основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;

- обязательный объект защиты.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до многих лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.

Оставшиеся конфиденциальными исполненные документы, сохраняющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятельности фирмы. Например, производственные, научно-исследовательские фирмы обладают более ценными документами, чем торговые, посреднические и др.

Документы долговременного периода конфиденциальности (программы и планы развития бизнеса, технологическая документация ноу-хау, изобретения до их патентования и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя.

Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы, обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.

Конфиденциальные документы, как и открытые, находятся в постоянном движении во времени и пространстве, что отражает их объективную сущность как носителя информации, необходимой руководителям и сотрудникам фирмы для выполнения функциональных обязанностей и принятия решений. В технологическом аспекте документооборот представляет собой процесс движения человекочитаемых (бумажных), машиночитаемых и электронных документов по установленным пунктам их учета, рассмотрения, исполнения и хранения для выполнения творческих, формально-логических и технических процедур и операций. Перемещение конфиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом.

Документооборот как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации (документов) в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации. Основной характеристикой движения информации является технологическая комплексность, то есть объединение задач, обеспечивающих управленческие, делопроизводственные и почтовые функции. Документооборот отражает весь "жизненный цикл" документа.

Принципы и направления движения конфиденциальных традиционных и электронных документов в аппарате управления фирмы едины при использовании любой технологической системы обработки и хранения документов. Методы работы с документами меняются, но технологическая взаимосвязь документооборота с процессом управления сохраняется.

При движении конфиденциальных документов по инстанциям увеличивается число источников информации (сотрудников, баз данных, рабочих материалов и т.п.), обладающих ценными сведениями, и расширяются потенциальные возможности для утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации. Каналы утраты конфиденциальной документированной информации имеются на всех стадиях и этапах движения документов, при выполнении любых процедур и операций; к ним относятся:

- кража (хищение) документа или отдельных его частей (листов, приложений, копий, схем, фотографий и др.), носителя чернового варианта документа или рабочих записей;

- несанкционированное копирование бумажных и электронных документов, баз данных, фото-, видео- и аудиодокументов, запоминание злоумышленником или его сообщником текста документа;

- тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику лично или по линиям связи, прочтение текста документа по телефону или переговорному устройству, разглашение информации с помощью мимики, жестов, условных сигналов;

- подмена документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;

- дистанционный просмотр документов и изображений дисплея с помощью технических средств визуальной разведки;

- ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);

- случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов;

- считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах;

- утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой;

- гибель документов в условиях экстремальных ситуаций.

Для электронных документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, по мнению ряда специалистов, может быть вызвана следующими факторами:

- непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (далее - службы КД), системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);

- кражи и подлоги информации;

- угрозы, исходящие от стихийных ситуаций внешней среды;

- угрозы заражения вирусами.

В соответствии с указанными угрозами формируются задачи защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.

Помимо общих для документооборота принципов защищенный документооборот основывается на ряде дополнительных принципов:

- ограничение доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;

- персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;

- персональная ответственность каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

- жесткая регламентация порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

Несколько иное содержание приобретает в защищенном документообороте принцип избирательности в доставке и использовании конфиденциальной информации. Его основу составляет действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность доставки документированной информации потребителю, но и доставка ему только той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. Избирательность распространяется не только на поступившие документы, но и на документы, которые составляются персоналом на рабочих местах или с которыми сотрудники только знакомятся.

Защищенность документопотоков достигается за счет:

- одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;

- нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

- формирования самостоятельных, изолированных потоков конфиденциальных документов и (часто) дополнительного их разделения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;

- использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов.

Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками фирмы поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. Факторами, инициирующими процесс исполнения, являются:

- получение руководителем, сотрудником (исполнителем) поступившего документа;

- письменное или устное указание вышестоящего руководителя;

- устный запрос на информацию или принятие решения от других фирм, учреждений и отдельных лиц;

- задания и поручения, включенные в рабочие планы, графики работы, должностные инструкции и другие организационные и плановые документы;

- полезная информация, полученная из реферативных и информационных сборников, рекламных изданий.

В отличие от исполнения процесс использования документа предполагает включение его в информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и решений. Для использования в работе обычно поступают законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация. Процесс ознакомления с конфиденциальным документом - это информирование сотрудника фирмы или иного заинтересованного лица, осуществляемое в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом этим руководителем решении или решении другой организационной структуры.

