Средства защиты конфиденциальной информации. Решения по защите конфиденциальной информации и персональных данных в муниципальных, медицинских, лечебно-профилактических учреждениях

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

  • внешние, вызванные действиями других компонентов,
  • внутренние, вызванные действиями самого компонента,
  • клиентские, вызванные действиями пользователей и администраторов.
Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

  • обеспечение подотчетности пользователей и администраторов;
  • обеспечение возможности реконструкции последовательности событий;
  • обнаружение попыток нарушений информационной безопасности;
  • предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

  • применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
  • обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
  • обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

  • К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
  • Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

  • защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
  • защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
  • защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
  • защита аппаратного комплекса от побочных электромагнитных излучений;
  • управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

  1. "Разрешено все, что не запрещено".
  2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

  1. Локализация инцидента и уменьшение наносимого вреда;
  2. Выявление нарушителя;
  3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

  1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
  2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
  3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

  • основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
  • физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
  • поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

  • реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
  • для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
  • авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

  • используется асимметричный метод шифрования передаваемых данных;
  • массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
  • контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

  • реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
  • внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
  • защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

  1. Накопленные предприятием информационные ресурсы представляют ценность.
  2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

  1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
  2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.
Конфиденциальная информация – это документы (приватная информация) в электронном или бумажном виде, содержание которой доступно только определенной группе людей, а ее передача третьим лицам является грубым нарушением законодательства Российской Федерации.

Конфиденциальная информация – это коммерческая, военная, банковская, служебная или государственная тайна. Как правило, конфиденциальная информация может представлять собой особую категорию и относиться к коммерческой тайне.

Сегодня можно выделить несколько основных категорий конфиденциальной информации, каждая из которых относится к своей категории:

1. Научно-техническая. Здесь идет речь о новых идеях, открытия, патентах, оригинальных ноу-хау, современных методиках организации в производственной сфере, рационализаторских предложениях по внедрению неизвестных ранее и более совершенных технологий, появлению новых типов продукции, уникальных методах анализа конкурентоспособности, кодах и паролях, открывающих доступ к конфиденциальной информации, а также уникальное программное обеспечение.

2. Производственная. К данной категории можно отнести новые технологии в производственной сфере, секретную конструкторскую информацию, схемы и чертежи, данные о материалах, планируемое время выхода товара на рынок, планы выпуска новой продукции, рецептура изготовления товаров, планы дальнейших вложений в новое производство и так далее.

3. Финансовая. К конфиденциальной информации финансового характера относится реальный размер прибыли компании, себестоимость производства (или продукции), банковские или торговые сделки, механизм формирования ценовой политики, уровень платежеспособности и так далее.

4. Деловая. Здесь речь идет о следующих данных – условиях заключения договоров с другими участниками рынка, внутренней организационной системы, планирования рекламной компании на ближайшее время, информации о конкурирующих компаниях и поставщиках, данные о работниках компании и переговорном процессе с деловыми партнерами, информации о коммерческой переписке и так далее.

Защита конфиденциальной информации

Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.

Система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.

Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации.

Этот элемент включает:

Наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме.

Элемент включает в себя регламентацию:

Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по Организации и технологии защиты информации;
составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;
методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;
направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;
технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); вне машинной технологии защиты электронных документов;
порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;
ведения всех видов аналитической работы;
порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;
пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;
системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;
действий персонала в экстремальных ситуациях;
организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;
организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
работы по управлению системой защиты информации;
критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты информации составляют 50-60% в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой даже самой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы конфиденциальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты - «элемент организационно-правовой защиты информации».

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.

Элемент включает в себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;
средства защиты помещений от визуальных способов технической разведки;
средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
средства противопожарной охраны;
средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);
технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.

Элемент включает в себя:

Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
программы защиты информации, работающие в комплексе с программами обработки информации;
программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.);
Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии.

Элемент включает:

Регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;
регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.

В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.

В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т.е. они должны быть «прозрачными».

Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.

Следовательно, безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является, прежде всего, организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.

Неразглашение конфиденциальной информации

В современных условиях развития рыночной экономики и усиления конкурентной борьбы, все большего проникновения гласных и негласных средств и систем сбора, обработки и накопления информации в сферу частной жизни, хозяйствования и в публично-властный сектор особую актуальность приобретают договоры о неразглашении информации. Такие договоры являются относительно новым явлением в правовой системе России и еще не получили надлежащей проработки. Однако договоры о неразглашении информации давно известны и широко применяются в мировой правовой практике. Другим названием договора о неразглашении информации является договор о конфиденциальности - оба названия на равных будут применяться в этой статье.

По договору о конфиденциальности одна сторона (конфиденциал) обязуется обеспечить и выполнять режим ограниченного доступа к информации, полученной от другой стороны (конфидента) или доступ к которой предоставлен такой второй стороной.

Согласно Федеральному закону "Об информации, информатизации и защите информации" режим доступа к информации - это предусмотренный правовыми нормами порядок получения, использования, распространения и хранения информации.

Существуют различные подвиды договора о конфиденциальности, которые выделяются в основном по виду информации, что является объектом договора (коммерческая, банковская, профессиональная тайна и т. п.). Однако во всем разнообразии договоров о конфиденциальности их характеризует главный признак - эти договоры являются юридической формой договоренности сторон об обеспечении режима ограниченного доступа к конфиденциальной информации.

Договоры о конфиденциальности имеют гражданско-правовую природу, поскольку их объектом является информация, которая в соответствии с ГК РФ является объектом именно гражданских прав, хотя такие договоры могут заключаться и в таких сферах, где превалирующим является регулирование другой отрасли права, например в сфере трудовых отношений, но в данном случае содержание прав и обязанностей сводится к таким действиям, которые не являются органически связанными с трудовой функцией работника.

Имея гражданско-правовую природу, договор о конфиденциальности, однако, не имеет своего отдельного специального законодательного регулирования. Законным основанием его заключения являются общие положения ГК РФ: стороны имеют право заключить договор, который не предусмотрен актами гражданского законодательства, но соответствует общим принципам гражданского законодательства.

Договор о конфиденциальности имеет ряд оригинальных свойств, которые являются достаточными для выделения его в отдельный договорной институт: предмет, объект и содержание договора о конфиденциальности. Существование этих особенностей не позволяет "подвести" договор о конфиденциальности под уже известные законодательству договорные конструкции. В связи с этим можно утверждать, что такой договор является отдельным договорным институтом, который хотя и не предусмотрен актами гражданского законодательства, однако является правомерным и соответствует общим принципам гражданского законодательства.

Чаще всего договоры о конфиденциальности заключаются в сопровождение другим договорным отношениям сторон. Вместе с тем такой договор могут заключить и лица, не состоящие между собой в любых других договорных отношениях, но между которыми по тем или иным причинам возникла необходимость в соблюдении режима ограниченного доступа к определенной информации. Сочетание элементов одного договора с элементами договора о конфиденциальности предопределяет возникновение смешанного договора.

Одновременное заключение сторонами того или иного договора с договором о конфиденциальности и даже изложение их в одном документе не лишают договора о конфиденциальности самостоятельного значения. От этого он никогда не приобретает акцессорного характера. Автономность этого договора можно сравнить с автономностью арбитражного соглашения в международном частном праве.

Договор о конфиденциальности может быть отдельным регулятором отношений контрагентов по соблюдению режима ограниченного доступа к конфиденциальной информации в договорах, для которых законодательством предусмотрено обязательство одного контрагента сообщать сведения другому, например: в договорах простого товарищества - каждый участник имеет право знакомиться со всеми документами по ведению общих дел участников, и отказ от этого права или его ограничение, в том числе и по согласованию участников, является ничтожным, и т.д.

В отдельных видах договорных отношений закон прямо устанавливает обязанность неразглашения полученной от контрагента или полученной в связи с выполнением договора информации. Так, например, по договору подряда на проведение проектных и изыскательских работ заказчик обязан, если иное не установлено самим договором, использовать проектно-сметную документацию, полученную от подрядчика, только для целей, установленных договором, не передавать проектно-сметную документацию другим лицам и не разглашать данные, содержащиеся в ней, без согласия подрядчика. На подрядчике лежит встречное обязательство по соблюдению конфиденциальности - не передавать без согласия заказчика проектно-сметную документацию другим лицам.

Договор о конфиденциальности является консенсуальным и чаще всего бесплатным, однако такой договор может быть платным.

По общему правилу договор о конфиденциальности является односторонним, в котором на стороне конфидента есть лишь право требовать обеспечения режима ограниченного доступа к определенной информации, а на стороне конфиденциала - обязательство такой режим обеспечить и выполнять.

Конфидент может совпадать в одном лице с франчайзером информации. Однако возможны ситуации, когда конфидент вступает в договор конфиденциальности как управомоченная сторона от имени и/или в интересах собственника информации.

Для договорных отношений этого вида характерно проявление особого доверия одной стороны другой. Это превращает обязательства в обязательства, в которых личность должника и лицо кредитора имеют важное значение для каждой из сторон со всеми правовыми последствиями. В частности, невозможным является возложение конфиденциалом выполнения договора о конфиденциальности на третье лицо.

К существенным условиям договора о конфиденциальности относятся:

А) определение (индивидуализация) объекта договора, то есть собственно информации;
б) определение прав и обязанностей сторон по конкретным условиям режима ограниченного доступа к информации;
в) определение срока, в течение которого конфиденциал обязан обеспечивать и выполнять режим конфиденциальности информации.

Договор о конфиденциальности не может заключаться также в отношении секретной информации (государственной тайны), поскольку правовой режим последней определяется законодательством императивным методом и частноправовому регулированию договорами отдельных лиц не подлежит.

Важно отметить, что предоставление информации или предоставление доступа к информации, которая является объектом договора о конфиденциальности, не входит в его содержание и не составляет обязательства конфидента именно по этому договору. Договор о конфиденциальности регулирует только обеспечение режима ограниченного доступа к информации.

