Дата: 18.2.08 | Раздел:
Разграничение информации в современном коммерческом предприятии
В настоящее время проблема защиты конфиденциальной деловой информации возникает все чаще и чаще. Современная компания, которая хочет оставаться конкурентоспособной на рынке, тем более в России, должна проводить комплекс работ по защите конфиденциальной и иной «чувствительной» информации. Во многих компаниях сформированы подразделения экономической разведки (проще – экономического шпионажа), целью которых является получение защищаемой информации от компании-конкурента.
Для обеспечения безопасности информации современного коммерческого предприятия уже разработаны организационно-технические меры, которые выполняются в меру оснащенности организации средствами защиты и согласно уровню понимания проблемы ее руководством и сотрудниками.
Однако, как правило, возникает вопрос, как выбрать ту информацию, которую следует защищать, так как подвергать этой процедуре всю информацию, циркулирующую по ЛВС (локально-вычислительной сети) компании, не имеет смысла хотя бы по экономическим соображениям. Вот здесь и возникает необходимость разделения информации по уровням – грифам.
Данный процесс, к сожалению, часто приобретает спонтанный характер. В некоторых случаях, когда во главу угла ставятся требования современных западных стандартов (например, ISO 17799), используют следующую классификацию:
- открытая информация;
- конфиденциальная информация;
- cтрого конфиденциальная информация.
Такое деление не является правильным с учетом нормативных документов, действующих на территории РФ. Согласно действующему законодательству Российской Федерации можно применить следующее разграничение информации по грифу конфиденциальности:
- открытая информация (ОИ);
- для внутреннего использования (ДВИ);
- конфиденциальная информация (КИ).
При этом необходимо отметить, что право на отнесение информации к какому-либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит ее обладателю.
Базовыми принципами защиты информации являются конфиденциальность, целостность и доступность, соблюдение которых есть необходимое условие обеспечения безопасности различных категорий информации.
Открытая информация
К открытой информации относится:
- информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т. п.);
- информация, полученная из внешних открытых источников;
- информация, находящаяся на внешнем web-сайте компании.
ОИ важно соблюдение принципов целостности и доступности.
Многие считают, что защищать открытую информацию не имеет смысла. Однако это не так. Согласитесь, подмена первой страницы на web-сайте компании, в зависимости от того, чем именно она будет заменена, может привести к тем или иным нежелательным последствиям различной тяжести.
Информация для внутреннего использования
К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп, которая:
- циркулирует между подразделениями и необходима для нормального их функционирования;
- является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);
- не относится к информации конфиденциального характера;
- не относится к открытой информации.
То есть к ДВИ можно отнести всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет губительных последствий для ее деятельности.
Для ДВИ необходимо соблюдение следующих принципов: целостности, доступности и конфиденциальности (при выходе ее за пределы ЛВС компании).
Конфиденциальная информация
Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной информацией и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица.
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Перечень сведений конфиденциального характера изложен в Указе Президента РФ № 188 и в общих чертах относит к таковым следующую информацию: персональные данные, сведения, составляющие тайну следствия и судопроизводства, служебную, профессиональную и коммерческую тайну и сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Для защиты КИ необходимо соблюдение принципов конфиденциальности, целостности и доступности.
В современной компании (например, телекоммуникационной) конфиденциальная информация может подразделяться на следующие категории:
- персональные данные;
- служебная информация;
- коммерческая тайна;
- профессиональная тайна.
Персональные данные – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Персональные данные на всех работников компании обычно хранятся в отделе кадров. При этом компания несет ответственность перед работниками в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Служебная информация – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами.
Служебная информация – информация органов государственной власти, которую они передают в коммерческие структуры. Отнесение информации к грифу «служебная информация» проводится только органами государственной власти. Например, защита служебной тайны для отрасли связи РФ определена Приказом Министерства РФ по связи и информатизации № 62 от 20.05.03 «О введении в действие СТР-К».
