Страница:
Другими федеральными надзорами, имеющими подобную регламентацию полномочий в информационной сфере, в том числе в отношении конфиденциальной информации, являются:
- Федеральный горный и промышленный надзор (Госгортехнадзор) (СМ. Сноску 52);
- Государственный энергетический надзор (СМ. Сноску 53);
- Государственная санитарно-эпидемиологическая служба (СМ. Сноску 54);
- Органы государственного пожарного надзора;
- Органы государственной инспекции по маломерным судам;
- Органы Российской транспортной инспекции;
- Органы государственного ветеринарного надзора;
- Федеральный орган по геологии и использованию недр;
- Федеральный орган по охране окружающей среды и природных ресурсов;
- Органы государственного надзора за связью в Российской Федерации;
- Органы, осуществляющие государственный пробирный надзор;
- Органы Государственной инспекции по торговле, качеству товаров и защите прав потребителей.
Каждый надзор по своему профилю вправе проводить беспрепятственные проверки подконтрольных предприятий и объектов по вопросам, относящимся к его компетенции, получать необходимые объяснения, справки и сведения по возникающим вопросам.
При отказе в предоставлении требуемой информации, если ее собственник ограничил к ней доступ, надзоры вправе приостанавливать деятельность, отзывать лицензии, аннулировать свидетельства и т. п.
Разумеется, и это закреплено в соответствующих нормативных актах, надзирающие органы также обязаны сохранять в тайне ставшие известными им при выполнении служебных функций сведения, и несут ответственность за их разглашение и использование в корыстных целях.
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ ОРГАНАМ РЕГИСТРАЦИИ, ЛИЦЕНЗИРОВАНИЯ И УЧЕТА
СОХРАНЕНИЕ КОММЕРЧЕСКОЙ ТАЙНЫ ПРЕДПРИЯТИЯ ГОСУДАРСТВЕННЫМИ ОРГАНАМИ (СЛУЖЕБНАЯ ТАЙНА)
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ ОБЩЕСТВЕННЫМ ОРГАНИЗАЦИЯМ
Часть II.
Глава 6
ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ
АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
- Федеральный горный и промышленный надзор (Госгортехнадзор) (СМ. Сноску 52);
- Государственный энергетический надзор (СМ. Сноску 53);
- Государственная санитарно-эпидемиологическая служба (СМ. Сноску 54);
- Органы государственного пожарного надзора;
- Органы государственной инспекции по маломерным судам;
- Органы Российской транспортной инспекции;
- Органы государственного ветеринарного надзора;
- Федеральный орган по геологии и использованию недр;
- Федеральный орган по охране окружающей среды и природных ресурсов;
- Органы государственного надзора за связью в Российской Федерации;
- Органы, осуществляющие государственный пробирный надзор;
- Органы Государственной инспекции по торговле, качеству товаров и защите прав потребителей.
Каждый надзор по своему профилю вправе проводить беспрепятственные проверки подконтрольных предприятий и объектов по вопросам, относящимся к его компетенции, получать необходимые объяснения, справки и сведения по возникающим вопросам.
При отказе в предоставлении требуемой информации, если ее собственник ограничил к ней доступ, надзоры вправе приостанавливать деятельность, отзывать лицензии, аннулировать свидетельства и т. п.
Разумеется, и это закреплено в соответствующих нормативных актах, надзирающие органы также обязаны сохранять в тайне ставшие известными им при выполнении служебных функций сведения, и несут ответственность за их разглашение и использование в корыстных целях.
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ ОРГАНАМ РЕГИСТРАЦИИ, ЛИЦЕНЗИРОВАНИЯ И УЧЕТА
Регистрационные и лицензионные органы при регистрации или лицензировании видов деятельности юридических лиц обеспечивают их перечнями предоставляемых в обязательном порядке документов. Непредставление таких документов или невключение в них требуемых данных влечет отказ в регистрации или выдаче лицензий и разрешений.
Лицензирующие органы вправе контролировать на предприятии условия действительности лицензий и разрешений и требовать для этого предоставления необходимой информации, которая также может быть отнесена к коммерческой и иной тайне. Порядок получения такой информации согласовывается при получении лицензий и разрешений или прямо указывается в законах.
