В условиях крепнущих рыночных отношений вопросы защиты конфиденциальной информации приобретают все большую значимость. К сожалению, имеющиеся на сегодняшний день нормативные акты правового регулирования в области защиты информации не являются исчерпывающими, что создает определенные сложности для предприятий, желающих создать свою собственную систему защиты конфиденциальной информации.
По данным специализированных изданий Российские государственные и коммерческие предприятия отчетливо осознают все отрицательные последствия разглашения конфиденциальной информации: прямые финансовые убытки (46%), удар по репутации (42,3%) и потерю клиентов (36,9%). По мнению специалистов, утрата 20% информации, составляющей коммерческую тайну, в 60 случаях из 100 приводит к банкротству фирмы, а потери в результате действий конкурентов, использующих шпионаж в кредитно-финансовой сфере, составляют 30% от ущерба в мировой банковской системе.
Во многих печатных изданиях, рассматривающих различные аспекты бизнеса, и сети Интернет появляются статьи, так или иначе посвященные вопросам конфиденциальной информации, в которых достаточно широко представляются варианты ее защиты. Разобраться в этом объеме разноплановой информации достаточно сложно. Прежде всего, нет однозначного понимания самого понятия «конфиденциальная информация». Зачастую оно подменяется понятиями «коммерческая тайна», «служебная тайна» или даже «секретная информация».
К секретной информации, как известно, относятся сведения, составляющие государственную тайну, и отнесение информации к государственной тайне осуществляется в соответствии с Федеральным законом РФ от 21.07.1993 № 5485-1 «О государственной тайне». В настоящее время эта сфера в наибольшей степени регламентирована нормативными документами.
В соответствии с Указом Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» к конфиденциальной информации относятся:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- сведения, составляющие тайну следствия и судопроизводства;
- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Соответственно понятия «коммерческая тайна», «служебная тайна», «персональные данные» определяют виды конфиденциальной информации, но не заменяют сам термин. Статья 9 Федерального закона от 27.06.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» определяет условия ограничения доступа к информации, а также разделяет виды конфиденциальной информации.
Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне» рассмотрен порядок работы с информацией, содержащей коммерческую тайну. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» регулируются отношения, связанные с обработкой персональных данных. Условия отнесения информации к сведениям, составляющим, например, служебную тайну, Федеральными законами до настоящего времени еще не установлены.
Соответственно, предлагаем обратить внимание на тот факт, что при организации системы защиты информации на предприятии следует учитывать все виды конфиденциальной информации. И создание такой системы будет подразумевать в том числе ряд ограничений - так называемых режимных мер, принимаемых владельцем информации:
- комплексная организация мероприятий по определению порядка доступа работников предприятия к защищаемой информации и определение меры ответственности при ее утере (разглашении);
- техническая защита и оборудование помещений для работы с информацией, доступ в которые будет иметь ограниченный круг лиц;
- организация специального делопроизводства;
- защита информации, обрабатываемой техническими средствами, представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптико-магнитной и иной основе.
Из перечисленных мер только защита информации, обрабатываемой техническими средствами, определена нормативно-методическим документом «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденным приказом Гостехкомиссии России от 30.08.2002 № 282, требования которого носят рекомендательный характер при проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д. В указанном документе рассматривается система защиты информации, но применительно к техническим каналам утечки конфиденциальной информации. В нем же говорится о необходимости разработки соответствующей разрешительной системы доступа работников к защищаемой информации.
Для организации системы мер по защите конфиденциальной информации необходимо разработать и утвердить «Положение о защите конфиденциальной информации», в котором будут определены принципы формирования перечня сведений, содержащих конфиденциальную информацию предприятия. Причем, о составлении таких перечней сведений, говорится и пишется достаточно много, но все они ориентированы только на сведения, составляющие коммерческую тайну. Такой перечень должен составляться специалистами, разбирающимися в специфике различных сфер деятельности предприятия, в которых возможно «появление» конфиденциальной информации. Однако рекомендуем обязательно привлекать представителей юридической службы предприятия с целью определения законности отнесения тех или иных сведений к конфиденциальной информации.
Кроме того, «Положение о защите конфиденциальной информации» должно определять порядок допуска должностных лиц к конфиденциальной информации и обязанности указанных лиц, порядок присвоения грифа конфиденциальности, порядок проведения совещаний с использованием вопросов, содержащих конфиденциальную информацию, требования к помещениям, предназначенным для работы с носителями конфиденциальной информации, и ряд других вопросов.
Согласно ст. 10 Федерального закона «О коммерческой тайне» в «Положении…» необходимо закрепить также следующие меры по охране конфиденциальности информации:
- регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и местонахождение, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
При создании системы защиты конфиденциальной информации на предприятии считаем крайне важным определить и уточнить возможные угрозы безопасности информации. Необходимость такой работы рассматривается в СТР-К, но опять-таки применительно к техническим каналам утечки конфиденциальной информации при обследовании объекта информатизации.
Особое внимание следует уделить так называемым внутренним угрозам, среди которых одной из наиболее важных считается халатность работников (55,1%). Немногие организации сталкиваются в своей практике с наличием работников, умышленно совершающих неправомерные действия. Именно в таком случае необходимы профилактические меры. Но создание системы защиты конфиденциальной информации не должно исключать и возможность появления внутреннего мотивированного нарушителя.
Исходя из этого, принципиальным является определение порядка возмещения работодателю ущерба, причиненного неправомерными действиями либо бездействием работника. Необходимо внести дополнения в трудовой договор, заключаемый с работником, а также составить обязательство о неразглашении конфиденциальной информации. Кроме того, нужно предусмотреть и форму обязательства о неразглашении конфиденциальной информации, заключаемого с представителями сторонних организаций, находящихся с предприятием в договорных отношениях, и контролирующих органов в случае, если их работа или проводимая проверка предполагает ознакомление с конфиденциальной информацией предприятия.
Немаловажным фактором, как уже отмечалось выше, является выполнение мероприятий, имеющих профилактический характер: беседы с работниками и инструктаж, которые проводятся специалистом, ответственным за организацию системы мер по защите конфиденциальной информации, координацию деятельности различных подразделений по вопросам защиты конфиденциальной информации и контроль функционирования системы в целом.
Как вы видите, в этой статье намечены только основные шаги при формировании системы защиты конфиденциальной информации. Каждый из рассмотренных вопросов, несомненно, заслуживает отдельного внимания, но мы хотели подчеркнуть именно системность подхода к защите конфиденциальной информации. Конечно, это достаточно трудоемкий и сложный процесс, но безопасность предприятия и уверенность в завтрашнем дне стоят того, чтобы приложить усилия.
Анатолий Германович Мисник