Текст книги "Тайна предприятия: что и как защищать"
Автор книги: Игорь Чумарин
Жанр:
Современная проза
сообщить о нарушении
Текущая страница: 6 (всего у книги 10 страниц)
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ ОБЩЕСТВЕННЫМ ОРГАНИЗАЦИЯМ
Обязательства предоставления сведений, составляющих охраняемую законом тайну, общественным организациям для субъектов информационных отношений, за малым исключением, не
предусмотрено. Однако есть некоторые общественные организации, которые имеют право запрашивать или требовать необходимую им информацию.
Согласно Положению об адвокатуре РСФСР (адвокатура – общественная организация), «адвокат, выступая в качестве представителя или защитника, правомочен… запрашивать через юридическую консультацию справки, характеристики и иные документы, необходимые в связи с оказанием юридической помощи, из государственных и общественных организаций, которые обязаны в установленном порядке выдавать эти документы или их копии». Обязанностей предприятий по предоставлению информации нет, и они вправе отказать. В таком случае адвокат будет вынужден действовать через судебные органы.
Законодательство о защите прав потребителей (СМ. Сноску 65) содержит массу процедур, связанных с обращением информации, в частности, обязанность производителей (изготовителей, исполнителей, продавцов) предоставлять необходимые для потребителя сведения, разумеется, не носящие конфиденциальный характер. То есть, производитель не имеет права относить к конфиденциальной ту информацию, которая используется потребителями в целях этого закона.
Вместе с тем постановление Правительства РФ от 26.08.95 № 837 «О поддержке общественного движения в защиту прав потребителей» «в целях повышения роли общественности в обеспечении реализации законодательства о защите прав потребителей Правительство Российской Федерации постановляет:
«Государственному комитету Российской Федерации по антимонопольной политике и поддержке новых экономических структур, Государственному комитету санитарно-эпидемиологического надзора Российской Федерации, Комитету Российской Федерации по стандартизации, метрологии и сертификации. Комитету Российской Федерации по торговле принять меры по оказанию необходимой помощи общественным организациям потребителей в части предоставления доступа к информации о результатах сертификации и экспертизы качества товаров (работ, услуг), проверок соблюдения прав потребителей и правил торгового, бытового и иных видов обслуживания, порядка применения цен, а также
к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской
Федерации о защите прав потребителей».
Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.
Часть II.
КАК ЗАЩИЩАТЬ
Глава 6
СОЗДАНИЕ СИСТЕМЫ ПРАВОВОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Часто используют терминологию «защита коммерческой тайны», однако, как мы уже убедились, коммерческая тайна – только одна из разновидностей информации ограниченного доступа. которую необходимо охранять. Безусловно, защита должна быть комплексной, т. е. целесообразно создавать систему, включающую в себя различные рубежи и объекты защиты, а не довольствоваться локальной защитой.
Целями защиты информации предприятия являются (схема 4):
– предотвращение утечки, хищения, утраты, искажения, подделки информации;
– предотвращение угроз безопасности личности, предприятия, общества, государства;
– предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
– предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
– защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
– сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.
ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ
Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:
– простота защиты;
– приемлемость защиты для пользователей;
– подконтрольность системы защиты;
– постоянный контроль за наиболее важной информацией;
– дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
– минимизация привилегий по доступу к информации;
– установка ловушек для провоцирования несанкционированных действий;
– независимость системы управления для пользователей;
– устойчивость защиты во времени и при неблагоприятных обстоятельствах;
– глубина защиты, дублирование и перекрытие защиты;
– особая личная ответственность лиц, обеспечивающих безопасность информации;
– минимизация общих механизмов защиты.
Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:
а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ – для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.
АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):
I. Определение объектов защиты.
II. Выявление угроз и оценка их вероятности.
III. Оценка возможного ущерба.
IV. Обзор применяемых мер защиты, определение их недостаточности.
V. Определение адекватных мер защиты.
VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
VII. Внедрение мер защиты. VIII. Контроль.
IX. Мониторинг и корректировка внедренных мер.
Детализируем указанные этапы и представим один из вариантов процесса таким образом:
1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.
2. Руководитель группы, обладая соответствующей квалификацией в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия».
3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программное обеспечение, коммуникации для передачи конфиденциальных данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны).
4. Анализируются существующие меры защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа.
5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации.
6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия.
7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например – для служебного пользования (3), важно (2), особо важно (1).
