В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.
Данные, нуждающиеся в защите
Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:
- коммерческая тайна;
- производственная документация секретного характера;
- ноу-хау компании;
- клиентская база;
- персональные данные сотрудников;
- другие данные, которые компания считает нужным защитить от утечки.
Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:
- определение перечня активов, подлежащих защите;
- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
- определение круга лиц, которым будет доступна КИ;
- определение процедур реагирования;
- оценка рисков;
- внедрение технических средств по защите КИ.
Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).
Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:
- при каких условиях информация относится к служебной, коммерческой, другой тайне;
- обязательность соблюдения условий конфиденциальности;
- ответственность за разглашение КИ.
Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).
Защита конфиденциальной информации на практике
В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).
Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.
Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита - это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди - основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.
Защита информации на предприятии
При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.
Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.
Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.
В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.
IT-защита информации
Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.
Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.
Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.
Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.
Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.
DLP-системы для предотвращения утери данных
Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. (Data Loss Prevention) - это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:
- USB-разъемы;
- локально функционирующие и подключенные к сети принтеры;
- внешние диски;
- сеть Интернет;
- почтовые сервисы;
- аккаунты и др.
Основное предназначение DLP-системы - контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.
DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.
Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.
Специализированные DLP-системы - это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:
- частных сведений;
- интеллектуальной собственности;
- финансовых данных;
- медицинской информации;
- данных кредитных карт и др.
SIEM-системы
Эффективным способом обеспечения информационной безопасности специалисты считают программу (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).
Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.
Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.
В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример - неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.
Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.
Эффективная защита информации в компьютерных системах достигается путем применения соответствующих средств, которые условно можно разделить на несколько групп:
1) разграничения доступа к информации;
2) защиты информации при передаче ее по каналам связи;
3) защиты от утечки информации по различным физическим полям, возникающим при работе технических средств компьютерных систем;
4) защиты от воздействия программ-вирусов;
5) безопасности хранения и транспортировки информации на носителях и ее защиты от копирования.
Основное назначение таких средств – разграничение доступа к локальным и сетевым информационным ресурсам компьютерных систем, которые обеспечивают: идентификацию и аутентификацию пользователей, разграничение доступа зарегистрированных пользователей к информационным ресурсам, регистрацию действий пользователей, защиту загрузки операционной системы с гибких носителей, контроль целостности средств защиты информации и информационных ресурсов. Несмотря на функциональную общность средств защиты информации данной группы, они отличаются друг от друга условиями функционирования, сложностью настройки и управления параметрами, используемыми идентификаторами, перечнем регистрируемых событий и стоимостью. Средства защиты информации делятся на формальные , которые выполняют эту функцию по заранее предусмотренной процедуре без участия человека, и неформальные (ограничивающие деятельность персонала или жестоко регламентирующие ее).
К основным средствам защиты относятся технические и программные ; технические средства принято делить на физические и аппаратные .
Физические средства реализуются за счет автономных устройств и охранных систем (охранная сигнализация, экранирующие оболочки для аппаратуры, внутренняя экранирующая защита отдельных помещений, средства внешнего и внутреннего наблюдения, замки на дверях и т.п.).
Аппаратные средства – это приборы, непосредственно встраиваемые в устройства, которые сопрягаются с аппаратурой, используемой для обработки данных по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу и специальные регистры).
К программным средствам относятся специальные программы, и/или модули, выполняющие функции защиты информации.
Применение лишь одного из названных способов защиты информации не решает проблемы - необходим комплексный подход. Обычно используют два основных метода: преграда и управление доступом.
Преграда – создание физических препятствий (для доступа на территорию организации, напрямую к физическим носителям информации).
Управление доступом – регламентация и регулирование санкционированного обращения к техническим, программным, информационным ресурсам системы.
В свою очередь санкционированное управление доступом обеспечивается за счет определенных функций защиты :
Идентификации пользователей – начальное присвоение каждому пользователю персонального имени, кода, пароля, аналоги которых хранятся в системе защиты;
Аутентификации (проверка полномочий) – процесс сравнения предъявляемых идентификаторов с хранящимися в системе;
Создание условий для работы в пределах установленного регламента, то есть разработка и реализация комплексных мероприятий, при которых несанкционированный доступ сводится к минимуму;
Регистрация обращений к защищаемым ресурсам;
Адекватное реагирование на совершение несанкционированных действий.
Антивирусные программы - самое распространенное средство защиты - от отдельных компьютеров домашних пользователей до огромных корпоративных сетей (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).
Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи.
Средства прозрачного шифрования обеспечивают защиту данных от непреднамеренного разглашения и не позволяют шпионам проникать в данные других пользователей. При этом ключи шифрования хранятся в учетных записях, поэтому для легальных владельцев информации ее дешифрация происходит незаметно. Таких решений на рынке несколько; в частности их предлагает компания Microsoft. Решение Microsoft используется в операционной системе в виде криптографической файловой системы EFS. Однако если сотрудник, который имеет права доступа к зашифрованным данным, случайно отправит их по электронной почте или перенесет на незашифрованный носитель, то защита будет нарушена. Чтобы исключить риск таких случайных утечек, компания может контролировать передачу данных по протоколам электронной почты и Web (для защиты пересылки по Web-почте). Но от скрытой пересылки данных, которую могут придумать шпионы, подобные системы, скорее всего, не смогут обеспечить безопасность. В частности, ни одна защита не может вскрыть правильно зашифрованный файл, а, значит, не может проверить его содержание. Впрочем, для отечественных компаний наиболее интересными являются услуги по разработке комплексной системы защиты, которая подразумевает в том числе и создание механизмов для предотвращения внутренних угроз.
