Организация защиты коммерческой тайны на объектах информатизации

Автор: В. Я. Ищейнов

Организация защиты коммерческой тайны на объектах информатизации

В. Я. Ищейнов, кандидат технических наук, доцент РГГУ

Тайна: понятия и критерии определения

  • Возможные угрозы утечки информации
  • Система защиты на объекте информатизации

В правовой обиход введены различные представления о тайне. Наряду с государственной, служебной, врачебной, коммерческой и иными вводится представление об адвокатской тайне, биржевой тайне, банковской тайне, налоговой тайне, тайне вклада и тайне договора, тайне телефонных переговоров и множестве иных видов тайн.

Учитывая то, что в законодательстве часто встречается слово «тайна», следует уяснить его содержание и соотношение с термином «конфиденциальная информация». Закон, употребляя термин «тайна», традиционно имеет в виду «все сокрытое, неизвестное, неведомое», а также «нечто скрытно хранимое, что скрывают от кого-либо». Таким образом, «тайна» имеет два смысловых значения: нечто абсолютно неизвестное всем и нечто относительно неизвестное для какого-либо круга лиц. Очевидно, что уголовно-правовой смысл имеет только второе значение.

Тайна есть информация. В соответствии со статьей 2 Федерального закона «Об информации, информационных технологиях и защите информации» под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Сведения должны быть известны или доверены узкому кругу лиц. При этом основанием известности сведений тому или иному лицу может быть профессиональная или служебная деятельность последних, семейно-брачные отношения и иное. Общим для всех видов конфиденциальных сведений является факт, что свободный доступ к ним ограничен в силу предписаний федерального законодательства. Нарушение неприкосновенности охраняемой законом тайны влечет юридическую (в том числе и уголовную) ответственность. На лицах, которым доверена такая информация, лежит правовая обязанность не нарушать ее конфиденциальность.

В уголовном праве тайну можно определить как сведения (информацию), доступ к которым ограничен в соответствии с положениями федерального законодательства и за несанкционированное нарушение конфиденциальности которых установлена уголовная ответственность.

Сведения (информация), составляющие ту или иную тайну, являются предметами права. Обычно предмет права есть вещь материального мира, имеющая определенные физические характеристики. Такими характеристиками может обладать носитель информации, но не сама информация. Действующее законодательство не вполне определяет юридическое существо тайны. По отношению к государственной тайне закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. Юридически значимая тайна лежит в основе возникающих определенных отношений. Сведения или информация, составляющие тайну, должны расцениваться как объект правоотношений, реализующийся и существующий в форме общественного отношения по его защите или использованию. Характер общественных отношений должен лежать в основе видовой классификации тайны. Личная тайна связана с обеспечением конституционных и иных прав личности.

Коммерческая (в том числе банковская) тайна связана с интересами обеспечения законной предпринимательской деятельности (часть 1 статьи 2 Гражданского кодекса Российской Федерации). Содержание банковской тайны определено в статье 856 Гражданского кодекса Российской Федерации. В то же время нормативные акты регламентируют перечень сведений, которые не могут составлять коммерческую тайну.

Уголовная ответственность за нарушение коммерческой и банковской тайны наступает при собирании сведений, составляющих коммерческую или банковскую тайну, в целях разглашения либо незаконного использования этих сведений, а также при незаконном разглашении или использовании сведений, составляющих коммерческую тайну, без согласия их владельца.

Государственная тайна как вид тайны неоднократно указывается в статьях Уголовного кодекса Российской Федерации и имеет непосредственное уголовно-правовое значение, связанное с обеспечением внешней безопасности государства и государственной безопасности в целом. Государственную тайну Российской Федерации составляют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

На основе сохранения неприкосновенности государственной тайны обеспечивается не просто «государственная безопасность» в широком понимании, а внешняя безопасность государства. Государственная тайна в уголовно-правовом отношении находится в основе комплекса двух интересов уголовно-правовой охраны: внешней безопасности государства и безопасности государства как таковой.

