Защищать конфиденциальную информацию. Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Образовательная энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

• программно-аппаратные средства
• защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Коммерческая тайна. Служебная тайна. Профессиональные тайны. Персональные данные.

Основные термины и понятия:

Коммерческая (служебная) тайна

Персональные данные

Профессиональная тайна

С развитием информационного общества проблемы, связанные с защитой конфиденциальной информации, приобретают всё большее значение. В настоящее время в российском законодательстве данные вопросы полно и системно не решены. Развернутая классификация конфиденциальной информации, как уже говорилось выше, приводится в перечне сведений конфиденциального характера, установленном Указом Президента РФ от 6 марта 1997 г. № 188. Далее мы рассмотрим более подробно некоторые виды конфиденциальной информации.

Коммерческая тайна

Коммерческая деятельность организации тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразной информации. Защите подлежит не вся информация, а только та, которая представляет ценность для организации. При определении ценности коммерческой информации необходимо руководствоваться такими её свойствами, как полезность, своевременность и достоверность.

Полезность информации состоит в том, что она создает субъекту выгодные условия для принятия оперативного решения и получения эффективного результата. В свою очередь полезность информации зависит от своевременного её получения и доведения до исполнителя. Из-за несвоевременного поступления важных по своему содержанию сведений часто упускается возможность заключить выгодную торговую или иную сделку.

Критерии полезности и своевременности тесно взаимосвязаны и взаимозависимы с критерием достоверности информации. Причины возникновения недостоверных сведений различны: неправильное восприятие (в силу заблуждения, недостаточного опыта или профессиональных знаний) фактов или умышленное, предпринятое с определенной целью, их искажение. Поэтому, как правило, сведения, представляющие коммерческий интерес, а также источник их поступления должны подвергаться перепроверке.

Собственник коммерческой информации на основании совокупности перечисленных критериев определяет её ценность для своей хозяйственной деятельности и принимает соответствующее оперативное решение.

В зарубежной экономической литературе коммерческая информация рассматривается не в качестве средства извлечения прибыли, а, прежде всего, как условие, способствующее или препятствующее получению прибыли. Особо подчеркивается наличие стоимостного фактора коммерческой информации, т.е. возможность выступать в качестве предмета купли-продажи. Поэтому важное значение в условиях развития многообразных форм собственности имеет вопрос об определении принадлежности информации на правах интеллектуальной собственности конкретному субъекту предпринимательства, а в итоге - о наличии у него прав на её защиту.

Определение и вопросы гражданско-правовой защиты служебной и коммерческой тайны в российском законодательстве не различаются и рассмотрены в ст. 139 части первой ГК РФ, называющейся «Служебная и коммерческая тайна»:

«Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране её конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».

Обеспечение защиты государственной тайны не имеет прямого отношения к защите коммерческой тайны. Однако следует указать на некоторые возможные исключения. Под защиту государства может быть взята коммерческая информация, оцененная как особо важная не только для её собственника, но и для государства, когда не исключено, что к ней может проявить интерес иностранная спецслужба. Вопрос о подобной защите должен решаться на договорной основе между предпринимателем и органом федеральной безопасности с обозначением пределов и функций профессиональной деятельности последних. Что касается собственно коммерческой тайны, то она специальной уголовно-правовой и режимной защитой не обладает.

Действительная или потенциальная коммерческая ценность информации во многом носит субъективный характер и позволяет предпринимателю ограничивать доступ к практически любым сведениям, используемым в предпринимательской деятельности, за исключением сведений, определяемых нормативно-правовым и актами.

Какие сведения не могут составлять коммерческую тайну? В постановлении Правительства РСФСР от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» обозначены:

Учредительные документы (решение о создании предприятия или договор учредителей) и Устав;

Документы, дающие право заниматься предпринимательской (деятельностью (регистрационные удостоверения, лицензии, патенты);

Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РСФСР;

Документы о платежеспособности;

Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

Документы об уплате налогов и обязательных платежах;

Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РСФСР и размерах причиненного при этом ущерба;

Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Этим же нормативным актом запрещено государственным и муниципальным предприятиям до и в процессе их приватизации относить к коммерческой тайне данные:

О размерах имущества предприятия и его денежных средствах;

О вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;

О кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства РСФСР и заключенных им договоров;

О договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.

