Полная версия

Главная arrow Документоведение arrow Конфиденциальное делопроизводство

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Виды и специфика защиты конфиденциальной информации

Что же такое конфиденциальная информация? В соответствии со ст. 5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (приложение П1.1) вся информация в зависимости от категории доступа к ней подразделяется на две группы: общедоступную информацию и информацию ограниченного доступа (рис. 1.2). При этом под доступом к информации подразумевается возможность ее получения и использования.

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Соответственно информация ограниченного доступа — такая информация, к которой имеет доступ ограниченный круг лиц.

Ранее, до выхода в свет указанного выше закона, согласно ст. 10 утратившего силу Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» информация ограниченного доступа в свою очередь подразделялась на информацию, составляющую государственную тайну, и конфиденциальную информацию. В ныне действующем законе такая четкая классификация отсутствует, как, впрочем, и само понятие «конфиденциальная информация». В законе содержится лишь определение термина «конфиденциальность информации», означающего «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». Поэтому далее под термином «конфиденциальная информация» будет пониматься информация с ограниченным дос-

Виды информации

Рис. 1.2. Виды информации

тупом, не содержащая сведений, составляющих государственную тайну.

Кроме того, Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (приложение П1.2) определены семь видов такого рода информации. К ней, в частности, относятся:

О сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

О сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с Федеральными законами от 20 апреля 1995 г. № 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну;

О служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

О сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);

О сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

О сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;

О сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. № 229-ФЗ «Об исполнительном производстве».

В указанном нормативном акте термин «конфиденциальная информация» (или «конфиденциальные сведения») прямо не используется, в нем речь идет о сведениях конфиденциального характера, хотя словосочетания «конфиденциальная информация» (или «конфиденциальные сведения») и «информация (сведения) конфиденциального характера» обозначают по сути одно и то же. Если исходить из того, что слово «конфиденциальный» происходит от латинского «confidential» (доверие) и означает «доверительный, не подлежащий огласке», то соответственно термин «конфиденциальная информация» (или «информация конфиденциального характера») будет означать информацию, полученную в ходе доверительных отношений, не подлежащую разглашению. Это подразумевает следующее: «У нас с тобой доверительные отношения, т.е. мы доверяем друг другу. Например, ты доверил мне какую-то информацию и можешь быть уверен в том, что эта информация не будет известна никому до тех пор, пока ты сам не разрешишь мне этого сделать».

Рассмотрим подробнее перечисленные выше виды конфиденциальной информации.

Под персональными данными в соответствии со ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (приложение П1.3) ранее понималась «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

После внесения 25 июля 2011 г. в указанный выше Закон изменений, вступивших в силу в январе 2012 г., термин «персональные данные» определяется как «любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)».

Согласно положениям ст. 6 указанного закона, обработка персональных данных, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, осуществляется с согласия субъектов персональных данных. Как указано в ст. 9 закона, «согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».

Согласие субъекта персональных данных не требуется в ряде случаев, например, когда обработка персональных данных осуществляется для статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных; она необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно, и т.д.

В соответствии со ст. 7 Закона «операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

Что касается тайны следствия и судопроизводства, здесь необходимо отметить следующее. Целями предварительного расследования являются установление лиц, причастных к совершению преступления, получение доказательств виновности лица (лиц) и пресечение дальнейшей преступной деятельности. Как указывается в комментарии к Уголовно-процессуальному кодексу Российской Федерации [21], запрет на предание огласке данных предварительного расследования обусловлен особенностями досудебного производства, в том числе необходимостью установления и розыска совершивших преступления лиц, предотвращения уничтожения доказательств их сообщниками или иными заинтересованными в исходе уголовного дела лицами. Преждевременное и неконтролируемое разглашение данных предварительного следствия может причинить вред не только полному и объективному исследованию обстоятельств уголовного дела, но и интересам потерпевшего, обвиняемого, других участников расследования.

