§ 24. проблема информационной безопасности

Содержание и особенности, подписанных соглашений

Компании работают по разным производственным направлениям. Руководители и учредители предприятий стараются защитить себя от распространения тайн по характеру:

• научно-техническому;
• технологическому;
• финансовому;
• деловому.

Для сохранения секретности в учреждениях подписывают соглашения, что в рабочих процессах информация является конфиденциальной и не подлежит разглашению.

Специалисты подписывают обязательства по содержанию:

• после изучения и знакомства с любыми данными не использовать их для собственных нужд;
• сообщать руководству сведения о попытках сторонних лиц узнать производственные секреты;
• соответствовать в работе нормам и требованиям относительно конфиденциальности;
• когда прекратится допуск к секретным разработкам, соблюдать срок сохранения тайны, в течение периода, установленного локальным актом.

Сотрудник после подписания соглашения дает согласие на дисциплинарную или другую ответственность, предусмотренную договором. Персонал перед принятием на работу и после, когда он приступит к своим обязанностям, неоднократно проверяется службой безопасности организации. Вначале досконально изучают переданные документы. Дают подписать трудовой договор и соглашение о неразглашении. Предоставляют испытательный срок, знакомят с доступом к конфиденциальным данным. В этот период специалиста оценивают не только по профессиональным навыкам, но и по его разговорам. Когда происходит увольнение, бывшего коллегу предупреждают о последствиях в случае разглашения ему не принадлежащих тайн.

Как конфиденциальная информация определяется в законе

Конфиденциальность – это ограничение доступа к сведениям определенного статуса. Термин произошел от латинского слова confidentia, обозначающего доверие. Из этого следует, что к конфиденциальной информации могут получить доступ только доверенные сотрудники. Решения по контролю доступа реализуются на организационном и программном уровне. 

В различных областях общественной и экономической жизни, в разных странах принимаются отдельные модели регулирования степени конфиденциальности информации.

В России в законе «Об информации» (149-ФЗ) общим принципом отнесения данных к конфиденциальным является обозначение этой необходимости в любом ином федеральном законе, например, в Семейном кодексе в статье о защите тайны усыновления. 

Нормативный акт определяет следующие категории конфиденциальной информации:

• государственная тайна;
• служебная информация ограниченного распространения, хранимая в ИС органов государственной власти;
• коммерческая тайна;
• служебная тайна;
• профессиональная тайна;
• персональные данные граждан.

Порядок обращения с различными категориями информации, в том числе не названными прямо в законе, такими как банковская тайна и адвокатская тайна, регулируется отдельными федеральными законами. Для большинства категорий конфиденциальной информации посвященные ей законы и разработанные в соответствии с ними подзаконные нормативные акты устанавливают отдельные правила по обеспечению ее безопасности.

В Евросоюзе разработан ряд директив и соглашений, описывающих порядок доступа к конфиденциальным сведениям, многие их положения были практически без переработки включены в национальное законодательство. 

Европейская Конвенция «О преступности в сфере компьютерной информации» (ETS N 185) рекомендует в национальном законодательстве определить в качестве уголовных преступлений:

• противозаконный доступ к охраняемой в соответствии с требованиями закона информации;
• неправомерный перехват данных;
• воздействие на информацию с целью ее уничтожения или изменения;
• воздействие на информационные системы.

Эти нарушения вошли в качестве преступлений в УК РФ, и их наличие стимулирует потенциальных злоумышленников отказаться от попыток похитить или повредить конфиденциальные данные. Но далеко не всех преступников можно раскрыть, поэтому регуляторы, определяющие механизмы защиты данных – Правительство РФ, ФСТЭК, Роскомнадзор, ФСБ, Центробанк, – принимают нормативные акты, регулирующие специальные правила хранения массивов данных, находящихся под защитой закона.

Еще более подробный перечень сведений, имеющих конфиденциальный характер, приводит указ президента № 188: 

• персональные данные;
• тайна следствия и судопроизводства, данные, связанные с защитой судей и свидетелей;
• служебная информация госорганов;
• сведения, связанные с профессиональной деятельностью, а именно врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений;
• коммерческая тайна;
• данные о сущности изобретения, полезной модели или промышленного образца, до того, как оформляется патент или они официально публикуются.

