Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
PAGE \* MERGEFORMAT 3
Министерство образования и науки Российской Федерации
государственное бюджетное образовательное учреждение
среднего профессионального образования
«Самарский областной техникум аграрного и промышленного сервиса»
Факультет: документационное обеспечение
Специальность:________________
Выпускная квалификационная (дипломная) работа
Тема: Организация работы с конфиденциальной информацией на примере конкретной организации
Выполнил студент
№ 4 курса, группы 3223
Кривошеев Денис Михайлович
_______________(подпись)
Руководитель дипломной работы
Фамилия, инициалы
_______________(подпись)
|
«Допустить к защите» Зам.директора по учебной части _______________________ (подпись) «______»_____________2014 г. |
Работа защищена «______»_____________2014 г. Оценка «__________________» Председатель ГАК _______________________ Фамилия, инициалы _______________(подпись) |
Самара, 2014
Оглавление
Введение…………………………………………………………………………3-4
Глава 1 Теоретико-правовые основы режима конфиденциальной информации
1.3. Основные источники правового регулирования конфиденциальной информации…………………………………………………………………….20-25
2.1.Нормативно-методическая база конфиденциального делопроизводства..25-27
Заключение……………………………………………………………………..47-50
Список использованной литературы………………………………………...51-52
Кто владеет информацией, тот владеет миром.
Уинстон Черчилль
Актуальность темы дипломной работы обусловлена тем, что информация - важнейший продукт общественного производства, постоянно наращиваемый ресурс человечества; сегодня это наиболее ценный и ходовой объект в международных экономических отношениях. На международном уровне сформировалась система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, имеющий социальное значение.
Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся эта информация представляет различную ценность для хозяйствующего субъекта и, соответственно, ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать различные системы защиты, в том числе и организационную, а главное - правовую.
В связи, с чем информация разделяется на три группы: информация для открытого пользования любым потребителем в любой форме; информация ограниченного доступа - только для органов, имеющих соответствующие законодательно установленные права (полиция, налоговая инспекция, прокуратура); информация только для работников (либо руководителей) организации.
Информация, относящаяся ко второй и третьей группам, является конфиденциальной и имеет ограничения в распространении. Часть этой информации составляет особый блок и может быть отнесена к коммерческой тайне.
В современном обществе неизбежность и целесообразность использования информационных технологий и глобальных коммуникаций влечет за собой неотвратимость угроз информационной безопасности и утечке "закрытой" информации.
Потеря информации в личном компьютере в результате проникновения вируса ощутима для его владельца, но нарушение работы систем государственного управления, муниципального самоуправления, систем жизнеобеспечения задевает интересы общества, национальные интересы в целом.
Масштабность угроз информационной безопасности, осознанная международным сообществом, нашла отражение в документах Всемирной встречи на высшем уровне по вопросам информационного общества, где содержится призыв ко всем участникам информационного общества предпринимать соответствующие действия и принимать установленные законодательством меры по предотвращению ненадлежащего использования информационных и телекоммуникационных технологий (ИКТ).
Россия также стала инициатором постановки на уровне ООН проблем международной информационной безопасности (МИБ) и выработки соответствующих рекомендаций.
Проблема защиты конфиденциальной информации, как организаций любой формы собственности в целом, так и органов муниципального самоуправления в частности, в настоящее время стоит наиболее остро, так как угрозы нарушения информационной безопасности носят глобальный и трансграничный характер; способы реализации угроз информационной безопасности и формы их проявления постоянно совершенствуются; высокая технологичность этих угроз требует адекватных мер противодействия, предъявляет требования к квалификации специалистов по информационной безопасности, материально-техническому и кадровому обеспечению правоохранительных органов и спецслужб.
Конфиденциальная информация является важнейшей составляющей любых информационных отношений. Вопросы правового регулирования по поводу использования и распространения информации в последнее время занимают одно из значительных мест в юридической литературе. Это обусловлено, прежде всего, тем, что содержание юридически значимой тайны заключается в том, что ее предмет образует информация, не предназначенная для широкого круга лиц, а ее разглашение может повлечь нежелательные последствия для владельцев и обладателей тайны.
Следует сказать, что в настоящее время законодательная регламентация общественных отношений, связанных с использованием отдельных видов конфиденциальной информации, несовершенна. Вопрос о нормативно-правовой регламентации тайны затронут Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", что является основанием выделения в науке соответствующего направления для исследования.
Не менее важной проблемой защиты конфиденциальной информации, является состояние информационной безопасности в России, которое характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь, системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Обозначенные проблемы обусловливают актуальность настоящего исследования.
В научной литературе отдельные аспекты, связанные с обеспечением механизма охраны отдельных видов конфиденциальной информации ограниченного доступа, отражены в научных трудах таких правоведов, как: М.Ю. Барщевский, В.Н. Буробин, Б.В. Волженкин, З.Ф. Гайнуллина, А.В. Галахова, А.С. Горелик, А.Ф. Жигалов, З.З. Зинатуллин и др. А проблема правовой защиты конфиденциальной информации самостоятельно почти не изучалась.
Термин "информация" происходит от латинского слова "informatio", что означает сведения, разъяснения, изложение. Несмотря на широкое распространение этого термина, понятие информации является одним из самых дискуссионных в науке. В настоящее время наука пытается найти общие свойства и закономерности, присущие многогранному понятию информация, но пока это понятие во многом остается интуитивным и получает различные смысловые наполнения в различных отраслях человеческой деятельности:
Информация играет огромную, ведущую роль в жизнедеятельности каждого предприятия и организации. Для любого субъекта информационных отношений наиболее важны и ценны те сведения, которыми владеют или пользуются только они и никто больше.
Учитывая особенную и, пожалуй, вечную актуальность темы поиска и сохранения информации, государство должно установить для всех "правила игры" на этом поле, гарантировав субъектам информационных отношений права и установив определенные обязанности, специальные ограничения и санкции, то есть полностью в правовом смысле отрегулировать всю систему оборота информации, особенно той, на которую субъекты права имеют или хотят иметь преимущества в использовании, - конфиденциальной.
Первое российское легальное определение понятия "информация" было дано в Федеральном законе от 20 февраля 1995 г № 24-ФЗ "Об информации, информатизации и защите информации", в ст. 2 которого говорилось, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.
В соответствии со ст.2 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", информация - это сведения (сообщения, данные) независимо от формы их представления.
Законодателем определено, что информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения (ст. 5 ФЗ № 149-ФЗ).
Информация имеет ряд особенностей:
- она нематериальна;
- информация хранится и передается с помощью материальных носителей;
- любой материальный объект содержит информацию о самом себе или о другом объекте.
Не материальность информации понимается в том смысле, что нельзя измерить ее параметры известными физическими методами и приборами.
Информация не имеет массы, энергии и т. п. Информация хранится и передается на материальных носителях. Такими носителями являются мозг человека, звуковые и электромагнитные волны, бумага, машинные носители (магнитные и оптические диски, магнитные ленты и барабаны) и др.