Контроль содержимого. Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого - это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета. Одна из приоритетных задач производителей подобных средств, - сделать так, чтобы работа системы контроля содержимого не ощущалась пользователем.
Межсетевые экраны были и являются базовым средством, обеспечивающим защиту подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защиту потоков данных, передаваемых по открытым сетям. Первое (и самое главное), что необходимо сделать для обеспечения сетевой безопасности, это установить и правильно сконфигурировать межсетевой экран (другое название – брандмауэр или firewall). Брандмауэр - в информатике - программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Брандмауэр защищает соединяемую с Интернет корпоративную сеть от проникновения извне и исключает возможность доступа к конфиденциальной информации. Правильное конфигурирование и сопровождение брандмауэра - обязанность опытного системного администратора.
Для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей лучше использовать Интернет-шлюзы или Интернет-маршрутизаторы.
Межсетевые экраны также осуществляют антивирусное сканирование загружаемого содержимого WEB или E-mail. Антивирусные базы данных обновляются через Интернет, чтобы обеспечить защиту сети по мере появления новых вирусов. Вся статистика о потоке данных, сигнализация об атаках из Интернета и сведения об активности пользователей по web-навигации сохраняются в реальном времени и могут быть предоставлены в виде отчета.
- - коммерческая;
- - служебная;
- - личная (персональная) за исключением государственных секретов (статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”).
Легальные признаки конфиденциальной информации - документированность, ограничение доступа к информации в соответствии с законодательством и отсутствие свободного доступа к ней на законном основании.
«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации». Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.
К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91 г. № 35.
В России законодательство в сфере охраны прав на конфиденциальную коммерческую информацию только начинает формироваться. Новым в регулировании отношений в данной сфере стало принятие Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Общее впечатление, которое остается после знакомства с текстом Закона, можно определить как противоречивое. С одной стороны, появился единый нормативный акт, детально определяющий режим и порядок защиты сведений, которые составляют коммерческую тайну. С другой стороны, Закон далеко не безупречен. При его создании законодателем были введены нормы, на взгляд исследователей, затрудняющие защиту коммерческой тайны и восстановление нарушенного права.
Закон не исключает применения общих норм о коммерческой тайне, предусмотренных ст. 139 ГК РФ, а в качестве источников называет ГК РФ и другие федеральные законы. Таким образом, Закон дополняет сложившуюся нормативную базу и лишь частично ее заменяет.
Однако уже при прочтении определения коммерческой тайны мы видим терминологические нестыковки Закона с ГК РФ. Закон определяет понятие коммерческой тайны через свойство информации: коммерческая тайна - это "конфиденциальность информации" (п. 1 ст. 3 Закона) (англ. confidence - секретность). ГК РФ рассматривает коммерческую тайну в первую очередь как разновидность информации, имеющей "коммерческую ценность в силу ее неизвестности третьим лицам", в отношении которой применяются меры по охране ее конфиденциальности (ст. 139 ГК РФ). При всей незначительности на первый взгляд несовпадения понятий мы получили два разных, конкурирующих по своей юридической силе определения.
Закон различает форму, в которой существует ценная информация, и содержание самой информации. К ней относится "научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау)" (п. 2 ст. 3 Закона.
Список видов информации, которая может иметь коммерческую ценность, открыт.
Закон по-прежнему наделяет собственника (владельца) информации правом самостоятельно определять ее ценность.
Определение коммерческой тайны, содержащееся в Законе, отражает характер самого Закона. Основной акцент в нем сделан на процедурах охраны коммерческой информации. Согласно Закону именно они позволяют обеспечить необходимый минимум условий для защиты нарушенного права в суде, а также проводят разграничение между законным и незаконным доступом как элементом состава правонарушения.
В связи с этим сложно понять определение обладателя информации, составляющей коммерческую тайну, данное в Законе. В соответствии с п. 4 ст. 3 Закона это лицо, которое владеет такой информацией "на законном основании". Таким образом, доказывая факт нарушения права, придется устанавливать законность владения им. Документально подтвердить права на коммерческую тайну можно, если они, например, подлежат государственной регистрации (патенты, свидетельства). В таком случае интересы собственника защищаются патентным, авторским правом. Если коммерческую тайну составляют договоренности, зафиксированные на аудио-носителе, или это незапатентованные идеи, доказать первичность и законность обладания такой информацией будет довольно сложно.
Очевидно, что нужно будет подтвердить объективную связь информации с ее владельцем. Например, информация об организации-владельце, ее сделках и т. п. должна содержать указание на организацию-владельца и быть защищена специальными ссылками на носителе о конфиденциальности, как это предусмотрено в п. 5 ч. 1 ст. 10 Закона.