Следует отметить, что ограничения, вводимые на использование сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при формировании трудовой деятельности организации, персонала подразделений, а также при их сотрудничестве с работниками других организаций.

Целью таких ограничений является предотвращение разглашения, утечки или несанкционированного доступа к конфиденциальной информации. Ограничения должны быть целесообразными и обоснованными с точки зрения необходимости обеспечения информационной безопасности. Не допускается использование ограничений для сокрытия ошибок и некомпетентности руководства организации, расточительства, недобросовестной конкуренции и других негативных явлений в деятельности организации, а также для уклонения от выполнения договорных обязательств и уплаты налогов.

Служебная тайна

Если основной целью обеспечения конфиденциальности информации, составляющей коммерческую тайну, является обеспечение конкурентного превосходства, то защита конфиденциальности служебной тайны, хотя и может затрагивать коммерческие интересы организации, но главной задачей имеет обеспечение интересов клиентов либо собственных интересов, непосредственно не связанных с коммерческой деятельностью. Так, к служебной, а не к коммерческой, тайне следует отнести сведения, касающиеся мер по обеспечению безопасности сотрудников организации, охране складских и иных помещений и др., прямо не связанные с осуществлением предметной деятельности.

В настоящее время институт служебной тайны в отечественном праве является наименее разработанным. В этой проблеме можно выделить три ряда вопросов.

Во-первых, на законодательном уровне требуют урегулирования вопросы «пограничных» и «производных» сведений. «Пограничные» сведения - это такая служебная информация в любой отрасли науки, техники, производства и управления, которая при определенном обобщении и интеграции становится государственной тайной. «Производные» сведения - служебная информация, полученная в результате дробления сведений, составляющих государственную тайну, на отдельные компоненты, каждый из которых не может быть к ней отнесен.

Во-вторых, особого правового регулирования требует защита сведений, образующихся в деятельности органов государственной власти и управления. Для формирования административно-правового института служебной тайны следует принять специальный закон, действие которого должно распространяться на все уровни системы государственного управления.

В-третьих, требует защиты определенная категория значимых сведений субъектов гражданско-правовых отношений. Здесь имеется в виду правовая защита сведений, которые в деятельности организаций не могут быть отнесены к коммерческой тайне, несмотря на то, что в ГК РФ понятие служебной тайны напрямую связано с действительной или потенциальной коммерческой ценностью информации.

Следует заметить, что в настоящее время практикуется упрощенный подход: любые сведения о предпринимательской деятельности организации, доступ к которым ограничен, относят к коммерческой тайне. Однако при таком подходе могут возникнуть трудности определения материального ущерба и упущенной выгоды при неправомерном распространении конфиденциальной информации, например сведений о режиме охраны организации или других аспектах её функционирования, напрямую не связанных с осуществлением предметной деятельности. Вместе с тем указанные сведения необходимо защищать, т.к. от ограничения доступа к ним в значительной степени зависит коммерческий успех организации.

Профессиональные тайны

В соответствии с действующим законодательством к профессиональной тайне относится информация, связанная со служебной деятельностью медицинских работников, нотариусов, адвокатов, частных детективов, священнослужителей, работников банков, загсов, учреждений страхования. В качестве субъекта профессиональной тайны может выступать как юридическое, так и физическое лицо.

Сохранение в тайне сведений, полученных в связи с выполнением профессиональных функций, вызвано в первую очередь нормами профессиональной этики, а не собственными коммерческими интересами предпринимателя или организации. Соответствующий правовой статус рассматриваемым нормам придает их законодательное закрепление.

1) банковская тайна . Понятие банковской тайны, в соответствии со ст. 857 ГК РФ, охватывает сведения о банковском счёте, вкладе, операциях по счёту, а также сведения о клиентах банка.

Банковская тайна защищает конфиденциальную информацию клиента или коммерческую информацию корреспондента.

ФЗ «О банках и банковской деятельности» определяет обязанности субъектов, категории информации и основания, по которым сведения предоставляются заинтересованным органам государственной власти, организациям и лицам. Кредитная организация, Банк России гарантируют тайну об операциях, о счётах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счётах и вкладах её клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Банк России не вправе разглашать сведения о счётах, вкладах, а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных федеральными законами.

Таким образом, кредитная организация вправе относить к банковской тайне любые сведения, за исключением прямо указанных в Законе.