Информации присущи следующие свойства:
1. Информация доступна человеку, если она содержится на материальном носителе. Поэтому необходимо защищать материальные носители информации, так как с помощью материальных средств можно защищать только материальные объекты.
2. Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.
3. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.
Информация сегодня является одним из важнейших ресурсов организации. Каждый год ее объемы возрастают в среднем на 30-50%.
В нашем обществе существенно преобразуются все протекающие в нем процессы, что приводит к росту спроса на качественную, достоверную, оперативную информацию. Эти преобразования можно охарактеризовать следующим образом. Во-первых, в результате усложнения общественного поведения увеличиваются информационные потребности людей. Информация превращается в массовый продукт. Во-вторых, информация становится не просто сообщением, имеющим конкретное содержание, а экономическим благом. Она получает рыночную оценку и перестает быть бесплатным товаром. В-третьих, прибыль от продаж и покупок информации не усредняется, поскольку информационный рынок не подчиняется законам совершенной конкуренции. В-четвертых, резко возросли технологические возможности получения, передачи, хранения и использования информации во все возрастающих объемах. Учитывая сказанное, можно сделать вывод, что информация является одним из важнейших средств достижения целей любого вида деятельности. От полноты и качества информации зависят степень реализации и результативность в достижении целей.
Для хозяйствующего субъекта зачастую наиболее ценной является информация, которую он использует для достижения целей предприятия/организации и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.
Чтобы понять, какую ценность информация имеет для получателя, рассмотрим, основные процессы, которые происходят при этом. Целесообразно отнести к таким процессам следующие:
1. Определение или постановка цели, которую хочет получатель (приемник) информации.
2. Получение информации.
3. Преобразование смысла, заключенного в полученной информации на основе использования определенных возможностей (процесс получения данных).
4. Аналитическая оценка возможности применения полученной информации для достижения поставленной цели на основе использования возможностей.
5. Принятие решения об использовании или не использовании полученной информации для достижения поставленной цели:
- если принято решение о неиспользовании полученной информации для достижения поставленной цели, то полученная информация не имеет ценности с точки зрения достижения поставленной цели;
- если принято решение об использовании полученных знаний (информации) для достижения поставленной цели, то полученная информация имеет ценность с точки зрения достижения поставленной цели.
6. Осуществление действий по достижению поставленной цели на основе использования возможностей и ранее полученных знаний.
7. Оценка результатов достижения поставленной цели на основе использования определенных критериев, которые удовлетворяют получателя информации:
- если оценка результатов, по достижению поставленной цели, удовлетворяет получателя информации, то эта информация обладала определенной положительной ценностью для решения этой задачи;
- если оценка результатов, по достижению поставленной цели, не удовлетворяет получателя информации, то эта информация также обладала определенной ценностью для решения этой задачи, но эта ценность может оказаться даже отрицательной.
Одну и туже информацию могут получить несколько пользователей (получателей) и в одно время. При этом у получателей информации могут быть как одинаковые, так и разные цели. Но ценность полученной информации всегда будет индивидуальна для каждого отдельно взятого получателя. Это можно объяснить простым примером. В мире каждый человек индивидуален, обладает собственными знаниями и имеет свою шкалу ценности информации при реализации, поставленной цели. Однако основные процессы, которые возникают при определении ценности информации и, имеют место для любого отдельно взятого субъекта. При этом необходимо отметить, что в организациях, например, в органах муниципального самоуправления, где получателей и пользователей информации достаточно много, эти процессы усложняются, так как руководитель коллектива является ответственным лицом при окончательной оценки ценности информации, полученной коллективом для достижения поставленной цели.
Если его способности и ранее полученные знания не позволяют получить из этой информации соответствующие знания для принятия наиболее эффективного решения, то в результате органы муниципальной (местной) власти могут не достичь необходимого результата управления. Этот пример еще раз показывает, что ценность полученной информации всегда индивидуальна.
Отсюда можно констатировать, что под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.
При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности.
Ценность документов определяется с учетом, как особой роли организации, так и ее типового характера в системе органов власти и управления, значимостью выполняемых ею функций.
К критериям содержания документа относится значимость информации документа, его уникальность, типичность документа. Наибольшую ценность среди документов, образующихся в деятельности организации, имеют документы, отражающие основную деятельность организации в целом и ее структурных подразделений (вопросы организации работы, планирование и отчетность, основные направления деятельности, контроль и др.). Другая группа документов имеет вспомогательный характер, большую часть её составляют первичные бухгалтерские документы, документы по вопросам снабжения организации, бытовым и административно-хозяйственным вопросам.
Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие. В основе государственных стандартов оценки ценности информации обычно используют MLS решетку (Multilevel Security).
Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".
Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.
Отметим, что родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал А.Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений), отнеся к ним, в частности, известную самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; способность к сохранению, агрегированию, интегрированию, накоплению, "сжатию" и др.
В соответствии со ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.
В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.
Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.
Так в соответствии с международным стандартом ISO 17799 "Безопасность информационных систем" используются следующие обозначения:
ОТ - открытая информация;
КИ - конфиденциальная информация;
СКИ - строго конфиденциальная информация.
В российском законодательстве используются следующие грифы конфиденциальности:
ОТ - открытая информация;
ДВИ - для внутреннего использования;
КИ - конфиденциальная информация.
В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:
- собственники информации (по отдельным видам они могут частично совпадать);
- области (сферы) деятельности, в которых может быть информация, составляющая данный вид тайны;
- на кого возложена защита данного вида тайны (по некоторым видам тайны здесь также возможно совпадение).
Конфиденциальная информация может быть предметом трудового договора. Обладателем конфиденциальной информации всегда является работодатель и работник, причём последний обладает не только сведениями о себе (персональными данными), но в силу трудового договора может хранить секреты производства и иные тайны.
Условием трудового договора будет обязанность не разглашать информацию, отвечающую признакам конфиденциальности (п. 7 ст. 2 закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"), а не только охраняемую законом тайну (государственная служебная, коммерческая, иная).
Таким образом, конфиденциальная информация может быть не только дополнительным, как об этом сказано в статье 57 ТК РФ, но и обязательным условием трудового договора.
А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.
По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.
По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.
В соответствии со ст.8 Федерального закона от 21.07.1993 № 5485-1 "О государственной тайне" только для информации составляющей государственную тайну устанавливаются три степени секретности сведений, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".
Примечательно, что в США и в ряде НАТО грифы секретности схожи с установленными отечественным законодательством - "конфиденциально (confidential)", "секретно (secret)", "совершенно секретно (top secret)". Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Федерального закона от 21.07.1993 № 5485-1 "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 30.11.95г. №1203 (уточнен Указом Президента РФ от 11.02.2006 № 90). К сведениям, представляющим государственную тайну, относят:
- информацию в военной области;
- информацию о внешнеполитической и внешнеэкономической деятельности;
- информацию в области экономики, науки и техники;
- сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.