В Законе говорится о передаче информации только на материальном носителе (п. 6 ст. 3 Закона) и на условиях специального договора. В этой части Закон ограничивает объем охраняемых в режиме тайны сведений по сравнению с определением, данным в ГК РФ, в ст. 139 которого не упоминаются материальные носители, а речь идет об охране конфиденциальной информации.
Следовательно, руководствуясь Законом, из правовой охраны исключены случаи, например, разглашения информации, не зафиксированной на материальных носителях. В частности, это могут быть сведения о каких-либо решениях, принятых организацией по продвижению своего продукта, и подобная информация.
С одной стороны, такой подход упрощает процесс доказывания, с другой - ограничивает возможности защиты интересов собственника информации.
Закон впервые вводит определение понятия "режим коммерческой тайны". При рассмотрении правовых оснований для защиты коммерческой тайны режиму коммерческой тайны следует уделить особой внимание. Его несоблюдение влечет утрату возможности защитить нарушенное право на коммерческую тайну (ч. 1 ст. 7 и ч. 2 ст. 10 Закона).
Система условий, составляющих режим коммерческой тайны, весьма объемна и требует значительных затрат со стороны владельца или получателя коммерческой тайны.
В частности, ч. 1 ст. 10 Закона предусматривает:
- - определение перечня информации, составляющей коммерческую тайну;
- - ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- - учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
- - регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- - нанесение на материальные носители (документы), которые содержат информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и местонахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Владелец коммерческой тайны должен установить определенный порядок оборота конфиденциальной информации, а также предусмотреть дополнительные штатные единицы для контроля над таким оборотом. Кроме того, нужно привести в соответствие или разработать вновь большой пакет внутренней нормативной документации.
Как минимум организации - владельцу коммерческой тайны необходимо:
- - разработать положения о коммерческой тайне и о документообороте всех носителей информации с грифом "Коммерческая тайна";
- - выпустить приказ по организации о допуске к коммерческой тайне;
- - предусмотреть в трудовом контракте дополнительные условия о добровольном обязательстве работника соблюдать режим коммерческой тайны.
Таким образом, с одной стороны, Закон расширил полномочия органов государства по контролю хозяйственной деятельности организаций. С другой стороны, процесс защиты прав владельцев информации существенно усложнился.
Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.
Необходимость системного правового регулирования института служебной тайны вызвана рядом причин, в том числе: отсутствие в законодательстве единого подхода к соответствующей категории информации ограниченного доступа; многочисленными примерами незаконного распространения (продажи) информации, аккумулируемой в органах государственной власти и относящейся либо к личности, либо к деятельности хозяйствующих субъектов; ограничениями на распространение информации, накладываемыми по своему усмотрению руководителями органов государственной власти и государственными (муниципальными) служащими на представление информации гражданам, общественным организациям, средствам массовой информации.
Уровень нормативного регулирования порядка обращения со служебной информацией ограниченного распространения, институт которой ныне можно воспринимать в качестве аналога служебной тайны социалистического периода, по целому ряду причин нельзя признать удовлетворительным. Единственный нормативный акт, регулирующий данную группу правоотношений - "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденное постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233 (ДСП). Данное Положение распространяется только на деятельность федеральных органов исполнительной власти, хотя аналогичные сведения образуются и поступают в любые органы государственной власти и органы местного самоуправления. Многие важные условия, определяющие порядок отнесения сведений к категории служебной информации, не установлены в Положении и даны на откуп руководителям федеральных органов исполнительной власти, что нельзя признать правильным, поскольку ведение ограничений на доступ к информации должно устанавливаться только федеральным законом. Таким образом, уровень правового регулирования явно недостаточный, к тому же на уровне постановления Правительства Российской Федерации выстроить долговременную и стабильную систему защиты сведений, имеющих продолжительный срок хранения, невозможно, тем более когда речь идет об установлении ряда норм гражданско-правового характера. Несмотря на практически полное отсутствие нормативного регулирования в сфере отнесения сведений к служебной тайне, их защиты и установления санкций за противоправное распространение такой информации, данная категория присутствует в большом количестве федеральных законов (около 40), в том числе: ФЗ "Об основах государственной службы Российской Федерации", ФКЗ "О Правительстве РФ", ФЗ "О службе в таможенных органах Российской Федерации", ФЗ "О Центральном Банке Российской Федерации (Банке России)", ФЗ "Об основах муниципальной службы Российской Федерации", ФЗ "О реструктуризации кредитных организаций", ФЗ "О рынке ценных бумаг" и др. При этом отсутствие четко определенного правового института служебной тайны обусловило разнообразие правовых подходов, получивших закрепление в законодательстве. Так, в ФЗ "О реструктуризации кредитных организаций" упоминается служебная тайна кредитной организации (ст. 41), в ФЗ "О мерах по защите экономических интересов Российской Федерации при осуществлении внешней торговли товарами" в органах исполнительной власти циркулирует "конфиденциальная информация" (ст. 18), в ФЗ "Об основах государственной службы Российской Федерации" и ряде других законов используется термин "служебная информация", в ФЗ "О таможенном тарифе" в таможенном органе циркулирует информация, составляющая коммерческую тайну и конфиденциальная информация (ст. 14). Федеральный закон №119-ФЗ от 20.08.2004 "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" предусматривает в ряду мер безопасности в отношении защищаемого лица обеспечение конфиденциальности сведений о нем.