Некоторые позиции из перечня пересекаются, поэтому не требуется обеспечения различных режимов их хранения. Достаточно соблюдения общих принципов безопасности информации, за исключением данных, для которых регулятор предлагает отдельные организационные, технические или программные меры.

Какие сведения являются такой информацией?

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

• фамилия, имя, отчество;
• место жительства или регистрация;
• дата и место рождения;
• семейное, социальное или имущественное положение;
• сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

   Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

• фамилия, имя и отчество;
• дата рождения;
• идентификационный номер;
• место рождения;
• гражданство;
• информация о регистрации по месту жительства или месту проживания;
• свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
• сведения о семейном положении (о супруге, детях и родителях);
• информация об образовании;
• информация о роде занятий;
• о пенсии;
• о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
• о налоговых обязательствах;
• об исполнении воинской обязанности.

У юридических лиц?

• Наименование юридического лица.
• Организационно-правовая форма.
• Ююридический адрес.
• Адрес местонахождения юридического лица.
• ОГРН (основной государственный регистрационный номер).
• ИНН (идентификационный номер).
• КПП (код причины постановки на учет).
• Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149. 

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации. 

Защита информации

Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
• соблюдение режима ограниченного доступа к ограниченным данным;
• принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

• предотвращение утечки информации;
• своевременное обнаружение попытки незаконно получить доступ к информации;
• предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
• постоянный мониторинг уровня защиты информации;
• возможность восстановить данные, которые были уничтожены;
• размещение информации ограниченного доступа в базах данных на территории РФ.

Для защиты критичных данных существуют следующие виды защиты:

• Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
• Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
• Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
• Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.

Ответственность за правонарушения в сфере информации

Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность. 

Правовые нормы закрепляют следующие виды ответственности:

• Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
• Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
• Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
• Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.

Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.

ТАЙНЫ БЫВАЮТ РАЗНЫЕ…

Тайна в широком смысле этого слова – конфиденциальная информация, распространение которой возможно лишь в определенных ситуациях.

Информация – это сведения (сообщения, данные) независимо от формы их представления (п. 1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Иными словами, информация – это не только документы или файлы с какими-то данными. Информация – это все, что нас окружает: услышанное на переговорах и совещаниях, увиденное в документах на различных носителях – как материальных, так и электронных, написанное собственноручно или напечатанное с помощью технических средств, нарисованное или начерченное в любом виде и пр.

То есть то, что мы видим, слышим, созерцаем, и есть информация, представленная в самых разнообразных формах. Федеральный закон № 149-ФЗ также дает определение конфиденциальности информации, понимая под этим обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 7 ст. 2).

В зависимости от того, к какой сфере относится информация, требующая соблюдения конфиденциальности, выделяют следующие виды тайн: государственную, коммерческую, налоговую, военную, личную, семейную, телефонных переговоров (почтовых, телеграфных и иных сообщений), служебную, банковскую, страхования, завещания, усыновления (удочерения), следствия, голосования, нотариальную, адвокатскую, врачебную и др.

Поскольку нас интересует соблюдение тайны работниками организации, перечислим виды тайн (с указанием НПА, их регулирующих), которые чаще всего встречаются в организациях:

• государственная тайна (ст. 5 Закона РФ от 21.07.1993 № 5485-1 «О государственной тайне», Перечень сведений, отнесенных к государственной тайне);

• коммерческая тайна (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»);

• персональные данные (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»);

• банковская тайна (ст. 857 Ч. 2 Гражданского кодекса РФ, ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности», ст. 57 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»);

• врачебная тайна (ст. 13, 92 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», ст. 15 Семейного кодекса РФ от 29.12.1995 № 223-ФЗ, ст. 9 Закона РФ от 02.07.1992 № 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании», ст. 13 Федерального закона РФ от 20.07.2012 № 125-ФЗ «О донорстве крови и ее компонентов», ст. 14 Закона РФ от 22.12.1992 № 4180-1 «О трансплантации органов и (или) тканей человека»);

• тайна страхования (ст. 946 Ч. 2 ГК РФ, ст. 47 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», ст. 18.2 Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»);

• тайна связи (ст. 23 Конституции Российской Федерации, ст. 53, 63 Федерального закона от 07.07.2003 № 126-ФЗ «О связи», ст. 15 Федерального закона от 17.07.1999 № 176-ФЗ «О почтовой связи»);