2) нотариальная тайна . Тайна является специфическим правилом нотариальных действий. В соответствии со ст. 5 Основ законодательства РФ о нотариате нотариусу при исполнении служебных обязанностей, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий или увольнения, за исключением случаев, предусмотренных Основами. Обязанность хранить профессиональную тайну включена в текст присяги нотариуса.

3) процессуальные тайны обычноделят на два вида: следственную тайну и тайну совещания судей.

Следственная тайна связана с интересами законного производства предварительного расследования по уголовным делам (ст. 310 УК РФ «Разглашение данных предварительного расследования»). Сведения о ходе предварительного расследования могут быть преданы гласности только с разрешения прокурора, следователя или лица, производящего дознание. Такая информация может касаться как характера производимых следственных действий, так и доказательственной базы, перспектив расследования, круга лиц, участвующих в расследовании. Важно отметить, что законодательно не закреплен перечень сведений, составляющих следственную тайну. Это означает, что прокурор, следователь или лицо, производящее дознание, могут по своему усмотрению устанавливать, какая информация о предварительном расследовании может быть специально охраняемой, а какая - нет.

Тайна совещания судей . Для всех четырех видов существующих в отечественном судопроизводстве процессов предусмотрена определенная процедура обеспечения независимости и объективности вынесения решения по делу. Эта процедура имеет одной из целей запрет на разглашение информации о дискуссиях, суждениях, результатах голосования, которые имели место во время совещания судей. Обеспечение тайны совещания судей устанавливается ст. 193 Гражданским Процессуальным Кодексом (ГПК) РФ, ст. 70 Федерального конституционного закона «О Конституционном суде Российской Федерации», ст. 124 Арбитражного процессуального кодекса Российской Федерации.

4) врачебная тайна . Согласно ст. 61 Основ законодательства РФ об охране здоровья граждан информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.

5) адвокатская тайна . В соответствии с ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» адвокат, помощник адвоката и стажер адвоката не вправе разглашать сведения, сообщенные доверителем в связи с оказанием ему юридической помощи. Причем доверительные сведения, полученные адвокатом, могут быть как в виде документов, так и в устном виде. Законом установлены гарантии независимости адвоката. В частности, адвокат не может быть допрошен в качестве свидетеля об обстоятельствах, которые стали ему известны в связи с исполнением им обязанностей защитника или представителя (ст. 15 Закона).

6) тайна страхования . Институт страховой тайны во многих отношениях схож с институтом банковской тайны. Тайну страхования, в соответствии со ст. 946 ГК РФ, составляют полученные страховщиком в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными ст. 139 или ст. 150 ГК РФ.

Согласно ст. 8 Закона РФ «Об организации страхового дела в Российской Федерации» в качестве лица, обязанного сохранять тайну страхования, могут выступать как юридические, так и физические лица - страховые агенты и страховые брокеры. Кроме того, в соответствии со ст. 33 указанного Закона должностные лица федерального органа исполнительной власти по надзору за страховой деятельностью не вправе использовать в корыстных целях и разглашать в какой-либо форме сведения, составляющие коммерческую тайну страховщика.

7) тайна связи. ФЗ «О связи» в части защиты информации регулирует общественные отношения, связанные с обеспечением невозможности противоправного ознакомления с сообщениями, передаваемыми любыми субъектами - физическими или юридическими лицами - по средствам связи. При такой постановке вопроса тайна связи становится инструментом обеспечения сохранности конфиденциальной информации.

Тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией РФ. Обязанность обеспечения соблюдения тайны связи возлагается на оператора связи, под которым понимается физическое или юридическое лицо, имеющее право на предоставление услуг электрической или почтовой связи. Также операторы связи обязаны соблюдать конфиденциальность сведений об абонентах и оказываемых им услугах связи, ставших известными операторам в силу выполнения профессиональных обязанностей.

8) тайна усыновления . Институт тайны усыновления связан с интересами охраны семейной жизни и выражается в установлении гражданской и уголовной ответственности за разглашение тайны усыновления (удочерения). Согласно ст. 155 УК РФ тайна усыновления может быть двух разновидностей. Первой обладают лица, которые обязаны хранить факт усыновления как служебную или профессиональную тайну (судьи, работники местных администраций, органов опеки и попечительства и прочие лица, указанные в ч. 1 ст. 139 СК РФ). Второй - все другие лица, если установлены их корыстные или иные низменные побуждения при разглашении тайны усыновления без согласия обоих усыновителей.