Данные сведения по своему содержанию составляют служебную тайну и законодательное закрепление механизмов распоряжения этими сведения поможет реализации указанного Федерального закона. Эти примеры свидетельствуют о том, что не только терминология, но и содержание института защиты служебной информации не имеют в законодательстве однозначного отражения.
По-разному решается в законодательстве вопрос о структуре конфиденциальной информации и соотношении различных видов тайн. В этой связи особую озабоченность вызывает включение категории "служебная тайна" в нормы статьи 139 ГК РФ, где соответствующие сведения по системным признакам практически слиты с коммерческой тайной, хотя, следуя здравой правовой логике, данные системы ограничения в доступе к информации по своей природе должны быть различны. На электронных рынках страны и с помощью рассылки не запрошенных сообщений электронной почты (так называемый "спам") бесконтрольно распространяются CD, содержащие базы данных (БД) с информацией о персоналиях и организациях. Например, БД "Таможня", ГИБДД, БТИ (Бюро технической инвентаризации), "Прописка", "Внешнеэкономическая деятельность", ЕГРП (Единая государственная регистрация предприятий), "Собственники квартир", "Доходы физических лиц", "Картотека МВД" (судимости и др.), ОВИР (зарегистрированные паспорта), "БД "Министерство юстиции", "Сирена" (перевозки частных лиц железнодорожным транспортом России), БД о безналичных расчетах предприятий с поставщиками и потребителями и другие. Очевидно, что подобная информация не может попасть на рынок без участия государственных служащих.
В настоящее время законодателями подготовлен проект закона «О служебной тайне», регулирующего защиту таких сведений.
К личным (персональным) данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию). Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути.
Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.
Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ETS N 108 (28 января 1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Основным федеральным законом, защищающим конфиденциальность личных данных, является закон «О персональных данных», принятый 27 июля 2006 г.
В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется.
Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.
Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.
В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы:
Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т. е. работодатель фактически осуществляет сбор персональных данных работника;
Таможенный кодекс РФ от 28 мая 2003 г. N 61-ФЗ, регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;
Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.
Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993 г. N 5487-1, Законах РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне", от 28 марта 1998 г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст. 137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".
"Кадровик. Трудовое право для кадровика", 2011, N 10
ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ
Автор обращается к проблеме обеспечения информационной безопасности организации. Основное внимание уделено коммерческой и служебной тайнам, а также особенностям работы с персоналом, владеющим конфиденциальной информацией.
Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности администрации компании в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. Для защиты информации компании требуется комплекс мер, образующих систему. В теории под системой защиты информации понимают рациональную совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке . Элементами такой системы являются меры правового, организационного, технического и др. характера.
Правовой элемент является обязательным для любого типа организации и для любой даже самой простой системы защиты информации. При его отсутствии организация не сможет должным образом защитить конфиденциальную информацию, а также привлечь к ответственности лиц, виновных в ее разглашении и утрате.
Правовой элемент, то есть меры юридического характера, направлен в основном на надлежащее оформление документов, а также на грамотную работу с персоналом организации, поскольку в основе системы защиты информации лежит человеческий фактор. Вообще, в решении проблемы информационной безопасности организации значительное место занимает выбор эффективных методов работы с персоналом, а вопросы управления персоналом включаются в число главных при обеспечении безопасности информации.
В трудовых отношениях работодатель и работник обмениваются большим объемом информации различного характера, в том числе и конфиденциальной. Например, работодатель получает доступ к персональным данным работника, а работнику становится известной закрытая информация работодателя. В настоящей статье речь пойдет именно о конфиденциальной информации работодателя.
Персонал организации
как объект и субъект угроз безопасности
В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов, а иногда и криминальных структур. Разглашение конфиденциальной информации может нанести существенный экономический ущерб организации. Очевидно, что тайный сбор сведений, информации, хищение документов, материалов, образцов, составляющих коммерческую, промышленную, служебную тайну, организуется с целью завоевать рынок, сэкономить на приобретении ноу-хау и пр. К сожалению, нередкой является ситуация, когда сотрудник какой-либо организации, желая увеличить зарплату, предлагает свою кандидатуру фирме-конкуренту и одновременно обещает принести с собой базы данных старой компании. По неофициальным данным, от "промышленного шпионажа" в той или иной форме страдают около 80% организаций.
Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.
Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна. Реализация мер кадровой службы по защите информации компании предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Типичные ошибки предприятий
Мельникова Е. И. приводит данные исследования на тему "Методы и средства защиты коммерческой тайны на предприятии", которое было проведено в Ульяновске . В нем приняли участие 40 предприятий города из числа крупного, среднего и малого бизнеса, и был сделан вывод о том, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует везде.
Согласно указанному исследованию на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео - и фотосъемочной аппаратуры. В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации. На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение. На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении).
