Защита конфиденциальной информации в ОАО СК «РОСНО»

Легальное определение коммерческой тайны даёт статья 3 Федерального закона № 98-ФЗ «О коммерческой тайне»: «коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду». Ранее определение коммерческой тайны было дано в ст. 139 ГК РФ: «коммерческая тайна – это информация, имеющая действительную или потенциальную коммерческую ценность в силу её неизвестности третьим лицам, к которой нет доступа на законном основании и обладатель которой принимает меры по охране её конфиденциальности», но с 1 января 2008 г. она утратила силу.

Таким образом, коммерческая тайна является одним  из видов конфиденциальной информации. Исходя из положений законодательства, к коммерческой тайне может быть отнесена только документированная  информация, т.е. информация, которая  зафиксирована на каких-либо материальных носителях. Такой вывод подтверждается и тем, что проектом закона «О коммерческой тайне» коммерческой тайной также признаются сведения, зафиксированные на каких-либо материальных носителях: документах, материальных объектах, в том числе физических полях, в которых информация составляющая коммерческую тайну, находит своё отображение  в виде символов, образов, сигналов, технических решений и процессов.⁴ Идеи, замыслы, сведения и прочие данные, какую бы ценность для их обладателя они не представляли, если они не зафиксированы в какой-либо материальной форме, по действующему законодательству остаются незащищёнными. Между тем, в отношении информации важно не то, в какой форме она существует, а то, какова ценность сведений, которые она содержит. Следует отметить, что законодательство других стран не связывает предоставление правовой охраны сведениям, составляющим коммерческую тайну, с их фиксацией на каких-либо материальных носителях.⁵

В соответствии со статьей 3 Федерального закона № 98-ФЗ «О коммерческой тайне», информация, чтобы считаться коммерческой тайной, должна соответствовать одновременно следующим трем признакам:

• информация должна иметь действительную или потенциальную коммерческую ценность в силу её неизвестности третьим лицам,
• к ней нет доступа на законном основании,
• обладатель информации принимает меры по охране её конфиденциальности.

Классификация сведений, составляющих коммерческую тайну, наглядно изображена схемой (см. Приложение 1)

Рассмотрим  подробнее вышеперечисленные критерии охраноспособности:

1. Коммерческая ценность информации:

а) под коммерческой ценностью в литературе понимается способность информации быть объектом рыночного оборота;⁶

б) информация, использование которой предоставляет её обладателю определённые экономические преимущества в силу того, что его конкуренты такой информацией не обладают;

в) сведения, представляющие интерес для третьих лиц, которые могли бы получить определённую выгоду, если бы они этой информацией обладали;

г) информация, составляющая коммерческую тайну, может иметь не только действительную, но и потенциальную коммерческую ценность. Поэтому к коммерческой тайне относятся не только знания и сведения, активно используемые в предпринимательской деятельности, но и такие, которые не используются, но могут быть использованы в будущем.

2. Отсутствие доступа к информации на законном основании:

а) информация не должна быть общеизвестна. Общеизвестная информация, даже если она имеет большую коммерческую ценность, в принципе, не может считаться коммерческой тайной;

б) акцент может быть сделан на словах «свободного доступа». Возможность свободного доступа не означает, что как только та или иная информация становится доступной для получения третьими лицами, она теряет статус коммерческой тайны. Классический пример - формула Кока-колы. Все ингредиенты этого напитка известны, он повсеместно продаётся, однако его формула представляет собой коммерческую тайну производящей его компании, поскольку никому ещё не удавалось её раскрыть. Она не может быть «легко получена», хотя доступ на законном основании к ней имеется. Сам факт возможности свободного доступа ещё не означает автоматически потерю информацией статуса коммерческой тайны;

в) В настоящее время в различных действующих нормативно-правовых актах можно встретить нормы, предоставляющие работникам соответствующих органов право истребовать разного рода информацию, в том числе и составляющую коммерческую тайну. Так, например, в соответствии со ст. 31 Налогового кодекса РФ, налоговые органы, в частности, имеют право:

• осматривать (обследовать) любые используемые налогоплательщиком для извлечения дохода либо связанные с содержанием объектов налогообложения производственные, складские, торговые и иные помещения и территории,
• изымать при проведении налоговых проверок у налогоплательщика или иного обязанного лица документы, свидетельствующие о совершении налоговых правонарушений,
• требовать от налогоплательщика или иного обязанного лица документы, подтверждающие правильность исчисления и своевременность уплаты налогов.

3. Меры по охране конфиденциальности информации.

