Защита конфиденциальной информации на предприятии

Со второй половины XIX в. появляются и различные определения  понятия коммерческой тайны, в первую очередь, в сфере уголовного и  гражданского законодательства. Например, немецкое законодательство определяло коммерческую тайну как тайну  технических процессов изготовления продукции и тайну операций по ее сбыту или, как выражались более  высоким языком, тайну производства благ и тайну их распределения.

В России по Уголовному уложению 1903 г. под коммерческой тайной понимались особые употребляемые или  предполагаемые к употреблению приемы производства, а в другой редакции - индивидуальные особенности процессов производства и торговли. Тайна процессов производства классифицировалась тайной имущественной, а торговли - тайной деловой.

В России в ноябре 1917 г. коммерческая тайна была отменена. Во время НЭПа она неофициально "возродилась", но в дальнейшем использовалась лишь внешнеторговыми предприятиями  СССР при контактах с другими  странами, однако отечественной законодательной  основы под этим не было. Прекратилась и научная деятельность в этой области (31, с.78).

Во второй половине 80-х г.г. предпринимательская деятельность потребовала разработки связанных  с ней нормативных документов, в том числе касающихся коммерческой тайны. В первую очередь нужно  было сформулировать определение коммерческой тайны. Такое определение было сделано  в Законе "О предприятиях в  СССР". В нем сказано: "Под  коммерческой тайной предприятия понимаются не являющиеся государственными секретами  сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью  предприятия, разглашение (передача, утечка) которых может нанести ущерб  его интересам".

Коммерческая тайна  в современной трактовке - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам  или безопасности обладателя (32, с.13).

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение  конфиденциальности, целостности и  наличия информации. (56, с.212).

Безопасность - это  не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших  документов и обеспечению непрерывности  и/или восстановлению деятельности в случае катастроф (71, с.5 8).

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность (82, с.15).

В Доктрине информационной безопасности РФ (19) термин "информационная безопасность" обозначает состояние  защищенности национальных интересов  в информационной сфере, определяемых совокупностью сбалансированных интересов  личности, общества и государства.

Конфиденциальность - защита от несанкционированного доступа (83, с.17). Следующее определение конфиденциальности дает ФЗ "Об информации, информационных технологиях и о защите информации" (8) ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим  лицам без согласия ее обладателя.

Под безопасностью  информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых  объективных и субъективных угроз (опасностей), возникающих в обычных  условиях функционирования фирмы в  условиях экстремальных ситуаций: стихийных  бедствии, других неуправляемых событий, пассивных и активных попыток  злоумышленника создать потенциальную  или реальную угрозу несанкционированного доступа к документам, делам, базам  данных (61, с.32).

Конфиденциальность - правила и условия сохранности  передачи данных и информации. Различают  конфиденциальность внешнюю - как условие  неразглашения информации во внешнюю  среду, и внутреннюю - среди персонала.

Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать  потенциальную или реальную угрозу (опасность) несанкционированного доступа  к документам с использованием организационных  и технических каналов, в результате чего могут произойти хищение  и неправомерное использование  злоумышленником информации в своих  целях, ее модификация, подмена, фальсификация, уничтожение (68, с.36).

Секретность - правила  и условие доступа и допуска  к объектам информации (89, с.50).

Таким образом, словосочетание "информационная безопасность" не сводится исключительно к защите от несанкционированного доступа к  информации.

Это принципиально  широкое понятие. Субъект информационных отношении может пострадать (понести  убытки и/или получить моральный  ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что  конфиденциальность является синонимом  секретности, этот термин широко используется исключительно для обозначения  информационных ресурсов ограниченного  доступа, не отнесенных к государственной  тайне.

Конфиденциальность  отражает ограничение, которое накладывает  собственник информации па доступ к  ней других лиц, т.е. собственник  устанавливает правовой режим этой информации в соответствии с законом (91, с. 208). 

1.2 Ценность информации

К защищаемой информации относят: секретную информацию (сведения, содержащие гостайну), конфиденциальную (сведения, содержащие коммерческую тайну, тайну, касающуюся личной жизни и  деятельности граждан) (100, с.38).

Всегда имеются  управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам. Такая информация и соответственно документы, содержащие ее, считаются  конфиденциальными (закрытыми, защищаемыми). Документированная информация ограниченного  доступа всегда принадлежит к  одному из видов тайны - государственной  или негосударственной. В соответствии с этим документы делятся на секретные  и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в  нем сведений, составляющих в соответствии с законодательством государственную  тайну. Несекретные документы, включающие сведения, относимые к негосударственной  тайне (служебной, коммерческой, банковской, профессиональной, производственной и  др.), или содержащие персональные данные граждан, именуются конфиденциальными.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (8).