9) тайна исповеди . Обеспечение тайны исповеди является внутренним делом священника; юридической ответственности за её разглашение он не несет. Согласно ч. 2 ст. 51 Конституции РФ и ч. 7 ст. 3 ФЗ «О свободе совести и религиозных объединениях» священнослужитель не может быть привлечен к ответственности за отказ от дачи показаний по обстоятельствам, которые стали ему известны из исповеди.

В опросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

• коммерческая тайна;
• производственная документация секретного характера;
• ноу-хау компании;
• клиентская база;
• персональные данные сотрудников;
• другие данные, которые компания считает нужным защитить от утечки.

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

• определение перечня активов, подлежащих защите;
• разработка документации, регламентирующей и ограничивающей доступ к данным компании;
• определение круга лиц, которым будет доступна КИ;
• определение процедур реагирования;
• оценка рисков;
• внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

• при каких условиях информация относится к служебной, коммерческой, другой тайне;
• обязательность соблюдения условий конфиденциальности;
• ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита - это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди - основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. (Data Loss Prevention) - это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

• USB-разъемы;
• локально функционирующие и подключенные к сети принтеры;
• внешние диски;
• сеть Интернет;
• почтовые сервисы;
• аккаунты и др.

Основное предназначение DLP-системы - контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы - это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

• частных сведений;
• интеллектуальной собственности;
• финансовых данных;
• медицинской информации;
• данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример - неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.

• - коммерческая;
• - служебная;
• - личная (персональная) за исключением государственных секретов (статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”).

Легальные признаки конфиденциальной информации - документированность, ограничение доступа к информации в соответствии с законодательством и отсутствие свободного доступа к ней на законном основании.

«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересах обладателя информации». Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.

К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91 г. № 35.

В России законодательство в сфере охраны прав на конфиденциальную коммерческую информацию только начинает формироваться. Новым в регулировании отношений в данной сфере стало принятие Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

Общее впечатление, которое остается после знакомства с текстом Закона, можно определить как противоречивое. С одной стороны, появился единый нормативный акт, детально определяющий режим и порядок защиты сведений, которые составляют коммерческую тайну. С другой стороны, Закон далеко не безупречен. При его создании законодателем были введены нормы, на взгляд исследователей, затрудняющие защиту коммерческой тайны и восстановление нарушенного права.

Закон не исключает применения общих норм о коммерческой тайне, предусмотренных ст. 139 ГК РФ, а в качестве источников называет ГК РФ и другие федеральные законы. Таким образом, Закон дополняет сложившуюся нормативную базу и лишь частично ее заменяет.

Однако уже при прочтении определения коммерческой тайны мы видим терминологические нестыковки Закона с ГК РФ. Закон определяет понятие коммерческой тайны через свойство информации: коммерческая тайна - это "конфиденциальность информации" (п. 1 ст. 3 Закона) (англ. confidence - секретность). ГК РФ рассматривает коммерческую тайну в первую очередь как разновидность информации, имеющей "коммерческую ценность в силу ее неизвестности третьим лицам", в отношении которой применяются меры по охране ее конфиденциальности (ст. 139 ГК РФ). При всей незначительности на первый взгляд несовпадения понятий мы получили два разных, конкурирующих по своей юридической силе определения.

Закон различает форму, в которой существует ценная информация, и содержание самой информации. К ней относится "научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау)" (п. 2 ст. 3 Закона.

Список видов информации, которая может иметь коммерческую ценность, открыт.

Закон по-прежнему наделяет собственника (владельца) информации правом самостоятельно определять ее ценность.

Определение коммерческой тайны, содержащееся в Законе, отражает характер самого Закона. Основной акцент в нем сделан на процедурах охраны коммерческой информации. Согласно Закону именно они позволяют обеспечить необходимый минимум условий для защиты нарушенного права в суде, а также проводят разграничение между законным и незаконным доступом как элементом состава правонарушения.