Рассмотренные выше критерии охраноспособности характеризуют  коммерческую тайну с объективной  стороны. Третий критерий, предъявляемый  Федеральным законом № 98-ФЗ «О коммерческой тайне» к информации, составляющей коммерческую тайну - наличие мер по охране её конфиденциальности, характеризует её с субъективной стороны. Так, В. Розенберг ещё в 1910 году писал: «То, что могло бы быть по своим объективным признакам тайною, не есть таковая, если тот, ради интересов которого охраняется тайна, не пожелал сделать из этого тайны».⁷

Закон «О коммерческой тайне» базируется на том, что охрана конфиденциальности осуществляется обладателем информации самостоятельно. При этом закон предусматривает, что меры по охране конфиденциальности в обязательном порядке должны включать в себя:

• определение и утверждение перечня сведений, составляющих коммерческую тайну,
• разработку и доведение до лиц, допущенных к сведениям, составляющим коммерческую тайну, инструкций по соблюдению режима конфиденциальности,
• ограничение доступа к носителям информации, содержащим коммерческую тайну,
• ведение специального делопроизводства, обеспечивающего выделение и сохранность носителей, содержащих коммерческую тайну,
• использование технических и иных средств защиты коммерческой тайны,
• осуществление контроля за режимом конфиденциальности.⁸

Все меры по поддержанию секретности информации можно условно разделить на три  большие группы: технические, организационные  и юридические меры.

1. К техническим  относятся меры, связанные с использованием  различных технических средств,  препятствующих несанкционированному  доступу к информации. Сюда относятся: 

• кодирование сообщений, передаваемых по каналам электронной или факсимильной связи,
• установление различных устройств, препятствующих снятию информации в процессе её прохождения по каналам связи,
• использование аппаратов для уничтожения документов и т.д.

2. К организационным  можно отнести меры по ограничению  доступа к секретной информации  работников организации и третьих  лиц. Сюда входят:

• введение пропускного режима на предприятии,
• ограничение доступа на отдельные участки производства лиц, не участвующих непосредственно в производственных процессах на данных участках,
• установление различных режимов секретности документов и т.д.

3. К юридическим  мерам относятся такие способы  охраны конфиденциальности информации, которые предполагают использование  различных правовых возможностей, имеющихся у обладателя информации.

1.3. Основные направления, средства и методы защиты информации

Среди направлений по защите информации выделяют обеспечение защиты информации от несанкционированного доступа (хищения, утраты, искажения, подделки, блокирования и специальных воздействий) и от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Прежде всего, защите подлежит та информация, в отношении которой угрозы реализуются без применения сложных технических средств перехвата информации. Так же защите подлежит речевая информация; информация, выводимая на экраны видеомониторов; хранящаяся на физических носителях; информация, передающаяся по каналам связи. Не менее значимым является своевременное предупреждение возможных угроз информационной безопасности.

Средства защиты информации подразделяются на: технические, программно-аппаратные и программные. На данный момент существует достаточно широкий выбор средств защиты информации, как от несанкционированного доступа, так и от утечки по техническим каналам.

Для предупреждения и предотвращения утечки информации по техническим каналам, должны быть выполнены следующие  условия:

• Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
• Использование технических средств, удовлетворяющих требованиям стандартов;
• Использование сертифицированных средств защиты информации;
• Использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания).⁹

От утечки информации за счет несанкционированного доступа применяют следующее:

• Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
• Ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
• Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• Учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
• Использование сертифицированных по требованиям безопасности информации специальных защитных знаков, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
• Организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации

Одним из наиболее эффективных методов обеспечения безопасности конфиденциальной информации являются организационно-технические методы - создание и совершенствование системы обеспечения информационной безопасности, разработка, использование и совершенствование систем защиты информации и методов контроля их эффективности.

Этот этап тесно связан с правовыми методами защиты информации, такими как лицензирование, сертификация средств защиты информации и применение уже сертифицированных, и аттестация объектов информатизации по требованиям безопасности информации.

Защита конфиденциальной информации всегда является комплексным мероприятием. В совокупности, организационные и технические мероприятия позволяют предотвратить утечку информации по техническим каналам, предотвратить несанкционированный доступ к защищаемым ресурсам, что в свою очередь обеспечивает целостность и доступность информации при ее обработке, передаче и хранении. Так же техническими мероприятиями могут быть выявлены специальные электронные устройства перехвата информации, установленные в технические средства и защищаемое помещение.¹⁰

Основные элементы защиты конфиденциальной информации, составляющей коммерческую тайну организации, представлены в таблице 1.

Таблица 1

Если говорить об экономической  стороне защиты информации, всегда важно одно правило – стоимость  системы защиты информации не должна превышать стоимость этой информации. Но это не единственное «но» в этом вопросе.