Виды конфиденциальной информации
Конфиденциальная информация, несомненно, относится к информации ограниченного доступа. Кстати, правовой режим последней в нормативных правовых актах недостаточно определен . Какую же информацию можно отнести к конфиденциальной в предпринимательской деятельности? Как именовать такую информацию? Как документально оформить обязанность работника хранить секретную информацию работодателя?
Для определения конфиденциальной информации используются различные термины, каждый из которых не является точным и корректным: "коммерческая тайна", "служебная тайна", "инсайдерская информация", "профессиональная тайна" и пр. Несколько слов следует сказать о каждом из приведенных понятий.
Ее субъектами могут являться исключительно государственные или муниципальные служащие;
К ней может относиться лишь та конфиденциальная информация, которая становится известной лицам в силу исполнения профессиональных обязанностей, связанных с государственной или муниципальной службой;
У нее особый качественный состав .
Следует заметить, что в действующем законодательстве отсутствуют четкие ориентиры для определения сущности служебной тайны и приходится руководствоваться научными подходами.
Данный термин не подходит для использования его при определении конфиденциальной информации коммерческой компании, а также государственной организации, где государственная служба не предусмотрена.
Термин "инсайдерская информация" в дословном переводе означает внутреннюю информацию компании.
Словарь трудового права. Инсайдер (inside англ. - внутри) - лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы.
Пункт 1 ст. 1 Директивы 2003/6/ЕС определяет инсайдерскую информацию как информацию, публично не раскрытую, обладающую известной ценностью, относящуюся к одному или нескольким эмитентам финансовых инструментов либо к одному или нескольким таким инструментам, которая в случае раскрытия непременно окажет значительное влияние на котировки финансовых инструментов или соответствующих деривативов .
В отличие от стран с развитым рынком ценных бумаг, Россия до сих пор не ввела термин "инсайдерская информация" на законодательном уровне. Законопроект "Об инсайдерской информации" был отклонен. Термин не вошел в нормативную лексику. Вместо понятия "инсайдерская информации" в Федеральном законе от 22.04.1996 N 39-ФЗ "О рынке ценных бумаг" (ред. от 11.07.2011) закреплено понятие "служебная информация". Ею признается: 1) любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах; 2) информация, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг.
В. И. Добровольский отмечает, что в мировой практике понятию "служебная информация" соответствует понятие "инсайдерская информация", так как это понятие является наиболее универсальным, включающим в себя служебную, коммерческую, конфиденциальную и т. п. информацию .
В России термин "служебная информация" также подразумевает конфиденциальную информацию, однако применяется в сфере фондового рынка. Термин "инсайдерская информация" вообще употребляется неофициально.
Относить ли информацию к конфиденциальной?
Легальное определение имеет понятие "коммерческая тайна". Это, во-первых, режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; а во-вторых, это сама информация, то есть сведения любого характера (производственные, технические, экономические, организационные и другие), которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Обладатель информации имеет право отнести ее к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну, приведенный в ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (ред. от 11.07.2011, далее - Закон о коммерческой тайне). Этот перечень не является закрытым, поскольку в отношении иных подлежащих раскрытию сведений Закон о коммерческой тайне ссылается на другие нормативные акты.
Таким образом, если работник пожаловался кому-то, что ему задерживают зарплату, или рассказал кому-либо об имеющихся в организации вакансиях, то такие действия не будут разглашением коммерческой тайны.
Для того чтобы защитить информацию, нередко при заключении трудового договора от сотрудника требуется соблюдение такого условия, как неразглашение коммерческой тайны организации. Помимо условий о коммерческой тайне в трудовом договоре не исключена и возможность подписания отдельного документа о защите информации, составляющей коммерческую тайну, что по своей сути является логическим завершением юридического оформления защиты информации на уровне хозяйствующего субъекта. Г. М. Колебошин справедливо указывает на то, что в литературе высказывается предложение именно о целесообразности заключения с работником дополнительного соглашения о неразглашении, которое может быть включено условием в трудовой договор или существовать в виде отдельного документа . Так, в организации может существовать локальный нормативный акт, посвященный коммерческой тайне, - положение о коммерческой тайне (далее - Положение). Принимая на работу сотрудника, который будет иметь доступ к закрытой информации, работодатель должен под расписку ознакомить его с действующими в организации локальными нормативными актами, имеющими непосредственное отношение к трудовой функции данного работника (ст. 68 ТК РФ; ст. 11 Закона о коммерческой тайне), в том числе с Положением. Оно может содержать перечень конфиденциальных сведений, который устанавливает руководитель исходя из специфики работы компании. То есть работник должен быть ознакомлен с перечнем информации, составляющей коммерческую тайну работодателя, а также с установленным режимом коммерческой тайны и мерами ответственности за его нарушение.
Если в организации не принято локальных нормативных актов, регламентирующих работу с конфиденциальной информацией, сотрудники с ними не ознакомлены, не обеспечена сохранность таких сведений, говорить о разглашении коммерческой тайны не приходится, а значит, законных претензий к работнику, разгласившему такие сведения, предъявлено быть не может, за исключением случая, когда сбор таких сведений осуществлен путем похищения документов, подкупа или угроз.
