Оглавление
Введение 3
Глава 1 Защита конфиденциальных документов от
несанкционированного доступа 5
1.1. Состав и направления
защиты документной информации 5
1.2. Источники
конфиденциальной информации и каналы
ее разглашения
11
Глава 2 Система защиты
документированной информации
от несанкционированного
доступа
17
2.1.
Защита ценной информации и конфиденциальных
документов 17
2.2. Защита информации: отечественный и зарубежный
опыт 22
Заключение
28
Список использованных источников и
литературы
29
Введение
В современной российской
рыночной экономике обязательным условием успеха предпринимателя в бизнесе,
получения прибыли и сохранения в целостности созданной им организационной
структуры является обеспечение экономической безопасности его деятельности.
Одна из главных составных частей экономической безопасности - информационная
безопасность, достигаемая за счет использования комплекса систем, методов и
средств защиты информации предпринимателя от возможных злоумышленных действий
конкурентов и с целью сохранения ее целостности и конфиденциальности.
Изменения,
происходящие в экономической жизни России – создание финансово-кредитной
системы, предприятий различных форм собственности оказывают существенное
влияние на вопросы защиты информации.
В
частности, к этой ситуации относится факт хищения технической и деловой
информации. Как правило, это хищение связано с потерей стратегически важной
информации, способной привести фирму к банкротству. Это хищение можно
квалифицировать как преступление, так как ведет к потере материальных и
финансовых ценностей.
Ответственность
за защиту информации лежит на низшем звене руководства. Но также кто-то должен
осуществлять общее руководство этой деятельностью, поэтому в организации должно
иметься лицо в верхнем звене руководства, отвечающее за поддержание
работоспособности информационных систем.
«Безопасность»
необходимо рассматривать как качество развития мер безопасности, которые
направлены на предотвращение внутренних и внешних угроз.
В этой связи становится актуальным рассмотреть
вопрос, касающийся защиты документированной информации от несанкционированного
доступа, выявить основные способы защиты информации, рассмотреть отечественный
и зарубежный опыт по данному вопросу.
Объект исследования – документированная информация.
Предмет исследования – основные проблемы и направления
защиты документированной информации от несанкционированного доступа.
Цель исследования – изучить основные проблемы и
направления защиты документированной информации от несанкционированного
доступа.
Для реализации данной цели необходимо решить следующие
задачи:
- рассмотреть состав и направления защиты документной
информации;
- выявить источники конфиденциальной информации и
каналы ее разглашения;
- изучить систему защиты ценной информации и
конфиденциальных документов;
- проанализировать отечественный и зарубежный
опыт в области защиты информации от несанкционированного доступа.
Разработанность темы в специализированной литературе
достаточно велика. По данной проблематике высказывались такие авторы как:
В.А.Герасименко [1], Е.А.Степанов [14], В.И.Ярочкин [20].
Глава 1. Защита
конфиденциальных документов от несанкционированного доступа
1.1. Состав и направления защиты
документной информации
Информация, используемая
предпринимателем в бизнесе и управлении предприятием, банком, компанией или
другой структурой является его собственной или частной информацией,
представляющей значительную ценность для предпринимателя. Эта информация
составляет его интеллектуальную собственность [8].
Обычно выделяется два вида
собственной информации [8; 11]:
- техническая,
технологическая: методы изготовления продукции., программное обеспечение,
основные производственные показатели, химические формулы, рецепты, результаты
испытаний опытных образцов, данные контроля качества и т.п.;
- деловая: стоимостные
показатели, результаты исследования рынка, списки клиентов, экономические
прогнозы, стратегия действий на рынке и т.п.
Собственная информация
предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и
является конфиденциальной при соблюдении следующих условий:
- информация не должна
отражать негативные стороны деятельности фирмы, нарушения законодательства и
другие подобные факты;
- информация не должна
быть общедоступной или общеизвестной;
- возникновение или
получение информации должно быть законным и связано с расходованием
материального, финансового или интеллектуального потенциала фирмы;
- персонал фирмы должен
знать о ценности такой информации и обучен правилам работы с ней;
- предпринимателем должны
быть выполнены действия по защите этой информации.