Срок договора конфиденциальности стороны определяют по своему усмотрению, но он не может быть длиннее, чем общий срок, на который правообладателем информации установлен режим ограниченного доступа к информации.

Потеря информацией признаков конфиденциальности (например, вследствие ее разглашения или преобразования на общеизвестную) прекращает обязательство конфиденциала в связи с невозможностью их исполнения.

Специальных способов защиты гражданских прав вследствие нарушения договора о конфиденциальности законодательство РФ не предусматривает. Вместе с тем необходимо отметить, что наибольшую проблему в процессе защиты нарушенных прав стороны в договоре о конфиденциальности составляет сложность обеспечения надлежащей доказательной базы.

Следовательно, можно прийти к выводу, что в России существуют достаточные нормативно-правовые предпосылки для активного использования на практике договоров о неразглашении информации. Гибкая модель, функциональность и универсальность договоров о конфиденциальности позволяют широко применять их в самых разнообразных сферах общественной жизни.

Разглашение конфиденциальной информации

Информация, содержащая определенного рода сведения, согласно закону, находится под особой охраной. Рядом законодательных актов предусмотрена ответственность за разглашение персональных данных, а также сведений, составляющих банковскую, коммерческую и другие тайны, охраняемые законом.

Виды конфиденциальных сведений, за нарушение тайны которых может наступить ответственность, предусмотрены соответствующим указом Президента России.

К таким сведениям можно отнести:

Тайна следствия и судопроизводства;
персональные данные, а также частная жизнь гражданина, включая его переписку, телефонные переговоры и т.д.;
сведения о коммерческой деятельности организации или предпринимателя, доступ к которым ограничен в силу закона или внутренних актов предприятия;
служебная информация, не подлежащая разглашению, любые сведения, составляющие служебную тайну;
информация, полученная в ходе исполнения профессиональных обязанностей, в том числе врачебная, адвокатская тайна и т.д.

Таким образом, ответственность может наступить не только за разглашение личной информации, охране подлежат и другие сведения, передача которых посторонним лицам недопустима.

Виды ответственности

За разглашение неподлежащей обнародованию информации, в зависимости от характера распространенных сведений, может быть предусмотрена дисциплинарная, административная и уголовная ответственность. Параллельно может быть рассмотрен вопрос и о привлечении к гражданско-правовой ответственности путем взыскания ущерба, в том числе и морального вреда.

Дисциплинарная ответственность представляет собой наказание, назначенное работнику руководством предприятия или учреждения после проведенных служебных проверок и расследований, в результате которых признана вина сотрудника в утечке сведений. Ответственность за разглашение конфиденциальной информации в данном случае может быть выражена в виде выговора, замечания, предупреждения о неполном служебном соответствии или увольнения. Ответственность такого вида применяется в рамках трудовых отношений, решение о назначении меры наказания принимает, как правило, руководитель организации или учреждения, в соответствии с положениями специального и трудового законодательства.

Административная ответственность может наступить как за разглашение персональных данных, так и за нарушение защиты информации, кроме государственной тайны. Предметом административной ответственности выступает и распространение сведений о частной жизни – в этом случае виновное лицо может получить наказание в виде штрафа в сумме до 10 тысяч рублей. Составы уголовных преступлений, связанных с распространением сведений, весьма разнообразны. Так, предметом наказания может выступать и разглашение персональных данных, уголовная ответственность здесь, например, за нарушение неприкосновенности частной жизни, может повлечь и реальное лишение свободы. Кроме того, уголовное наказание может повлечь и нарушение тайны переписки, телефонных переговоров, необоснованный и незаконный отказ в предоставлении информации гражданину.

Гражданско-правовая ответственность может выступать как сопутствующее наказание, так и самостоятельный вид ответственности. Как уже говорилось выше, пострадавшее лицо вправе взыскать не только материальный вред, нанесенный вследствие неправомерного разглашения сведений, но и моральный ущерб, причиненный действиями виновного лица.

Административная, гражданско-правовая и уголовная ответственность за распространение конфиденциальной информации наступает только в случае принятия судом соответствующего решения и признания лица виновным в таком деянии.

Разглашение информации – достаточно сложный состав правонарушения. При рассмотрении вопроса о привлечении к ответственности за такие действия, как правило, зачастую допускаются ошибки, неправильно применяются те или иные нормы права.

Не менее сложно защитить свои интересы в случае нарушения и распространения конфиденциальной информации – здесь необходимо правильно определить состав правонарушения, составить иск или обратиться в правоохранительные органы с заявлением.

На нашем сайте вы можете получить исчерпывающую информацию о правильности применения норм права, видах ответственности, порядке составления иска и других процессуальных документов. В соответствующем разделе сайта можно получить бесплатную юридическую консультацию онлайн – наши юристы, имея большой опыт участия в делах такой категории, быстро и квалифицированно ответят на любой вопрос, касающийся защиты информации и ответственности за распространение сведений.

Техническая защита конфиденциальной информации

Техническая защита конфиденциальной информации на предприятии должна обеспечивать инженерно-технические мероприятия порядка доступа, а также целостности и доступности (противодействия блокированию) информации.

Мероприятия по защите конфиденциальной информации должны обеспечивать:

Предупреждение появления угроз;
- Выявление появления угроз;
- Предупреждение влияния угроз на информационную систему;
- Локализация воздействия угроз на информационную систему;
- Ликвидация последствий воздействия угроз на информационную систему.

Обеспечение безопасности конфиденциальной информации в информационной системе может быть эффективным только в том случае, когда ее защита будет представлять собой непрерывный и целенаправленный процесс, постоянно осуществляющийся на всех этапах жизненного цикла конфиденциальной информации. Так комплексная система защиты конфиденциальной информации в информационной системе помимо функций, задач и средств собственно обеспечения защиты конфиденциальной информации должна включать функции, задачи и средства управления в качестве одного из основных компонентов.

Комплексная система защиты конфиденциальной информации информационной системы и ее составляющих должна реализоваться на принципах:

Системности;
- Комплектности;
- Адекватности;
- Функциональной самостоятельности;
- Удобства пользования;
- Ограничение доступа к конфиденциальной информации;
- Полный контроль за работой информационной системы;
- Своевременное реагирование на появление угроз;
- Экономичности.

План мероприятий по обеспечению технической защиты конфиденциальной информации разрабатывается на основании технологии обработки конфиденциальной информации, анализа рисков, сформулированной политики ее безопасности. План определяет основные задачи защиты, общие правила обработки конфиденциальной информации в информационной системе, цель построения и функционирования комплексной системы защиты конфиденциальной информации. План должен фиксировать на определенный момент времени исполнителей не имеющих допуска и доступа к конфиденциальной информации, но участвующие в обслуживании системы, состав необходимой технической документации.

План по обеспечению технической и комплексной защиты конфиденциальных данных на всех этапах их сбора, обработки и хранения должен регулярно пересматриваться и при необходимости изменяться. Изменения и дополнения к нему утверждаются в том порядке и на том же руководящем уровне, что и основные документы.

При выполнении работ запрещается:

Ознакомление с конфиденциальной информацией представителей других организаций и сотрудников не работающих по этой теме;
- Привлекать другие организации для выполнения работ;
- Использовать материалы, полученные при выполнении работ в статьях, диссертациях, выступлениях на симпозиумах, конференциях и тому подобное.

Для технической защиты конфиденциальной информации следует применять меры сокрытия или меры технической дезинформации.

Количество методов, направленных на защиту информации, надо увеличивать, а сами методы совершенствовать. Только в таком случае можно надеяться на успех.

Уровень защиты информации в организации и на предприятии должен иметь в своей основе рациональное зерно – не нужно чрезмерно увлекаться запретами на пользование некоторых видов данных. Так через компьютерные сети формируются банки данных общего пользования, но поскольку такая информация имеет обычно конфиденциальный или служебный характер, то реализовывать банки данных общего пользования целесообразнее на уровне локальной сети.

Соглашение конфиденциальной информации

Соглашение о неразглашении используется, когда необходимо чтобы одна сторона обязуется обеспечить и выполнять режим ограниченного доступа к информации, полученной от другой стороны или доступ к которой предоставлен такой второй стороной.

Стороны соглашения о неразглашении конфиденциальной информации. Конфиденциал – получает конфиденциальную информацию, по отношению к которой обязуется обеспечить и выполнять режим ограниченного доступа к информации. Конфидент – передает конфиденциальную информацию. Регламент коммерческой тайны описывается в законе "О коммерческой тайне".

Встречаются следующие виды соглашения

Одностороннее соглашение, когда существует сторона которая передает информацию и сторона которая получает информацию.

Взаимное соглашение, когда обе стороны будут предоставлять конфиденциальную информацию. Этот тип соглашения распространен, когда организации или физические лица рассматривают некоторое совместное предприятие или слияние компаний.

Например, когда стороны готовятся к переговорам, направленным на заключение долгосрочного контракта. Данные переговоры подразумевают обмен информацией, которая составляет коммерческую тайну. Для обеспечения конфиденциальности стороны в первую очередь заключают соглашение о неразглашении конфиденциальной информации. В данном случае соглашение о неразглашении выступает в роле правового механизма, позволяющего защитить коммерческую тайну.

Основной целью соглашения является то, что в соответствие с соглашением о неразглашении стороны принимают на себя обязательство не раскрывать именно конфиденциальную информацию, полученную ими взаимодействии. Обязательство по неразглашению возникает только в отношении действительно конфиденциальной информации. Это не затрагивает право сторон раскрывать информацию, полученную из открытых публичных источников.

Второй целью соглашение о неразглашении – возложить на виновную в раскрытии конфиденциальности сторону обязанность по компенсации убытков невиновной стороны. В случае огласки соглашение служит правовым основанием для иска о взыскании убытков.