Законодательством РФ установлено, что документированная  информация (документы) является общедоступной, за исключением отнесенной законом  к категории ограниченного доступа (11).

При этом документированная  информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.

Обязательным признаком  конфиденциального документа является наличие в нем информации, подлежащей защите. Особенностью такого документа  является то, что он представляет собой  одновременно не только саму информацию - обязательный объект защиты, но и массовый носитель информации, основной источник накопления и распространения этой информации, в том числе и ее утечки. То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована. К категории конфиденциальной информации относятся все виды информации ограниченного  доступа, защищаемой законом - коммерческая, служебная, личная. За исключением государственных  секретов (94, с.78).

Информация может  быть разделена на три категории (82, с.33).

Первая - несекретная (или открытая), которая предназначена  для использования как внутри фирмы, так и вне нее.

Вторая - для служебного пользования, которая предназначена  только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:

1.  Доступную для  всех сотрудников фирмы;

2.  Доступную для  определенных категорий сотрудников,  но могущую быть переданной  в полном объеме другому сотруднику  для производства необходимой  работы.

Третья - секретная  информация (или информация ограниченного  доступа), которая предназначена  для использования только специально уполномоченными сотрудниками фирмы  и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информацию второй и третьей категории обычно называют конфиденциальной (35, с.9).

Конфиденциальную  информацию может составлять и определенная совокупность открытой информации, так  же как и определенная совокупность информации для служебного пользования  может составлять информацию ограниченного  доступа. Поэтому необходимо четко  определить условия, при которых  гриф секретности информации может  и должен быть повышен (55, с.83).

Например, в ОАО "ЧЗПСН - Профнастил" информация о деталях  заключаемых договоров, а также  о том, кто из сотрудников их заключает - конфиденциальная. В то же время  к открытой информации относятся  данные о персонале, его распределении  по отделам, служебные обязанности  сотрудников. На их сайте в новостях регулярно сообщается о том, с  какими предприятиями (по какому профилю) компания ведет переговоры, с кем  намерена заключить контракт и т.п. Понятно, что в совокупности, приведенные  три источника открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может  образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.

Условия, при которых  информация может быть отнесена к  конфиденциальной, перечислены в  ст.13 части 1 Гражданского кодекса РФ (2). К ним относятся:

1.  Действительная  или потенциальная коммерческая  ценность информации в силу  ее не известности третьим  лицам;

2.  Отсутствие  свободного доступа к этой  информации на законном основании;

3.  Принятие обладателем  информации не обходимых мер  к охране ее конфиденциальности.

Таким образом, обеспечение  конфиденциальности документной информации содержит три аспекта:

1.  Определение  состава информации, которую целесообразно  отнести к категории конфиденциальной;

2.  Определение  круга сотрудников, которые должны  иметь доступ к той или иной  конфиденциальной информации, и  оформление с ними соответствующих  взаимоотношений;

3.  Организация  делопроизводства с конфиденциальными  документами. (99, с.7-9).

Если эти условия  не будут выполняться, у организации  не будет оснований для привлечения  кого бы то ни было к ответственности  за разглашение конфиденциальной информации.

Согласно ФЗ "Об информации, информационных технологиях  и о защите информации" (8) не могут  составлять коммерческую тайну:

1.  Учредительные  документы (решение о создании  предприятия или договор учредителей)  и Устав;

2.  Документы, дающие  право заниматься предпринимательской  деятельностью (регистрационные  удостоверения, лицензии, патенты);

3.  Сведения по  установленным формам отчетности  о финансово-хозяйственной деятельности  и иные сведения, необходимые  для проверки правильности исчисления  и уплаты налогов и других  обязательных платежей в государственную  бюджетную систему РФ;

4.  Документы о  платежеспособности;

5.  Сведения о  численности, составе работающих, их заработной плате и условиях  труда, а также о наличии  свободных рабочих мест;

6.  Документы об  уплате налогов и обязательных  платежах;

7.  Сведения о  загрязнении окружающей среды,  нарушении антимонопольного законодательства, несоблюдении безопасных условий  труда, реализации продукции,  причиняющей вред здоровью населения,  а также других нарушениях  законодательства РФ и размерах  причиненного при этом ущерба;

8.  Сведения об  участии должностных лиц предприятия  в кооперативах, малых предприятиях, товариществах, акционерных обществах,  объединениях и других организациях, занимающихся предпринимательской  деятельностью.

Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и  муниципальных предприятий обязаны  представлять по требованию органов  власти, управления, контролирующих и  правоохранительных органов, других юридических  лиц, имеющих на это право в  соответствии с законодательством  РФ, а также трудового коллектива предприятия (21).