Также право получать от организаций информацию, содержащую в том числе охраняемую законом тайну или персональные данные, имеют:
- Пенсионный Фонд РФ (СМ. Сноску 55) (получение от соответствующих служб (персонала, бухгалтерии) информации, необходимой для целей государственного пенсионного страхования);
- Государственный комитет по статистике (СМ. Сноску 56) (информация для государственной статистической отчетности);
- Фонд социального страхования РФ (СМ. Сноску 57) (информация в порядке осуществления контроля за правильным и рациональным расходованием средств социального страхования на предприятиях, в учреждениях, организациях);
- Фонд службы занятости РФ (СМ. Сноску 58) (работодатели обязаны ежемесячно предоставлять органам службы занятости сведения о применении в отношении данной организации процедур несостоятельности (банкротства), квотировании мест для приема инвалидов и информацию о наличии вакантных рабочих мест);
- Фонд обязательного медицинского страхования (СМ. Сноску 59) (обязанность предоставления страховой медицинской организации информации о показателях здоровья контингента, подлежащего страхованию);
- Информация, предоставленная таможенным органам РФ, может использоваться исключительно для таможенных целей, и не должна разглашаться, использоваться должностными лицами таможенных органов РФ в личных целях, передаваться третьим лицам, а также государственным органам за исключением случаев, предусмотренных законодательными актами РФ (ТК);
- Депутаты Совета Федерации или Государственной Думы (СМ. Сноску 60) (при обращении депутата в органы государственной власти, местного самоуправления, общественные объединения, на предприятия, в учреждения и организации должностные лица обеспечивают депутата по вопросам, связанным с его депутатской деятельностью, консультациями специалистов, безотлагательно предоставляют необходимую информацию и документацию независимо от степени их секретности в соответствии с федеральным законодательством о государственной тайне).
• Отказ в предоставлении информации Федеральному Собранию Российской Федерации, а также Счетной палате Российской Федерации влечет за собой уголовную ответственность по статье 287 УК:
1. Неправомерный отказ в предоставлении или уклонение от предоставления информации (документов, материалов), а также предоставление заведомо неполной либо ложной информации Совету Федерации Федерального Собрания Российской Федерации, Государственной Думе Федерального Собрания Российской Федерации или Счетной палате Российской Федерации, если эти деяния совершены должностным лицом, обязанным предоставлять такую информацию, наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет.
2. Те же деяния, совершенные лицом, занимающим государственную должность Российской Федерации или государственную должность субъекта Российской Федерации, наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они:
а) сопряжены с сокрытием правонарушений, совершенных должностными лицами органов государственной власти;
б) совершены группой лиц по предварительному сговору или организованной группой;
в) повлекли тяжкие последствия, наказываются лишением свободы на срок от четырех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Лицензирующие органы вправе контролировать на предприятии условия действительности лицензий и разрешений и требовать для этого предоставления необходимой информации, которая также может быть отнесена к коммерческой и иной тайне. Порядок получения такой информации согласовывается при получении лицензий и разрешений или прямо указывается в законах.
Также право получать от организаций информацию, содержащую в том числе охраняемую законом тайну или персональные данные, имеют:
- Пенсионный Фонд РФ (СМ. Сноску 55) (получение от соответствующих служб (персонала, бухгалтерии) информации, необходимой для целей государственного пенсионного страхования);
- Государственный комитет по статистике (СМ. Сноску 56) (информация для государственной статистической отчетности);
- Фонд социального страхования РФ (СМ. Сноску 57) (информация в порядке осуществления контроля за правильным и рациональным расходованием средств социального страхования на предприятиях, в учреждениях, организациях);
- Фонд службы занятости РФ (СМ. Сноску 58) (работодатели обязаны ежемесячно предоставлять органам службы занятости сведения о применении в отношении данной организации процедур несостоятельности (банкротства), квотировании мест для приема инвалидов и информацию о наличии вакантных рабочих мест);
- Фонд обязательного медицинского страхования (СМ. Сноску 59) (обязанность предоставления страховой медицинской организации информации о показателях здоровья контингента, подлежащего страхованию);
- Информация, предоставленная таможенным органам РФ, может использоваться исключительно для таможенных целей, и не должна разглашаться, использоваться должностными лицами таможенных органов РФ в личных целях, передаваться третьим лицам, а также государственным органам за исключением случаев, предусмотренных законодательными актами РФ (ТК);
- Депутаты Совета Федерации или Государственной Думы (СМ. Сноску 60) (при обращении депутата в органы государственной власти, местного самоуправления, общественные объединения, на предприятия, в учреждения и организации должностные лица обеспечивают депутата по вопросам, связанным с его депутатской деятельностью, консультациями специалистов, безотлагательно предоставляют необходимую информацию и документацию независимо от степени их секретности в соответствии с федеральным законодательством о государственной тайне).