В ходе исполнения конфиденциальных документов могут возникнуть следующие основные угрозы:

- утрата (разглашение, утечка) ценной информации за счет ее документирования на случайном носителе, не входящем в сферу контроля службы конфиденциальных документов (КД);

- подготовка к изданию документа, не обоснованного деловой необходимостью или не разрешенного для издания, то есть документирования определенной информации;

- включение в документ избыточных конфиденциальных сведений, что равносильно разглашению тайны фирмы;

- случайное или умышленное занижение грифа конфиденциальности сведений, включенных в документ;

- изготовление документа в условиях, которые не гарантируют сохранности носителя, конфиденциальности информации;

- утеря оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчание этого факта и попытка подмены утраченных материалов;

- сообщение содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированное копирование документа или его части (в том числе на неучтенной дискете);

- утечка информации по техническим каналам;

- ошибочные действия работника службы КД, особенно в части нарушения разрешительной системы доступа к документам.

Важно, что в отличие от исполнения открытых документов исполнение конфиденциальных документов представляет собой стадию, насыщенную различными технологическими этапами и процедурами, основными из которых являются:

- установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;

- оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;

- составление и изготовление конфиденциального документа;

- издание конфиденциального документа.

Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией.

Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе; ценная информация немедленно подвергается угрозе при возникновении необходимости ее документирования. В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания) конфиденциального документа, а заблаговременно, то есть до создания будущего документа. Прежде чем создать документ, следует установить, является ли данная информация конфиденциальной и какой уровень грифа конфиденциальности ей должен быть присвоен в случае положительного ответа.

Своевременное установление грифа конфиденциальности сведений, подлежащих включению в будущий документ, - первый и основной элемент защиты документированной информации, позволяющий обеспечить относительно надежную безопасность тайны фирмы.

Основу присвоения документу грифа конфиденциальности должны составлять: перечень конфиденциальных сведений фирмы, требования партнеров, а также перечень конфиденциальных документов фирмы. Система грифования документов не гарантирует сохранности информации, однако позволяет четко организовать работу с документами, в частности сформировать систему доступа к документам персонала.

Гриф конфиденциальности, или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу, представляет собой реквизит (элемент, служебную отметку, помету) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.

Информация и документы, отнесенные к коммерческой (предпринимательской) тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации:

- первый, массовый, уровень - грифы "Конфиденциально", "Конфиденциальная информация";

- второй уровень (достаточно редкий) - грифы "Строго конфиденциально", "Строго конфиденциальная информация", "Особый контроль" - они присваиваются документу лично первым руководителем фирмы, им изменяются или отменяются. Использование и хранение этих документов также организуется первым руководителем с возможным привлечением руководителя службы КД;

- на документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф "Для служебного пользования" ("ДСП").

Гриф ограничения доступа на документе пишется полностью, то есть не сокращается. Под обозначением грифа указываются номер экземпляра документа, срок действия грифа и иные условия его снятия. Обычно гриф располагается на первом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и документах, записанных на любых машинных носителях, гриф обозначается на всех листах. Ниже грифа или ниже адресата могут обозначаться ограничительные пометы: "Лично", "Только в руки", "Только адресату", "Лично в руки" и др. При регистрации конфиденциального документа к его номеру добавляется сокращенное обозначение грифа конфиденциальности.

Документы и информация, конфиденциальные в целом, в своей массе (например, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т.д.), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к ним персонала.

На ценных, но не конфиденциальных документах может проставляться помета (отметка, надпись, штамп), предполагающая особое внимание к сохранности таких документов: "Собственная информация фирмы", "Информация особого внимания", "Копии не снимать", "Хранить в сейфе" и др. Могут использоваться дополнительные цветовые идентификаторы ценных и конфиденциальных документов и дел для их быстрого визуального выделения и контроля использования в процессе работы персонала.

Информация - это один из ресурсов предприятия, без которого четкой и слаженной работы не получится. А конфиденциальная информация дает фирме возможность, изобретая что-то новое, достигать вершин, не покоренных никем в области деятельности этого предприятия благодаря защищенности информации. Исходя из важности этой информации, появляется риск для фирмы создателя лишится столь ценного ресурса. Во избежание неприятностей, связанных с утратой или хищением информации в организациях, создаются службы КД.

Представители службы в организации следят за конфиденциальными документами и сведениями, за оборотом документов в организации, создают базы данных для компьютеров и картотеки для бумажных носителей, уничтожают пронумерованные черновики конфиденциального документа, хранят документы, имеющие ценность для фирмы, и уничтожают их в установленном порядке.

Защита конфиденциальной информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры обработки или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.

Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.

1.3 Режим коммерческой тайны и ответственность за нарушение режима коммерческой тайны

Режим коммерческой тайны, в соответствии со ст.3 ФЗ «О коммерческой тайне», - это правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране её конфиденциальности. Именно установление основ правового режима коммерческой тайны и составляет предмет регулирования ФЗ «О коммерческой тайне». Анализ его норм позволяет выделить следующие составляющие правового режима коммерческой тайны:

· виды информации, которые могут быть отнесены к коммерческой тайне;

· перечень сведений, которые не могут составлять коммерческую тайну;

· порядок отнесения сведений к информации, составляющей коммерческую тайну;

· порядок предоставления информации, составляющей коммерческую тайну;

· меры по охране коммерческой тайны.