Для договорных отношений этого вида характерно проявление особого доверия одной стороны другой. В частности, невозможным является возложение конфиденциалом выполнения соглашения о конфиденциальности на третье лицо.

К существенным условиям соглашения о конфиденциальности относятся:

Определение (индивидуализация) объекта договора, то есть собственно информации;
определение прав и обязанностей сторон по конкретным условиям режима ограниченного доступа к информации;
определение срока, в течение которого конфиденциал обязан обеспечивать и выполнять режим конфиденциальности информации.

Соглашение о неразглашении конфиденциальной информации не может заключаться также в отношении секретной информации (государственной тайны), поскольку правовой режим последней определяется законодательством императивным методом и частноправовому регулированию договорами отдельных лиц не подлежит.

Положение о конфиденциальной информации

1. Общие положения

1.1. Настоящее Положение регулирует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации «Об информации, информатизации и защите информации», иными федеральными законами и нормативными правовыми актами Российской Федерации отношения, связанные с охраной и использованием конфиденциальной информации Открытого акционерного общества «_ _ _ _ _ _ _ _ _ _ _ _» (далее по тексту настоящего Положения Общество).
1.2. Конфиденциальная информация Общества – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления и существования, отнесенная к таковой в соответствии с настоящим Положением, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, ограничения к доступу и разглашению которой предпринимаются согласно настоящего Положения.
1.3. Общество имеет исключительное право на использование конфиденциальной информации любыми не запрещенными законом способами по собственному усмотрению.
1.4. В соответствии с настоящим Положением Общество принимает меры к охране конфиденциальной информации, ограничению доступа к ней третьих лиц.
1.5. Целью охраны конфиденциальной информации является обеспечение экономической и правовой безопасности Общества.
1.6. В случае если в связи с осуществлением своей деятельности обществу становятся известны сведения, составляющие в соответствии с законодательством Российской Федерации государственную тайну, Общество обязано предпринимать меры по их охране в соответствии с Федеральным законом Российской Федерации «О государственной тайне» и иными нормативными правовыми актами о государственной тайне.
1.7. Действие настоящего Положения распространяется на все структурные подразделения Общества, в том числе обособленные – филиалы и представительства.

2. Коммерческая тайна Общества

2.1. Коммерческой тайной Общества является следующая информация:
2.1.1. Данные первичных учетных документов бухгалтерского учета Общества;
2.1.2. Содержание регистров бухгалтерского учета Общества;
2.1.3. Содержание внутренней бухгалтерской отчетности Общества;
2.1.4. Совершаемые и совершенные Обществом сделки, в том числе договоры, их предмет, содержание, цена и другие их существенные условия;
2.1.5. Сведения об открытых в кредитных учреждениях расчетных и иных счетах, в том числе в иностранной валюте, о движении средств по этим счетам, и об остатке средств на этих счетах, сведения об имеющихся вкладах в банках, в том числе в иностранной валюте (банковская тайна);
2.1.6. Секреты производства (ноу-хау) и иная информация, составляющая производственную тайну;
2.1.7. Иные сведения, отнесенные к коммерческой тайне в соответствии с настоящим положением.
2.2. Отнесение информации, указанной в пункте 2.1. настоящего Положения, к информации, составляющей коммерческую тайну Общества, не требует издания каких-либо иных актов помимо настоящего Положения.
2.3. Любая иная информация, за исключением информации, которая в соответствии с законодательством не может быть отнесена к коммерческой тайне, может быть отнесена к коммерческой тайне по решению Генерального директора Общества.
2.4. Отнесение информации, указанной в пункте 2.3. настоящего Положения, к информации, составляющей коммерческую тайну Общества, осуществляется путем издания в каждом конкретном случае приказа Генерального директора Общества. Инициатива в издании приказа Генерального директора об отнесении той или иной информации к коммерческой тайне Общества может исходить от акционеров Общества, руководителей структурных подразделений Общества, руководителей обособленных структурных подразделений Общества, контрагентов Общества.
2.5. К коммерческой тайне не может быть отнесена следующая информация:
2.5.1. Учредительные документы Общества и Договор о создании Общества;
2.5.2. Регистрационные удостоверения, лицензии, патенты и иные документы, дающие право заниматься предпринимательской деятельностью;
2.5.3. Документы о платежеспособности;
2.5.4. Сведения о численности, составе работников Общества, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
2.5.5. Документы об уплате налогов и обязательных платежах;
2.5.6. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба, в случае если данные факты установлены вступившим в законную силу решением (приговором) суда, арбитражного суда;
2.5.7. Сведения об участии должностных лиц предприятия в производственных кооперативах, товариществах, обществах с ограниченной ответственностью, акционерных обществах и других организациях, осуществляющих предпринимательскую деятельность;
2.5.8. Идентификационный номер налогоплательщика (ИНН);
2.5.9. Содержание внешней бухгалтерской отчетности Общества, в том числе содержание: бухгалтерского баланса; отчета о прибылях и убытках; приложений к ним, предусмотренных нормативными актами; аудиторского заключения, подтверждающего достоверность бухгалтерской отчетности Общества; пояснительной записки к данным внешней бухгалтерской отчетности;
2.5.10. Иная информация, которая не может быть отнесена к коммерческой тайне в соответствии с законодательством Российской Федерации.
2.5.11. К коммерческой тайне не относится информация, разглашенная Обществом самостоятельно или с его согласия.

3. Служебная тайна Общества

3.1. Служебную тайну Общества составляют любые сведения, в том числе сведения, содержащиеся в служебной переписке, телефонных переговорах, почтовых отправлениях, телеграфных и иных сообщениях, передаваемых по сетям электрической и почтовой связи, которые стали известны работнику Общества в связи с исполнением им возложенных на него трудовых обязанностей.
3.2. К служебной тайне не относится информация, разглашенная Обществом самостоятельно или с его согласия, а также иная информация, ограничения доступа к которой не допускаются в соответствии с законодательством РФ.

4. Банковская тайна Общества

4.1. Банковскую тайну составляют сведения о состоянии банковского счета и банковского вклада, операций по счету и сведений о клиенте.
4.2. Сведения, составляющие банковскую тайну, могут быть предоставлены только Обществу или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом.

5. Налоговая тайна Общества

5.1. Налоговую тайну составляют любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным органам сведения об Обществе.
5.2. Не относятся к налоговой тайне следующая информация:
5.2.1. Информация, разглашенная Обществом самостоятельно или с его согласия;
5.2.2. Информация об идентификационном номере налогоплательщика (ИНН);
5.2.3. Информация о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;
5.2.4. Информация, предоставляемая налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам).
5.3. В соответствии с законодательством Российской Федерации налоговая тайна не подлежит разглашению налоговыми органами, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом. К разглашению налоговой тайны относится, в частности, использование или передача другому лицу коммерческой (в том числе производственной) тайны Общества, ставшей известной должностному лицу налогового органа, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
Поступившие в налоговые органы, органы государственных внебюджетных фондов или таможенные органы сведения, составляющие налоговую тайну, имеют в соответствии с законодательством Российской Федерации специальный режим хранения и доступа.

6. Охрана конфиденциальной информации Общества

6.1. Охрана конфиденциальной информации Общества состоит в принятии комплекса мер, направленных на ограничение доступа к конфиденциальной информации третьих лиц, на предотвращение несанкционированного разглашения конфиденциальной информации, выявление нарушений режима конфиденциальной информации Общества, пресечение нарушений режима конфиденциальной информации Общества, привлечение лиц, нарушающих режим конфиденциальной информации Общества к установленной ответственности.
6.2. Обязательным условием трудовых договоров, заключаемых с работниками Общества, является условие о соблюдении работником служебной и коммерческой тайны.
6.3. Каждый работник Общества при принятии на работу предупреждается под расписку об ответственности за нарушение режима служебной и коммерческой тайны.
6.4. Руководители структурных подразделение обязаны не реже одного раза в квартал проводить среди непосредственно подчиненных им работников инструктаж по соблюдению режима служебной и коммерческой тайны. Вновь принятый на работу работник проходит инструктаж при принятии на работу. Данные о проведенном инструктаже фиксируются в специальном журнале.
6.5. Заключаемые Обществом, в лице любых уполномоченных лиц договоры должны содержать условие о сохранении контрагентами конфиденциальности.
6.6. В рабочих и иных помещениях Общества создаются условия, ограничивающие доступ к конфиденциальной информации третьих лиц и несанкционированное разглашение конфиденциальной информации, в том числе устанавливаются технические средства защиты от несанкционированного доступа к информации (сейфы и металлические ящики для хранения документов и пр.).
6.7. В Обществе создается служба охраны, действующая в соответствии с Положением об охране.
6.8. Общество предпринимает меры по выявлению фактов нарушения режима конфиденциальной информации Общества.
6.9. Общество предпринимает все допустимые законом способы по пресечению выявленных нарушений режима конфиденциальной информации Общества.
6.10. Лица, виновные в нарушении режима конфиденциальной информации Общества привлекаются к установленной ответственности.

7. Порядок использования и предоставления конфиденциальной информации Общества

7.1. Использование конфиденциальной информации Общества допускается только теми работниками Общества, которым доступ к такой информации необходим в силу выполняемых ими функций.
7.2. Предоставление конфиденциальной информации Общества третьим лицам возможно не иначе как с санкции Генерального директора Общества.
7.3. Внешняя бухгалтерская отчетность Общества является публичной. Публичность бухгалтерской отчетности заключается в ее опубликовании в газетах и журналах, доступных пользователям бухгалтерской отчетности, либо распространении среди них брошюр, буклетов и других изданий, содержащих бухгалтерскую отчетность, а также в ее передаче территориальным органам государственной статистики по месту регистрации организации для предоставления заинтересованным пользователям.
Годовая бухгалтерская отчетность публикуется Обществом не позднее 01 июня года, следующего за отчетным.
7.4. Общество представляет годовую бухгалтерскую отчетность в соответствии с учредительными документами акционерам, а также территориальным органам государственной статистики по месту их регистрации. Другим органам исполнительной власти, банкам и иным пользователям бухгалтерская отчетность представляется в соответствии с законодательством Российской Федерации.
7.5. Иные случаи предоставления конфиденциальной информации предусмотрены действующим законодательством Российской Федерации.