• Отказ в предоставлении информации Федеральному Собранию Российской Федерации, а также Счетной палате Российской Федерации влечет за собой уголовную ответственность по статье 287 УК:
1. Неправомерный отказ в предоставлении или уклонение от предоставления информации (документов, материалов), а также предоставление заведомо неполной либо ложной информации Совету Федерации Федерального Собрания Российской Федерации, Государственной Думе Федерального Собрания Российской Федерации или Счетной палате Российской Федерации, если эти деяния совершены должностным лицом, обязанным предоставлять такую информацию, наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет.
2. Те же деяния, совершенные лицом, занимающим государственную должность Российской Федерации или государственную должность субъекта Российской Федерации, наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они:
а) сопряжены с сокрытием правонарушений, совершенных должностными лицами органов государственной власти;
б) совершены группой лиц по предварительному сговору или организованной группой;
в) повлекли тяжкие последствия, наказываются лишением свободы на срок от четырех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
СОХРАНЕНИЕ КОММЕРЧЕСКОЙ ТАЙНЫ ПРЕДПРИЯТИЯ ГОСУДАРСТВЕННЫМИ ОРГАНАМИ (СЛУЖЕБНАЯ ТАЙНА)
Перечень сведений конфиденциального характера включает понятие служебной тайны и определяет ее как «служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами». ГК РФ (ст. 139) определяет служебную тайну следующим образом (аналогично коммерческой тайне): «Когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности». К сожалению, суть того, что составляет служебную тайну, вряд ли ясна из ГК. Сомнительна также коммерческая ценность всего объема служебных сведений.
Законодательство о государственной службе (СМ. Сноску 61) в качестве одной из основных обязанностей государственного служащего определяет обязанность «хранить государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему известными в связи с исполнением должностных обязанностей сведения». «Государственный служащий обязан сохранять государственную, служебную и иную охраняемую законом Российской Федерации тайну, в том числе и после прекращения государственной службы… Государственный служащий не может использовать после прекращения государственной службы информацию, которая стала ему
известна в связи с исполнением должностных полномочий и составляет государственную, служебную или иную охраняемую законом Российской Федерации тайну» (СМ. Сноску 62). Из последнего определения более ясно следует понятие служебной тайны.
Служебная тайна - информация, которая стала известна государственному служащему в связи с исполнением должностных полномочий и не относящаяся к государственной тайне.
Наиболее отчетливо содержание служебной тайны прослеживается на примере ст. 16 ТК: «Информация, предоставленная таможенным органам Российской Федерации государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с настоящим Кодексом и иными актами законодательства Российской Федерации по таможенному делу. может использоваться исключительно в таможенных целях.
Информация, составляющая государственную, коммерческую. банковскую или иную охраняемую законом тайну, а также конфиденциальная информация (информация, не являющаяся общедоступной и могущая нанести ущерб правам и охраняемым законом интересам предоставившего ее лица) не должна разглашаться, использоваться должностными лицами таможенных органов Российской Федерации в личных целях, передаваться третьим лицам. а также государственным органам, за исключением случаев, предусмотренных законодательными актами Российской Федерации».
Особый статус служебной тайны подтверждается и режимом ее распространения: «Государственный служащий имеет право давать показания или делать заявления в отношении информации, содержащей государственную, служебную или иную охраняемую законом Российской Федерации тайну, только в связи с возбужденным уголовным делом и в иных прямо предусмотренных законом случаях, письменно предупредив об этом руководителя государственного органа. При этом лица. получившие в указанном порядке информацию, содержащую государственную, служебную или иную охраняемую законом Российской Федерации тайну, несут ответственность за ее сохранность… Государственный служащий при прекращении государственной службы обязан возвратить все документы, содержащие служебную информацию» (СМ. Сноску 63).
Например, члены Правительства РФ, как государственные служащие, не вправе использовать в неслужебных целях информацию, предназначенную только для служебной деятельности (СМ. Сноску 64).