В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:
- о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;
- о методах и средствах защиты секретной информации;
- о государственных программах и мероприятиях в области защиты государственной тайны.
По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.
Следует обратить внимание, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству. Отсутствие четкой классификации конфиденциальной информации и их правовых режимов в законодательстве приводит к значительному числу противоречий и пробелов.
С правовым режимом конфиденциальной информации связано еще больше неопределенности, чем с режимом секретной информации. Считается, что типология конфиденциальной информации была установлена Указом Президента РФ от 6 марта 1997 г. N 188 "О перечне сведений конфиденциального характера". Указом определено шесть типов конфиденциальной информации, которые представлены следующим образом:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об основах охраны здоровья граждан Российской Федерации", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др.
К этому Указу накопилось довольно много претензий, главные из которых состоят в том, что он классифицирует виды конфиденциальной информации неполно, и некорректно. В последнем случае, например, указывают на то, что такая разновидность профессиональной тайны по этому Указу, как "тайна переписки... согласно ст. 23 Конституции РФ должна относиться к праву каждого человека, а не только специалиста определенной профессии", указывают также на то, что не проводится разграничения персональных данных и тайны частной жизни, и т.д. Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" также не снимает обозначенной проблемы, поскольку использует лишь самые общие нормативные установки, например: "Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение" (ч. 4 ст. 9).
Рассмотрим наиболее существенные виды информации конфиденциального характера, утвержденные Указом Президента РФ от 06 марта 1997 № 188.
27 июля 2006 года вступил в силу Федеральный закон Российской Федерации № 152-ФЗ "О персональных данных". Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
"Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания" (п.10. ст.3 ФЗ № 152-ФЗ).
Принятие Федерального закона от 27.07.2006 № 152-ФЗ призвано защитить конфиденциальные сведения (персональные данные субъекта), такие как: ФИО, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В качестве примера конфиденциальности информации о персональных данных субъекта можно привести положения, отмеченные в Письме Банка России от 28 ноября 2001 г. № 137-Т "О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем" (состав персональных данных для идентификации физического лица):
- фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая);
- дата и место рождения;
- место жительства (регистрации);
- место пребывания;
- сведения о документе, удостоверяющем личность (наименование, серия и номер, орган, выдавший документ, дата выдачи документа).
Другим примером являются персональные данные, предусмотренные ФЗ от 15 ноября 1997 г. № 143-ФЗ: "Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния".
Одно из противоречий о защите персональных данных субъекта наглядно иллюстрирует банковская практика. Например, при открытии накопительного вклада на имя другого лица, вкладчик должен предоставить банку персональные данные этого лица; при оформлении кредита в банке или торговых точках необходима ксерокопия документа, содержащего персональные данные (в основном, паспорта); при оформлении договора зарплатного проекта для сотрудников предприятия банк обязан уведомить каждого сотрудника предприятия о начале обработки его персональных данных и получить согласие до выпуска карты и т.д. Все это существенно осложняет работу банков, процедуру обработки информации и передачи ее третьей стороне. Также, становится невозможной работа по обмену информацией о клиенте между филиалами одного банка. Филиал не может отправить куда-либо сведения об этом гражданине или информацию о его текущих делах без получения соответствующего разрешения от клиента. Необходимо учесть, что клиент имеет право не давать согласие на передачу его персональных данных третьим лицам. В этом случае гражданин получает возможность скрыть отрицательно характеризующую его информацию.
Проблема связана с отношением регулирующих органов к персональным данным как к самостоятельному объекту правовой охраны наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п. И для этого есть основания, поскольку в ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). Это создает путаницу, так как требование конфиденциальности персональных данных не абсолютно. Открытые персональные данные также обрабатываются и должны защищаться, например, на официальных сайтах органов государственной власти, профессиональных энциклопедиях и т.п.
Следующий вид информации с ограниченным доступом – служебная тайна – представляет наибольшую сложность с точки зрения определения ее понятия и правового режима, поскольку в этот вид тайны в разное время включалось и теперь включается различное содержание.
Определение служебной тайны дано в Указе Президента РФ от 06 марта 1997 № 188 "Об утверждении Перечня сведений конфиденциального характера", согласно которому служебная тайна представляет собой служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. Стоит отметить, в связи с отменой ст. 139 ГК РФ данное определение утратило всякую правовую основу.
В действующем законодательстве не определено однозначно понятие служебной тайны. Большинство ученых склонно придерживаться мнения, что к служебной тайне относятся те сведения о физических и юридических лицах, которые становятся известными различным должностным лицам по роду их служебной деятельности, однако в силу своего особого характера не могут свободно распространяться. В силу этого к служебной тайне относят тайну следствия, врачебную тайну, налоговую тайну, адвокатскую тайну и др.
Для обозначения служебной информации конфиденциального характера помимо термина "служебная тайна" используется целый ряд других, в первую очередь, - "служебная информация".
Длительное время единственным источником, в котором было закреплено легальное определение служебной информации, была ст.31 Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг": "служебной информацией федеральный закон понимает любую не являющуюся общедоступной информацию об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения…".
Следует обратить внимание на то, что, во-первых, данное определение не является универсальным и применяется только в рамках соответствующего правового института. Во-вторых, закон прямо устанавливает, что служебная информация представляет собой сведения с ограниченным доступом. В третьих, в связи с принятием 27 июля 2010 Федерального закона № 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", ст.31. Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг" утратил силу в январе 2011 г. Термин "служебная информация" заменена термином "инсайдерская информация".
Понятие "служебная информация" также, находит свое отражение в законодательных актах — посвященных государственной и муниципальной службе, где используется достаточно часто, но ее содержание в них не раскрывается. Так, в Федеральном законе от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" ст.15 и ст.7 Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается обязанность соблюдать порядок работы со служебной информацией: "не разглашать сведения, составляющие государственную и иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство", и "сотрудник таможенного органа не вправе: использовать в неслужебных целях средства материально-технического и информационного обеспечения, финансовые средства, другое государственное имущество, а также служебную информацию". Согласно ст. 17 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" и ст.7.1. Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается запрет для государственных и муниципальных служащих: "разглашать или использовать в целях, не связанных с гражданской службой, сведения, отнесенные в соответствии с федеральным законом к сведениям конфиденциального характера, или служебную информацию, ставшие ему известными в связи с исполнением должностных обязанностей".
В свою очередь в постановлении Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" понятие "служебная информация" отражено в перечне сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:
- акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
- сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
- описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
- порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;
- решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;
- сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
Таким образом, можно сделать вывод, что служебная информация – это конфиденциальные служебные сведения о деятельности государственных органов, доступ к которой ограничен федеральными законами или в силу исполнения должностных обязанностей, а также сведения, поступившие органам государственной власти от физических и юридических лиц, имеющие действительную ценность в силу неизвестности их третьим лицам и доступ к которым ограничен в соответствии с федеральными законами.
В настоящее время все больше уделяется внимание еще одному виду информации с ограниченным доступом – коммерческая тайна.
