РАЗГРАНИЧЕНИЕ ИНФОРМАЦИИ ПО УРОВНЮ ДОСТУПА.

В настоящее  время проблема защиты деловой информации возникает все чаще и чаще. В наше время фирма, которая хочет занимать достойную позицию на рынке, вынуждена работать в условиях жесткой, как внутренней, так и внешней конкуренции.

Во многих компаниях  сформированы подразделения конкурентной разведки (а, в некоторых случаях, даже экономического или промышленного шпионажа), целью которых является получение конфиденциальной информации конкурирующих предприятий.

Для обеспечения  безопасности информации современного коммерческого предприятия уже  разработаны организационно-технические  меры, которые выполняются в зависимости от оснащенности организации средствами защиты и уровня понимания проблемы ее руководством и сотрудниками.   Например, согласно результатам исследования, проведенного специалистами LogicaCMG, в ходе которого были опрошены представители 350 компаний, половина фирм не имеет четко сформулированной стратегии обеспечения информационной безопасности.   71% компаний, участвовавших в опросе, полагаются на свои IT-департаменты в вопросах разработки и воплощения в жизнь политики информационной безопасности фирмы.

Вместе с тем  одним из первых встает вопрос, как  разделить информацию, циркулирующую  внутри предприятия и за его пределами и как выделить из этого объема информации ту, которая является наиболее важной и, как следствие, требует особых мер защиты. В результате появляется необходимость разделения информации на уровни доступа.

Нередко этот процесс  носит хаотичный, бессистемный и  нерациональный характер, вызванный  недостаточным пониманием важности данного процесса и некомпетентностью  лиц, занимающихся этими вопросами. В целях придания этому процессу единого алгоритма действий и четкой, последовательной системы необходимо разделить информацию на соответствующие уровни, исходя из ее содержания, ценности и важности.

Классификация информации по уровням доступа

С учетом перехода на европейские стандарты (например, ISO 17799) некоторые авторы рекомендуют применять следующую классификацию:

• открытая информация;

• конфиденциальная информация;

• строго конфиденциальная информация.

Однако в нашей  практике сложилась несколько иная классификация уровней доступа, которая представлена следующим образом:

• открытая информация (ОИ);

• для внутреннего (служебного) использования (ДВИ, ДСП);

• коммерческая тайна.

Необходимо отметить, что в некоторых источниках в  отношении коммерческой тайны применяются термин «секретная информация», что согласно пункту 3, статьи 11 «Закона о государственной тайне»( Nr. 245 от  27.11.2008) в отношении сведений, не отнесенных к государственной тайне, не допускается.  При этом необходимо отметить, что право на отнесение информации к какому-либо уровню доступа и определение перечня и состава такой информации принадлежит ее обладателю.

Принципы разделения информации на уровни доступа

(Принципом называются основополагающие нормы или правила поведения.)  Вся деятельность по защите информации основывается на определенных принципах, которыми строго руководствуются лица, принимающие участие в процессе защиты информации.   Базовыми принципами разграничения информации в предприятии являются:

1. Законность — разделение информации осуществляется с соблюдением действующего законодательства и предусмотренных законом процедур. Субъект, осуществляющий разделение информации на уровни доступа, принимает локальный внутренний нормативный акт, регламентирующий данный процесс в рамках конкретного юридического лица. В соответствии с законом, существуют некоторые ограничения, запрещающие засекречивать определенную информацию.

2. Специализация — разделение информации на уровни доступа осуществляется с привлечением квалифицированных специалистов, которые обладают необходимыми навыками и знаниями в области защиты информации. Как правило, эти специалисты организационно входят в состав службы безопасности предприятия, отделов режима и защиты информации или иных подразделений. Также, в случае необходимости для процесса могут привлекаться и иные лица обладающие необходимыми знаниями

3. Комплексность — процесс разделения информации осуществляется в едином комплексе с применением всех имеющихся в наличии сил и средств и распространяется на все подразделения предприятия.

4. Постоянство — данный процесс осуществляется не как разовое мероприятие, а ведется непрерывно, так как циркуляция информации на предприятии не прерывается и постоянно происходит переоценка той или иной информации в зависимости от времени и сложившихся условий.

5. Централизация — организация и руководство процессом разделения информации на уровни доступа осуществляется из единого центра,обладающего соответствующими полномочиями, которому подчиняются все подразделения предприятия.

Открытая  информация является первым уровнем информации для открытого доступа. Ее главное предназначение — это передача третьим лицам с целью информирования их о деятельности предприятия. В отличии от информации для внутреннего (служебного) пользования и коммерческой тайны, доступ к которым строго ограничен определенным кругом лиц, доступ к открытой информации не ограничивается и даже,наоборот, в ряде случаев одной из целей ставится ознакомление с этой информацией максимального большого круга лиц.