8. Заключительные положения

8.1. Лица виновные в нарушении режима конфиденциальной информации Общества привлекаются в установленном порядке к уголовной, административной, дисциплинарной и гражданско-правовой ответственности.
8.2. Во всем ином, что не урегулировано настоящим Положением, применяются положения действующего законодательства Российской Федерации.

Конфиденциальная коммерческая информация

Важно отметить, что соответствие информации вышеперечисленным критериям еще не является достаточным основанием для признания ее конфиденциальной. Второе необходимое условие для этого - установление режима коммерческой тайны обладателем данной информации. Данный режим должен быть направлен на исключение доступа к конфиденциальной информации любых лиц без согласия ее обладателя, а также обеспечение возможности использования конфиденциальной информации работниками и контрагентами без нарушения режима коммерческой тайны.

Для установления режима коммерческой тайны руководитель организации, владеющей конфиденциальной информацией, должен организовать проведение следующих обязательных мероприятий:

Издать приказ с указанием перечня информации, составляющей коммерческую тайну (рекомендуется указать не только определенные виды информации, но и перечислить признаки, позволяющие идентифицировать информацию), и ознакомить с ним работников организации;
- утвердить локальный нормативный акт (напр., положение о коммерческой тайне), регламентирующий порядок обращения с данной информацией (условия хранения, копирования, передачи, уничтожения и т. п.), меры по контролю за соблюдением такого порядка, ответственность в случае его нарушения, и ознакомить с ним работников организации;
- издать приказ с указанием перечня лиц, которым предоставляется допуск к сведениям, содержащим коммерческую тайну, и ознакомить с ним работников организации;
- организовать ведение реестра лиц, допущенных к сведениям, содержащим коммерческую тайну;
- предусмотреть в трудовых договорах с работниками и в гражданско-правовых договорах с контрагентами, которым предоставляется допуск к конфиденциальной информации, условия и порядок ее использования;
- создать необходимые условия для соблюдения работниками установленного режима коммерческой тайны (предоставление сейфов, закрытых помещений для хранения информации, выделение отдельного рабочего кабинета и т. п.);
- организовать нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Выполнение вышеуказанных условий позволяет считать режим коммерческой тайны установленным и предоставляет обладателю конфиденциальной информации право защищать свои интересы в случае их нарушения.

Так, если нарушение допущено со стороны контрагента, допуск к конфиденциальной информации которому был предоставлен на основании гражданско-правового договора, обладатель такой информации вправе требовать возмещения причиненных убытков в полном объеме (реальный ущерб и упущенная выгода).

Если нарушителем является работник организации - обладателя конфиденциальной информации, то виновное лицо обязано возместить причиненный реальный ущерб. И, кроме того, может быть привлечено к дисциплинарной ответственности (замечание, выговор, увольнение), административной ответственности или уголовной ответственности.

Если неправомерные действия совершены должностным лицом государственного органа, получившего допуск к конфиденциальной информации, обладатель информации вправе требовать возмещения причиненных таким нарушением убытков в полном объеме (реальный ущерб и упущенная выгода), равно как настаивать на привлечении виновных должностных лиц к дисциплинарной, административной либо уголовной ответственности по аналогии с ответственностью для работников организации.

Запрос государственных органов о предоставлении данных

Следует обратить внимание, что подобное требование должно быть мотивированным. В запросе должны быть указаны цель и правовые основания запроса, а также сроки предоставления информации.

На документах, предоставляемых в государственный орган, необходимо нанести гриф «Коммерческая тайна» с указанием данных организации - обладателя, что обяжет орган государственной власти обеспечить условия по защите полученной информации от доступа третьих лиц.

Утечка конфиденциальной информации

Утечку информации в общем плане можно рассматривать как неправомерный выход конфиденциальных сведений за пределы организации или круга лиц, которым эти сведения были доверены.

Утечка информации по своей сущности всегда предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.

Утечка охраняемой информации может произойти при наличии ряда обстоятельств. Если есть конкурент (злоумышленник), который такой информацией интересуется и затрачивает определенные силы и средства для ее получения, и если есть условия, при которых конкурент может рассчитывать на овладение интересующей его информацией (затратив на это меньше сил, чем если бы он добывал ее самостоятельно). Будем исходить из того, что конкуренты есть всегда и у всех.

Причины и условия утечки информации при всех своих различиях имеют много общего. Причины связаны, как правило, с несовершенством норм по сохранению коммерческих секретов, а также с нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.

Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки коммерческих секретов.

К таким факторам и обстоятельствам относятся:

Недостаточное знание работниками предприятия правил защиты коммерческой тайны и непонимание (или недопонимание) необходимости их тщательного соблюдения;
- использование неатгестованных технических средств обработки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, - организационными и инженерно-техническими мерами;
- текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну.

Таким образом, большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за недоработок руководителей предприятий и их сотрудников.

Кроме того, утечке информации способствуют:

Стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);
- неблагоприятные погодные условия (гроза, дождь, снег);
- катастрофы (пожар, взрывы);
- неисправности, отказы, аварии технических средств и оборудования.

Требования конфиденциальной информации

При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований:

Осведомление сотрудников о закрытости данной информации,
общее ознакомление сотрудников с основными возможными методами атак на информацию,
ограничение физического доступа,
полный набор документации по правилам выполнения операций с данной информацией.

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:

Расчет рисков атак на информацию;
поддержания списка лиц, имеющих доступ к данной информации;
по возможности выдача подобной информации по расписку (в т.ч. электронную);
автоматическая система проверки целостности системы и ее средств безопасности;
надежные схемы физической транспортировки;
обязательное шифрование при передаче по линиям связи;
схема бесперебойного питания ЭВМ.

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:

Детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);
защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;
криптографическая проверка целостности информации

Лицензия конфиденциальной информации

Наиболее востребованной является лицензия на деятельность по технической защите конфиденциальной информации.

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды выполняемых работ и (или) оказываемых услуг:

А) контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается, помещениях со средствами (системами), подлежащими защите, помещениях, предназначенных для ведения конфиденциальных переговоров;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации в средствах и системах информатизации, технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
д) проектирование объектов в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения конфиденциальных переговоров;
е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Лицензирование деятельности по технической защите конфиденциальной информации

Под технической защитой конфиденциальной информации понимается выполнение работ или оказание услуг, направленных на её защиту от несанкционированного доступа, от утечки по техническим каналам, а так же от специальных воздействий на данную информацию с целью её уничтожения, искажения или блокирования доступа к ней. Виды работ по технической защите конфиденциальной информации, подлежащие лицензированию, определены Постановлением Правительства РФ № 79.

Конфиденциальная информация обрабатывается только на аттестованных объектах информатизации (ОИ), с использованием сертифицированных ФСТЭК технических средств защиты. Необходимо провести аттестацию ОИ, на котором будет обрабатываться или храниться конфиденциальная информация.

Лицензия на защиту конфиденциальной информации (техническая защита конфиденциальной информации)

При проведении аттестации ОИ исследованиям подвергается помещение, в котором будет обрабатываться конфиденциальная информация и технические средства, на которых обрабатывается конфиденциальная информация, а так же технические средства не участвующие в обработке информации, но установленные в данном помещении. Для достижения ОИ характеристик, удовлетворяющих требованиям безопасности, устанавливаются в необходимом количестве средства защиты информации. Аттестация необходима для того, чтобы подтвердить возможности Заказчика по обработке конфиденциальной информации. К аттестации ОИ могут привлекаться только организации, имеющие лицензию ФСТЭK в части проведения аттестационных испытаний и аттестации на соответствие требованиям по защите информации. Периодичность аттестации ОИ – один раз в три года.

С целью обеспечения должного уровня защиты персональных данных, правительством РФ был издан Закон № 152 ФЗ «О персональных данных». В соответствии со ст. 19 этого закона, организация, обрабатывающая персональные данные, обязана «принять меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». ФСТЭК осуществляет контроль и надзор за соблюдением требований российского законодательства в области защиты персональных данных и является одним из контролирующих органов в этой сфере.

Порядок получения лицензии фстэк на деятельность по технической защите конфиденциальной информации

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации начинается с подготовки соискателя лицензии к выполнению лицензионных требований.

А именно наличие у соискателя лицензии:

Штатных специалистов с высшим или средним профессиональным образованием в области технической защиты информации. В случае необходимости организуется подготовка специалистов на курсах повышения квалификации по программам, согласованным с ФСТЭК России;
помещения для осуществления лицензируемой деятельности, принадлежащего на правах собственности или на другом законном основании;
контрольно-измерительного оборудования, прошедшего метрологическую проверку;
средств контроля защищенности информации от несанкционированного доступа;
автоматизированной системы для обработки конфиденциальной информации, с установленными на ней сертифицированными средствами защиты;
программ для ЭВМ, для осуществления лицензируемого вида деятельности;
нормативно методической документации, национальных стандартов и технической документации для выполнения заявленных работ.

После проведения подготовительных мероприятий подается заявление на получение лицензии в орган по лицензированию. К заявке прилагаются документы, подтверждающие возможности Заказчика осуществлять лицензируемые виды работ. ФСТЭК проверяет комплектность представленных документов, полноту и достоверность указанных в них сведений. По результатам проверки принимается решение о выдаче лицензии. В соответствии с федеральным законом № 99-ФЗ лицензия выдается бессрочно. ФСТЭК может отказать в выдаче лицензии в случае невыполнения соискателем одного из лицензионных требований, представления неправильно оформленных документов или выявления в них сведений, не соответствующих действительности.

Защита конфиденциальной информации - лицензия фстэк

Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ.