Для документирования
информации предпринимателя, являющейся результатом творческого
интеллектуального труда в науке и производстве, наиболее характерны не
текстовые, а изобразительные способы. Достаточно часто конфиденциальная
информация документируется фотографическими, видеографическими и иными способами.
Ценность информации может
быть стоимостной категорией и отражать конкретный размер прибыли при ее
использовании или размер убытков при ее утере. Информация становится часто
ценной ввиду ее правового значения для организации или развития бизнеса,
например учредительные документы, программы и планы, договоры с партнерами и
посредниками и т.д. Ценность может отражать ее перспективное научное,
техническое или технологическое значение.
Следовательно, собственная
ценная информация предпринимателя не обязательно является конфиденциальной.
Часто обычный правовой документ важно сохранить в целостности и безопасности от
похитителя или стихийного бедствия.
Ценную конфиденциальную
деловую информацию, как правило, содержат [3]:
- планы развития
производства;
- деловые планы;
- планы маркетинга,
бизнес-планы;
- списки держателей акций
и другие документы.
Наиболее ценны сведения о
производстве и продукции, рынке, научных разработках, материально-техническом
обеспечении, условиях контрактных переговоров, сведения о персонале, принципах
управления фирмой, системе безопасности фирмы и др.
Коммерческая ценность
информации, как правило, недолговечна и определяется временем, необходимым
конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования
и перехода в число общеизвестных. Степень ценности информации и необходимая
надежность ее защиты находятся в прямой зависимости.
Зарубежные фирмы в целях
повышения своего престижа и конкурентоспособности товаров часто используют
различные рекламные приемы и, в частности, создают несуществующие секреты.
Подобный «секрет» умело разглашается с учетом общеизвестной истины - подслушанному верят больше, чем услышанному.
Выявление и регламентация
реального состава информации, представляющей ценность для предпринимателя и
подлежащей защите, является основополагающей частью системы защиты. Состав
ценной информации определяется ее собственником или владельцем и фиксируется в
специальном перечне.
Перечень ценных сведений,
составляющих тайну фирмы, является постоянным рабочим материалом руководства
фирмы, служб безопасности и конфиденциальной документации. Он регулярно
обновляется, корректируется и представляет собой инвентарный список сведений о
конкретных работах, конкретной продукции, конкретных исследованиях, конкретных
контрактах и. т.п. В перечень включаются действительно ценные сведения
(«изюминки») о каждой работе фирмы, хотя определенная номенклатура типовых
сведений в перечне может содержаться.
В каждой позиции перечня
рекомендуется указывать гриф конфиденциальности сведений, фамилии сотрудников,
имеющих право доступа к ним и несущих ответственность за их сохранность, срок
действия грифа или наименование события, снимающего это ограничение, виды
документов и баз данных, в которых эти сведения фиксируются и хранятся.
Важной задачей перечня
является дробление коммерческой тайны на отдельные информационные элементы,
известные разным лицам. В свою очередь, закрепление конфиденциальных сведений
за конкретными документами позволяет исключить возможность необоснованного
издания документов или включения в них избыточных данных.
Аналогичные перечни в
качестве разделов, входящих в общий перечень сведений, составляющих тайну
фирмы, могут иметь ее крупные структурные подразделения.
На основе перечня сведений
составляется и ведется перечень (список) документов фирмы, подлежащих защите и
имеющих соответствующий гриф ограничения доступа.
Под конфиденциальным
(защищаемым, закрытым) документом, т.е. документом, к которому ограничен доступ
персонала, понимается необходимым образом оформленный носитель ценной документированной
информации, составляющей интеллектуальную собственность предпринимателя [5;
12].
Особенность
конфиденциального документа в том, что он представляет собой одновременно:
массовый носитель ценной, защищаемой информации, основной источник накопления и
распространения этой
информации, в том числе ее разглашения (утечки), и обязательный объект защиты.