Из анализа нормативных актов о регламентации деятельности различных государственных органов видно, что, как правило, порядок и условия сохранения и неразглашения сведений, составляющих служебную тайну, сводятся лишь к указанию на обязанность государственного служащего хранить и использовать такую информацию только в служебных целях.
Из вышеприведенных цитат ряда правовых нормативных актов, где обязательство неразглашения служебной тайны соседствует с коммерческой тайной, можно сделать вывод о том, что информация, полученная служащими государственных органов при выполнении своих должностных обязанностей, и определяемая собственниками как коммерческая тайна, трансформируется в категорию служебной тайны и доступ к ней подлежит, как указано в Указе № 188, ограничению этими органами государственной власти.
При рассмотрении ограничения доступа к сведениям, составляющим служебную тайну, необходимо учесть, что защите подлежит только документированная информация.
Таким образом, служебная тайна как один из видов информации конфиденциального характера, занимает особое место в системе государственной службы. Однако правовое регулирование такого существенного для любого юридического лица вида тайны. на наш взгляд, явно недоработано, начиная с ее нечеткого определения. Но и эта тайна очень важна для предприятий, ведь часто служебная тайна является чьей-то коммерческой тайной. К сожалению, жестких гарантий сохранности конфиденциальных сведений предприятия, попавших в недра государственных органов, нет.
Законодательство о государственной службе (СМ. Сноску 61) в качестве одной из основных обязанностей государственного служащего определяет обязанность «хранить государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему известными в связи с исполнением должностных обязанностей сведения». «Государственный служащий обязан сохранять государственную, служебную и иную охраняемую законом Российской Федерации тайну, в том числе и после прекращения государственной службы… Государственный служащий не может использовать после прекращения государственной службы информацию, которая стала ему
известна в связи с исполнением должностных полномочий и составляет государственную, служебную или иную охраняемую законом Российской Федерации тайну» (СМ. Сноску 62). Из последнего определения более ясно следует понятие служебной тайны.
Служебная тайна - информация, которая стала известна государственному служащему в связи с исполнением должностных полномочий и не относящаяся к государственной тайне.
Наиболее отчетливо содержание служебной тайны прослеживается на примере ст. 16 ТК: «Информация, предоставленная таможенным органам Российской Федерации государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с настоящим Кодексом и иными актами законодательства Российской Федерации по таможенному делу. может использоваться исключительно в таможенных целях.
Информация, составляющая государственную, коммерческую. банковскую или иную охраняемую законом тайну, а также конфиденциальная информация (информация, не являющаяся общедоступной и могущая нанести ущерб правам и охраняемым законом интересам предоставившего ее лица) не должна разглашаться, использоваться должностными лицами таможенных органов Российской Федерации в личных целях, передаваться третьим лицам. а также государственным органам, за исключением случаев, предусмотренных законодательными актами Российской Федерации».
Особый статус служебной тайны подтверждается и режимом ее распространения: «Государственный служащий имеет право давать показания или делать заявления в отношении информации, содержащей государственную, служебную или иную охраняемую законом Российской Федерации тайну, только в связи с возбужденным уголовным делом и в иных прямо предусмотренных законом случаях, письменно предупредив об этом руководителя государственного органа. При этом лица. получившие в указанном порядке информацию, содержащую государственную, служебную или иную охраняемую законом Российской Федерации тайну, несут ответственность за ее сохранность… Государственный служащий при прекращении государственной службы обязан возвратить все документы, содержащие служебную информацию» (СМ. Сноску 63).
Например, члены Правительства РФ, как государственные служащие, не вправе использовать в неслужебных целях информацию, предназначенную только для служебной деятельности (СМ. Сноску 64).
Из анализа нормативных актов о регламентации деятельности различных государственных органов видно, что, как правило, порядок и условия сохранения и неразглашения сведений, составляющих служебную тайну, сводятся лишь к указанию на обязанность государственного служащего хранить и использовать такую информацию только в служебных целях.
Из вышеприведенных цитат ряда правовых нормативных актов, где обязательство неразглашения служебной тайны соседствует с коммерческой тайной, можно сделать вывод о том, что информация, полученная служащими государственных органов при выполнении своих должностных обязанностей, и определяемая собственниками как коммерческая тайна, трансформируется в категорию служебной тайны и доступ к ней подлежит, как указано в Указе № 188, ограничению этими органами государственной власти.