Режим коммерческой тайны не может быть установлен в отношении сведений, перечисленных в ст.5 ФЗ «О коммерческой тайне». Правом относить ту или иную информацию (с учётом перечня сведений, не могущих составлять коммерческую тайну) к информации, составляющей коммерческую тайну, и определять её перечень и состав, наделён обладатель информации. Для того чтобы режим коммерческой тайны мог считаться установленным, необходимо принятие мер по охране конфиденциальности информации, которые можно свести в три группы:

1. меры, вводимые локальным актом юридического лица. К ним относится определение перечня информации, составляющей коммерческую тайну; установление порядка обращения с этой информацией, т.е. ограничение доступа к ней; учёт лиц, получивших доступ к информации, составляющей коммерческую тайну.

2. меры договорно-правового характера, регулирующие отношения по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и конрагентами на основании гражданско-правовых, в том числе предпринимательских, договоров.

3. меры формально-информационного характера - вводятся путём нанесения на документы грифа «Коммерческая тайна» с указателем обладателя этой информацией (для юридических лиц - полное наименование и местонахождение; для индивидуальных предпринимателей - фамилия, имя, отчество и место жительство).

Следует обратить внимание, что согласно ч.2.ст.10 ФЗ «О коммерческой тайне» режим коммерческой тайны считается установленным только после принятия всех перечисленных мер в совокупности: введение одной или нескольких мер не влечёт признание данного режима установленным. Исключение сделано для индивидуальных предпринимателей, не имеющих работников.

Говоря о возникновении и пределах ответственности за нарушение режима коммерческой тайны (нарушение может выражаться в разглашении коммерческой тайны, передаче информации третьим лицам, а также в использовании информации в личных целях), следует различать 3 ситуации:

1. лицо получило доступ к коммерческой тайне в результате своих противоправных действий;

2. контрагент нарушил режим коммерческой тайны, к которой он имел доступ на основе договора о передаче коммерческой тайны;

3. работник нарушил режим служебной коммерческой тайны, к которой он имел доступ.

В первом случае, противоправный доступ к коммерческой тайне порождает гражданско-правовое обязательство, возникающее вследствие причинения вреда. Ответственность нарушителя заключается в обязанности возместить обладателю коммерческой тайны причинённый ущерб в полном объёме (п.1 ст.1064 ГК). Существует два способа возмещения вреда: возмещение вреда в натуре и возмещение убытков (ст.1082 ГК). Убытки включают реальный ущерб и упущенную стоимость. П.7 ч.2 ст.7 ФЗ «О коммерческой тайне» также устанавливает, что обладатель информации, составляющей коммерческую тайну, имеет право требовать возмещение убытков от лица, которое разгласило, незаконно получило или незаконно использовало указанную информацию.

Во втором случае, нарушение режима коммерческой тайны договорным контрагентом влечёт ответственность в соответствии с законом ( глава 25 ГК «Ответственность за нарушение обязательств; ст.12 ФЗ «О коммерческой тайне»). Основания и размер этой ответственности могут быть изменены договором. В ст.393 ГК указывается, что должник обязан возместить кредитору убытки, причинённые неисполнением или ненадлежащим исполнением обязательства. Таким образом, из ст.393 ГК автоматически вытекает право потерпевшей стороны требовать от нарушителя - договорного контрагента - полного возмещения ущерба. Основная сложность, связанная с судебным взысканием убытков, состоит в необходимости доказывания их размера. Обладатель коммерческой тайны должен с помощью документов доказать величину своих убытков.

В последнем случае, ответственность работника за нарушение режима служебной коммерческой тайны регулируется в основном статьями 11 и 14 ФЗ «О коммерческой тайне». Рассматривая вопрос об ответственности работника за разглашение служебной коммерческой тайны, надо различать два случая:

· разглашение имело место в период трудового договора;

· разглашение имело место после прекращения (или расторжения) трудового договора.

Если работник разгласил служебную коммерческую тайну в период действия трудового договора, то он обязан возместить работодателю причинённый ущерб (а не убытки!) - п.4 я.3. ст.11 ФЗ «О коммерческой тайне». Под ущербом здесь понимается «реальный ущерб», как он определяется в ст.15 ГК РФ - это расходы, которые обладатель коммерческой тайны произвёл или должен будет произвести для восстановления нарушенного права. Кроме взыскания ущерба с работника, к нему в соответствии с ч.2 ст.14 ФЗ «О коммерческой тайне» могут быть применены меры дисциплинарной ответственности, т.е. замечание, выговор или увольнение.

Если работник разгласил служебную коммерческую тайну в тот период, когда он уже не состоит в трудовых отношениях, но ещё обязан хранить тайну (3 года - по Закону или в течение иного срока - по соглашению), то он обязан возместить убытки работодателя (ч.4 ст.11 ФЗ «О коммерческой тайне»)..