В связи с этим сложно понять определение обладателя информации, составляющей коммерческую тайну, данное в Законе. В соответствии с п. 4 ст. 3 Закона это лицо, которое владеет такой информацией "на законном основании". Таким образом, доказывая факт нарушения права, придется устанавливать законность владения им. Документально подтвердить права на коммерческую тайну можно, если они, например, подлежат государственной регистрации (патенты, свидетельства). В таком случае интересы собственника защищаются патентным, авторским правом. Если коммерческую тайну составляют договоренности, зафиксированные на аудио-носителе, или это незапатентованные идеи, доказать первичность и законность обладания такой информацией будет довольно сложно.

Очевидно, что нужно будет подтвердить объективную связь информации с ее владельцем. Например, информация об организации-владельце, ее сделках и т. п. должна содержать указание на организацию-владельца и быть защищена специальными ссылками на носителе о конфиденциальности, как это предусмотрено в п. 5 ч. 1 ст. 10 Закона.

В Законе говорится о передаче информации только на материальном носителе (п. 6 ст. 3 Закона) и на условиях специального договора. В этой части Закон ограничивает объем охраняемых в режиме тайны сведений по сравнению с определением, данным в ГК РФ, в ст. 139 которого не упоминаются материальные носители, а речь идет об охране конфиденциальной информации.

Следовательно, руководствуясь Законом, из правовой охраны исключены случаи, например, разглашения информации, не зафиксированной на материальных носителях. В частности, это могут быть сведения о каких-либо решениях, принятых организацией по продвижению своего продукта, и подобная информация.

С одной стороны, такой подход упрощает процесс доказывания, с другой - ограничивает возможности защиты интересов собственника информации.

Закон впервые вводит определение понятия "режим коммерческой тайны". При рассмотрении правовых оснований для защиты коммерческой тайны режиму коммерческой тайны следует уделить особой внимание. Его несоблюдение влечет утрату возможности защитить нарушенное право на коммерческую тайну (ч. 1 ст. 7 и ч. 2 ст. 10 Закона).

Система условий, составляющих режим коммерческой тайны, весьма объемна и требует значительных затрат со стороны владельца или получателя коммерческой тайны.

В частности, ч. 1 ст. 10 Закона предусматривает:

• - определение перечня информации, составляющей коммерческую тайну;
• - ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
• - учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
• - регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
• - нанесение на материальные носители (документы), которые содержат информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и местонахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Владелец коммерческой тайны должен установить определенный порядок оборота конфиденциальной информации, а также предусмотреть дополнительные штатные единицы для контроля над таким оборотом. Кроме того, нужно привести в соответствие или разработать вновь большой пакет внутренней нормативной документации.

Как минимум организации - владельцу коммерческой тайны необходимо:

• - разработать положения о коммерческой тайне и о документообороте всех носителей информации с грифом "Коммерческая тайна";
• - выпустить приказ по организации о допуске к коммерческой тайне;
• - предусмотреть в трудовом контракте дополнительные условия о добровольном обязательстве работника соблюдать режим коммерческой тайны.

Таким образом, с одной стороны, Закон расширил полномочия органов государства по контролю хозяйственной деятельности организаций. С другой стороны, процесс защиты прав владельцев информации существенно усложнился.

Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.

Необходимость системного правового регулирования института служебной тайны вызвана рядом причин, в том числе: отсутствие в законодательстве единого подхода к соответствующей категории информации ограниченного доступа; многочисленными примерами незаконного распространения (продажи) информации, аккумулируемой в органах государственной власти и относящейся либо к личности, либо к деятельности хозяйствующих субъектов; ограничениями на распространение информации, накладываемыми по своему усмотрению руководителями органов государственной власти и государственными (муниципальными) служащими на представление информации гражданам, общественным организациям, средствам массовой информации.