Одним из наиболее часто цитируемых нормативных правовых актов является статья 4 Федерального закона «О коммерческой тайне» (о перечне сведений, которые не могут составлять коммерческую тайну), а именно – что режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторов, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

9) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

10) обязанность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Определение сведений, составляющих коммерческую тайну, представляет собой одно из центральных звеньев в системе мер, осуществляемых предприятием по защите своей интеллектуальной собственности. Неправильное или несвоевременное выделение предмета защиты существенно снижает эффективность этой системы либо вообще сводит ее на нет.

Критериями, по которым определяется информация, относимая к перечню сведений, составляющих коммерческую тайну предприятия, могут быть следующие:

  • во-первых, эта информация должна быть коммерчески выгодной вам или выгодной для вашего конкурента в случае попадания в чужие руки. В качестве критерия важности конкретной информации принимаются количественные показатели величины наносимого ущерба. То есть наиболее важной, с точки зрения безопасности предприятия, является информация, утечка которой, например, угрожает структурной целостности предприятия или способствует перекрытию каналов поступления материальных ресурсов;
  • во-вторых, эта информация не должна быть общеизвестной или общедоступной на законных основаниях;
  • в-третьих, эти сведения не должны являться государственными секретами или защищаться согласно нормам авторского или патентного права;
  • в-четвертых, информация, составляющая коммерческую тайну, должна быть зафиксирована в письменной или иной материальной форме или находиться в исключительном ведении предприятия;
  • в-пятых, такая информация должна быть понятным образом специально обозначена («грифована»), и в отношении нее должны быть обеспечены необходимые меры по сохранению конфиденциальности;
  • в-шестых, эти сведения не должны напрямую касаться деятельности предприятия, способной нанести ущерб обществу, жизни и здоровью людей (нарушение законов, загрязнение окружающей среды и т. д.), а также использоваться в целях недобросовестной конкуренции, уклонения от налогообложения, осуществления запрещенной или незакрепленной в уставе предприятия деятельности.

Анализ и обращение возможных каналов угроз утечки информации, составляющей коммерческую тайну, а следовательно, и мероприятия по их перекрытию должны вестись по следующим основным направлениям.

Человек – документ – изделие (процесс) – объект информации.

В данной статье рассматривается только объект информации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объектов информатизации, помещений или объектов (зданий, сооружений, технических средств).

Угрозой безопасности информации, составляющей коммерческую тайну, является совокупность условий и интересов, обеспечивающих потенциальную или реальную опасность утечки информации и нанесения ущерба.

Сущность коммерческой тайны определена законодательством в 3 видах в зависимости от характера отношений между обладателем информации и другими участниками:
– в рамках трудовых отношений;
– в рамках гражданско-правовых отношений;
– при предоставлении информации государству и в соответствии с требованиями Федеральной службы по техническому и экспертному контролю России (ФСТЭК) в области технической защиты информации.

Утечка информации, составляющей коммерческую тайну, на объектах информатизации возможна по техническим каналам, в которые входят: гибкие и жесткие магнитные диски, магнитные ленты, средства ввода и вывода информации, средства отображения, обработки и передачи информации, средства коммуникации и электроснабжения.

Источниками возможных угроз могут быть: природные явления (магнитные бури, стихийные бедствия и т. д.), естественные, технические и созданные людьми – искусственные. Все множество потенциальных угроз по природе их возникновения можно разделить на преднамеренные и непреднамеренные, а по отношению к объекту информатизации – внешними и внутренними.

Меры по защите коммерческой тайны, принимаемые ее обладателем, должны включать в себя:

1. Определение перечня информации, составляющей коммерческую тайну. В данный перечень включается информация:
– научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе ноу-хау, определенная данным законом;
– определяемая самим обладателем коммерческой информации, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам.

Исключение составляют сведения, которые не могут составлять коммерческую тайну, а также сведения, составляющие государственную тайну (у государственной тайны свой правовой режим). При составлении данного перечня необходимо исходить из трех основных принципов: законности, обоснованности и своевременности придания коммерческой информации конфиденциальности, то есть отнесения ее к коммерческой тайне.

Принцип законности заключается в соблюдении мер по охране конфиденциальной информации, составляющей коммерческую тайну.