Касаясь вопроса ограничения гласности судебного разбирательства, хотелось бы подчеркнуть, что, согласно нормам российского законодательства, разбирательство дел во всех судах должно быть открытым, за исключением ряда случаев. Так, в ст. 10 Гражданского процессуального кодекса РФ от 14 ноября 2002 г. № 138-ФЗ указано, в частности, что разбирательство в закрытых судебных заседаниях допускается при удовлетворении ходатайства лица, участвующего в деле и ссылающегося на необходимость сохранения коммерческой или иной охраняемой законом тайны, неприкосновенность частной жизни граждан или иные обстоятельства, гласное обсуждение которых способно помешать правильному разбирательству дела либо повлечь за собой разглашение указанных тайн или нарушение прав и законных интересов гражданина.

Законодательством РФ предусмотрена также тайна совещания судей. Так, ст. 298 Уголовно-процессуального кодекса от 18 декабря 2001 г. № 174-ФЗ устанавливает, что во время постановления приговора в совещательной комнате могут находиться лишь судьи, входящие в состав суда по данному уголовному делу. Судьи не вправе разглашать суждения, имевшие место при обсуждении и постановлении приговора. Аналогичным образом ст. 341 данного акта регулирует тайну совещания присяжных заседателей. Гарантией соблюдения тайны совещания судей и тайны совещания присяжных заседателей является ст. 389.17 Кодекса, которая указывает, что нарушение тайны совещания коллегии присяжных заседателей при вынесении вердикта или тайны совещания судей при постановлении приговора является безусловным основанием отмены или изменения судебного решения.

Под понятием «служебная тайна» в соответствии с упомянутым выше Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» подразумеваются служебные сведения, доступ к которым ограничен органами государственной власти. Ранее более подробное определение служебной тайны было дано в ст. 139 Гражданского кодекса РФ: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности». Однако Федеральным законом от 18 декабря 2006 г. № 231-ФЗ «О введении в действие части четвертой Гражданского кодекса Российской Федерации» ст. 139 Гражданского кодекса признана утратившей силу с 01 января

2008 г., в то время как закон «О служебной тайне» пока еще не принят. В настоящее время общий порядок обращения с материальными носителями информации, содержащими служебную информацию ограниченного распространения (за исключением сведений, составляющих государственную тайну), в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, а также на подведомственных им предприятиях, в учреждениях и организациях определяется Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утвержденным постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 (приложение П1.4). При этом служебная информация ограниченного распространения трактуется как несекретная (т. е. не содержащая сведений, составляющих государственную тайну) информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами.

Таким образом, работник, занимающий определенную должность в федеральных органах исполнительной власти, а также в подведомственных им предприятиях, учреждениях или организациях, обязан сохранять в тайне сведения ограниченного распространения, к которым он имеет доступ в связи с выполняемой работой (приложения П1.8—П1.19. При этом под термином «должность» следует понимать служебное положение работника, определяющее круг его полномочий и ответственности.

К профессиональной тайне относятся сведения ограниченного доступа, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).

В соответствии со ст. 9 Федерального закона «Об информации, информационных технологиях и о защите информации» информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и/или по решению суда.

Слово «профессия» происходит от латинского «professio» (занятие, специальность) и означает род трудовой деятельности, требующий комплекса специальных теоретических знаний и практических навыков, приобретаемых в результате подготовки и трудового опыта. Таким образом, в случае профессиональной тайны речь идет именно о профессии как о роде деятельности, а не о занимаемом должностном положении, как это имеет место, когда мы говорим об информации, составляющей служебную тайну. Лица, занимающиеся определенной профессиональной деятельностью (например, врачебной), обязаны хранить в тайне сведения, которые были им доверены клиентами (пациентами) (приложения П1.20—П1.29).

Под коммерческой тайной в соответствии со ст. 3 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (приложение П1.30) понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Кстати говоря, исходя из данного определения довольно часто используемое словосочетание «защита коммерческой тайны» является неверным. Более правильным будет следующее выражение: «защита информации, составляющей коммерческую тайну».

Следует также обратить внимание на то, что в упомянутом выше Указе Президента РФ «Об утверждении перечня сведений конфиденциального характера» под коммерческой тайной понимаются сведения ограниченного доступа, связанные с коммерческой деятельностью, т.е. в Указе перечислены именно виды сведений конфиденциального характера (в том числе коммерческая тайна), в то время как в законе «О коммерческой тайне» термин «коммерческая тайна» означает установленный обладателем информации режим защиты информации, т.е. комплекс правовых, организационных и технических мер. Таким образом, после принятия закона «О коммерческой тайне» нарушилось терминологическое соответствие нормативных актов, в результате под одним и тем же термином подразумеваются разнородные понятия.