В соответствии с Постановлением Правительства РФ № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации», обязательному лицензированию подлежит деятельность юридических лиц и предпринимателей по разработке и производству средств защиты конфиденциальной информации.

Если организация разрабатывает или производит средства защиты информации, не являющейся государственной тайной, то такие виды деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия на деятельность по разработке и производству средств технической защиты конфиденциальной информации выдается соискателям лицензии, удовлетворяющим лицензионные требования на ТЗКИ и имеющим на законных основаниях средства проектирования, разработки и производства средств защиты информации. Кроме этого в организации должна быть в наличии система производственного контроля, включающая в себя правила и процедуры проверки и оценки системы разработки (производства) средств защиты информации, учёта изменений, вносимых в ПКД на разрабатываемую (производимую) продукцию, учета готовой продукции.

Кроме ФСТЭК лицензию на разработку и производство средств ТЗКИ вы дает Федеральная служба безопасности России для организаций разрабатывающих и производящих средства ТЗКИ, которые затем устанавливаются на объектах Администрации Президента, Совбеза, Федерального Собрания, Правительства, Конституционного Суда, Верховного Суда и Высшего Арбитражного Суда Российской Федерации.

Важнейшими средствами, обеспечивающими защиту сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства, средства ТЗКИ, биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензии на техническую защиту конфиденциальной информации, на разработку и производство средств технической защиты конфиденциальной информации выдаются ФСТЭК, а лицензии на оказание услуг в области шифрования, разработку, распространение и техническое обслуживание шифровальных средств выдаются ФСБ.

Обязанности предприятий, действующих на основании лицензии фстэк

Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Лицензионный контроль осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и статьей 19 Федерального закона "О лицензировании отдельных видов деятельности".

Организациям, претендующим на получение лицензий ФСТЭК на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны и на проведение работ, связанных с созданием средств защиты информации, понадобится также лицензия ФСБ на работу со сведениями, составляющими государственную тайну.

Перечень конфиденциальной информации

В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.

Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ). Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.

Перечень конфиденциальных данных, определенных законодательством:

Вид
конфиденциальной
информации

Перечень сведений

Законодательная
норма

Информация,
составляющая
коммерческую
тайну

Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления профессиональной
деятельности, которые имеют
действительную или потенциальную
коммерческую ценность в силу
неизвестности их третьим лицам

Статья 3
Федерального
закона
N 98-ФЗ "О
коммерческой
тайне"

Банковская
тайна

Сведения об операциях, о счетах и
вкладах организаций - клиентов банков и
корреспондентов

Статья 26
Федерального
закона
N 395-1 "О
банках и
банковской
деятельности"

Адвокатская
тайна,
нотариальная
тайна

Сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю; сведения, которые стали
известны нотариусу в связи с его
профессиональной деятельностью

Основы
законодательства
Российской
Федерации о
нотариате (утв.
ВС РФ
N 4462-1); ст. 8
Федерального
закона
N 63-ФЗ "Об
адвокатской
деятельности и
адвокатуре в
Российской
Федерации"

Сведения,
связанные с
аудитом
организации

Любые сведения и документы, полученные
и (или) составленные аудиторской
организацией и ее работниками, а также
индивидуальным аудитором и работниками,
с которыми им заключены трудовые
договоры, при оказании услуг,
предусмотренных настоящим Федеральным
законом, за исключением:
1) сведений, разглашенных самим лицом,
которому оказывались услуги,
предусмотренные настоящим Федеральным
законом, либо с его согласия;
2) сведений о заключении с аудируемым
лицом договора о проведении
обязательного аудита;
3) сведений о величине оплаты
аудиторских услуг

Статья 9
Федерального
закона
N 307-ФЗ "Об
аудиторской
деятельности"

На практике режим конфиденциальности определяется:

Перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
- договорным регулированием отношений с работниками;
- договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
- нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.

Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.

Режим коммерческой тайны не может быть установлен в отношении следующих сведений:

Содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
- содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
- о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.

Рассмотрим порядок установления перечня в конкретной компании.

Как поступать с сотрудником, разгласившим конфиденциальную информацию?

Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.

При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.

Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.

Таким образом, налагая дисциплинарное взыскание, работодатель должен:

Доказать, что работник нанес материальный вред организации;
- установить, что работник разгласил конфиденциальные данные, включенные в перечень;
- подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.

Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.

Перечень конфиденциальной информации в отдельной организации

В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:

Сведения о производстве и управлении;
- данные об уровне заработной платы сотрудников;
- персональные данные сотрудников;
- управленческие решения, планы развития производства, инвестиционные программы;
- протоколы совещаний;
- конфиденциальные договоры;
- сведения о переговорах;
- сведения о кадровом составе, штатном расписании;
- стоимость и цены;
- бухгалтерская отчетность, первичная документация;
- сведения об уплаченных налогах и сборах;
- отчеты аудиторов.

Обратите внимание: персональные данные и конфиденциальная информация - не равнозначные понятия. Последнее является более широким и может включать в себя различные бухгалтерскую отчетность, данные о кадровом составе организации и иные сведения, которые охраняются компанией в соответствии с установленным режимом коммерческой тайны.

Информация, составляющая коммерческую тайну (секрет производства), - это сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которых такие сведения в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становятся известны третьим лицам без согласия обладателя либо вопреки трудовому или гражданско-правовому договору (Определение Мосгорсуда по делу N 33-36486).

Понятие персональных данных установлено в Федеральном законе N 152-ФЗ "О персональных данных". Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть, если конфиденциальная информация может относиться и к физическим, и к юридическим лицам, персональные данные - только к физическим. Перечень конфиденциальных данных, отнесенных к таковым на законодательном уровне, приведен в приложении.

Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона N 129-ФЗ "О бухгалтерском учете", ни ст. 89 Федерального закона N 208-ФЗ "Об акционерных обществах" не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа по делу N А27-25441/2009).

Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.

Порядок защиты конфиденциальной информации

В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

Определение перечня данных, составляющих коммерческую тайну;
- ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
- учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
- регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации.

В целях охраны конфиденциальности информации работодатель обязан:

Ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).

Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.

Признание данных конфиденциальными может быть оспорено в суде.

При этом в компании могут быть предприняты следующие действия:

Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
- ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
- стенографирование совещаний;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
- учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
- резервирование технических средств и дублирование массивов и носителей информации;
- защита от копирования информации, применение сертифицированных средств ее защиты;
- использование защищенных каналов связи;
- криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.

Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.

Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом "О коммерческой тайне", суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.

В суде компания доказала следующие факты: ознакомление работника с положением "О коммерческой тайне", соблюдение процедуры привлечения к дисциплинарной ответственности, факт отправки документов в адрес заместителя генерального директора сторонней организации - данных о контрагентах, сведений о сроках и способах оказания услуг, размерах вознаграждения.

Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.

Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т. к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.

Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.

Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.

В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.

Безопасность конфиденциальной информации

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

Ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
- модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
- разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам:

По величине принесенного ущерба:

Предельный, после которого фирма может стать банкротом;
- значительный, но не приводящий к банкротству;
- незначительный, который фирма за какое-то время может компенсировать и др.

По вероятности возникновения:

Весьма вероятная угроза;
- вероятная угроза;
- маловероятная угроза.

По причинам появления:

Стихийные бедствия;
- преднамеренные действия.

По характеру нанесенного ущерба:

Материальный;
- моральный.

По характеру воздействия:

Активные;
- пассивные.

По отношению к объекту:

Внутренние;
- внешние.

Источниками внешних угроз являются:

Недобросовестные конкуренты;
- преступные группировки и формирования;
- отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

Администрация предприятия;
- персонал;
- технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
- 17% угроз совершается извне - внешние угрозы;
- 1% угроз совершается случайными лицами.

Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.

Передача конфиденциальной информации

Надо сказать, что в определенных случаях закон обязывает представлять информацию независимо от ее конфиденциальности. Но учитывая, что такие действия нарушают в какой-то степени наши конституционные права, то такие обстоятельства должны быть обязательно определены Законом, не подзаконными актами, а именно законом. Желания всех и вся получить информацию - понятны, но не всегда согласуются с законом. Порядок обязательного представления информации, отнесенной к конфиденциальной информации устанавливается законодательством.

Итак, посмотрим кому и какую конфиденциальную информацию мы должны передавать:

1. В интересах борьбы с преступностью, осуществления правосудия, соблюдения налогового и антимонопольного законодательства, рядом нормативных актов определен круг организаций и лиц, которые в соответствующих случаях имеют право на получение конфиденциальной информации в пределах своей компетенции.

К таким органам относятся:

Судебные органы;
органы прокуратуры;
органы, осуществляющие оперативно-розыскную деятельность;
органы следствия и дознания.

2. В случае предоставления в обязательном порядке информации органам и организациям, ответственным за формирование и использование государственных информационных ресурсов в соответствии с утвержденными Правительством Российской Федерации Перечнями.

К таким органам, например, можно отнести:

Органы статистики;
органы (фонды) пенсионного страхования;
органы (фонды) медицинского страхования;
органы налоговой службы;
организации-депозитарии ценных бумаг;
органы Архивной Службы России и пр.

Конкретный перечень представляемой в обязательном порядке информации с адресами ее представления прилагается к уставу каждого юридического лица (положению о нем). А должностные лица регистрационных органов, виновные в том, что не обеспечили регистрируемых юридических лиц таким перечнем, привлекаются к дисциплинарной ответственности вплоть до снятия с должности.

3. По обращениям депутатов Совета Федерации и депутата Государственной Думы Федерального Собрания Российской Федерации по вопросам, связанным с их депутатской деятельностью безотлагательно предоставляется необходимая информация и документация независимо от степени их секретности в соответствии с федеральным законодательством о государственной тайне. Однако, обратим Ваше внимание, что законодатель предусмотрел предоставление именно информации, составляющей государственную тайну (что подчеркнуто ссылкой на Федеральный Закон о "О государственной тайне", это справедливо, так как именно государство является собственником этой категории информации и вправе устанавливать правила доступа к ней), а обязательность предоставления сведений конфиденциального характера - не определяется (это прерогатива собственника конфиденциальной информации). Это дает право предоставлять такую информацию депутатам на общих основаниях и с соблюдением требований, определяемых собственником информации.