• информация о содержании корпоративного договора, заключенного участниками непубличного общества (ст. 67.2 Ч. 1 ГК РФ);

• информация о новых решениях и технических знаниях, если она получена сторонами по договору подряда (ст. 727 Ч. 2 Гражданского кодекса РФ);

• сведения, касающиеся предмета договоров на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ, хода их исполнения и полученных результатов, если иное не предусмотрено договорами (ст. 771 Ч. 2 ГК РФ);

• секрет производства (ноу-хау) (ст. 1465 Ч. 4 ГК РФ).

В ред. от 01.07.2017.

В ред. от 07.02.2017.

В ред. от 25.11.2017 (далее – Федеральный закон № 149-ФЗ).

Если у отдельных сотрудников организации есть доступ к сведениям, составляющим государственную тайну.

В ред. от 08.03.2015.

Утвержден Указом Президента РФ от 30.11.1995 № 1203.

В ред. от 12.03.2014 (далее – Закон о коммерческой тайне).

В ред. от 29.07.2017 (далее – Закон о персональных данных).

Касается кредитных организаций.

В ред. от 26.07.2017.

В ред. от 18.07.2017.

Касается медицинских организаций.

В ред. от 29.07.2017.

В ред. от 14.11.2017.

В ред. от 03.07.2016.

В ред. от 23.05.2016, с изм. от 19.12.2016.

В ред. от 23.05.2016.

Касается страховых организаций.

В ред. от 28.12.2016.

В ред. от 29.07.2017.

В ред. от 07.06.2017.

В ред. от 06.07.2016.

Персональные данные и Интернет

Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. 

Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж.

Что такое конфиденциальные сведения?

Исчерпывающее определение термину «конфиденциальные сведения» даёт ФЗ «О защите информации», принятый в 2006 г. Согласно этому законодательному акт, любые информационные данные, касающиеся простых граждан, организаций или государства подразделяются на общедоступные, и сведения, доступ к которым ограничен или полностью закрыт.

Свободный доступ к любым информационным сведениям ограничивается или полностью запрещается только на основании федерального законодательства. Попытка несанкционированного сокрытия прочей информации от широкой общественности преследуется по закону.

К закрытой, или секретной, информации относят все сведения, особо важные для безопасности государства. Они составляют государственную или военную тайну: это документы и сведения стратегического значения. Ответственность за разглашение информации, имеющей статус гос.тайны, установлена Уголовным кодексом. Подобные преступления относятся к разряду тяжких и особо тяжких, и наказываются реальными сроками заключения, вплоть до высшей меры.

Ограниченно закрытая информация называется конфиденциальной. Она не подлежит публичному разглашению, и доступ к ней имеют только соответствующие правоохранительные и надзорные органы в случаях, прописанных законом. Конфиденциальной считается любая информация, содержащая следующие сведения:

• О деталях следствия, судебного производства.
• О личной жизни и персональных данных человека.
• Личная переписка и телефонные разговоры гражданина.
• Сведения, являющиеся коммерческой тайной как юридического лица, так и физ.лица. Статус коммерческой тайны определяется законом, или положениями нормативных актов предприятия.
• Сведения, не подлежащие разглашению, доверяемые населением или организациями работникам ряда специальностей – врачам, адвокатам, сотрудникам правоохранительных органов.

Как программист К. выиграл суд у «Ренессанс Страхования»

Программист К. работал в «Ренессанс Страховании» с 2006 года. Он был знаком с Положением о коммерческой тайне и подписал обязательство о неразглашении конфиденциальной информации. К коммерческой тайне работодатель отнёс:

• технологические решения компании;
• программное и аппаратное обеспечение;
• содержание и логическую архитектуру баз данных и других информационных носителей;
• ноу-хау;
• компьютерные, телекоммуникационные и другие технологии.

В 2010 году в результате служебной проверки выяснилось, что сотрудники З. и К. разрабатывали информационную систему для конкурентов и при этом использовали ноу-хау «Ренессанс Страхования» — код В2В-системы.

В2В-система — это веб-приложение для расчёта стоимости продукта и формирования сопроводительных документов. Её применяют в интернет-продажах. Программу разработали сотрудники «Ренессанс Страхования» в 2007 году.