В соответствии со ст. 3 Федерального закона «О коммерческой тайне» к информации, составляющей коммерческую тайну, относятся сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Выражаясь другими словами, информация, составляющая коммерческую тайну, — это специально охраняемые сведения, представляющие ценность для организации в плане получения прибыли и достижения преимущества над конкурентами. Несанкционированное разглашение таких сведений может нанести организации материальный ущерб, привести к ослаблению ее позиций на рынке и к другим негативным последствиям.

В соответствии со ст. 10 Федерального закона «О коммерческой тайне» меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

<0 определение перечня информации, составляющей коммерческую тайну;

О ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

О учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

О регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

О нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

После принятия обладателем информации, составляющей коммерческую тайну, указанных мер режим коммерческой тайны считается установленным.

Наряду с этими мерами обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

К информации, составляющей коммерческую тайну, в принципе может быть отнесена любая деловая информация, кроме ограничений, перечисленных в ст. 5 Закона «О коммерческой тайне». К ней, в частности, относятся сведения, содержащиеся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; сведения о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов; сведения о численности, составе работников, системе оплаты труда; сведения о задолженности работодателей по выплате заработной платы и т.д.

Еще одним видом конфиденциальной информации, упомянутым в Указе Президента РФ «Об утверждении перечня сведений конфиденциального характера», являются сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Согласно ст. 1350 Гражданского кодекса РФ, в качестве изобретения охраняется техническое решение в любой области, относящееся к продукту (в частности, устройству, веществу, штамму микроорганизма, культуре клеток растений или животных) или способу (процессу осуществления действий над материальным объектом с помощью материальных средств). В ст. 1351 Гражданского кодекса указано, что в качестве полезной модели охраняется техническое решение, относящееся к устройству. В качестве промышленного образца (ст. 1352 Кодекса) охраняется художественно-конструкторское решение внешнего вида изделия промышленного или кустарно-ремесленного производства.

В соответствии со ст. 1354 Гражданского кодекса охрана интеллектуальных прав на изобретение или полезную модель предоставляется на основании патента в объеме, определяемом содержащейся в патенте формулой изобретения или полезной модели. Для толкования формулы могут использоваться описания и чертежи, содержащиеся в заявке на выдачу патента на изобретение или полезную модель. При этом следует отметить, что описание раскрывает изобретение или полезную модель с полнотой, достаточной для их осуществления. Согласно ст. 1394 Гражданского кодекса, сведения о выдаче патента, в том числе формула изобретения или полезной модели, публикуются в официальном бюллетене, причем после публикации таких сведений любое лицо вправе ознакомиться с документами заявки. Поэтому многие научно-технические решения, на которые может быть получен патент, специально не регистрируются обладателем этой информации, чтобы скрыть суть разработки от недобросовестных конкурентов, так как в силу неизвестности каких-либо технологических нюансов обладатель информации получает преимущества в производстве товаров и их реализации на рынке. В мировой практике такая информация защищается в режиме коммерческой тайны.

Таким образом, после патентования изобретения защита прав обладателя данной информации обеспечивается с помощью патента. До официальной публикации информации должна обеспечиваться охрана ее конфиденциальности, т.е. сохранение такой информации в тайне от третьих лиц, путем использования специальных организационных, правовых и технических мер защиты, что в совокупности именуется режимом коммерческой тайны.