Понятие "коммерческая тайна" в переводе с английского "commercial" означает перечень сведений о деятельности фирмы, предприятия, не подлежащих разглашению ввиду возможных убытков, недополученной прибыли и других отрицательных последствий.
В российском законодательстве определение коммерческой тайны указано в ст.3 Федерального закона от 29.07.2004 № 98-ФЗ "О коммерческой тайне", понятие "коммерческая тайна" - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Под информацией, составляющей коммерческую тайну, понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе, составляющая секреты производства – ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Носителями коммерческой информации являются руководители предприятий или организаций, а также другие служащие, допущенные к коммерческим секретам. При этом сведения, составляющие коммерческую тайну предприятия или организации в соответствии со ст.4 от 29.07.2004 № 98-ФЗ, разрабатываются и утверждаются руководителем предприятия или организации с учетом требований постановления Правительства Российской Федерации от 05.12.1991 № 35 "О передаче сведений, которые не могут составлять коммерческую тайну".
В российском законодательстве нет исчерпывающих сведений относящихся к понятию "коммерческая тайна", но в литературе приведены примерные перечни сведений, относящихся к коммерческой информации
Так, Э. Соловьев предлагает следующий ориентировочный перечень сведений, составляющих коммерческую тайну:
- сведения о производственных возможностях предприятия;
- организация труда;
- структура кадров и производства;
- сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической деятельности;
- инвестиционные программы;
- имущественное положение предприятия;
- бюджет;
- методы изучения рынка сбыта;
- круг клиентов;
- сведения об иностранных партнерах;
- структура цены;
- условия по сделкам;
- особые условия контрактов;
- сведения о детальной расшифровке предмета лицензий при их купле-продаже;
- результаты научных исследований и проектных разработок;
- технические проекты;
- конструкция объекта;
- изобретения, "ноу-хау", промышленные и технические образцы;
- сведения, связанные с технологической информацией;
- способы производства продукции.
В.А. Герасименко, Д.В. Павлов, А.А. Шиверский приводят следующий примерный перечень сведений, относимых к коммерческой тайне:
1. Сведения стратегического характера:
- планы развития производства, в том числе с применением новых технологий, открытий и т.п.;
- причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления и т.п.
2. Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции; разработка технологий и новых видов продукции с учетом потребностей рынка и т.д.
3. Деловая информация:
- о торговых и деловых партнерах, клиентах, посредниках, поставщиках и т.д.;
- об условиях контрактов, соглашений, договоров и др.;
- о состоянии кредитно-финансовой системы предприятия;
- маркетинговая информация.
Положительным элементом формулировок содержания коммерческой тайны, приведенных В.А. Герасименко, Д.В. Павлов, А. А. Шиверским и Э. Я. Соловьевым, является то, что они попытались выделить основные области предпринимательской деятельности, в которых могут существовать сведения, составляющие коммерческую тайну.
На основании вышеизложенного можно сделать вывод, что действующее законодательство никак не ограничивает предметный характер информации, составляющей коммерческую тайну. К коммерческой тайне относятся конфиденциальные сведения в областях: производственно-хозяйственной; коммерческой; управленческой; научно-технической; финансовой, главное, чтобы данная информация имела бы коммерческую ценность в силу неизвестности ее третьим лицам.
Остальные виды тайн чаще всего обозначены, их объемы пересекаются, одна тайна накладывается на другую. Такое положение крайне отрицательно складывается на правоприменительной практике. Проблемы с определением круга сведений, относящихся к конкретному виду тайн, существуют даже в отношении наиболее "проработанных" законодательно тайн (таких как, государственная тайна и "ноу-хау"), что нередко подтверждает и судебная практика.
Поэтому, при решении вопроса об отнесении конкретной информации к защищаемой нужно руководствоваться определенными критериями, т.е. признаками, при наличии которых информация может быть отнесена к защищаемой.
Общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.
Критерии отнесения открытой информации к защищаемой:
- необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;
- необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);
- необходимость информации для управленческой деятельности, сюда относится информация, требующаяся для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ее функционирования;
- необходимость информации для финансовой деятельности;
- необходимость информации для обеспечения функционирования социальной сферы;
- необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;
- важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.
Эти критерии обусловливают необходимость защиты открытой информации от утраты.
Названные выше критерии отнесения открытой информации к защищаемой вызывают потребность в защите от утраты и конфиденциальной информации.
Однако основной, определяющий критерий отнесения информации к конфиденциальной и защиты ее от утечки – возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам.
Этот критерий имеет две составляющие: Неизвестность информации третьим лицам. Получение преимуществ от использования информации (получение выгоды, предотвращение политического, экономического или морального ущерба). Эти две составляющие взаимосвязаны и взаимообусловлены с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ тому, кто ее защищает, с другой стороны, преимущества можно получить только за счет такой неизвестности.
При отсутствии названных выше критериев нет оснований для перевода информации в категорию защищаемой. Но наличие этих критериев не означает, что информация во всех случаях без исключения должна быть отнесена к охраняемой. Критерии – это лишь объективные показатели возможности отнесения информации к защите.
Для реализации этой возможности в действительности необходимы следующие условия:
1. Если информация не является общедоступной на законном основании, т.е. не содержит сведений, которые запрещено относить к конфиденциальным. Перечни таких сведений содержатся в нормативных актах РФ.
2. Если имеются технические возможности для защиты носителей информации. Речь идет об объектах, которые практически невозможно скрыть от технических средств обнаружения и фиксации, особенно спутниковых.
3. Если затраты на защиту информации не превысят количественных и качественных показателей преимуществ, получаемых при ее защите.
Таким образом, правовой и методологической основой для разработки перечней защищаемой информации являются: критерии отнесения информации к защищаемой; условия отнесения информации к защищаемой; понятие соответствующего вида тайны (их характеристики и показатели); специфика предприятия (для коммерческой тайны, что для одних является коммерческой тайной, для других – рекламная информация).
В предыдущих разделах были упомянуты некоторые источники, регулирующие правовые режимы конфиденциальной информации. Остановимся на этой теме более подробно.
Обеспечение защиты конфиденциальной информации складывается из следующих составляющих:
1. Нормативные правовые акты РФ.
2. Нормативно-методические и методические документы.
3. Стандарты.
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства;
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
Приведем примеры:
основные направления правового регулирования информационных отношений – конституционное и гражданско-правовое. Как продолжение свободы мысли и слова, которая закреплена в ч. 1 ст. 29 Конституции РФ, ч. 4 ст. 29 Конституции РФ закрепляет право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется соответствующим федеральным законом. Этому праву корреспондирует общая обязанность органов государственной власти и местного самоуправления, располагающих такого рода информацией, предоставлять ее по соответствующим запросам. Возможные исключения из этого общего правила должны обязательно иметь форму федерального закона (ч. 3 ст. 55 Конституции РФ). Ст. 42 Конституции РФ говорит о праве каждого на достоверную информацию о состоянии окружающей среды. Ст. 19 Основ законодательства РФ "Об основах охраны здоровья граждан Российской Федерации" конкретизирует это установление закреплением определенного механизма реализации прав граждан на информацию о факторах, влияющих на их здоровье (п.5 пп.7 ст. 19).