При рассмотрении ограничения доступа к сведениям, составляющим служебную тайну, необходимо учесть, что защите подлежит только документированная информация.
Таким образом, служебная тайна как один из видов информации конфиденциального характера, занимает особое место в системе государственной службы. Однако правовое регулирование такого существенного для любого юридического лица вида тайны. на наш взгляд, явно недоработано, начиная с ее нечеткого определения. Но и эта тайна очень важна для предприятий, ведь часто служебная тайна является чьей-то коммерческой тайной. К сожалению, жестких гарантий сохранности конфиденциальных сведений предприятия, попавших в недра государственных органов, нет.
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ ОБЩЕСТВЕННЫМ ОРГАНИЗАЦИЯМ
Обязательства предоставления сведений, составляющих охраняемую законом тайну, общественным организациям для субъектов информационных отношений, за малым исключением, не
предусмотрено. Однако есть некоторые общественные организации, которые имеют право запрашивать или требовать необходимую им информацию.
Согласно Положению об адвокатуре РСФСР (адвокатура - общественная организация), «адвокат, выступая в качестве представителя или защитника, правомочен… запрашивать через юридическую консультацию справки, характеристики и иные документы, необходимые в связи с оказанием юридической помощи, из государственных и общественных организаций, которые обязаны в установленном порядке выдавать эти документы или их копии». Обязанностей предприятий по предоставлению информации нет, и они вправе отказать. В таком случае адвокат будет вынужден действовать через судебные органы.
Законодательство о защите прав потребителей (СМ. Сноску 65) содержит массу процедур, связанных с обращением информации, в частности, обязанность производителей (изготовителей, исполнителей, продавцов) предоставлять необходимые для потребителя сведения, разумеется, не носящие конфиденциальный характер. То есть, производитель не имеет права относить к конфиденциальной ту информацию, которая используется потребителями в целях этого закона.
Вместе с тем постановление Правительства РФ от 26.08.95 № 837 «О поддержке общественного движения в защиту прав потребителей» «в целях повышения роли общественности в обеспечении реализации законодательства о защите прав потребителей Правительство Российской Федерации постановляет:
«Государственному комитету Российской Федерации по антимонопольной политике и поддержке новых экономических структур, Государственному комитету санитарно-эпидемиологического надзора Российской Федерации, Комитету Российской Федерации по стандартизации, метрологии и сертификации. Комитету Российской Федерации по торговле принять меры по оказанию необходимой помощи общественным организациям потребителей в части предоставления доступа к информации о результатах сертификации и экспертизы качества товаров (работ, услуг), проверок соблюдения прав потребителей и правил торгового, бытового и иных видов обслуживания, порядка применения цен, а также
к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской
Федерации о защите прав потребителей».
Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.
предусмотрено. Однако есть некоторые общественные организации, которые имеют право запрашивать или требовать необходимую им информацию.
Согласно Положению об адвокатуре РСФСР (адвокатура - общественная организация), «адвокат, выступая в качестве представителя или защитника, правомочен… запрашивать через юридическую консультацию справки, характеристики и иные документы, необходимые в связи с оказанием юридической помощи, из государственных и общественных организаций, которые обязаны в установленном порядке выдавать эти документы или их копии». Обязанностей предприятий по предоставлению информации нет, и они вправе отказать. В таком случае адвокат будет вынужден действовать через судебные органы.
Законодательство о защите прав потребителей (СМ. Сноску 65) содержит массу процедур, связанных с обращением информации, в частности, обязанность производителей (изготовителей, исполнителей, продавцов) предоставлять необходимые для потребителя сведения, разумеется, не носящие конфиденциальный характер. То есть, производитель не имеет права относить к конфиденциальной ту информацию, которая используется потребителями в целях этого закона.
Вместе с тем постановление Правительства РФ от 26.08.95 № 837 «О поддержке общественного движения в защиту прав потребителей» «в целях повышения роли общественности в обеспечении реализации законодательства о защите прав потребителей Правительство Российской Федерации постановляет:
«Государственному комитету Российской Федерации по антимонопольной политике и поддержке новых экономических структур, Государственному комитету санитарно-эпидемиологического надзора Российской Федерации, Комитету Российской Федерации по стандартизации, метрологии и сертификации. Комитету Российской Федерации по торговле принять меры по оказанию необходимой помощи общественным организациям потребителей в части предоставления доступа к информации о результатах сертификации и экспертизы качества товаров (работ, услуг), проверок соблюдения прав потребителей и правил торгового, бытового и иных видов обслуживания, порядка применения цен, а также
к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской
Федерации о защите прав потребителей».
Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.
Часть II.
КАК ЗАЩИЩАТЬ
Глава 6
СОЗДАНИЕ СИСТЕМЫ ПРАВОВОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Часто используют терминологию «защита коммерческой тайны», однако, как мы уже убедились, коммерческая тайна - только одна из разновидностей информации ограниченного доступа. которую необходимо охранять. Безусловно, защита должна быть комплексной, т. е. целесообразно создавать систему, включающую в себя различные рубежи и объекты защиты, а не довольствоваться локальной защитой.
Целями защиты информации предприятия являются (схема 4):
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, предприятия, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.
Целями защиты информации предприятия являются (схема 4):
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, предприятия, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ
Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
- минимизация привилегий по доступу к информации;
- установка ловушек для провоцирования несанкционированных действий;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- глубина защиты, дублирование и перекрытие защиты;
- особая личная ответственность лиц, обеспечивающих безопасность информации;
- минимизация общих механизмов защиты.
Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:
а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
- минимизация привилегий по доступу к информации;
- установка ловушек для провоцирования несанкционированных действий;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- глубина защиты, дублирование и перекрытие защиты;
- особая личная ответственность лиц, обеспечивающих безопасность информации;
- минимизация общих механизмов защиты.
Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:
а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.
АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):
I. Определение объектов защиты.
II. Выявление угроз и оценка их вероятности.
III. Оценка возможного ущерба.
IV. Обзор применяемых мер защиты, определение их недостаточности.
V. Определение адекватных мер защиты.
VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
VII. Внедрение мер защиты. VIII. Контроль.
IX. Мониторинг и корректировка внедренных мер.
Детализируем указанные этапы и представим один из вариантов процесса таким образом:
1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».
3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).
4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.
5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.
7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).
8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд
ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:
- запрещение несанкционированного выноса документов;
- запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;
- запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;
- ограничение нахождения на территории предприятия посетителей;
- регламентация использования для переговоров определенных, специально предназначенных для этого помещений
и др.
9.2. Меры технической защиты.
Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:
- использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;
- экранирование средств канальной коммуникации;
- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
- размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;
- экранирование помещений;
- использование пространственного и линейного электромагнитного зашумления;
- развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:
- обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;
- поддержание единого времени;
- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
- изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
- изъятие с АРМов нефункциональных факсимильных и модемных плат;
- проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
- установку входных, паролей на клавиатуру компьютеров;
- установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
- шифрование особо важной конфиденциальной информации;
- обеспечение восстановления информации после несанкционированного доступа;
- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
I. Определение объектов защиты.
II. Выявление угроз и оценка их вероятности.
III. Оценка возможного ущерба.
IV. Обзор применяемых мер защиты, определение их недостаточности.
V. Определение адекватных мер защиты.
VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
VII. Внедрение мер защиты. VIII. Контроль.
IX. Мониторинг и корректировка внедренных мер.
Детализируем указанные этапы и представим один из вариантов процесса таким образом:
1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).
4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.
5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.
7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например - для служебного пользования (3), важно (2), особо важно (1).
8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд
ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:
- запрещение несанкционированного выноса документов;
- запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;
- запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;
- ограничение нахождения на территории предприятия посетителей;
- регламентация использования для переговоров определенных, специально предназначенных для этого помещений
и др.
9.2. Меры технической защиты.
Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:
- использование средств пассивной защиты - фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио- и часофикации и др.;
- экранирование средств канальной коммуникации;
- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
- размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;
- экранирование помещений;
- использование пространственного и линейного электромагнитного зашумления;
- развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:
- обеспечение реакции на попытку несанкционированного доступа, например - сигнализации, блокировки аппаратуры;
- поддержание единого времени;
- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
- изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
- изъятие с АРМов нефункциональных факсимильных и модемных плат;
- проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
- установку входных, паролей на клавиатуру компьютеров;
- установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
- шифрование особо важной конфиденциальной информации;
- обеспечение восстановления информации после несанкционированного доступа;
- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;