Уровень нормативного регулирования порядка обращения со служебной информацией ограниченного распространения, институт которой ныне можно воспринимать в качестве аналога служебной тайны социалистического периода, по целому ряду причин нельзя признать удовлетворительным. Единственный нормативный акт, регулирующий данную группу правоотношений - "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденное постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233 (ДСП). Данное Положение распространяется только на деятельность федеральных органов исполнительной власти, хотя аналогичные сведения образуются и поступают в любые органы государственной власти и органы местного самоуправления. Многие важные условия, определяющие порядок отнесения сведений к категории служебной информации, не установлены в Положении и даны на откуп руководителям федеральных органов исполнительной власти, что нельзя признать правильным, поскольку ведение ограничений на доступ к информации должно устанавливаться только федеральным законом. Таким образом, уровень правового регулирования явно недостаточный, к тому же на уровне постановления Правительства Российской Федерации выстроить долговременную и стабильную систему защиты сведений, имеющих продолжительный срок хранения, невозможно, тем более когда речь идет об установлении ряда норм гражданско-правового характера. Несмотря на практически полное отсутствие нормативного регулирования в сфере отнесения сведений к служебной тайне, их защиты и установления санкций за противоправное распространение такой информации, данная категория присутствует в большом количестве федеральных законов (около 40), в том числе: ФЗ "Об основах государственной службы Российской Федерации", ФКЗ "О Правительстве РФ", ФЗ "О службе в таможенных органах Российской Федерации", ФЗ "О Центральном Банке Российской Федерации (Банке России)", ФЗ "Об основах муниципальной службы Российской Федерации", ФЗ "О реструктуризации кредитных организаций", ФЗ "О рынке ценных бумаг" и др. При этом отсутствие четко определенного правового института служебной тайны обусловило разнообразие правовых подходов, получивших закрепление в законодательстве. Так, в ФЗ "О реструктуризации кредитных организаций" упоминается служебная тайна кредитной организации (ст. 41), в ФЗ "О мерах по защите экономических интересов Российской Федерации при осуществлении внешней торговли товарами" в органах исполнительной власти циркулирует "конфиденциальная информация" (ст. 18), в ФЗ "Об основах государственной службы Российской Федерации" и ряде других законов используется термин "служебная информация", в ФЗ "О таможенном тарифе" в таможенном органе циркулирует информация, составляющая коммерческую тайну и конфиденциальная информация (ст. 14). Федеральный закон №119-ФЗ от 20.08.2004 "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" предусматривает в ряду мер безопасности в отношении защищаемого лица обеспечение конфиденциальности сведений о нем.

Данные сведения по своему содержанию составляют служебную тайну и законодательное закрепление механизмов распоряжения этими сведения поможет реализации указанного Федерального закона. Эти примеры свидетельствуют о том, что не только терминология, но и содержание института защиты служебной информации не имеют в законодательстве однозначного отражения.

По-разному решается в законодательстве вопрос о структуре конфиденциальной информации и соотношении различных видов тайн. В этой связи особую озабоченность вызывает включение категории "служебная тайна" в нормы статьи 139 ГК РФ, где соответствующие сведения по системным признакам практически слиты с коммерческой тайной, хотя, следуя здравой правовой логике, данные системы ограничения в доступе к информации по своей природе должны быть различны. На электронных рынках страны и с помощью рассылки не запрошенных сообщений электронной почты (так называемый "спам") бесконтрольно распространяются CD, содержащие базы данных (БД) с информацией о персоналиях и организациях. Например, БД "Таможня", ГИБДД, БТИ (Бюро технической инвентаризации), "Прописка", "Внешнеэкономическая деятельность", ЕГРП (Единая государственная регистрация предприятий), "Собственники квартир", "Доходы физических лиц", "Картотека МВД" (судимости и др.), ОВИР (зарегистрированные паспорта), "БД "Министерство юстиции", "Сирена" (перевозки частных лиц железнодорожным транспортом России), БД о безналичных расчетах предприятий с поставщиками и потребителями и другие. Очевидно, что подобная информация не может попасть на рынок без участия государственных служащих.

В настоящее время законодателями подготовлен проект закона «О служебной тайне», регулирующего защиту таких сведений.

К личным (персональным) данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию). Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути.

Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.

Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ETS N 108 (28 января 1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Основным федеральным законом, защищающим конфиденциальность личных данных, является закон «О персональных данных», принятый 27 июля 2006 г.

В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется.

Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.

Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.

В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы:

Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т. е. работодатель фактически осуществляет сбор персональных данных работника;

Таможенный кодекс РФ от 28 мая 2003 г. N 61-ФЗ, регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;

Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;

Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.

Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002 г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993 г. N 5487-1, Законах РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне", от 28 марта 1998 г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст. 137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".

Как же защищать конфиденци­альные данные, как сделать работу центров обработки безопасной?

Как и везде, в вопросах построе­ния систем информационной без­опасности необходим комплексный, взвешенный, многоуровневый под­ход, поскольку осечка в одном во­просе способна свести на нет усилия во всех остальных направлениях.