Закон Российской Федерации от 5 марта 1992 г. № 2446-1 "О безопасности" (ред. от 26.06.2008) - данный закон призван защитить интересы личности, общества и государства от возможных внешних и внутренних угроз, посягающих на права, свободу, материальные и духовные интересы. Информационная безопасность - есть защита любой информации, и, в первую очередь, конфиденциальной.
Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите и информации" - назначение закона обеспечение защиты информации, регулирования отношений при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации, за исключением отношений в области охраны результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
Качество современного уровня правового регулирования отношений по поводу информации во многом определяется степенью учета законодателем этих признаков (свойств).
Конфиденциальная информация определена в п. 7 ст. 2 Федерального закона от 27 июля 2006 года № 149-ФЗ через требование не передавать такую информацию третьим лицам без согласия ее обладателя. На мой взгляд, это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять-таки через информацию с ограниченным доступом, не содержащую государственную тайну, во-первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во-вторых, государственная тайна − это тоже конфиденциальная информация. Поэтому более правильно, на мой взгляд, под конфиденциальной информацией понимать легально полученную информацию, которая в силу закона или иного акта, имеющего юридическое значение, доступна строго определенному кругу лиц, и в отношении которой установлен режим той или иной степени секретности.
Пункт 3 статьи 5 Федерального закона № 149-ФЗ об информации содержит классификацию информации в зависимости от порядка ее предоставления или распространения. Так, по этому основанию информация подразделяется:
1) на информацию, свободно распространяемую, например, посредством средств массовой информации;
2) на информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) на информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) на информацию, распространение которой в Российской Федерации ограничивается или запрещается. Например, информация, составляющая коммерческую или государственную тайну.
Федеральным законом № 152-ФЗ от 27 июля 2006 "О персональных данных" регулируются отношения, связанные с обработкой персональных данных федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Федеральные законы "О коммерческой тайне", "Об информации, информационных технологиях и о защите информации" и часть 4 ГК РФ - ввели, как говорилось выше, и новые понятия, и изменили содержание некоторых прежних понятий, относящихся к данному вопросу. Ст. 139 ГК РФ, определявшая коммерческую тайну, отменена.
В ст. 3 Федерального Закона № 98-ФЗ "О коммерческой тайне" коммерческая тайна определяется как режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Федеральные законы от 06 апреля 2011 г. № 63-ФЗ "Об электронной подписи" и от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи" - данные законы призваны обеспечить конфиденциальность информации в электронном виде - подписи, которая рассматривается как личная подпись субъекта.
Федеральный закон от 27 декабря 2002 г. № 184-ФЗ "О техническом регулировании" - закон призван обеспечить защиту сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов (ст. 5 ФЗ № 184-ФЗ).
Федеральный закон от 8 августа 2001 г. № 128-ФЗ "О лицензировании отдельных видов деятельности" - закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в свете обеспечения защиты конфиденциальной информации при осуществлении лицензирования отдельных видов деятельности.
Иные федеральные законы в том или ином аспекте также могут регулировать деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса РФ об административных правонарушениях № 195-ФЗ от 30 декабря 2001 г. устанавливает ответственность за административные правонарушения в области связи и информации.
В соответствии с Законом РФ "О средствах массовой информации", поиск, получение, производство и распространение массовой информации, учреждение ее средств, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных соответствующим законодательством РФ.
В числе нормативных правовых актов, частично регулирующих рассматриваемые отношения, следует назвать также Закон "Об архивном деле в Российской Федерации". Пользователь архивных документов имеет право использовать, передавать, распространять информацию, содержащуюся в них, а также копии архивных документов для любых законных целей и любым законным способом. Кроме того, приняты и иные нормативные правовые акты в данной области.
Указ Президента РФ от 12 мая 2004 г. № 611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" - указ регламентирует меры обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей "Интернет". Особое внимание уделяется обеспечению безопасности "закрытой" информации.
Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" - указ призван обеспечить защиту информации путем создания Федеральной службой по техническому и экспортному контролю своих территориальных органов, Государственного научно-исследовательского испытательного института проблем технической защиты информации.
Указ Президента РФ от 20 января 1994 г. № 170 "Об основах государственной политики в сфере информатизации" установил, что основными направлениями государственной политики в сфере информатизации являются: обеспечение единства государственных стандартов в сфере информатизации, их соответствие международным рекомендациям и требованиям. Указ Президента Российской Федерации № 188 от 6 марта 1997 г. установил перечень сведений конфиденциального характера.
Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" - данное постановление регламентирует порядок обращения и работы с конфиденциальной информацией федеральными органами исполнительной власти с целью предотвращения угрозы утечки информации и обеспечения защиты информации.
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" - данное Постановление утвердило Положение об обеспечении безопасности персональных данных в соответствии со ст. 19 ФЗ № 152-ФЗ. Положение содержит требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации" - данное Постановление утвердило Положение об обязательной сертификации средств защиты информации, где отражен порядок сертификации средств защиты информации в Российской Федерации.
Постановления: Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" и Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности но разработке и (или) производству средств защиты конфиденциальной информации" призваны обеспечить защиту конфиденциальной информации путем обязательного лицензирования технических средств защиты.
Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления ее обеспечения и служит основой для формирования государственной политики и подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации, а также для разработки ее целевых программ.
К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся: достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств - участников Содружества Независимых Государств; языки, нравственные ценности и культурное наследие народностей Российской Федерации; объекты интеллектуальной собственности.
Подводя итог вышеизложенному материалу можно сделать вывод, что конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную, профессиональную или личную тайны, охраняющиеся её владельцем.
Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом. При этом информация как таковая и конфиденциальная информация являются предметом регулирования различных отраслей права и нормативных правовых актов РФ, важнейшее место среди которых занимает Конституция РФ. Россия также – субъект международных правоотношений по поводу информации.
Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих конфиденциальную информацию, регулируются соответствующими законодательными и подзаконными актами.
К числу базовых относится, в первую очередь, Конституция РФ. В ст.23 (1) установлено право неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
27 июля 2006 года Президент РФ В.В. Путин подписал два важнейших для сферы документационного обеспечения управления (делопроизводства) федеральных закона: № 149 - ФЗ "Об информации, информационных технологиях и о защите информации" и № 152-ФЗ "О персональных данных".
10 января 2002 года Президентом был подписан закон "Об электронной цифровой подписи", развивающий и конкретизирующий положения приведенного выше закона "Об информации…".
Основными также являются законы РФ: "О государственной тайне" от 22 июля 2004 г. ; "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну); "Об утверждении Перечня сведений конфиденциального характера"; "Об утверждении Перечня сведений, отнесенных к государственной тайне"; "Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну". Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: "Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации, "Об утверждении правил оказания услуг телеграфной связи"" и др.
Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.
Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150).
Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:
1. Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;
2. К этой информации нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ.
Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование (ст.137, 138, c.310).
Особым видом ответственности за нарушение коммерческой тайны является лишение соответствующей аттестации, лицензии уполномоченным органом (см., например, ст.165 Таможенного кодекса РФ). Но привлечение к данному виду ответственности в целом не получило к настоящему времени широкое распространение.
Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.
Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
Можно сказать, что законодательные акты РФ не регламентируют в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.
Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальные сведения.
В целом же, в нашей стране не имеется нормативного правового акта, который устанавливал бы единый порядок учета, хранения и использования документов, содержащих конфиденциальную информацию. Это объясняется тем, что понятие "конфиденциальная информация" включает в себя самые разные категории информации ограниченного доступа. По этой же причине крайне сложной и вряд ли целесообразной представляется разработка какого-либо единого нормативного документа, регламентирующего работу с документами, содержащими все виды конфиденциальной информации.
Как отмечают аналитики, наша законодательная база явно не полна.
Подводя итог можно наметить следующие основные направления деятельности на законодательном уровне:
1. Разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
2. Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
3. Интеграция в мировое правовое пространство;
4. Учет современного состояния информационных технологий.
В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.
Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информацией.
Никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование. Многие специалисты по защите информации считают, что при правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80%, без применения каких-либо дополнительных методов и средств защиты.
Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко.
Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей.
Регламентация доступа - установление правил, определяющих порядок доступа.
Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа.
Информационная безопасность организации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и преступного использования информации, составляющей какую-либо конфиденциальную, коммерческую тайну. Задачи обеспечения информационной безопасности реализуются комплексной системой защиты информации, которая предназначена для решения множества проблем, возникающих в процессе работы с информацией, в том числе и финансовой.
Надо, чтобы обязанности сотрудников по обращению с информацией различного рода были четко прописаны в соответствующих инструкциях (которые сами должны носить гриф "для ограниченного доступа").
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.
Режим конфиденциальности проводимых фирмой работ представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем, виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд, в пограничную зону, на посещение воинской части.
Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.
Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.
Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.
Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.
В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.
Доступ - практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных.
Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу "чем выше уровень доступа, тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее число сотрудников может их знать".
Формы письменной индивидуальной регламентации разрешения на доступ - резолюции, перечни, списки, матрицы и т.п. В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.
Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.
Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальная информация по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.
При составлении конфиденциальных документов следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.
Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе зашиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.
Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.
Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет приема на работу уволенного из фирмы сотрудника.
В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.
Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.
Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.
Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы. Ответственные исполнители работ (направлений деятельности) имеют право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.
Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.
Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы Он несет за это единоличную ответственность. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде, резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п. Без дополнительного разрешения допускаются к документам их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциального делопроизводства обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.
Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу в помещении фирмы.
Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.
При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:
- доступ к ПК, серверу или рабочей станции;
- доступ к машинным носителям информации, хранящимся вне ЭВМ.
Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:
- определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи,
- регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.),
-организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы, указанных технических средств в рабочее время,
- организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них,
- организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений,
- организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.
Любое несанкционированное или санкционированное обращение к информации должно регистрироваться. Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутвержденных или необычных программ. Применение персоналом собственных защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматический стираться
Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести "уборку мусора").
Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:
- организацию учета и выдачи сотрудникам чистых машинных носителей информации,
-организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных),
-определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе конфиденциального делопроизводства учтенные машинные носители информации;
-организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;
-организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя,
-организацию хранения машинных носителей в службе конфиденциального делопроизводства в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях,
-определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу конфиденциального делопроизводства в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.
Работа сотрудников службы конфиденциального делопроизводства и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальным документооборотом.
Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете, он может просто унести компьютер или вынуть из него и унести жесткий диск, не "взламывая" базу данных.
Обычно доступ к базам данных и файлам подразумевает:
1. определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;
2. наименование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;
3. учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;
4. регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;
5. регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;
6. установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;
7. отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации, механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором Применение пользователем собственных кодов не допускается.
Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.
Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:
- наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;
- наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их зашиты,
- соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;
- знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы,
- наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;
- наличие систем контроля за работой сотрудника.
Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, те руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.
Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов. Так, входной документопоток включает в себя следующие стадии обработки конфиденциальных сведений:
1. Прием, учет и первичная обработка поступивших пакетов, конвертов, незаконвертованных документов;
2. Учет поступивших документов и формирование справочно-информационного банка данных по документам;
3. Предварительное рассмотрение и распределение поступивших документов;
4. Рассмотрение документов руководителям! и передача документов на исполнение;
5. Ознакомление с документами исполните лей, использование или исполнение документов.
Выходной и внутренний документопотоки включают в себя следующие стадии обработки конфиденциальных документов:
1. Исполнение документов (этапы: определение уровня грифа конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подготовленного документа, его изготовление и издание);
2. Контроль исполнения документов;
3. Обработка изданных документов (экспедиционная обработка документов и отправка их адресатам; передача изданных внутренних документов на исполнение);
4. Систематизация исполненных документов в соответствии с номенклатурой дел, оформление, формирование и закрытие дел;
5. Подготовка и передача дел в ведомственный архив (архив фирмы).
В состав всех документопотоков включается также ряд дополнительных стадий обработки конфиденциальных документов:
1. Инвентарный учет документов, дел и носителей информации, не включаемых в номенклатуру дел;
2. Проверка наличия документов, дел и носителей информации;
3. Копирование и тиражирование документов;
4. Уничтожение документов, дел и носителей информации.
Стадии, составляющие тот или иной документопоток, реализуются специализированной технологической системой обработки и хранения конфиденциальных документов.
Под технологической системой обработки и хранения конфиденциальных документов понимается упорядоченный комплекс организационных и технологических процедур и операций, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока. Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управленческие и производственные процессы. Одновременно технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.
В отличие от открытых документов к обработке конфиденциальных документов предъявляются следующие серьезные требования, которые в определенной степени гарантируют решение указанных задач:
1. Централизации всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;
2. Учета всей без исключения конфиденциальной информации;
3. Операционного учета технологических действий, производимых с традиционным (бумажным) или электронным носителем (в том числе чистым) и документом, учет каждого факта "жизненного цикла" документа;
4. Обязательного контроля правильности выполнения учетных операций;
5. Учета и обеспечения сохранности не только документов, но и учетных форм;
6. Ознакомления или работы с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений персонала к документу;
7. Обязательной росписи руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;
8. Выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;
9. Систематических (периодических и разовых) проверок наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;
10. Коллегиальности процедуры уничтожения документов, дел и баз данных;
11. Письменного санкционирования полномочным руководителем процедур копирования и тиражирования бумажных и электронных конфиденциальных документов, контроль технологии выполнения этих процедур. Технологическая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.