Также администрация обязана создать работнику необходимые условия для соблюдения им режима коммерческой тайны (например, предоставить сейф для хранения секретных материалов).
Итак, работник должен четко знать, что относится к коммерческой тайне организации, как она охраняется, и иметь возможность ее соблюдать.
Ответственность за разглашение
В ст. 14 Закона о коммерческой тайне указано, что лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с Законом о коммерческой тайне быть привлечено к ответственности. Если сотруднику, не ознакомленному с перечнем секретных документов, случайно в руки попал документ, из формы и текста которого ему непонятно, что эта информация относится к коммерческой тайне, ответственности за ее разглашение он также не понесет.
Не следует забывать, что к тайной информации не должно быть свободного доступа. Например, если сотрудник фирмы передал кому-либо сведения о деятельности фирмы, которые можно узнать и на сайте компании, проступком это не является.
Разглашение коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. При разглашении сведений, составляющих коммерческую тайну, работник может быть уволен по односторонней инициативе работодателя, в соответствии со ст. 81 ТК РФ.
Споры, возникшие в связи с разглашением коммерческой тайны, рассматриваются, как правило, в рамках гражданско-правовых и трудовых отношений и крайне редко доходят до уголовного преследования. Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Судебная практика по этому вопросу весьма скудна.
Действия работодателя по защите информации
Решение по гражданско-правовым и трудовым спорам зависит от того, как работодатель организовал защиту конфиденциальной информации - коммерческой тайны. Работодателю необходимо:
Разработать перечень информации, относящейся к коммерческой тайне;
Ограничить и регламентировать доступ к носителям информации;
Определить круг лиц, имеющих право доступа к информации;
Нанести на документы, составляющие коммерческую тайну, надпись "Конфиденциальная информация" (при этом необходимо указывать обладателя информации, его местонахождение и наименование);
Ознакомить работников с локальными актами о коммерческой тайне;
Внести в трудовые договоры, особенно с вновь принимаемыми лицами, пункт об обязательстве работника не разглашать определенную информацию работодателя.
При формулировании соглашения (договорного обязательства) об обязанности не разглашать сведения либо Положения о коммерческой тайне можно учесть опыт американских компаний, где в соглашение включаются следующие пункты :
Детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;
Краткое изложение порядка охраны конфиденциальных сведений;
Изложение мер, которые должен принимать сам работник для обеспечения сохранности данных сведений;
Перечень наказаний, которые могут последовать за разглашение конфиденциальных сведений.
Очевидно, что подобное письменное обязательство о неразглашении секретов компании не дает полных гарантий сохранения этих сведений, однако, как показывает практика, заметно снижает риск разглашения персоналом такой информации.
В документы иногда вносят пункт об обязанности сотрудника сообщать в службу безопасности компании или непосредственному руководителю о попытке постороннего лица получить любую информацию об организации, в том числе конфиденциальную, а также о случаях утери носителей информации.
Можно сделать ряд рекомендаций по поводу увольнения сотрудника, владеющего конфиденциальной информацией. При написании сотрудником заявления об увольнении необходимо последовательно выполнить следующие действия: принять все числящиеся за сотрудником документы, базы данных, носители информации и пр., принять пропуск данного сотрудника (идентификатор), ключи и печати, провести собеседование с увольняющимся сотрудником.
На собеседовании стоит напомнить лицу о том, что им были подписаны документы, обязывающие его хранить секреты компании. Некоторые авторы рекомендуют составить еще одно соглашение уже с увольняющимся лицом о неразглашении конфиденциальных данных после ухода из организации. Если опять обратиться к опыту США, то там с особенно ценными увольняющимися сотрудниками нередко заключается соглашение об оказании консультационных услуг в течение ряда лет. При этом все это время такому лицу выплачивается жалованье. Такая материальная и моральная связь с бывшим местом работы, как считается, не дает человеку поводов разглашать конфиденциальную информацию. В нашей стране такая практика в силу известных причин вряд ли может получить широкое распространение и будет применима лишь к топ-менеджерам крупных компаний.
Таким образом, действующие нормативные правовые акты не предусматривают эффективную защиту для конфиденциальной информации организации. Для того чтобы защитить внутреннюю информацию, работодателю необходимо самому позаботиться о секретах компании, правильно оформив как саму конфиденциальную информацию, так и отношения с работником, такой информацией обладающим. При выполнении указанных в настоящей статье действий организация может рассчитывать на вынесение решения в ее пользу при возможном судебном разбирательстве.
Библиографический список
1. Корнеев И. К., Степанов Е. А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.
2. Мельникова Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности // Юридический мир. 2009. N 12. С. 40 - 43.
3. Шевердяев С. Н. Конституционно-правовой режим информации ограниченного доступа // Конституционное и муниципальное право. 2007. N 1.
4. Яковец Е. Н., Смирнова И. Н. Нормативное регулирование оборота сведений, составляющих служебную тайну // Информационное право. 2009. N 4.