Для того чтобы понять основные направления, на которые следует об­ращать внимание, рассмотрим глав­ные черты, характеризующие систе­мы хранения и обработки данных:

все основные массы информации накапливаются в структурирован­ных базах данных;

все компьютерные ресурсы обыч­но находятся в выделенных, хоро­шо охраняемых серверных комна­тах (так называемых ЦОД - Цент­рах обработки данных);

хранилища - это не просто мерт­вые склады информации, но и на­личие большого числа тесно свя­занных с ним прикладных и об­служивающих систем (например, программное обеспечение для ар­хивирования информации, управ­ления, системы обработки, систе­мы типа ETL (extraction, transfor­mation, loading), прикладные сис­темы, которые, собственно, и по­рождают исходные данные и т. д.);

средний размер хранилища состав­ляет 1 Терабайт и выше, что дикту­ет серьезное отношение к сетевой инфраструктуре и системам хране­ния и обработки информации.

Если не рассматривать физиче­скую безопасность и организацион­ные меры (организация центров об­работки требует серьезного подхода), то одним из первых вопросов ока­жется организация надежной и без­опасной телекоммуникационной ин­фраструктуры, включающей в себя как защиту периметра, так и внут­реннюю безопасность.

Центры обработки должны быть максимально закрыты от попыток проникновения снаружи. Все внеш­ние соединения должны включать шифрование трафика (SSH, IPSec, SSL и т. д.), которое также желатель­но во внутренней сети управления (ее целесообразно выделить из сети общей передачи данных на физичес­ком уровне или с помощью VLAN). Из-за проблем с производительнос­тью шифрование на уровне ядра се­ти обычно не используется.

Разные сетевые протоколы и сете­вые взаимодействия требуют своих уровней защиты:

защита транспортного уровня;

организация VLAN, Port Security и т. д.;

proxy-серверы на периметре, ана­лизирующие прикладной уровень взаимодействия;

системы предотвращения вторже­ний (Intrusion Detection/Prevention) идр;

уровень Fibre Channel: Fibre Chan­nel Authentication Protocol, Switch Link Authentication Protocol и т. д.;

уровень SAN: Virtual SAN, марки­ровка LUN и др.

8.4. Проблема инсайдеров

В последнее время часто обсуж­дается проблема утечек информа­ции и рассматриваются решения по контролю телекоммуникационного периметра и внешних устройств на компьютерах в связи с термином «инсайдер».

В этой области есть зарубежные и отечественные решения по конт­ролю внешних устройств (типа USB, DVD-RW, Bluetooth). Такие продукты предлагают SecureWave (Sanctu­ary Device Control), Safend, Control Guard, SecurIT и другие компании. Есть большая группа средств сете­вого контроля и защиты перимет­ра от компаний (из отечественных компаний здесь наиболее заметна Info Watch).

Кстати, не следует забывать о не­обходимости тщательного контро­ля компьютеров пользователей: что за ПО на них установлено, нет ли брешей в безопасности, какие про­граммы разрешено запускать, какие процессы обязаны работать в систе­ме и т. д.

Но! Как это зачастую бывает, по­пытка сделать инфраструктуру мак­симально защищенной порождает перекосы в реализации комплексной системы безопасности. Часто за де­ревьями не видно леса.

Первое, что следует отметить: не существует стопроцентной защиты от утечек информации. Можно кон­тролировать корпоративную почту и порты компьютера, но злоумыш­ленник всегда найдет дополнитель­ные возможности для реализации своего замысла. Например, напеча­тать документ или просто сфотогра­фировать экран с дальнейшим пре­образованием к нужному электрон­ному формату путем программ распознавания текста. Кроме того, сле­дует помнить о трудностях, связан­ных с тем, как именно все это конт­ролировать (кто будет анализиро­вать, какие данные уполномоченный пользователь записал на USB-устройство?). Можно вспомнить и о мо­рально-психологической стороне во­проса: если компания уполномочила пользователя работать с данным до­кументом (следовательно, ему дове­ряют эту работу), то откуда возника­ет потребность в контроле его дей­ствий? В данном случае это означа­ет, что, наверное, в организации не­правильно выстроены сами основы безопасности - корпоративное уп­равление идентификацией, автори­зацией и доступом, а также защита баз данных.