Федеральным законом от 12 марта 2014 г. № 35-ФЗ «О внесении изменений в части первую, вторую и четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты Российской Федерации» был внесен ряд изменений, касающихся вопросов обеспечения режима коммерческой тайны, в части вторую и четвертую Гражданского кодекса, а также в Федеральный закон «О коммерческой тайне». В частности, в указанных актах уточнены определения понятий «секрет производства (ноу-хау)» (ст. 1465 Кодекса) и «информация, составляющая коммерческую тайну» (ст. 3 Федерального закона «О коммерческой тайне»). В соответствии с данными определениями секрет производства (ноу-хау) является одной из разновидностей информации, составляющей коммерческую тайну. Таким образом, категория «сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них», т. е. как раз то, что и называется секретом производства (ноу-хау), относится к категории «информация, составляющая коммерческую тайну» и не должна определяться в качестве самостоятельного вида конфиденциальной информации, как это имеет место в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ. Вместе с тем данный Указ продолжает действовать и в настоящее время. Таким образом, существуют некоторые противоречия в вопросе распределения конфиденциальной информации по видам.

Ограничения на отнесение каких-либо сведений к информации, составляющей коммерческую тайну, были рассмотрены выше. Что касается более общих ограничений с точки зрения отнесения сведений к категории конфиденциальной информации, в ст. 8 Федерального закона «Об информации, информационных технологиях и о защите информации» указано, что не может быть ограничен доступ, в частности, к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; информации о состоянии окружающей среды; информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Таким образом, в распоряжении организации помимо общедоступной информации находится также информация ограниченного доступа, в том числе конфиденциальная, в отношении которой должны быть применены меры, обеспечивающие ее защиту от несанкционированного доступа и распространения (рис. 1.3). Все эти ресурсы распределены внутри организации между структурными подразделениями, работники которых осуществляют сбор, накопление, обработку, хранение и распространение информации. Кроме того, происходит постоянный обмен информацией, в том

Распределение информационных ресурсов внутри организации числе конфиденциальной, с органами государственной власти, контрагентами и дочерними организациями

Рис. 1.3. Распределение информационных ресурсов внутри организации числе конфиденциальной, с органами государственной власти, контрагентами и дочерними организациями. Субъектами персональных данных (работниками, кандидатами на работу, пенсионерами, посетителями) передаются в организацию их персональные данные. Какая-то часть сведений о деятельности организации предоставляется средствам массовой информации. Ну и, конечно, наиболее ценную информацию организации стремятся получить в корыстных целях недобросовестные (т.е. пренебрегающие законами цивилизованного рынка товаров и услуг) конкуренты и различного рода преступные группировки (рис. 1.4).

Для обеспечения информационной безопасности организации необходимо комплексное использование правовых, организационных и технических мер защиты. Система таких мер называется режимом конфиденциальности (рис. 1.5).

Правовые меры защиты информации заключаются в формировании соответствующей нормативно-правовой базы в данной области. Речь идет о федеральном законодательстве в сфере инфор-

Структурная схема внешних информационных потоков организации

Рис. 1.4. Структурная схема внешних информационных потоков организации

Рис. 1.5. Режим конфиденциальности

мационной безопасности, а также о локальных нормативных актах организации, регламентирующих вопросы защиты информации ограниченного доступа (положения, инструкции, перечни конфиденциальной информации, соглашения о конфиденциальности и т.д.).

Под организационными мерами защиты информации понимаются установление порядка доступа к конфиденциальной информации, организация специального делопроизводства, ознакомление лиц, допущенных к конфиденциальным сведениям, с установленными в организации правилами работы с конфиденциальной информацией и осуществление контроля выполнения ими действующих мер защиты информации, проведение воспитательной работы и специальной учебы.

В качестве технических мер защиты информации могут использоваться различные шифры, электронная защита, сигнализация.

Лишь применение целостной системы, а не каких-то единичных мер защиты позволяет обеспечить сохранность конфиденциальной информации, ведь, по образному выражению французского писателя XIX в. В. Гюго, «тайна — та же сеть: достаточно, чтобы прорвалась одна петля, и все расползается».

Одним из центральных звеньев в системе мер обеспечения информационной безопасности организации является определение конфиденциальных сведений, подлежащих защите от несанкционированного доступа и распространения. Прежде чем выстраивать систему защиты, необходимо четко определить предмет защиты, оформив его в виде специального перечня конфиденциальной информации.