В итоге программиста К. уволили за разглашение коммерческой тайны. Он обратился в суд с требованием изменить формулировку на «увольнение по собственному желанию» и выплатить заработную плату за период вынужденного прогула, то есть с того момента, как его уволили, и до вступления в силу судебного решения.

Районный суд рассмотрел дело и пришёл к выводу: ответчик не представил доказательств того, что В2В-система вообще содержит коммерческую тайну и что истец разгласил секретную информацию третьим лицам.

Ответчик не указал основание в приказе об увольнении К. и не подтвердил, что принял меры по защите конфиденциальной информации в соответствии с требованиями закона «О коммерческой тайне». Поэтому суд принял решение в пользу К.

«Ренессанс Страхование» обжаловало судебное решение, но это не принесло результатов. Вышестоящие суды сослались на отсутствие доказательств того, что К. передал конкурентам сведения, которые относятся к коммерческой тайне.

По закону, чтобы ввести режим коммерческой тайны для определённой информации и возложить ответственность на работников, нужно выполнить следующие требования:

• определить перечень такой информации;
• ограничить к ней доступ — обычно принимают локальный нормативный акт, в котором определяют порядок обращения с информацией и контроля над ней;
• учитывать работников, получающих доступ к информации, — например, вести журнал учёта;
• регулировать отношения с этими работниками на основе трудовых договоров, а с контрагентами — на основе гражданско-правовых договоров;
• нанести гриф «коммерческая тайна» и данные о правообладателе на материальные носители информации.

Если трудовые обязанности работника связаны с доступом к коммерческой тайне, работодатель должен:

• ознакомить его под расписку с перечнем такой информации, установленным режимом коммерческой тайны и мерами ответственности за его нарушение;
• создать условия для соблюдения этого режима, то есть защитить доступ к информации, которая относится к коммерческой тайне, внутри компании.

Если работодатель не выполнил какой-то из перечисленных пунктов, увольнение работника могут признать незаконным.

Чтобы возложить на сотрудника ответственность за разглашение секретной информации, работодатель должен ввести режим коммерческой тайны.

Серьезная ответственность

По УК РФ осуждают за уголовные преступления. За разглашение конфиденциальной информации статья 183 регламентирует наказания, если граждане незаконно получили и распространили сведения, принадлежащие к коммерческим, налоговым, банковским тайнам. Когда были похищены документы, происходил подкуп, давление на лиц с помощью угроз, проступки попадают под действие Федерального закона № 193 или № 420.

Степень ответственности зависит от тяжести преступления:

• штрафные санкции по размеру зарплаты или годичного дохода;
• исправительные или принудительные работы;
• лишение свободы.

Только Уголовный кодекс предусматривает реальный тюремный срок за проступки, попавшие под действия его юрисдикции.

Особенности правового статуса субъектов, обязанных хранить врачебную тайну

Врачебная тайна является одним из видов профессиональной тайны. То есть указанные сведения могут быть получены при исполнении профессиональных обязанностей физическим лицом или организацией при осуществлении соответствующего вида деятельности.

Основным отличием врачебной тайны от иных сведений конфиденциального характера состоит в том, что медицинские работники не являются государственными или муниципальными служащими.

Всех лиц, которые имеют доступ к сведениям, составляющим врачебную тайну условно можно разделить на две большие группы:

1. Медицинские работники и иные лица, работающие в медицинской организации.

   Пункт 13 статьи 2 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» содержит определение термина медицинский работник, под которым «признается лицо, которое имеет медицинское или любое иное образование, работает в медицинской организации и в должностные обязанности которого входит осуществление медицинской деятельности».

   Не стоит трактовать данную норму буквально и полагать, что субъектом, обязанным хранить врачебную тайну, может быть только лечащий врач. Врачебную тайну обязаны соблюдать все работники медицинской организации, которым при исполнении своих профессиональных обязанностей стали известны сведения о пациенте, его состоянии здоровья, течении заболевания и получившие доступ к иной конфиденциальной информации. Например, к лицам, обязанным хранить врачебную тайну, также можно отнести медицинских сестер, младший медицинский персонал (санитар, сестра-хозяйка), студентов медицинских ВУЗов, административный персонал лечебного учреждения, наиболее ярким примером в данном случае являются работники отдела статистики, которые вносят данные о диагнозе и исходе заболевания каждого пациента.