8. Определяются сферы обращения каждого вида конфиденциальной информации: по носителям, по территории распространения, по допущенным пользователям. Для решения этой задачи группа привлекает руководителей структурных подразделений и изучает их пожелания.
9. Группа подготавливает введение указанных мер защиты. 9.1. Меры физической защиты. Включают в себя установление определенного режима деятельности, соблюдение которого обязательно для всех сотруд
ников, посетителей и клиентов; порядок его регламентации описывается во внутренних документах по пропускному и внутриобъектовому режиму. Это ограничение доступа, создание соответствующего пропускного режима, контроль за посетителями, например:
– запрещение несанкционированного выноса документов;
– запрещение вноса-выноса дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках и т. п.;
– запрещение перемещения компьютерной техники и комплектующих без соответствующих сопроводительных документов;
– ограничение нахождения на территории предприятия посетителей;
– регламентация использования для переговоров определенных, специально предназначенных для этого помещений
и др.
9.2. Меры технической защиты.
Проводятся специально назначенными на предприятии либо привлеченными специалистами под контролем представителей СБ и включают в себя защиту компьютерной техники, помещений и всех коммуникаций от устройств съема и передачи информации, используя различные технические решения:
– использование средств пассивной защиты – фильтров, ограничителей и т. п. средств развязки электрических и электромагнитных сигналов, систем защиты сетей, электроснабжения, радио– и часофикации и др.;
– экранирование средств канальной коммуникации;
– использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы контролируемой зоны (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования. диспетчерских систем, систем энергоснабжения);
– размещение источников побочных электромагнитных излучений и наводок на возможном удалении от границы охраняемой (контролируемой) зоны;
– экранирование помещений;
– использование пространственного и линейного электромагнитного зашумления;
– развязка по цепям питания и заземления, размещенным в границах охраняемой зоны.
9.3. Меры аппаратной и программной защиты (для компьютерного оборудования информационных систем и сетей). Могут включать в себя:
– обеспечение реакции на попытку несанкционированного доступа, например – сигнализации, блокировки аппаратуры;
– поддержание единого времени;
– установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
– изъятие с АРМов нефункциональных дисководов гибких магнитных дисков (ГМД);
– изъятие с АРМов нефункциональных факсимильных и модемных плат;
– проведение периодических «чисток» АРМов и общих системных директорий на файл-сервере,
– установку входных, паролей на клавиатуру компьютеров;
– установку сетевых имен-регистраторов и паролей для доступа к работе в информационной системе;
– шифрование особо важной конфиденциальной информации;
– обеспечение восстановления информации после несанкционированного доступа;
– обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
– контроль целостности программных средств обработки информации;
– проведение периодической замены (возможно, принудительной) всех паролей и регистрационных имен;
– использование расширенных систем аутентификации. 10. Подготавливаются организационные и правовые меры защиты. С этой целью профильными специалистами (руководителями профильных подразделений предприятия) создаются обеспечивающие и регламентирующие документы, которые со
ставляют пакет документации внедрения. С теми или иными отклонениями он может включать в себя следующие виды внутренних документов (наименования условные):
– Положение о конфиденциальной информации предприятия;
– Перечень документов предприятия, содержащих конфиденциальную информацию;
– Инструкция по защите конфиденциальной информации в информационной системе предприятия;
– Предложения по внесению изменений в Устав предприятия;
– Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
– Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
– Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
– Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
– Предложения о внесении изменений в должностное (штатное) расписание предприятия (если Вы планируете выделить для обеспечения этого направления экономической безопасности предприятия отдельного специалиста по режиму и защите информации или даже целое подразделение);
– Предложения о внесении дополнений в должностные инструкции всему персоналу;
– Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
– План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
– Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
– Предложения о внесении дополнений в стандартные договора с контрагентами;
– Иные документы.
11. Проводится финансовая экспертиза затрат на предложенные меры защиты.
12. Проводится юридическая экспертиза документов правового обеспечения.
13. Программа обеспечивается необходимыми кадровыми ресурсами.
14. Закупается соответствующее оборудование и программное обеспечение для самостоятельной инсталляции либо приглашаются сторонние специалисты.
15. Приказами руководителя предприятия внедряются утвержденные меры защиты, выстраивается система комплексного обеспечения безопасности конфиденциальной информации.
16. Проводится постоянный контроль и мониторинг работоспособности системы.