5. Директива 2003/6/ЕС "Об инсайдерской деятельности и рыночном манипулировании, злоупотреблениях на рынке". Directive 2003/6/EC of the European Parliament and of the Council of 28 January 2003 on insider dealing and market manipulation (market abuse). OJL 096, 12.04.2003. P. 0016 - 0025.
6. Добровольский В. И. Инсайдерская информация в мировой практике, служебная информация и коммерческая тайна в России // Предпринимательское право. 2008. N 4.
7. Колебошин Г. М. Обязанности работника в отношении коммерческой тайны работодателя // Трудовое право. 2007. N 5.
8. Ищейнов В. Я. Технология определения сведений, относимых к коммерческой тайне, и факторы риска // Делопроизводство. 2010. N 2. С. 50.
И. Погодина
зав. кафедрой
гражданского права и процесса
Владимирского государственного
университета имени А. Г. и Н. Г.Столетовых
Подписано в печать
В уже далекие советские времена всевозможные «первые», «режимно-секретные отделы» были предметом жгучей ненависти работников предприятий и учреждений - от закрытых НИИ до статистических управлений. Невыполнение на первый взгляд никому не нужных требований и правил было чревато как минимум выговором и лишением премии, а как максимум - уголовным делом с последующей долгой «путевкой» в «солнечный Магадан».
Засекречено при СССР было все, что только можно. В том числе, и достаточно большое количество данных, которые, как казалось, не несли никакой прямой угрозы государственной безопасности. Поэтому многие «свободомыслящие» считали «гебистов», присваивающих грифы секретности и выдумывающих правила работы с документами, параноиками и дармоедами…
В 50-е годы западными спецслужбами реализовывалась программа «Легальный путешественник». В ходе официальных поездок по СССР их агенты занимались «невинными вещами» - просто собирали пробы воды, почвы. Целью «рыцарей плаща и кинжала» было выявление мест возможного проведения советских ядерных исследований. В ходе противодействия западным коллегам даже происходили курьезы. Один из агентов должен был посетить абсолютно бесперспективные незаселенные территории на Северном Урале. Сотрудникам советской контрразведки пришла в голову мысль направить шпионов по ложному следу, и пробы, полученные агентом во время отдыха на природе, были искусственно облучены. При этом не были проведены консультации с учеными. Когда агент привез своим кураторам пробы, они были просто шокированы - побывав в месте, где можно было их взять, человек уже не должен был вернуться обратно…
Противодействие попыткам иностранных спецслужб фотографировать всевозможные объекты, брать возле них пробы было важнейшей составляющей деятельности советской контрразведки. Сотрудники иностранных разведок вовсю охотились и за другой «полуоткрытой информацией» - данными о выпусках в военных и технических ВУЗах, новых транспортных магистралях, любыми статистическими показателями.
Сопоставляя эти, вроде бы невинные данные, аналитики ЦРУ и Пентагона делали выводы о местах размещения секретных объектов, обеспеченности ВПК и армии кадрами, общих затратах на «оборонку», мобилизационных планах и потенциальных перемещениях войск. По мнению экспертов, до 80 - 90% работы разведчиков - это работа с «открытыми» или «полуоткрытыми по безалаберности» источниками, правильный анализ коих способен дать информацию, разглашение которой стране пребывания крайне невыгодно…
На таких простых примерах автор показал, что самая невинная на первый взгляд производственная или управленческая информация может быть использована против вас.
Защита любых подобных данных - одна из основных задач службы собственной безопасности, в том числе и в коммерческой структуре.
И если в государственных учреждениях, а так же на государственных и негосударственных предприятиях, имеющих допуск к работе с гостайной, официально функционируют санкционированные государством режимно-секретные органы, то защита интересов «частников», обладающей конфиденциальной коммерческой информацией - это их личная проблема.
Мы не будем сейчас вникать в суть функционирования института коммерческой тайны, а попытаемся определиться с режимом и системой защиты конфиденциальной информации вообще.
1. При ССБ, канцелярии или секретариате любого более или менее серьезного предприятия должен быть создан «режимный» орган. В зависимости от масштабов в нем может работать и один человек, и десять и даже пятьдесят. Суть его - контроль за информацией, признанной руководством конфиденциальной, такой, какая при разглашении может интересам предприятия навредить.
2. Вырабатывается система признания информации конфиденциальной. Чтобы не изобретать велосипед, лучше, чтобы критерии конфиденциальности утверждались директором по предложению службы собственной безопасности, а «гриф» «накладывался», как директором, так и руководителями подразделений, ответственных за исполнение работ и документов.
3. По предприятию директором должен быть издан официальный приказ, запрещающий разглашать какую-либо служебную, рабочую информацию посторонним лицам. Желательно, чтобы под этим приказом все сотрудники поставили подписи об ознакомлении.
4. В идеале дополнительно при устройстве на работу, каждый сотрудник должен дать подписку о том, что он обязуется не разглашать информацию, полученную в ходе профессиональной деятельности, и знает, что она является конфиденциальной и принадлежит предприятию. Такая «подписка» является мощным фактором психологического сдерживания сотрудников от лишней болтливости. Особенность менталитета - подписался - значит, несу ответственность.