4. В случае обязательной внешней аудиторской проверки с целью установления достоверности бухгалтерской (финансовой) отчетности и соответствия совершенных финансовых и хозяйственных операций нормативным актам Российской Федерации, проводимой по поручению государственных органов, органов дознания, следователя, прокурора, суда и арбитражного суда в соответствии с процессуальным законодательством Российской Федерации.

Обмен конфиденциальной информацией по волеизъявлению собственника

Кроме обязательного представления информации государственным органам, в обычной жизни существует много других моментов, когда собственник конфиденциальной информации хочет сам (или это ему крайне необходимо) по каким-то причинам передать третьему лицу такую информацию. От этого иногда зависит его коммерческий успех и деловая репутация. Однако и эти случаи во многом регулируются законом и собственник информации имеет определенные права, о которых мы поговорим ниже.

Вот некоторые из таких случаев:

1. Добровольная передача конфиденциальной информации в состав государственных информационных ресурсов по правилам, установленным для включения документов в соответствующие информационные системы.
2. Добровольная передача конфиденциальной информации на основе условий договора (мены, дарения, купли-продажи, совместной деятельности и пр.) или в порядке универсального правопреемства (по завещанию, в связи с реорганизацией юридического лица и пр.).
3. Передача конфиденциальной информации учредителям, участникам хозяйственных товариществ и обществ, контрагентам, партнерам, субподрядчикам, арендаторам, сотрудникам для выполнения служебных обязанностей по трудовому договору или контракту или зарубежному партнеру с использованием средства международного информационного обмена.
4. Передача конфиденциальной информации при использовании услуг оператора связи (телефонных, телеграфных, телетайпных, факсимильных, телематических, и др.) по транспортированию информационных потоков, по сетям электрической и почтовой связи.
5. При необходимости передачи конфиденциальной информации адвокату, нотариусу, аудитору, организациям-депозитариям для выполнения ими возложенных законом действий и обязанностей.

Какую информацию обязаны предоставлять

Итак, круг организаций, которые могут получить информацию достаточно широк. Но всеми ли и всю ли информацию надо безоговорочно передавать? Мы уже упомянули, что любую информацию, а особенно конфиденциального характера надо передавать только строго дозировано, в пределах компетенции запрашивающего ведомства и, поэтому, для предотвращения разглашения конфиденциальных сведений через должностных лиц и представителей федеральных органов государственной власти, органов власти субъектов российской Федерации, необходимо знать их реальные права и предоставлять им только ту информацию, которая входит в их компетенцию и необходима им для выполнения служебных функций. Не плохо также уяснить то, как закон трактует, что может служить основанием обязательной передачи каких-либо сведений.

Так, по требованию прокурора и следователя безвозмездно представляются статистическая и иная информация, справки, документы и их копии, необходимые при осуществлении возложенных на органы прокуратуры функций.

Прокурор, следователь, орган дознания и судья по телефонному, телеграфному или письменному запросу могут истребовать и получить объяснения о фактах совершенных или подготовляемых преступлениях. Исходя из духа статьи закона, конфиденциальная информация, в этом случае может быть предоставлена только по письменному запросу.

Необходимо помнить, что закрепленное в законе право истребовать какие-либо материалы не означает безусловность их предоставления. Уголовно-процессуальное законодательство не предусматривает обязанность безусловно предоставить истребуемые материалы, а соответственно и нет ответственности за отказ в предоставлении истребуемых материалов, за исключением отдельных случаев. В принципе, законодательство не исключает необходимости соблюдения специальной процедуры (порядка) при предоставлении истребуемой информации. Федеральным законом определено, что собственник документов, массива документов, информационных систем или уполномоченные им лица устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Вообще-то говоря, установлено, что и для органов прокуратуры, внутренних дел, налоговой полиции, ФСБ России конфиденциальность определенной информации (банковская и коммерческая тайна) не является препятствием для получения сведений и документов о финансово-экономической деятельности, вкладах и операциях по счетам физических и юридических лиц, причастных к совершению тяжких преступлений и преступлений, совершенных преступными группами. Основанием для предоставления банковскими и коммерческими структурами таких документов является мотивированное требование (запрос) прокурора, следователя, руководителя органа дознания по возбужденному уголовному делу. Органы полиции, при наличии данных о правонарушениях в финансовой, хозяйственной, предпринимательской и торговой деятельности могут изымать необходимые документы на материальные ценности, денежные средства, кредитные и финансовые операции.

Органы ФСБ России имеют право безвозмездно получать от государственных органов, предприятий, учреждений и организаций независимо от форм собственности информацию, необходимую для выполнения возложенных на них обязанностей, за исключением случаев, когда федеральными законами установлен специальный порядок получения информации.

Налоговые органы имеют право получать безвозмездно от министерств, ведомств, предприятий и учреждений независимо от форм собственности физических лиц информацию, необходимую для исполнения возложенных обязанностей, за исключением случаев, когда законом установлен специальный порядок получения такой информации. Кроме того они вправе получать от банков и кредитных учреждений информацию о совершении физическими лицами операций с крупными валютными суммами.

Налоговая служба Российской Федерации имеет право производить проверки денежных документов, регистров бухгалтерского учета, отчетов, планов, смет, деклараций и иных документов, связанных с исчислением и уплатой налогов и других платежей в бюджет. Кроме того она может контролировать своевременность предоставления плательщиками бухгалтерских отчетов, балансов, налоговых расчетов, отчетов и других документов, связанных с исчислением и уплатой платежей в бюджет, а также проверять достоверность этих документов в части правильности определения прибыли, дохода, иных объектов обложения и исчисления налогов и платежей в бюджет. При необходимости эти документы могут быть и изъяты на основании мотивированного постановления должностного лица налоговой инспекции. Предоставление же сведений, составляющих коммерческую тайну по запросам налоговой полиции и налоговой службы производится только по возбужденному уголовному делу или по материалам проверки, проводимой в порядке обязательности рассмотрения заявлений и сообщений о преступлении.

По требованию суда, прокуратуры, органов следствия, арбитражного суда, нотариус может дать необходимую справку о совершенных нотариальных действиях, содержащих конфиденциальную информацию доверителя.

Особое место в процессе обмена информацией вообще и конфиденциальной в частности занимают взаимоотношения со средствами массовой информации. Законодательно закреплено, что поиск, получение, производство и распространение массовой информации не подлежит ограничениям, за исключением случаев, предусмотренных законодательством о средствах массовой информации. Как один из таких случаев, законодатель называет недопустимость использования средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Поэтому, несмотря на то, что любая редакция имеет право в устной и письменной форме запрашивать информацию о деятельности государственных органов и организаций, общественных объединений и их должностных лиц, а руководители этих органов обязаны предоставлять такую информацию, они вправе и отказать редакции в ее получении, если запрашиваемая информация содержит какую-либо тайну. В этом случае журналист может получить доступ только к документам и материалам без фрагментов, содержащих такие сведения.

Информация конфиденциального характера

Основной социальной ценностью, главным продуктом производства и основным товаром в информационном обществе является информация. В настоящее время ни в одной из научных областей общества, в том числе и праве, нет единого определения информации.

Термин «информация» происходит от латинского слова «informatio», что означает – разъяснение, сообщение, осведомленность.

Существует множество философских концепций информации, и все осветить было бы крайне трудно. Известно философское определение американского ученого-математика Винера: информация – это не энергия и не материя.

Под информацией в технике понимают сообщения, передаваемые в форме знаков или сигналов.

С середины ХХ столетия под информацией понимается обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передача признаков от клетки к клетке, от организма к организму (генетическая информация) – это одно из основных понятий кибернетики.

Признаки информации:

– нематериальный характер, когда ценность информации заключается в ее сути, а не в материальном носителе, на котором она закреплена; субъективный характер, когда информация является интеллектуальной собственностью;
– информация должна быть объективной для включения в правовой оборот; количественная определенность; возможность многократного использования;
– сохранение передаваемой информации у передающего субъекта;
– способность к воспроизведению, копированию, сохранению и накапливанию.

Что можно делать с информацией:

– создавать, принимать, комбинирвать, хранить;
– передавать, копировать, обрабатывать, искать;
– воспринимать, формализовать, делить на части, измерять;
– использовать, распространять, упрощать, разрушать;
– запоминать, преобразовывать, собирать, и т. д.

Все эти процессы, связанные с определенными операциями над информацией, называются информационными процессами.

Информацию можно структурировать и классифицировать, исходя из различных признаков:

А) по степени доступа – общедоступная информация; информация, доступ к которой не может быть ограничен:
– информация с ограниченным доступом;
– информация, не подлежащая распространению;
б) по степени систематизации – систематизированная в информационных системах (каталоги, энциклопедии, рубрикаторы и т. д. и несистематизированная информация, т. е. свободная;
в) по виду носителя – на бумажном носителе, видео- и звуковая, компьютерная информация;
г) по сфере применения – массовая информация, распространяемая через СМИ, Интернет и отраслевая, предназначенная для круга лиц, связанного профессиональными интересами.

Под информацией понимаются: сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Термины «явления» и «процессы» охватывают как конкретные фактографические данные, так и неформализованные знания или заблуждения об окружающем или воображаемом мире.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления:

Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
- безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами;
- доступ к информации (доступ) – ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;
- доступность (санкционированная доступность) информации – состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
- защита информации от несанкционированного доступа или воздействия – деятельность, направленная на получения информации без прав;
- несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;
- персональные данные – информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность;
- конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

В нем указано, что к конфиденциальным понятиям следует относить:

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- Сведения, составляющие тайну следствия и судопроизводства.
- Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
- Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
- Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
- Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Как можно заметить, в этом перечне нет упоминания о государственной тайне, хотя, последняя полностью подпадает под определение конфиденциальной информации и является важнейшим информационным звеном, несанкционированный доступ к которому способен нанести ущерб безопасности государства.