К открытой информации относится:

• информация, которая в соответствии с действующим законодательством не может быть ограничена в доступе (согласно статье 5 «Закона о коммерческой тайне» и статье 6 «Закона о доступе к информации»);

• информация, предназначенная для передачи вовне, формируемая службами по связям с общественностью (PR);

• рекламные и информационные сообщения;

• информация, полученная из внешних, открытых источников;

• информация, находящаяся в открытом доступе на web-сайте компании.

Существует устойчивое мнение о том, что нет необходимости защищать открытую информацию. Однако данная точка зрения сомнительна и спорна. К открытой информации также должны применяться определенные меры защиты. В частности, необходимо тщательно контролировать, какая именно информация подлежит переводу в открытый доступ, чтобы исключить в результате ошибочных или некомпетентных действийознакомления посторонних с информацией для служебного пользования или конфиденциальной информацией.

Помимо этого, также необходимые меры защиты принимаются в отношении открытой информации для того, чтобы исключить ее искажение или уничтожение, что может повлечь за собой нанесение как материального ущерба, так и ущерба деловой репутации предприятия.

Информация  для внутреннего  использования (служебного пользования — далее ДВИ или ДСП) является вторым уровнем доступа, в отношении которого, в отличии от открытой информации, применяются определенные ограничительные мероприятия. Как явствует из самого определения, к данной информации относится определенный набор сведений и данных, оборот с которыми осуществляется исключительно среди ряда сотрудников предприятия, взаимодействующих с этой информацией по служебной необходимости.   Как правило, в отношении ДВИ применяются следующие требования:

• эта информация включена во внутренний оборот между службами, отделами и подразделениями и необходима для нормального их функционирования;

• является конечным результатом работы с информацией из открытых источников (аналитической записки, коммерческой сводки, прогнозной гипотезы);

• не относится к информации, являющейся государственной тайной;

• не относится к информации, являющейся коммерческой тайной;

• не относится к открытой информации;

• доступ к ней осуществляется с соблюдением определенных процедур и мер защиты.

То есть к ДВИ можно отнести всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет значительныенегативные последствия для ее деятельности, хотя и может нанести определенный, в том числе существенный, материальный ущерб или ущерб для деловой репутации компании.

Коммерческая  тайна — третий, наивысший уровень доступа к информации, т.е. документированная информация, доступ к которой ограничивается в соответствии с законодательством республики Молдова, в частности Законом «О коммерческой тайне» от 06.07.1994г.

Под коммерческой тайной понимаются не  являющиеся  государственной тайной сведения,  связанные с производством,  технологией, управлением, финансовой и другой деятельностью хозяйствующего субъекта, разглашение (передача, утечка) которой может нанести ущерб его интересам.

Сведения, составляющие коммерческую тайну, являются собственностью субъекта  предпринимательства  либо находятся в его владении,  пользовании, распоряжении в пределах,  установленных им, в соответствии с законодательством.

Требования  к сведениям, составляющим коммерческую тайну:

Сведения, составляющие коммерческую тайну, должны соответствовать  следующим требованиям:

а) иметь действительную или потенциальную ценность для  субъекта  предпринимательства;

b) не являться общеизвестными или  общедоступными  согласно  законодательству;

с) обозначаться соответствующим образом с принятием  субъектами  предпринимательства надлежащих  мер  по  сохранению их конфиденциальности через систему классификации названных сведений,  разработку внутренних правил  их засекречивания, введение соответствующей маркировки документов и иных носителей информации, организацию секретного делопроизводства;

d) не составлять государственной тайны и не защищаться авторским и патентным правами;

е) не содержать  сведений о негативной деятельности физических и юридических лиц, способной  нанести ущерб интересам государства.

Согласно части 4 статьи 5 «Закона о коммерческой тайне» к объектам коммерческой тайны не могут относиться:

а) учредительные  документы, а также документы, дающие право на занятие предпринимательской деятельностью и отдельными видами хозяйственной деятельности, подлежащей лицензированию;

b) сведения по утвержденным формам статистической отчетности, а также отчетности о финансово-экономической деятельности и иные данные, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;

c) документы об уплате налогов и других платежей в национальный публичный бюджет;

d) документы, удостоверяющие платежеспособность;

е) сведения о  численности, составе работающих, их заработной плате и  условиях труда, а также о наличии свободных рабочих мест;

f) сведения о загрязнении окружающей среды, нарушении антимонопольного  законодательства, несоблюдении правил охраны труда, реализации продукции, причиняющей вред здоровью потребителей, а также о других нарушениях законодательства и размерах причиненного при этом ущерба.