Технологические системы обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными. Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является наиболее универсальной. Она надежно, долговременно обеспечивает защиту документированной информации, как в обычных, так и экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реализуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не автоматизированной. Система одинаково эффективно оперирует как традиционными (бумажными), так и документами машиночитаемыми, факсимильными и электронными.
Традиционная технологическая система обработки и хранения конфиденциальных документов лежит в основе широко известного понятия "делопроизводство" или "документационное обеспечение управления" (в его узком, но часто встречающемся в научной литературе понимании как синонима делопроизводства). С другой стороны, делопроизводство часто рассматривается в качестве организационно-правового и технологического инструмента построения ДОУ. Автоматизированная технология (как и традиционная, делопроизводственная) является обеспечивающей и обслуживает конкретные потребности персонала в конфиденциальной информации. Автоматизированная система, обслуживающая работу с конфиденциальными документами, должна в принципе обеспечивать:
1. Сокращение значительного объема рутинной работы с документами и числа технических операций, выполняемых ручными методами;
2. Реализацию возможности для персонала организации (фирмы) работать с электронными документами в режиме безбумажного документооборота;
3. Достаточную гарантию сохранности и целостности информации, регулярного контроля и противодействия попыткам несанкционированного входа в банк данных;
4. Аналитическую работу по определению степени защищенности информации и поиску возможных каналов ее утраты;
5. Единство технологического процесса с режимными требованиями к защите информации (допуск, доступ, регламентация коллегиальности выполнения некоторых процедур, операций и т.п.);
6. Персональную ответственность за сохранность конфиденциальных сведений в машинных массивах и на магнитных носителях вне ЭВМ;
7. Возможность постоянного учета местонахождения традиционного или электронного документа и проверки его наличия и целостности в любое время;
8. Предотвращение перехвата информации из ЭВМ по техническим каналам, наличие надежной охраны помещений, в которых находится вычислительная техника, охрана компьютеров и линий компьютерной связи;
9. Исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки конфиденциальных документов с сетями, обеспечивающими работу с открытой информацией, исключение использования их линий связи, выходящих за пределы охраняемой зоны (здания, территории).
В соответствии с этим автоматизированная технологическая система обработки и хранения по сравнению с аналогичными системами, оперирующими общедоступной информацией имеет ряд серьезных принципиальных особенностей:
1. Архитектурно локальная сеть базируется на главном компьютере (сервере) находящемся у ответственного за КИ; автоматизированные рабочие места, рабочие станции сотрудников могу быть увязаны в локальную сеть только по вертикали;
2. В некрупных фирмах конфиденциальная информация обрабатывается секретарем-референтом на единичном защищенном компьютере, не имеющем выхода в какую-либо локальную сеть;
3. Обязательное наличие иерархической и утвержденной первым руководителем организации (фирмы) системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа всех категорий персонала;
4. Закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных носителей; исключение возможности для пользователя "покопаться" в базе данных системы;
5. Автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения документов, работы с электронными документами, факсами и электронными аналогами бумажных документов;
6. Сохранение информационной базы учетной функции (в правовом понимании, а также как элемента формирования страхового массива информации) и функции персональной ответственности за традиционной технологической системой с использованием учетных карточек и иных форм (описей), изготовляемых не вручную, а автоматически - на принтере ПЭВМ; автоматическая допечатка в указанные формы изменений и дополнений при движении документов;
7. Обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в машинных массивах, постоянная проверка реального наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкционированных копий;
8. Необходимость исключения технической возможности копирования информации, содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носители и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);
9. Жесткое соблюдение персоналом правил работы с конфиденциальной электронной информацией, в частности, правила, что все операции с информацией в компьютере должны быть письменно санкционированы полномочным должностным лицом и протоколироваться в машинном журнале; протоколы подлежат регулярному контролю и анализу руководством организации (фирмы);
10. Изъятие конфиденциальной информации из базы данных компьютера (рабочей станции) по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах в работе и т.п.) и перенос информации на дискеты, подлежащие сдаче в службу конфиденциальной документации.
Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов разрешается только при наличии сертифицированной системы защиты компьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы данных, компьютеров и линий связи. Помещения, в которых конфиденциальная информация обрабатывается на ПК, должны иметь защиту от технических средств, промышленного шпионажа, надежную круглосуточную охрану и пропускной режим. Кроме того, следует учитывать, что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержащих конфиденциальные сведения: традиционный бумажный документ, разнообразные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и визуальная информация на экране дисплея. Недостатком обработки информации на ПК, является также необходимость постоянного дублирования информации на нескольких носителях, с целью исключения опасности ее утраты или искажения по техническими причинам. Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копирования и подмены. Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.
Таким образом, в настоящее время наиболее широко используют смешанную технологическую систему обработки и хранения конфиденциальных документов, совмещающую традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изготовления документов и учетных форм, контроль исполнения, сервисные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатываемых сведений о документах и самих документов автоматизированные системы делопроизводственной ориентации имеют в большинстве случаев информационно-справочный характер.
Недостаток смешанной технологии состоит в неполном использовании преимуществ и функциональных возможностей компьютерной технологии, что порождает сохранение рутинных делопроизводственных операций и не совершенствует документооборот.
Операции по обработке и хранению конфиденциальных документов организации (фирмы) должны базироваться на устоявшихся основополагающих принципах, предполагающих использование специализированных методов защиты документопотоков и применения автономной эффективной технологической системы обработки и хранения документов. Только в этом случае можно в определенной степени гарантировать сохранность носителя и самой конфиденциальной информации, обеспечить безопасность интеллектуальной собственности организации (фирмы).
В Самаре страховая компания Альянс РОСНО жизнь создана в 2003 году, и в сентябре 2004 года объявила о старте продаж. Основными направлениями деятельности Альянс РОСНО жизнь являются долгосрочное страхование жизни и пенсионное страхование. В распоряжении клиентов компании около 50 видов страховых продуктов. Уставный капитал составляет 240 000 тыс. руб., страховые резервы — 9 411 150 тыс. руб. (по состоянию на 31.12.2013). Компания находится по адресу г. Самара, ул. Куйбышева, 76.
Заключение.
На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества.
Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.
Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.
В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих секретов может привести к снижению доходов предприятия или его банкротству.
В процессе работы над поставленными задачами были сделаны следующие выводы: под документами, отнесёнными законом к категории конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной, или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность. Такая информация в законодательстве именуется конфиденциальной.
Эта информация отражает приоритетные достижения в сфере экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам её собственнику (в том числе фирме, предприятию).
Документы ограниченного доступа делятся на "несекретные" и "секретные". Обязательным признаком секретного документа является наличие в нём сведений, отнесённых законодательством к государственной тайне.
Несекретные документы ограниченного доступа входят в перечень сведений конфиденциального характера, утверждённый Указом Президента РФ от 6 марта 1997 года № 188.