Коммерческая тайна – информация, не являющаяся государственными секретами, связанная с производственной, технической, технологической информацией, управлением финансовой и другой деятельностью предприятия, разглашение (передача, утечка) которой может нанести ущерб его интересам.
К сожалению, закон «О коммерческой тайне», который помог бы расставить все по своим местам, до сих пор не принят. Целью законопроекта «О коммерческой тайне» является, как это указано в п. 1 ст. 1, «предупреждение недобросовестной конкуренции и обеспечение условий для создания и эффективного функционирования рынков товаров и услуг в Российской Федерации». Иначе говоря, проект направлен на установление баланса между интересами хозяйствующих субъектов, общества и государства, то есть недопущение вмешательства в деятельность предприятий, с одной стороны, и защиту общества от необоснованного ограничения предприятиями доступа к информации о своей деятельности – с другой. При этом необходимо отметить, что положения проекта основаны на нормах п. 2 ст. 34 Конституции Российской Федерации, в соответствии с которыми «не допускается экономическая деятельность, направленная на монополизацию и недобросовестную конкуренцию». Другим конституционным основанием данного проекта являются нормы п. 1 ст. 44, направленные на защиту свободы творчества и интеллектуальной собственности. Указанный законопроект также развивает ст. 139 «Служебная и коммерческая тайна» Гражданского кодекса РФ.
В ожидании принятия проекта попробуем сами определить критерии отнесения информации к рассматриваемой категории.
К коммерческой тайне может относиться научно-техническая, технологическая, производственная информация, в том числе секреты производства (ноу-хау), финансово-экономическая и иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и к охране конфиденциальности которой обладатель коммерческой тайны принял следующие меры:
- определил перечень информации, составляющей коммерческую тайну;
- ограничил свободный доступ к ней путем установления порядка обращения с этой информацией и контроля его соблюдения;
- организовал договорное регулирование отношений с работниками и с контрагентами по вопросам условий передачи и использования информации, составляющей коммерческую тайну;
- нанес на материальные носители информации, составляющей коммерческую тайну, и (или) сопроводительные документы гриф «Коммерческая тайна» с указанием ее обладателя.
Режим коммерческой тайны считается установленным после принятия обладателем коммерческой тайны указанных мер.
Основными признаками коммерческой тайны современного предприятия является конфиденциальность сведений, отношений, переписки и переговоров между сторонами или сделок. К другим признакам коммерческой тайны, проявляющимся при ее разглашении, относятся:
- нанесение экономического ущерба компании;
- возникновение у компании убытков в виде упущенной выгоды;
- снижение экономической, технической эффективности деятельности компании, в том числе и внешнеэкономической;
- нанесение ущерба имиджу компании и дискредитация его как добросовестного, надежного партнера по внешнеэкономической и иной деятельности;
- нанесение ущерба престижу и репутации партнера, с которым заключается или осуществлена коммерческая сделка.
Одна и та же информация, правомерно полученная или самостоятельно созданная разными лицами, может одновременно составлять коммерческую тайну каждого такого лица.
Необходимо не забывать о существовании еще одного «подвида» конфиденциальной информации – профессиональной тайны.
Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами. В части компании, занимающейся предоставлением услуг связи, – это информация операторов связи и иных клиентов, которая передается и обрабатывается в информационно-телекоммуникационных ресурсах компании.
Итак, мы рассмотрели принципы, которыми можно руководствоваться при категорировании производственной информации, соблюдая положения ныне действующего законодательства РФ в данной области. Вместе с тем, без принятия законов, которые бы четко оговаривали все условия отнесения тех или иных сведений к коммерческой тайне или персональным данным, отечественный предприниматель будет продолжать сталкиваться с многочисленными трудностями в случаях нарушения своих прав в рассматриваемой области.
Д. Костров Защита информации. Конфидент # 2, 2004 Источник: Защита информации. Конфидент
Cтатья опубликована на сайте "Безопасность для всех": http://www.sec4all.net
Адрес статьи: http://www.sec4all.net/modules/myarticles/article.php?storyid=189 |