2. Лица, не являющиеся работниками медицинской организации, но получившие доступ к сведениям, составляющим врачебную тайну в связи с исполнением своих служебных обязанностей.

   К данной группе можно отнести следующие категории лиц:

   • Сотрудники социальной службы, органы опеки и попечительства при оказании паллиативной помощи населению;
   • Сотрудники правоохранительных органов, органов прокуратуры, сотрудники судебной власти, адвокаты – при расследовании и рассмотрении дел в отношении причинения вреда жизни и здоровью человека;
   • Сотрудники военкомата в отношении лиц, поступающих на военную службу или альтернативную гражданскую службу;
   • Сотрудники страховых организаций, ФОМС при выплатах за проведенное лечение, медицинские манипуляции, оплате больничных листов;
   • Работники санитарно-эпидемиологической службы при проверке нарушений требований санитарно-эпидемиологического режима, а также сотрудники министерства здравоохранения субъекта РФ при проверках на соответствие осуществляемой деятельности нормам действующего законодательства лечебно-профилактическим учреждением;
   • Сотрудники иных медицинских организаций при переводе пациента в другую больницу или при проведении судебно-медицинского вскрытия, в случае если смерть лица наступила в больнице, но имеются признаки насильственной смерти.

Разглашение сведений, составляющих врачебную тайну, является грубым нарушением действующих норм трудового законодательства и может повлечь за собой увольнение. В пункте «в» части 6 статьи 81 ТК РФ указано, что даже однократное разглашении охраняемой законом тайны, которая стала известна работнику в связи с исполнением им своих трудовых обязанностей может повлечь за собой расторжение трудового договора по инициативе работодателя.

При обнаружении медицинским учреждением факта нарушения разглашения медицинским работником сведений, составляющих врачебную тайну, необходимо составление акта с обязательным указанием совершенного правонарушения в присутствии не менее двух свидетелей. На основании указанного акта требуется собрать комиссию и решить вопрос о виновности либо невиновности работника и принятии в отношении него мер дисциплинарной ответственности.

В соответствии со статьей 193 ТК РФ медицинский работник обязан предоставить объяснительную

Принимая во внимание причины, указанные в объяснительной, а также тяжесть совершенного проступка, иные заслуживающие внимания обстоятельства, работодатель принимает решение об увольнении сотрудника или наложении на него замечания либо выговора

Сходство конфиденциальной информации с составляющими коммерческую тайну сведениями

Оба вида информации:

1. Являются важнейшим нематериальным ресурсом (активом).

2. Стали в современном мире товаром, продукцией, предметом труда и объектом услуг.

3. Обладают следующими основными свойствами (в идеале):

полезности (ценности, значимости);
достоверности (отражение реального положения дел);
полноты (достаточности для понимания);
объективности (независимости от чего-либо мнения);
актуальности (существенности и важности в определенный момент времени);
понятности.

Оба вида информации объединяет такое свойство с негативным оттенком, как уязвимость, выражающаяся в возможности нарушения:

• сохранности информации;
• ее целостности;
• и закрытости для третьих лиц.

В связи с этим можно выделить еще один, объединяющий рассматриваемые понятия признак, — возможность применения для защиты секретных коммерческих сведений и конфиденциальной информации одинаковых способов защиты (алгоритмов снижения ее уязвимости). Среди таких мер охранно-защитного характера можно назвать:

• определение потенциальной ценности информации;
• оценка степени ее уязвимости;
• прогнозирование возможных угроз;
• проведение комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или затрудняющих несанкционированный доступ к ней.

О значении прогнозирования в управленческом учете — см. материал «Планирование в управленческом учете — как это проходит?».

Характерные особенности секретности

Информационные сведения имеют широкое понятие. Ограничить свободный доступ к ним или полностью запретить может федеральное законодательство. Если данные настолько важны, что угрожают государственной безопасности, они относятся к военной тайне и принадлежат к стратегическому значению. Подобное распространение, документальное или устное, считается тяжким преступлением и строго карается. Разглашение конфиденциальной информации принадлежит к уведомлениям ограниченно закрытым. Если они не подлежат к общедоступным сведениям, с ними работают правоохранительные или надзорные органы по установлению закона.