Под конфиденциальным документом, т.е. документом, к которому ограничен доступ персонала, понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые не относятся к государственной тайне и составляют интеллектуальную собственность юридического и физического лица.
Коммерческая тайна - научно-техническая, коммерческая, организационная или иная другая используемая в предпринимательской деятельности информация, которая обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным путём другими липами, которые могли бы получить экономическую выгоду от её разглашения или использования.
Угроза безопасности информации предполагает незаконный доступ конкурента к конфиденциальной информации и использования её конкретности для нанесения вреда предприятию.
Необходимо знать, что в отличие от открытых документов, процесс исполнения конфиденциальных документов представляет собой достаточно насыщенную различными технологическими этапами и процедурами технологию.
Специалисты выделяют следующие основные направления деятельности на законодательном уровне:
1. Разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
2. Обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;
3. Интеграция в мировое правовое пространство;
4. Учет современного состояния информационных технологий (51, с.8).
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты.
Обобщая все вышесказанное, можно сделать вывод, что система защиты информации представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих незаконному доступу к информации.
Руководитель фирмы лично определяет не только состав ценной информации, но и соответствующие способы и средства защиты, а также меры ответственности персонала за разглашение коммерческой тайны фирмы и комплекс поощрений за соблюдение порядка защиты конфиденциальной информации.
Система защиты должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специфике фирмы по структуре используемых методов и средств защиты, она не должна создавать сотрудникам фирмы неудобства в работе.
Комплексность системы защиты достигается формированием ее из различных элементов: правовых, организационных, технических и программно-аппаратных.
Состав, взаимосвязь элементов системы определяют не только ее единичность, но и конкретно заданный уровень защиты, и стоимость этой системы.
Следовательно, используемая фирмой система защиты ценной, конфиденциальной информации является индивидуализированной совокупностью необходимых элементов защиты, каждый из которых в отдельности решает свои специфические для данной формы задачи и обладает конкретизированным содержанием этих задач. В комплексе эти элементы формируют многоуровневую защиту конфиденциальной информации предприятия, при условии неукоснительного соблюдения всех мер и условий, поставленных данной системой.
При решении задач по защите информационных ресурсов компании необходимо разработать политику информационной безопасности предприятия - это основополагающий документ, регламентирующий все мероприятия, реализуемые на предприятии с целью обеспечения компьютерной безопасности. Политика информационной безопасности - это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.
Вместе с тем отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не удается, должны быть выделены "слабые" места защиты и выработаны соответствующие организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.
Обобщая все сказанное, отметим, что система технической защиты информации является ключевым звеном политики информационной безопасности, поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем случае является взаимосвязанной интеграционной процедурой, состоящей из выполнения рассмотренных выше шагов.
Система защиты компьютерной информации от несанкционированного доступа может рассматриваться в двух приложениях:
1. Защита автономного компьютера;
2. Защита компьютера в составе сети (ЛВС).
Очевидно, что задача защиты компьютера как самостоятельного объекта, предназначенного для хранения и обработки информации, должна решаться в обоих случаях.
При разработке и проектировании системы защиты информационных ресурсов от несанкционированного доступа, при использовании на предприятии как отдельных компьютеров, так и локальной вычислительной сети необходимо учитывать множество факторов, которые в совокупности дадут желаемый эффект защищенности. В первую очередь, на предприятии необходимо тщательно разработать политику информационной безопасности предприятия, которая в полной мере отразит необходимые требования по защите конфиденциальной информации. Во - вторых, следует разработать комплексный подход в проектировании систем защиты.
Каждая компонента системы защиты должна быть рассчитана на защиту определенного набора возможных каналов несанкционированного доступа. Контролируемыми объектами могут служить не только замкнутость корпусов защищаемых объектов, но и другие компоненты объектовой защиты - двери в помещение, сейфы и др., отсюда следует необходимость комплексирования в единой системе защиты (с единым выделенным сервером безопасности) средств технической, внутрисетевой и объектовой защиты.
Таким образом, в работе исследованы и проанализированы современные требования к организации защиты конфиденциальной информации, рассмотрены критерии и технологии построения и использования систем защиты информационных ресурсов предприятия, на основе анализа теоретического материала и рекомендаций ведущих специалистов в области защиты конфиденциальной информации.
Список использованной литературы.
Нормативно – правовые акты
1. Конституция Российской Федерации от 12.12.1993 г.
2. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 г. № 51-ФЗ.
3. Кодекс Российской Федерации "Об административных правонарушениях" от 30.12.2001 г. № 195-ФЗ.
4. Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ.
5. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006г. № 230-ФЗ.
6. Федеральный закон от 27.12.1991 г. № 2124-1 "О средствах массовой информации".
7. Закон Российской Федерации от 05.03.1992 г. № 2446-1 "О безопасности".
8. Федеральный закон от 21.07.1993 г. № 5485-1 "О государственной тайне".
9. Федеральный закон от 15.111997 г. № 143-ФЗ "Об актах гражданского состояния".
10. Федеральный закон от 10.01.2002 г. № 1-ФЗ "Об электронной цифровой подписи".
11. Федеральный закон от 22.10. 2004 г. № 125-ФЗ "Об архивном деле в Российской Федерации".
12. Федеральный закон от 29.07.2004 г. № 98-ФЗ "О коммерческой тайне".
13. Федеральный закон от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
14. Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных". 15. Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
16. Постановление Правительства Российской Федерации от 26.06.1995 г. № 608 "О сертификации средств защиты информации".
17. Указ Президента Российской Федерации от 06.031997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера".
18. Указ Президента Российской Федерации от 11.02.2006 г. № 90 "О перечне сведений, отнесенных к государственной тайне".
Литература
19. Алексенцев А.И. «Конфиденциальное делопроизводство». - М.: Топ-персонал, 2008.
20. Алексенцев А.И. «Организация и технология размножения конфиденциальных документов». 2003.
21. Аникин И.В., Глова В.И., Нигматуллина А.Н. «Методы и средства защиты компьютерной информации», учебное пособие 2008.
22. Амелин Р. В. «Информационная безопасность» М.: Юрист, 2010.
23. Богдановская И.Ю. «Право на доступ к информации. Доступ к открытой информации» М.: ЗАО "Юстицинформ" 2009.
24. Беликов П.А. «Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных», труды IX Международной научно-технической конференции "Новые информационные технологии и системы". 2010.
25. Гришачев В. В. «Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС», специальная техника 2009.
26. Дутов В. «Предотвращение утечек информации, управление рисками организации» 2010.
27. Иванов Д.В. «Источники правового регулирования конфиденциальной информации как условия трудового договора», трудовое право. 2011.
28. Козлов В.В. «Сохранение коммерческой тайны в организации», управление персоналом. 2009.
29. Лопатин В.Н. «Правовая охрана и защита права на тайну», юридический мир. 2003.
30. Степанов Е.А. «Информационная безопасность и защита информации», учебное пособие М.: Инфра-М. 2010.
31. Кодекс корпоративного управления ОАО СК «РОСНО».