В связи с этим становятся немного непонятными мотивации органов государственной власти в связи с таким обособлением государственной тайны от конфиденциальной информации.

Стратегия информационной безопасности и её цели

Проанализировав достаточно большое количество литературы, я не вижу четкого определения ИБ, поэтому сформулировала своё – информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия.

Самое главное в этом определении это то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом, а вот как раз этого главного принципа большинство сегодняшних руководителей не понимают и вследствие чего являются жертвами злоумышленников.

Стратегия – средство достижения желаемых результатов. Комбинация из запланированных действий и быстрых решений по адаптации фирмы к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления её конкурентных позиций. То есть стратегию информационной безопасности.

(Стратегию информационной безопасности) нужно определять с учетом быстрого реагирования на новые угрозы и возможности.

Среди целей ИБ главными можно выделить следующие:

Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа.

Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность – поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации.

Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные.

Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались.

В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Административный уровень информационной безопасности

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации (предприятия, фирмы).

Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности.

Политика безопасности – это совокупность документированных решений, принимаемых руководством организации и направленных на обеспечение информационной безопасности. Политика безопасности отражает подход организации к защите своих информационных активов.

Для выработки такой стратегии и претворения ее в жизнь необходимы, несомненно, политические решения, принимаемые на уровне высшего руководства фирмы.

На основе политики безопасности разрабатывается программа безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения и т. д.

На основе программы безопасности разрабатываются конкретные правила, инструкции, нормативы и рекомендации, касающиеся работы персонала по обеспечению информационной безопасности. Эти правила относятся к процедурному уровню защиты.

Таким образом, в организационном обеспечении информационной безопасности выделяются меры административного уровня (политика и программа безопасности) и меры процедурного уровня.

Коммерческая тайна. Служебная тайна. Профессиональные тайны. Персональные данные.

Основные термины и понятия:

Коммерческая (служебная) тайна

Персональные данные

Профессиональная тайна

С развитием информационного общества проблемы, связанные с защитой конфиденциальной информации, приобретают всё большее значение. В настоящее время в российском законодательстве данные вопросы полно и системно не решены. Развернутая классификация конфиденциальной информации, как уже говорилось выше, приводится в перечне сведений конфиденциального характера, установленном Указом Президента РФ от 6 марта 1997 г. № 188. Далее мы рассмотрим более подробно некоторые виды конфиденциальной информации.

Коммерческая тайна

Коммерческая деятельность организации тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразной информации. Защите подлежит не вся информация, а только та, которая представляет ценность для организации. При определении ценности коммерческой информации необходимо руководствоваться такими её свойствами, как полезность, своевременность и достоверность.

Полезность информации состоит в том, что она создает субъекту выгодные условия для принятия оперативного решения и получения эффективного результата. В свою очередь полезность информации зависит от своевременного её получения и доведения до исполнителя. Из-за несвоевременного поступления важных по своему содержанию сведений часто упускается возможность заключить выгодную торговую или иную сделку.

Критерии полезности и своевременности тесно взаимосвязаны и взаимозависимы с критерием достоверности информации. Причины возникновения недостоверных сведений различны: неправильное восприятие (в силу заблуждения, недостаточного опыта или профессиональных знаний) фактов или умышленное, предпринятое с определенной целью, их искажение. Поэтому, как правило, сведения, представляющие коммерческий интерес, а также источник их поступления должны подвергаться перепроверке.

Собственник коммерческой информации на основании совокупности перечисленных критериев определяет её ценность для своей хозяйственной деятельности и принимает соответствующее оперативное решение.

В зарубежной экономической литературе коммерческая информация рассматривается не в качестве средства извлечения прибыли, а, прежде всего, как условие, способствующее или препятствующее получению прибыли. Особо подчеркивается наличие стоимостного фактора коммерческой информации, т.е. возможность выступать в качестве предмета купли-продажи. Поэтому важное значение в условиях развития многообразных форм собственности имеет вопрос об определении принадлежности информации на правах интеллектуальной собственности конкретному субъекту предпринимательства, а в итоге - о наличии у него прав на её защиту.

Определение и вопросы гражданско-правовой защиты служебной и коммерческой тайны в российском законодательстве не различаются и рассмотрены в ст. 139 части первой ГК РФ, называющейся «Служебная и коммерческая тайна»:

«Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране её конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».

Обеспечение защиты государственной тайны не имеет прямого отношения к защите коммерческой тайны. Однако следует указать на некоторые возможные исключения. Под защиту государства может быть взята коммерческая информация, оцененная как особо важная не только для её собственника, но и для государства, когда не исключено, что к ней может проявить интерес иностранная спецслужба. Вопрос о подобной защите должен решаться на договорной основе между предпринимателем и органом федеральной безопасности с обозначением пределов и функций профессиональной деятельности последних. Что касается собственно коммерческой тайны, то она специальной уголовно-правовой и режимной защитой не обладает.

Действительная или потенциальная коммерческая ценность информации во многом носит субъективный характер и позволяет предпринимателю ограничивать доступ к практически любым сведениям, используемым в предпринимательской деятельности, за исключением сведений, определяемых нормативно-правовым и актами.

Какие сведения не могут составлять коммерческую тайну? В постановлении Правительства РСФСР от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» обозначены:

Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;

Документы, дающие право заниматься предпринимательской (деятельностью (регистрационные удостоверения, лицензии, патенты);

Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РСФСР;

Документы о платежеспособности;

Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

Документы об уплате налогов и обязательных платежах;

Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РСФСР и размерах причиненного при этом ущерба;

Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Этим же нормативным актом запрещено государственным и муниципальным предприятиям до и в процессе их приватизации относить к коммерческой тайне данные:

О размерах имущества предприятия и его денежных средствах;

О вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;

О кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства РСФСР и заключенных им договоров;

О договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.

Следует отметить, что ограничения, вводимые на использование сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при формировании трудовой деятельности организации, персонала подразделений, а также при их сотрудничестве с работниками других организаций.

Целью таких ограничений является предотвращение разглашения, утечки или несанкционированного доступа к конфиденциальной информации. Ограничения должны быть целесообразными и обоснованными с точки зрения необходимости обеспечения информационной безопасности. Не допускается использование ограничений для сокрытия ошибок и некомпетентности руководства организации, расточительства, недобросовестной конкуренции и других негативных явлений в деятельности организации, а также для уклонения от выполнения договорных обязательств и уплаты налогов.

Служебная тайна

Если основной целью обеспечения конфиденциальности информации, составляющей коммерческую тайну, является обеспечение конкурентного превосходства, то защита конфиденциальности служебной тайны, хотя и может затрагивать коммерческие интересы организации, но главной задачей имеет обеспечение интересов клиентов либо собственных интересов, непосредственно не связанных с коммерческой деятельностью. Так, к служебной, а не к коммерческой, тайне следует отнести сведения, касающиеся мер по обеспечению безопасности сотрудников организации, охране складских и иных помещений и др., прямо не связанные с осуществлением предметной деятельности.

В настоящее время институт служебной тайны в отечественном праве является наименее разработанным. В этой проблеме можно выделить три ряда вопросов.

Во-первых, на законодательном уровне требуют урегулирования вопросы «пограничных» и «производных» сведений. «Пограничные» сведения - это такая служебная информация в любой отрасли науки, техники, производства и управления, которая при определенном обобщении и интеграции становится государственной тайной. «Производные» сведения - служебная информация, полученная в результате дробления сведений, составляющих государственную тайну, на отдельные компоненты, каждый из которых не может быть к ней отнесен.

Во-вторых, особого правового регулирования требует защита сведений, образующихся в деятельности органов государственной власти и управления. Для формирования административно-правового института служебной тайны следует принять специальный закон, действие которого должно распространяться на все уровни системы государственного управления.

В-третьих, требует защиты определенная категория значимых сведений субъектов гражданско-правовых отношений. Здесь имеется в виду правовая защита сведений, которые в деятельности организаций не могут быть отнесены к коммерческой тайне, несмотря на то, что в ГК РФ понятие служебной тайны напрямую связано с действительной или потенциальной коммерческой ценностью информации.

Следует заметить, что в настоящее время практикуется упрощенный подход: любые сведения о предпринимательской деятельности организации, доступ к которым ограничен, относят к коммерческой тайне. Однако при таком подходе могут возникнуть трудности определения материального ущерба и упущенной выгоды при неправомерном распространении конфиденциальной информации, например сведений о режиме охраны организации или других аспектах её функционирования, напрямую не связанных с осуществлением предметной деятельности. Вместе с тем указанные сведения необходимо защищать, т.к. от ограничения доступа к ним в значительной степени зависит коммерческий успех организации.

Профессиональные тайны

В соответствии с действующим законодательством к профессиональной тайне относится информация, связанная со служебной деятельностью медицинских работников, нотариусов, адвокатов, частных детективов, священнослужителей, работников банков, загсов, учреждений страхования. В качестве субъекта профессиональной тайны может выступать как юридическое, так и физическое лицо.

Сохранение в тайне сведений, полученных в связи с выполнением профессиональных функций, вызвано в первую очередь нормами профессиональной этики, а не собственными коммерческими интересами предпринимателя или организации. Соответствующий правовой статус рассматриваемым нормам придает их законодательное закрепление.

1) банковская тайна . Понятие банковской тайны, в соответствии со ст. 857 ГК РФ, охватывает сведения о банковском счёте, вкладе, операциях по счёту, а также сведения о клиентах банка.

Банковская тайна защищает конфиденциальную информацию клиента или коммерческую информацию корреспондента.