В секрете должны содержаться детали:

• следствий в ходе судебных разбирательств;
• персональные из жизни каждого гражданина, его личные данные;
• телефонных разговоров, переписки;
• коммерческих действий юридических и физических лиц, если они являются тайной определенной законом и нормативными актами организации;
• профессиональных сведений, которые доверены были населением работнику – врачу, адвокату, следователю.

Отсюда можно сделать вывод, что тайна бывает:

• государственной;
• коммерческой;
• служебной;
• персональной;
• иной.

Каждого работника, занимающего ответственную должность, заранее предупреждают, что конфиденциальная информация не подлежит разглашению.

Определение понятий

Следует различать два неравнозначных понятия. «Коммерческая тайна» и «информация, составляющая коммерческую тайну» одновременно фигурируют в законодательстве, но подразумеваются немного различные явления.

Термин «коммерческая тайна» относится к режиму конфиденциальности или к системе защитных организационных мероприятий, которые устанавливаются в компании, чтобы защитить информацию от преступных посягательств или утечек. Режим конфиденциальности помогает компании удержать позиции на рынке, сохранить конкурентные преимущества, избежать расходов на восстановление репутации, пошатнувшейся вследствие разглашения или утечки чувствительных сведений.

«Информация, составляющая коммерческую тайну» – это объем сведений, которые компания определяет произвольно. Сведения могут относится к научной, производственной, маркетинговой деятельности. Реальная или потенциальная коммерческая ценность подобных сведений увеличивается благодаря недоступности для третьих лиц. В отношении сведений устанавливают режим коммерческой тайны.

Массивы информации, составляющей коммерческую тайну, разделяются на четыре группы:

1. Cведения научно-технического характера: изобретения, ноу-хау, патенты; рационализаторские предложения; методы повышения эффективности производства; все, что относится к работе компьютерных сетей, стандарты безопасности, программное обеспечение, пароли.
2. Сведения технологического и производственного характера: чертежи; модели; документация на оборудование; рецепты производства; методики; описание бизнес-процессов; производственные и маркетинговые планы, стратегии, бизнес-планы; инвестиционные предложения.
3. Сведения финансового характера, не являющиеся информацией общего доступа: данные управленческого и финансового учета; отчеты; сведения о себестоимости продукции; расчеты денежного потока; механизмы формирования цен; прогнозируемые налоговые отчисления.
4. Сведения бизнес-характера: данные о поставщиках и подрядчиках; информация о клиентах; планы продаж; различные стратегии; консалтинговые рекомендации; данные анализа рынков и аналогичные сведения.

Градация степени конфиденциальности для каждой группы включает:

• высшая степень секретности, доступная только топ-менеджменту организации;
• строго конфиденциальная информация;
• конфиденциальная информация;
• сведения ограниченного доступа.

Ранжирование по уровню конфиденциальности помогает лучше организовать систему доступа и позволяет минимизировать риски утечки. Например, данные наивысшей ценности будут недоступны широкому кругу сотрудников компании, а значит, меньше подвержены риску намеренной или случайной утечки.

Чтобы воспользоваться законными возможностями по защите коммерческой тайны, на первом этапе компания должна определить перечень сведений, на которые распространяется режим коммерческой тайны. И в дальнейшем обоснованно требовать от сотрудников с контрагентами выполнения мер по защите данных и привлекать к ответственности за разглашение информации, составляющей коммерческую тайну.

Параллельно с определением сведений необходимо установить режим конфиденциальности. Это означает – разработать и внедрить систему административно-организационных и технических мер, которые помогут предотвратить умышленное или неумышленное разглашение или распространение сведений.

Правовое регулирование режима коммерческой тайны в сфере гражданского и уголовного законодательства. Правоотношения регулируются Гражданским кодексом, в котором тайна определяется в качестве объекта защиты. Отдельные нормы, касающиеся соблюдения режима коммерческой тайны, содержаться в Трудовом кодексе. Уголовный кодекс вводит ответственность за умышленное разглашение информации. Таким образом, компания вправе самостоятельно определять, какие именно данные являются информацией, составляющей коммерческую тайну, а ее защита гарантируется мерами государственного принуждения.