В соответствии со ст. 6 Федерального закона «Об информации, информационных технологиях и о защите информации» обладатель информации не только вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа. Он обязан принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами. Кроме того, в ст. 4 Федерального закона «О коммерческой тайне» указано, что право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации. Никто не вправе указывать ему, какую именно информацию включать в перечень конфиденциальной информации. Определение перечня конфиденциальной информации компании является прерогативой обладателя информации, т.е. самой организации. Естественно, при определении перечня необходимо учитывать приведенные выше законодательные ограничения на отнесение сведений к категории конфиденциальной информации, в том числе к информации, составляющей коммерческую тайну.

В зависимости от величины организации и разнообразия сфер ее деятельности подготовку предложений по включению информации в перечень может осуществлять либо какая-то одна постоянно действующая экспертная комиссия организации, либо экспертные комиссии ее подразделений, в состав которых целесообразно включать руководителей подразделений и наиболее подготовленных работников.

Категории сведений, включаемых в перечень, необходимо описывать четко, с использованием общедоступных терминов, чтобы исключить их неоднозначное толкование. Формулировки должны быть понятны каждому работнику и, в случае судебного разбирательства по факту незаконного использования или разглашения конфиденциальной информации компании, судье, т.е. от их четкости может во многом зависеть доказательственное значение перечня в суде.

Если количество включенных в перечень категорий сведений достаточно велико, целесообразно структурировать перечень, распределив категории информации по видам в зависимости от направлений деятельности организации. Кроме того, для каждой категории информации необходимо в соответствующей графе указать срок ограничения доступа к информации.

После того как перечень конфиденциальной информации разработан и утвержден руководством организации, необходимо определить круг лиц из числа работников, допущенных к работе с такой информацией. Таким образом, важно провести работу по разграничению доступа работников к конфиденциальной информации.

Под доступом к конфиденциальной информации понимается ознакомление определенных лиц, в данном случае работников организации, с такой информацией с согласия ее обладателя, т.е. организации в лице ее руководства, при условии сохранения конфиденциальности.

В целях обеспечения информационной безопасности необходимо максимально ограничить число лиц, допускаемых к защищаемой информации. Сохранность информации зависит от числа лиц, допущенных к обращению с нею. Чем уже этот круг, тем выше вероятность сохранения информации в тайне.

Для минимизации возможности несанкционированного разглашения конфиденциальной информации нужно предоставлять работнику доступ только к той информации, которая ему действительно необходима для выполнения его прямых должностных обязанностей. При этом должна быть достигнута некая «золотая середина», т.е. при распределении информации, с одной стороны, необходимо обеспечить предоставление каждому конкретному работнику полного объема данных для качественного выполнения порученных ему функций, а с другой — исключить ознакомление с излишними, ненужными ему для работы сведениями.

Таким образом, для обеспечения правомерного доступа работников организации к конфиденциальным сведениям необходимо внедрить соответствующую систему доступа.

С целью установления порядка доступа работников к конфиденциальной информации разрабатывается список (перечень, номенклатура) должностей, замещение которых предоставляет право доступа к конфиденциальной информации компании. В этом документе необходимо перечислить должности без приведения конкретных фамилий работников, но с указанием объема сведений, к которым допущены работники, занимающие эти должности (целесообразно при этом сослаться на соответствующие пункты перечня конфиденциальной информации).

С работниками, принимаемыми на работу на должности, включенные в указанный список (перечень, номенклатуру) должностей, необходимо заключить договоры (соглашения) о конфиденциальности, содержащие права и обязанности работника и работодателя в сфере обеспечения защиты конфиденциальной информации организации, а также ответственность за неправомерное обращение с ней. Заключение индивидуальных договоров (соглашений) о конфиденциальности с работниками позволяет четко регламентировать их персональную ответственность за разглашение конфиденциальных сведений (приложения П1.30—П1.33). Работник должен понимать, что, по меткому выражению английского литератора XVIII в. Томаса Фуллера, «тот, кто слизывает мед с крапивы, платит за него слишком дорого».

Как следует из приведенного выше текста, виды конфиденциальной информации довольно многообразны. Вместе с тем необходимо отметить, что, несмотря на это, законодательством регламентировано проставление на документах, содержащих такую информацию, лишь двух видов отметок, свидетельствующих об ограничении доступа к ней (грифов конфиденциальности) (рис. 1.6):

О «Коммерческая тайна» с указанием полного наименования и места нахождения обладателя этой информации — на документах, содержащих информацию, составляющую коммерческую тайну (ст. 10 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»);

О «Для служебного пользования» — на документах, содержащих служебную информацию ограниченного распространения (п. 2.1 Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утвержденного постановлением Правительства РФ от 3 ноября 1994 г. № 1233).