17. Корректируются внедренные меры защиты. По вопросам, касающимся выделения кадровых ресурсов на осуществление деятельности по защите информации, трудно дать конкретные рекомендации. Это может быть как отдельное подразделение или специалист, так и выделение этого направления в структуре службы безопасности. Если мы заглянем в Квалификационный справочник должностей руководителей, специалистов и других служащих (СМ. Сноску 66), то найдем ряд должностей, связанных с защитой информации: главный специалист по защите информации, начальник отдела (лаборатории, сектора) по защите информации, инженер по защите информации, специалист по защите информации, техник по защите информации. И хотя обязанности изложены с акцентом на государственную тайну, все они актуальны в полном объеме при защите коммерческой тайны и будут хорошим подспорьем при разработке должностных инструкций на предприятии.
Глава 7
ДОКУМЕНТАЦИОННОЕ ОБЕСПЕЧЕНИЕ ПРАВОВОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Документационное обеспечение может, и, в идеале, должно начинаться с внесения дополнений в Устав юридического лица, которое всерьез заботится о сохранении своей тайны: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Предприятие имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов».
Соблюдение конфиденциальности – обязательное условие трудового договора. В качестве особого условия трудового договора (контракта) должны предусматриваться требования конфиденциальности. то есть соблюдения установленного на предприятии в соответствии с законодательством порядка обращения конфиденциальной информации, подлежащей правовой защите, а также ответственности за нарушение этого порядка. Поэтому упомянутое выше Соглашение о неразглашении сотрудником конфиденциальной информации предприятия должно являться неотъемлемым приложением к трудовому договору (контракту), о чем должно быть ясно указано, либо Соглашение органично включается в сам договор (контракт). Данные условия не будут подпадать под действие ст. 5 Кодекса законов о труде РФ как «ухудшающие положение работников», так как, во-первых, часть
2 ст. 139 Гражданского Кодекса РФ прямо указывает на обязанность работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, возместить причиненные убытки, и во-вторых, сам КЗоТ закрепляет положение, что одним из условий трудового договора может быть обязанность работника соблюдать коммерческую и служебную тайну в соответствии с действующим законодательством
(часть 2 ст. 15 КЗоТ).
Предлагается в трудовой договор внести следующий вариант обязательств сторон: «Администрация предприятия обязуется в целях предотвращения нанесения ущерба трудовым отношениям с Работником обеспечитъ защиту конфиденциальной информации предприятия, в том числе его коммергескую тайну, в соответствии с действующим законодательством. Работник несет персональную ответственность за сохранение и неразглашение информации, доверенной ему при выполнении трудовых функций, за выполнение правил обращения с конфиденциальной информацией предприятия. Администрация имеет право при наличии на то законных оснований временно отстранить Работника от выполнения функций, связанных с использованием конфиденциальной информации предприятия, а также наложить дисциплинарное взыскание вплоть до увольнения, в случае нарушения Работником правил обращения с конфиденциальными сведениями, изложенных во внутренних нормативных актах предприятия».
Таким образом, налицо все правовые основания для возможного привлечения к ответственности виновных лиц из числа работников предприятия. Остается только процессуальными методами доказать виновность конкретного лица.
В контракт с руководителем вносятся примерно те же положения. Акцент делается на персональной ответственности руководителя, в том числе при использовании конфиденциальной информации предприятия в целях нанесения ущерба этому предприятию различными конкурентными действиями или действиями в личных интересах.
Иногда возникают ситуации, когда сотрудники оправдывают свои действия по разглашению информации или несанкционированному использованию документов тем, что, якобы, это их ин
теллектуальный труд и засекречивать его не стоит. Работодателю, службе персонала, для разрешения такого конфликта необходимо знать основные положения законодательства о так называемом служебном произведении, чтобы быть готовым к разъяснениям. Статья 14 Закона РФ «Об авторском праве и смежных правах» определяет, что служебным произведением называется произведение, созданное в порядке выполнения служебных обязанностей или служебного задания работодателя и исключительные права на его использование принадлежит лицу, с которым автор состоит в трудовых отношениях (работодателю), если в договоре между ними не Предусмотрено иное.
В коллективный договор также могут включаться положения о том, что во-первых, участники коллективных переговоров, другие лица, связанные с переговорами, обязаны не разглашать полученные сведения, если они являются служебной или коммерческой тайной. Лица, разглашающие эти сведения, привлекаются к ответственности в порядке, предусмотренном законодательством. Во-вторых, в коллективном договоре может быть закреплена обязанность администрации по определению и защите, а работников по сохранению и неразглашению конфиденциальной информации предприятия.