В рубрику "Актуально" | К списку рубрик | К списку авторов | К списку публикаций
И. Н. Худой, специалист по защите информации
Применение Закона: объективные трудности
К объективным трудностям, возникающим в ходе применения указанного Закона, в первую очередь необходимо отнести несовершенство законодательной базы выстраиваемой системы защиты коммерческой тайны.
Так, Законом определены условия, при наличии которых информация признается коммерческой тайной:
Для четкого определения того, какая информация и когда имеет действительную или потенциальную ценность, необходимо заранее определить ее статус во внутренних нормативных документах организации. Таковым прежде всего является перечень информации, составляющей коммерческую тайну. В нем могут быть приведены как конкретные сведения, так и категории (группы) сведений. Простым, но эффективным критерием действительной или потенциальной ценности информации может стать ответ на вопрос: "Будет ли иметь место вред моей организации, если оцениваемая информация завтра будет опубликована в СМИ?"
Организация доступа к информации
Доступом к информации принято считать процедуру ознакомления человека (работника, контрагента и т.д.) с конкретными данными с санкции соответствующего должностного лица.
Различают организационный и технический доступ.
Первый должен включать в себя разработку комплекса внутренних нормативных документов, регламентирующих порядок доступа тех или иных должностных лиц к информации, составляющей коммерческую тайну, а также объем тех данных, с которыми они могут ознакомиться. Решение о разработке таких документов принимается начальником службы безопасности и руководителем организации. Каждая компания обязана:
Технический доступ в своей основе предполагает применение таких технических средств, которые будут обеспечивать ограничение доступа служащих к тем или иным информационным ресурсам, а также в определенные зоны, на объекты, территории, в здания и т.д.
Режим коммерческой тайны
Информация приобретает статус коммерческой тайны, если отнесена к коммерческой информации на законном основании и к ней применены меры по ограничению на ее распространение, то есть в отношении нее введен режим коммерческой тайны. Составными элементами этого режима выступают следующие меры по охране конфиденциальности данных:
Однако нужно отметить, что вышеперечисленные меры в Законе носят рамочный характер — в нем не указано, какие конкретно документы должны быть отработаны, какие конкретно действия предприняты, в чем они должны выражаться и т.д. Исключением является статья 10 Закона, определяющая меры по охране конфиденциальности: в ней прямо сказано, что режим коммерческой тайны считается установленным после выполнения таких мер, как:
Составление перечня защищаемой информации
Перечень информации, составляющей коммерческую тайну (далее — Перечень), является одним из основополагающих внутренних документов организации (предприятия), на основании которого какую-либо информацию можно считать коммерческой тайной в практической деятельности. Для составления этого документа целесообразно использовать такие критерии, как:
Основными разделами Перечня информации могут быть:
Под определение "коммерческой тайны" может также подпадать информация о структуре организации, ее реализуемых проектах, планах расширения, инвестиций, закупок продаж и др.
В разработке Перечня должны участвовать руководители всех структурных подразделений организации (предприятия), в том числе юристы. Перечень должен подписываться соответствующим должностным лицом службы безопасности, утверждаться руководителем и доводиться до всех работников организации (предприятия), допущенных к конфиденциальной информации, в части, касающейся их.
Документы по ограничению доступа
Ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну, подразумевает организационно-технические мероприятия, основными из которых могут быть:
В зависимости от специфики деятельности той или иной организации могут быть разработаны другие внутренние нормативные документы (например, обязанности администратора по безопасности, обязанности пользователей при работе на ПЭВМ и сетях общего пользования и т.д.).
Другие меры по защите информации
Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, должен вестись как по отношению к персоналу данной компании, так и ко всем организациям (предприятиям), получившим такую информацию. Учет должен носить абсолютно конкретный характер с указанием, кто, когда, на основании чего и какую информацию получил.
Регулирование отношений по использованию данных, являющихся коммерческой тайной, осуществляется работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров. Очевидно, что правильное и юридически наполненное содержание таких договоров, во-первых, позволяет привлечь к ответственности нерадивых работников самой организации (предприятия), а во-вторых, юридически закрепить ответственность той или иной стороны за разглашение коммерческой тайны организации.
Нанесение на материальные носители грифа "Коммерческая тайна" неразрывно связано с установленным порядком ведения специального делопроизводства и требует от всех работников неукоснительного выполнения правил обращения с документами, содержащими конфиденциальную информацию.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2005