Виды грифов конфиденциальности

Рис. 1.6. Виды грифов конфиденциальности

Грифы, обозначающие ограничение доступа к различным видам конфиденциальной информации, равнозначны, ведь равнозначны и сами виды такой информации, перечисленные в перечне сведений конфиденциального характера, утвержденном вышеупомянутым Указом Президента РФ от 6 марта 1997 г. № 188. Соответственно нельзя утверждать, например, что гриф «Коммерческая тайна» важнее, более значим, чем гриф «Для служебного пользования», и наоборот.

Следует обратить внимание на то, что в соответствии с Федеральным законом «О коммерческой тайне» при проставлении на документе грифа «Коммерческая тайна» в обязательном порядке указываются полное наименование и место нахождения юридического лица — обладателя информации (для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). При использовании грифа «Для служебного пользования» обладатель информации не указывается, ведь в данном случае им является государство, которое осуществляет свои полномочия в лице государственных органов и организаций.

В ст. 3 Федерального закона «О коммерческой тайне» указано, что обладатель информации, составляющей коммерческую тайну, — это лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении такой информации режим коммерческой тайны, т.е. комплекс мер по ее защите от несанкционированного доступа и распространения.

В соответствии со ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» обладателем информации является лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации (при этом согласно ст. 6 Закона обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование; от имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами). Изданного утверждения следует, что обладатель информации имеет в том числе и право устанавливать, если считает это необходимым, свой гриф конфиденциальности помимо грифов ограничения доступа, определенных законодательством РФ. Однако при этом важно, чтобы гриф, установленный самостоятельно обладателем информации, признавался другими участниками общественных отношений. Вместе с тем применение слова «конфиденциально» для обозначения грифа ограничения доступа к информации стало уже привычным явлением. Более того, слова «конфиденциально», «конфиденциальный», «конфиденциальность» происходят от одного корня и всем понятно, что речь идет о сохранении информации в тайне от лиц, не допущенных к этой информации, т.е. не имеющих права с ней знакомиться и, тем более, использовать в своей деятельности и в своих интересах. Таким образом, можно сказать, что определенная традиция использования грифа «Конфиденциально» сложилась негласно довольно давно. Вместе с тем принятый в 2004 г. Федеральный закон «О коммерческой тайне» четко установил требование проставлять на документах, содержащих информацию, составляющую коммерческую тайну какого-либо хозяйствующего субъекта, гриф «Коммерческая тайна» и указывать при этом полное наименование и место нахождения обладателя информации. Для информации, составляющей служебную тайну государственных органов и организаций, в соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, упомянутым выше, регламентировано использование пометки «Для служебного пользования».

Таким образом, указание на документах, содержащих информацию, составляющую коммерческую либо служебную тайну, какого-либо иного грифа ограничения доступа (например, грифа «Конфиденциально») является неправомерным.

Ранее, до выхода в свет Федерального закона «Об информации, информационных технологиях и о защите информации», в ст. 2 утратившего силу Федерального закона от 20 февраля 1995 г. «Об информации, информатизации и защите информации» были даны определения терминов «собственник информационных ресурсов», «владелец информационных ресурсов» и «пользователь (потребитель) информации». В ныне действующем законе эти понятия не применяются, в нем содержится лишь определение термина «обладатель информации».

Как уже отмечалось, в соответствии с внесенными в ст. 1465 Гражданского кодекса и ст. 3 Федерального закона «О коммерческой тайне» изменениями частным случаем информации, составляющей коммерческую тайну, является секрет производства (ноу-хау). Согласно положениям ст. 1466 Гражданского кодекса, обладателю секрета производства принадлежит исключительное право использования его любым не противоречащим закону способом, в том числе при изготовлении изделий и реализации экономических и организационных решений.