ФЗ «О банках и банковской деятельности» определяет обязанности субъектов, категории информации и основания, по которым сведения предоставляются заинтересованным органам государственной власти, организациям и лицам. Кредитная организация, Банк России гарантируют тайну об операциях, о счётах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счётах и вкладах её клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Банк России не вправе разглашать сведения о счётах, вкладах, а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных федеральными законами.

Таким образом, кредитная организация вправе относить к банковской тайне любые сведения, за исключением прямо указанных в Законе.

2) нотариальная тайна . Тайна является специфическим правилом нотариальных действий. В соответствии со ст. 5 Основ законодательства РФ о нотариате нотариусу при исполнении служебных обязанностей, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий или увольнения, за исключением случаев, предусмотренных Основами. Обязанность хранить профессиональную тайну включена в текст присяги нотариуса.

3) процессуальные тайны обычноделят на два вида: следственную тайну и тайну совещания судей.

Следственная тайна связана с интересами законного производства предварительного расследования по уголовным делам (ст. 310 УК РФ «Разглашение данных предварительного расследования»). Сведения о ходе предварительного расследования могут быть преданы гласности только с разрешения прокурора, следователя или лица, производящего дознание. Такая информация может касаться как характера производимых следственных действий, так и доказательственной базы, перспектив расследования, круга лиц, участвующих в расследовании. Важно отметить, что законодательно не закреплен перечень сведений, составляющих следственную тайну. Это означает, что прокурор, следователь или лицо, производящее дознание, могут по своему усмотрению устанавливать, какая информация о предварительном расследовании может быть специально охраняемой, а какая - нет.

Тайна совещания судей . Для всех четырех видов существующих в отечественном судопроизводстве процессов предусмотрена определенная процедура обеспечения независимости и объективности вынесения решения по делу. Эта процедура имеет одной из целей запрет на разглашение информации о дискуссиях, суждениях, результатах голосования, которые имели место во время совещания судей. Обеспечение тайны совещания судей устанавливается ст. 193 Гражданским Процессуальным Кодексом (ГПК) РФ, ст. 70 Федерального конституционного закона «О Конституционном суде Российской Федерации», ст. 124 Арбитражного процессуального кодекса Российской Федерации.

4) врачебная тайна . Согласно ст. 61 Основ законодательства РФ об охране здоровья граждан информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.

5) адвокатская тайна . В соответствии с ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» адвокат, помощник адвоката и стажер адвоката не вправе разглашать сведения, сообщенные доверителем в связи с оказанием ему юридической помощи. Причем доверительные сведения, полученные адвокатом, могут быть как в виде документов, так и в устном виде. Законом установлены гарантии независимости адвоката. В частности, адвокат не может быть допрошен в качестве свидетеля об обстоятельствах, которые стали ему известны в связи с исполнением им обязанностей защитника или представителя (ст. 15 Закона).

6) тайна страхования . Институт страховой тайны во многих отношениях схож с институтом банковской тайны. Тайну страхования, в соответствии со ст. 946 ГК РФ, составляют полученные страховщиком в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными ст. 139 или ст. 150 ГК РФ.

Согласно ст. 8 Закона РФ «Об организации страхового дела в Российской Федерации» в качестве лица, обязанного сохранять тайну страхования, могут выступать как юридические, так и физические лица - страховые агенты и страховые брокеры. Кроме того, в соответствии со ст. 33 указанного Закона должностные лица федерального органа исполнительной власти по надзору за страховой деятельностью не вправе использовать в корыстных целях и разглашать в какой-либо форме сведения, составляющие коммерческую тайну страховщика.

7) тайна связи. ФЗ «О связи» в части защиты информации регулирует общественные отношения, связанные с обеспечением невозможности противоправного ознакомления с сообщениями, передаваемыми любыми субъектами - физическими или юридическими лицами - по средствам связи. При такой постановке вопроса тайна связи становится инструментом обеспечения сохранности конфиденциальной информации.

Тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией РФ. Обязанность обеспечения соблюдения тайны связи возлагается на оператора связи, под которым понимается физическое или юридическое лицо, имеющее право на предоставление услуг электрической или почтовой связи. Также операторы связи обязаны соблюдать конфиденциальность сведений об абонентах и оказываемых им услугах связи, ставших известными операторам в силу выполнения профессиональных обязанностей.

8) тайна усыновления . Институт тайны усыновления связан с интересами охраны семейной жизни и выражается в установлении гражданской и уголовной ответственности за разглашение тайны усыновления (удочерения). Согласно ст. 155 УК РФ тайна усыновления может быть двух разновидностей. Первой обладают лица, которые обязаны хранить факт усыновления как служебную или профессиональную тайну (судьи, работники местных администраций, органов опеки и попечительства и прочие лица, указанные в ч. 1 ст. 139 СК РФ). Второй - все другие лица, если установлены их корыстные или иные низменные побуждения при разглашении тайны усыновления без согласия обоих усыновителей.

9) тайна исповеди . Обеспечение тайны исповеди является внутренним делом священника; юридической ответственности за её разглашение он не несет. Согласно ч. 2 ст. 51 Конституции РФ и ч. 7 ст. 3 ФЗ «О свободе совести и религиозных объединениях» священнослужитель не может быть привлечен к ответственности за отказ от дачи показаний по обстоятельствам, которые стали ему известны из исповеди.

В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

  • коммерческая тайна;
  • производственная документация секретного характера;
  • ноу-хау компании;
  • клиентская база;
  • персональные данные сотрудников;
  • другие данные, которые компания считает нужным защитить от утечки.

Какие сведения составляют коммерческую тайну и как их обезопасить?

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

  • определение перечня активов, подлежащих защите;
  • разработка документации, регламентирующей и ограничивающей доступ к данным компании;
  • определение круга лиц, которым будет доступна КИ;
  • определение процедур реагирования;
  • оценка рисков;
  • внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

  • при каких условиях информация относится к служебной, коммерческой, другой тайне;
  • обязательность соблюдения условий конфиденциальности;
  • ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Полный перечень документов, которые регламентируют подходы к безопасности информации.

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита - это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди - основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-систему можно интегрировать с SIEM-решениями. Это усилит эффект от двух продуктов.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. (Data Loss Prevention) - это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

  • USB-разъемы;
  • локально функционирующие и подключенные к сети принтеры;
  • внешние диски;
  • сеть Интернет;
  • почтовые сервисы;
  • аккаунты и др.

Основное предназначение DLP-системы - контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы - это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

  • частных сведений;
  • интеллектуальной собственности;
  • финансовых данных;
  • медицинской информации;
  • данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример - неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.

Совокупность данных, хранящихся в виде бумажных документов или сведений на цифровых носителях, доступных для передачи заранее определённому узкому кругу лиц. Использование конфиденциальной информации регулируется законодательством РФ, несанкционированная передача таких сведений расценивается как правонарушение.

Разновидности конфиденциальной информации

В зависимости от сферы применения, конфиденциальная информация представляет собой коммерческую, государственную или служебную тайну. Доступ к таким сведениям предоставляется в зависимости от служебного положения, использование ограничивается договорами о неразглашении конфиденциальных данных.

  • Персональные данные гражданина. Обстоятельства частной жизни, сведения о родственниках, доходах и месте проживания, с помощью которых можно идентифицировать личность. Защита персональных данных регулируется федеральными законами.
  • Следственные и судебные данные. Официальные документы и заверенные показания участников судебных процессов, информация о гражданах, находящихся под защитой государства. Такие сведения доступны государственным служащим в рамках должностных полномочий.
  • Финансовая информация о компании. Список банковских операций, контрагентов, внутренняя бухгалтерская отчётность, особенности ценовой политики, текущий объём прибыли компании. Такие сведения доступны инвесторам, акционерам, руководителям отделов согласно корпоративной политике в сфере распространения информации.
  • Служебная информация. Особенности ведения переговоров и заключения сделок, детали взаимодействия с контрагентами, организационная структура предприятия. Такие сведения доступны рядовым сотрудникам и защищены от посторонних договором о неразглашении конфиденциальных данных.
  • Сведения об особенностях производства. Рецептура и технологии производства, чертежи и схемы оборудования, планы развития компании и загрузки текущих мощностей. Такая информация доступна сотрудникам предприятия согласно их полномочиям.
  • Научно-технические данные. Результаты исследований, разработок, научных изысканий, опытов на веществах и материалах, новые технологии, образцы продукции, программное обеспечение. Такие сведения предоставляются научным сотрудникам, руководителям отдела в коммерческих организациях.

Конфиденциальная информация зафиксирована на физических носителях (жёстких дисках, листах бумаги) и обладает реквизитами для идентификации (номером, датой составления). Контролирующие органы получают доступ к информации после предъявления ордера или разрешения на проведение налоговой проверки.

Защита конфиденциальной информации

Несанкционированный доступ к конфиденциальным сведениям приводит к потере конкурентных преимуществ, конфликтам с клиентами, негативно отражается на деловой репутации компании. Информацию с ограниченным доступом охраняют четырьмя методами.

  • Законодательные методы — подписание соглашений о неразглашении сведений, обращение в государственные структуры при нарушении норм права злоумышленниками. Со стороны государства применяется ФЗ № 149 «Об информации, информационных технологиях и защите информации», ФЗ № 98 «О коммерческой тайне».
  • Организационные методы — ограничение доступа к отдельным данным путём настройки внутренних программ в компании. EPR системы в организациях (например, SAP) регулируют права доступа для каждого сотрудника в зависимости от его должности.
  • Технические методы — установка камер слежения в местах хранения закрытой информации (лабораториях с чертежами и образцами), создание пропускного режима и системы идентификации на предприятиях. Такие методы применяются на производственных, исследовательских предприятиях.
  • Методы работы с кадрами — проведение инструктажей и разъяснений о важности сохранения конфиденциальных сведений, введение санкций за нарушение обязательств сотрудниками. Такие методы применяются в большинстве крупных компаний для разъяснения сотрудникам их обязанностей и сопровождаются подписанием договора о неразглашении сведений.