5. Грифы внутреннего ограничения доступа ни в коем случае, дабы потом не возникали неприятные казусы, не должны дублировать официальные государственные, но могут быть им созвучны (еще один психологический трюк) - «для рабочего пользования», «строго конфиденциально», «служебная информация», «для внутреннего пользования», «коммерческая тайна» - на сколько хватит фантазии у сотрудников ССБ.
6. Вся документация, которая содержит информацию, способную при разглашении нанести весомый ущерб предприятию, должна регистрироваться в «режимном» органе и быть строго запрещена к свободному копированию. Запрещено, соответственно, должно быть и ее электронное копирование.
7. Кстати, исходя из вышеуказанного пункта, если ваше предприятие занимается серьезными работами (применяет промышленные ноу-хау, работает со всевозможными базами данных и пр.) и на нем задействовано значительное количество людей (которых невозможно непосредственно контролировать), то вам лучше запретить использование на своей территории личных мобильных телефонов (современная мобилка - универсальная фото, видеокамера, диктофон, флешка), выдавая вместо этого «простенькие» корпоративные, а также занос-вынос любых запоминающих устройств типа флешек, накопителей, МП-3 плееров, и фото-, видео аппаратуры. Программистам можно поручить вообще технически закрыть возможность подключения «несанкционированных» внешних устройств.
8. Ограничьте доступ сотрудников в Интернет. В первую очередь к личным почтовым серверам, социальным сетям. В рабочее время сотрудник должен пользоваться исключительно корпоративными «мейлом», «асей». У этих мер два огромных преимущества. Во-первых, все изложенные выше меры бесполезны, когда конфиденциальную информацию можно просто сбросить через свой ящик на «меил.ру» или профиль на «мамбе». Во-вторых, вы ограничите доступ сотрудников к отвлекающим от работы факторам, прекратите тем самым пустопорожний треп. Разрешите использовать корпоративные средства связи в крайнем случае для личных нужд. Но предупредите, что они, как собственность корпорации, могут контролироваться ССБ. Никто не будет против, если сотрудник отправит жене сообщение с просьбой купит хлеба и раньше забрать ребенка из школы. А вот обсуждение, кто будет «доктором», а кто «медсестрой» - придется отложить на другое время. По крайней мере, если не хотите, чтобы их читали и комментировали сотрудники ССБ.
9. Создайте простую инструкцию с подробным описанием процедур присвоения грифов, регистрации документов, копирования информации. Заставьте работника перед началом работы сдать по ней зачет.
10. Установите, да простят нас защитники прав человека, открытый видеоконтроль за рабочими местами. Если человек на работе занимается своими прямыми обязанностями - скрывать ему нечего. Просмотр порнороликов или, тем более, несанкционированное копирование клиентских баз в эти обязанности не входит.
Либеральный читатель может возмутиться такой постановке вопроса. Но! Рекомендации не содержат ничего противоправного. Здание, территория предприятия - его собственность. И руководство корпорации в праве устанавливать на его территории любые правила, кроме прямо запрещенных Уголовным кодексом (а-ля сексуальная эксплуатация или телесные наказания). Эти правила являются неотъемлемой составляющей функциональных обязанностей (желательно, чтобы они в них были отдельно закреплены), а, соответственно, и самой работы. Не нравится - выход через проходную. Если же какой-то сотрудник начинает бурно протестовать против запрета на использование личной флешки на работе - то это тревожный звоночек для ССБ. Одно из двух - либо ему есть что скрывать, либо он не совсем психически здоров. А любая из этих категорий на производстве - лишняя.
Помните, исполнение таких простых правил может и заставит потратить на них 1 - 2% рабочего времени, зато сэкономит добрые 50% времени, которые обычно тратятся на решение личных вопросов, треп и социальные сети. И главное, с большой долей вероятности предотвратит утечку информации, способную похоронить ваш бизнес.
Поучительная история.
Автор сам как-то стал свидетелем того, как достаточно серьезная фирма разрешала одному из своих менеджеров таскать везде за собой подаренный ему же за успехи в работе ноутбук. В один прекрасный день менеджер скопировал себе на ноутбук базы поставщиков, клиентов, уволился и открыл свою собственную фирму. При этом поставил ставку прибыли в два раза ниже (конечно, ему не нужно было тратиться на поиск клиентов и поставщиков, содержание сборочного производства, сервисной службы - по сути, он был «шабашником», предоставляющим «информационные услуги»). Остановить его удалось только через несколько месяцев, и то благодаря тому, что, уходя, он уворовал кое-что из техники корпорации. Доказывать разглашение коммерческой тайны в суде тяжело. А вот за кражу он свое получил…
А установи служба собственной безопасности на предприятии режим, исключающий пользование «левой» техникой и несанкционированное копирование информации, всех этих неприятностей удалось бы избежать. О том, как конфликт отразился на репутации одного из крупнейших предприятий в своем регионе - думаю, можно и не говорить…
Ради интереса автор тогда помониторил Интернет, навел справки у коллег и узнал, что подобные и даже полностью аналогичные случаи происходят на постсоветском пространстве повсеместно.