В соответствии со ст. 1229 Гражданского кодекса исключительное право на результаты интеллектуальной деятельности состоит из двух правомочий — права использования и права распоряжения. Исключительное право использования означает возможность использования охраняемого объекта по своему усмотрению любым не противоречащим закону способом. В правомочие распоряжения входит как право на отчуждение охраняемого результата, так и право выдачи лицензии на использование такого результата. Лицо, которое обладает исключительным правом (гражданин или юридическое лицо), именуется правообладателем. Им становится и то лицо, которому правообладатель уступил (передал) свои права, а также лицо, к которому эти права перешли по закону. Следовательно, обладателем исключительного права может быть не только первоначальный обладатель такого права на результат интеллектуальной деятельности, но и производный (последующий) обладатель такого права. Таким образом, круг обладателей информации может быть довольно широк.

В связи с неурегулированностью в Федеральном законе «О коммерческой тайне» вопроса о том, какой именно обладатель информации (первичный и (или) последующий) должен указываться при написании на документе грифа «Коммерческая тайна», автор полагает целесообразным указывать в качестве обладателя информации, полученной в результате выполнения научно-исследовательских или проектно-изыскательских работ по договору, заказчика этих работ. Если же информация была создана каким-либо лицом (физическим или юридическим) самостоятельно, то в качестве обладателя этой информации должно указываться непосредственно данное лицо, т.е. первичный обладатель информации.

К сожалению, в законодательстве РФ отсутствуют подробные разъяснения относительно необходимости проставления грифов конфиденциальности на документах, содержащих иные (за исключением сведений, составляющих коммерческую либо служебную тайну) виды информации, указанные в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6 марта 1997 г. № 188. Основываясь на имеющейся нормативной базе в сфере защиты конфиденциальной информации, можно сделать следующие выводы:

О проставление грифов конфиденциальности на документах, содержащих иные виды конфиденциальной информации, в обязательном порядке не предполагается;

О обладатель информации сам вправе решать, каким образом защищать информацию, в том числе использовать ли при этом грифы конфиденциальности для иных видов конфиденциальной информации и какие именно, если законодательно это не регламентировано.

Автор полагает, что исходя из приведенного выше определения термина «конфиденциальность информации», предлагаемого законодательством, обеспечение конфиденциальности информации не означает обязательное проставление на документах, содержащих такую информацию, грифа ограничения доступа к ней (грифа конфиденциальности). Так, в случае обработки персональных данных в соответствии с Федеральным законом «О персональных данных» речь идет лишь об обязанности операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Более того, учитывая тот факт, что, например, в кадровых подразделениях организаций весь массив обрабатываемой информации содержит персональные данные работников, невозможно и абсурдно на всех документах, содержащихся на бумажных и внешних электронных носителях (вопросы защиты конфиденциальной информации при ее размещении в автоматизированных системах обработки данных здесь не рассматриваются и являются предметом исследований других авторов в многочисленных литературных публикациях), проставлять гриф ограничения доступа. Более разумным представляется проведение работы по обеспечению защиты такой информации от несанкционированного доступа и распространения с помощью ряда других организационных мер, в том числе:

<0 определения круга лиц, допущенных к персональным данным;

О конвертования документов, содержащих персональные данные, подлежащих передаче между подразделениями внутри самой компании (и, при необходимости, внутри подразделения компании) или отправке в сторонние организации;

О выдачи документов с персональными данными работникам, допущенным к такой информации, с использованием журналов регистрации документов.

Что касается сведений ограниченного доступа, связанных, например, с профессиональной деятельностью (сведений, составляющих профессиональную тайну), то здесь при обеспечении конфиденциальности информации речь идет прежде всего о профессиональной этике специалиста, обязывающей его хранить в тайне сведения, которые были доверены ему клиентами (пациентами), т.е. имеются в виду доверительные отношения между лицами, занимающимися определенной профессиональной деятельностью, и их клиентами (пациентами).

Таким образом, резюмируя сказанное, можно утверждать, что конфиденциальность различных видов информации, ее сохранение в тайне от третьих лиц могут быть обеспечены различными способами (или их комбинацией), например как путем проставления на материальных носителях информации грифов конфиденциальности, так и с помощью использования других организационных мер.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>