Библиотека управления

Тайны, которые мы охраняем

Виталий Камалов руководитель Информационно-аналитической службы Группы компаний "РУСАУДИТ"

Перед руководителем любого предприятия рано или поздно встают вопросы защиты конфиденциальной информации в рамках закона. Как минимизировать затраты на это? К сожалению, вопросы защиты информации чаще решаются исключительно техническими средствами, в лучшем случае, с использованием административно-организационных мер. Однако возможно и необходимо использовать весь арсенал форм и методов защиты своих конфиденциальных данных. Закон сегодня позволяет это сделать, так как практически сформирован новый институт российского права: "охраняемая законом тайна".

Очевидно, что правовые меры защиты информации являются предупреждающими. Внутрифирменное "Положение о защите информации" физически не "схватит за руку" злоумышленника, решившего незаконно скопировать секретный файл. Роль юридических мер - превентивное воздействие на сознание потенциального нарушителя, предупреждение противоправных действий, а в случае реализации нарушения - привлечение виновного к ответственности и компенсация нанесенного им ущерба. Компенсационная роль юридических мер чрезвычайно важна, так как позволяет фактически страховать риски, связанные с недостаточной эффективностью организационных и технических средств защиты. Кроме того, справедливое наказание нарушителя производит положительный воспитательный эффект, то есть как раз осуществляет дополнительное превентивное воздействие на сознание.

Правовой основной юридической защиты информации является на сегодняшний день целый комплекс российских нормативных актов, в частности: Конституция РФ, "Доктрина информационной безопасности Российской Федерации" (утверждена Президентом РФ 09.09.2000 №Пр-1895), Федеральный закон от 20.02.1995 №24-ФЗ "Об информации, информатизации и защите информации". В соответствии со ст.21 этого закона режим защиты информации в отношении сведений, отнесенных к государственной тайне, устанавливается   уполномоченными органами на основании Закона Российской Федерации "О государственной тайне"; в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом; в отношении персональных данных - федеральным законом.

В общем случае предприятие обязано или имеет право охранять несколько видов информации. Всю охраняемую в организации информацию можно свести к двум классам:

  • государственная тайна;
  • конфиденциальная информация.

Институт государственной тайны регулируется законодательством о государственной тайне. Это, в частности: Федеральный закон от 05.03.1992 №2446-1 "О безопасности", Закон РФ от 21.07.93 №5485-1 "О государственной тайне", иные правовые акты. Защитой государственной тайны занимается Режимно-секретный орган фирмы.

Состав же конфиденциальных сведений раскрыт в Указе Президента РФ от 06.03.1997 №188 "Об утверждении перечня сведений конфиденциального характера". Это персональные данные, тайна следствия и судопроизводства, служебная тайна, коммерческая тайна, профессиональная тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Собственно этот перечень (плюс государственная тайна) и составляет практически институт "охраняемой законом тайны".

Конфиденциальная информация - информация, не относящаяся к государственной тайне, не являющаяся общедоступной и могущая нанести ущерб фирме или иному собственнику, владельцу, пользователю информации. Наш практический опыт позволяет отнести к конфиденциальной информации фирмы и сведения, которые законодательство прямо запрещает относить к коммерческой тайне или не предусматривает их в качестве тайны, охраняемой законом. К ней, например, нельзя отнести процедуры обеспечения безопасности в коммерческой организации.

Видно, что охраняемая в организации конфиденциальная информация состоит из:

  • тайны, охраняемой законом,
  • сведений ограниченного доступа, отнесенных к конфиденциальной информации в соответствии с локальными нормативными актами на основаниях, не противоречащих законодательству РФ.

Таким образом, из вышеизложенного выстраивается примерная структура информации, охраняемой в организации.

Класс информа- ции Вид информации Источник регулирования Ответствен- ные лица Степень ответствен- ности Наличие

1. Государственная тайна

 

 

 

Тайна, охраня- емая законом

Законодатель- ство о государ- ственной тайне.

Руководитель

Обязан

Если есть

Конфиденци- альная информация фирмы

2. Персональные данные

Гл.14 Трудового кодекса РФ

Работодатель

Обязан

Всегда есть

Закон от 20.02.1995 №24-ФЗ

Любое лицо Всегда есть

3. Коммерческая тайна

Ст.139 ГК РФ, Пост. Правит-ва РСФСР от 05.12.91 №35

Любое лицо

Может

Если введен режим охраны

4. Служебная тайна, профес- сиональная тайна

Законы, иные правовые акты или договоры с контрагентами

Сотрудник

Обязан

Если есть в соотв. с законом или догово- ром

5. Сведения ограниченного доступа
(служебная информация Фирмы)

Внутрифирмен- ные нормативные акты

Сотрудник

Может

Если введен режим охраны

Из таблицы видно, что организация обязана охранять любую "чужую" информацию: государственную, персональную, полученную от контрагентов (граждан и организаций). Также организация может иметь и охранять "свою" тайну.

Отнесение сведений к тому или иному виду тайны - вопрос, вынесенный за рамки данного материала. К профессиональной тайне, например, относятся тайны предварительного следствия, судопроизводства, страхования, журналистская (редакционная) тайна, нотариальная, врачебная, адвокатская, аудиторская тайны, тайна связи. Существуют и иные виды охраняемых законом тайн - это, в частности, тайна усыновления, тайна голосования, тайна исповеди. Содержание и порядок обращения служебной тайны регулируется ведомственными нормативными актами,

Для руководителя организации принципиально важно понимать разницу между тайной, охраняемой законом, и фирменной информацией ограниченного доступа. Прежде всего разница заключается в порядке их формирования: первая - прямо законом или на основе закона, вторая - волей руководства организации, не противореча закону. Разница еще и в том, что за противоправное обращение с первым видом информации законодательством РФ предусмотрены судебная защита пострадавшего, возмещение нанесенного ущерба, ответственность виновного вплоть до уголовной. Второй вид регулируется только локальными правовыми актами, и ответственность может быть только дисциплинарной, однако работник вполне может оспорить решение руководства организации о наказании в суде.

За рамками этого материала остались, например, ответы на вопросы: "Как убедить бывшего сотрудника не разглашать ваши тайны?", "Можно ли прослушивать и записывать телефонные переговоры, которые ведутся на фирме?", "Можно ли читать электронную почту сотрудников?", "Как на законных основаниях отказать в предоставлении информации правоохранительным органам?" Ответы на эти и другие вопросы вы можете получить на наших регулярных научно-практических семинарах, посвященных различным аспектам обеспечения безопасности бизнеса, в частности на семинаре "Информационные аспекты корпоративной системы безопасности как залог успешности бизнеса".