Принцип обоснованности устанавливается путем экспертной оценки целесообразности придания конфиденциальности конкретной информации исходя из вероятных последствий (экономических, финансовых, кризисных и др.) этого акта и баланса экономической выгоды и безопасности организации (включая информационную безопасность).

Принцип своевременности заключается в установлении ограничения доступа и распространения коммерческой информации с момента ее получения, разработки или до разработки.

Перечень утверждается распорядительным документом руководителя организации.
2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка. В соответствии с законом доступ к информации определен как порядок ознакомления определенных лиц с информацией, с согласия обладателя информации, составляющей коммерческую тайну, при условии сохранения ее конфиденциальности.

3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана. Предоставление данной информации определяется законом как передача информации, зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

Передача информации, составляющей коммерческую тайну, определена как передача обладателем информации, зафиксированной на материальном носителе, контрагенту – стороне гражданско-правового договора на основании данного договора.

4. Определение порядка регулирования отношений использования информации, составляющей коммерческую тайну.
Данная мера предполагает регулирование отношений между:
– работодателем и работниками на основании трудовых договоров;
– контрагентами на основании гражданско-правовых договоров;
– органами государственной власти на основании данного Федерального закона.

В любом случае вне зависимости от вида договоров в них необходимо указать объем и условия передачи информации, составляющей коммерческую тайну, включая условия принятия работником (контрагентом) мер по охране ее конфиденциальности. Данное положение также касается индивидуальных предпринимателей – обладателей информации, составляющей коммерческую тайну, не имеющих работников, с которыми заключены трудовые договоры, но имеющих гражданско-правовые договора с физическими лицами.

Что касается органов государственной власти, иных органов, органов местного самоуправления, то в соответствии с Федеральным законом «О коммерческой тайне» и другими федеральными законами они обязаны создать условия, обеспечивающие охрану конфиденциальности информации, предоставленной им юридическими лицами или индивидуальными предпринимателями.

Должностные лица, государственные или муниципальные служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам, другим органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, а также не вправе использовать эту информацию в корыстных или иных целях.

5. Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц – полное наименование и место нахождения, а для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). В данном случае гриф – реквизит документа – не означает степень конфиденциальности информации («конфиденциальность» тождественно термину «секретность»), как в Законе «О государственной тайне» – «особой важности, «Совершенно секретно» и «Секретно», а означает, что право собственности на информацию, составляющую коммерческую тайну, охраняется законодательством.

Обладатель коммерческой информации для внутреннего использования (локального пользования) может устанавливать дополнительные меры в соответствии с Федеральным законом. К таким мерам можно отнести установление степени конфиденциальности коммерческой тайны и проставлять дополнительно на документах название любых грифов, например: «Конфиденциально», «Особо конфиденциально» и т. д., за исключением наименования грифов степени секретности, определяемых Законом «О государственной тайне».

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

– исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

–обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровью, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В целом систему защиты информации, составляющей коммерческую тайну на объектах информатизации, можно представить в виде функциональной модели, которая является частью комплексной системы в организации защиты информации.

Рисунок. Функциональная модель системы защиты информации, составляющей коммерческую тайну на объекте информатизации

В условиях рыночной экономики каждое предприятие вынуждено постоянно вести конкурентную борьбу за свое существование, за прибыльное ведение дел, за свое доброе имя. Само понятие «безопасность» принимает расширенное содержание, оно включает в себя как составляющие информационно-коммерческую, юридическую и физическую безопасность.

Вопросы информационно-коммерческой безопасности занимают особое место и в связи с возрастающей ролью информации в жизни общества требуют особого внимания. Успех производственной и предпринимательской деятельности в немалой степени зависит от умения распоряжаться таким ценнейшим товаром, как информация, но выгодно использовать можно лишь ту информацию, которая требуется рынку, но неизвестна ему. Поэтому в условиях ужесточения конкуренции успех предпринимательства, гарантия получения прибыли все в большей мере зависят от сохранности в тайне секретов производства, опирающихся на определенный интеллектуальный потенциал и конкретную технологию по защите коммерческой тайны на объекте информатизации.