Конфиденциальный характер включенной в документ информации
обозначается грифом ограничения доступа к документу, который инициирует
выделение его из общего потока и обработку в специальном автономном режиме, а
также распространяет на документ защитные и иные меры повышенного внимания и
контроля.
Гриф ограничения доступа к документу или гриф конфиденциальности
представляет собой служебную отметку (реквизит), которая проставляется на
носителе информации или сопроводительном документе.
Информация и документы, отнесенные к
предпринимательской тайне, имеют несколько уровней грифов ограничения доступа,
соответствующих различным степеням конфиденциальности информации:
- первый, низший и массовый уровень - грифы «Коммерческая тайна»,
«Конфиденциально», «Конфиденциальная информация»;
- второй уровень -
«Коммерческая тайна. Строго конфиденциально», «Строго конфиденциально»,
«Строго конфиденциальная информация», «Конфиденциально - Особый контроль» [3; 6].
В практической деятельности может использоваться также
одноуровневая система грифования (грифов только первого уровня) или иногда - трехуровневая, при которой вводится высший
по значимости гриф - «Коммерческая тайна
особой важности» [9].
Под обозначением грифа всегда указывается номер
экземпляра документа, срок действия грифа или иные условия его снятия, а также
уточняющие отметки типа - «Лично»,
«Только адресату» и др.
Документы и информация, отнесенные к профессиональной
тайне (например, врачебной тайне, тайне страхования), как правило, грифа
ограничения доступа не имеют, потому что в полном объеме являются
конфиденциальными. В данном случае конфиденциальны массивы документов в целом,
например истории болезни, массивы учетных персональных данных и др.
На ценных, но не конфиденциальных документах может проставляться
гриф (надпись, штамп), предполагающий особое внимание к сохранности такого
документа. Например: «Собственная информация фирмы», «Информация особого
внимания», «Копии не снимать». «Хранить в сейфе» и т.д. Могут использоваться
дополнительные цветовые идентификаторы ценных и конфиденциальных документов и
дел для их быстрого визуального выделения и контроля использования в процессе
работы.
Гриф конфиденциальности присваивается документу:
- исполнителем на стадии подготовки проекта документа;
- руководителем структурного подразделения или
руководителем фирмы на стадии согласования или подписания документа;
- адресатом (получателем) документа на стадии его
первичной обработки в службе конфиденциальной документации.
Изменение грифа конфиденциальности документа производится
при изменении степени конфиденциальности содержащихся в нем сведений. Основанием
для изменения или снятия грифа конфиденциальности являются:
- соответствующая корректировка перечней
конфиденциальных сведений или конфиденциальных документов фирмы;
- истечение установленного срока действия грифа;
- наличие события, при котором гриф должен быть изменен
или снят (например, окончание действия контракта, требование заказчика
продукции, опубликование описания изделия в печати, патентование изобретения и
т.п.).
После снятия грифа документ передается в службу
открытой документации фирмы. Об изменении или снятии грифа делается отметка на
самом документе, удостоверяемая росписью руководителя, подписавшего или
утвердившего этот документ. О внесении в документ такой отметки сообщается
заинтересованным лицам и предприятиям.
В целях своевременного изменения или снятия грифа
конфиденциальности с документов рекомендуется регулярно просматривать учетные
(инвентарные) картотеки (журналы, списки) конфиденциальных документов и
выявлять те документы, которые могут быть удалены из банка контролируемых и
защищаемых документов [14; 20].
Следовательно, любая предпринимательская деятельность
всегда связана с созданием, использованием и хранением значительных объемов
информации и документов, представляющих определенную ценность для фирмы и
подлежащих обязательной защите от различных видов угроз. С этой целью на
носителе информации обозначается гриф ограничения доступа, который относит
этот носитель к категории защищаемых конфиденциальных документов и инициирует
включение по отношению к нему системы защитных мер.
1.2. Источники конфиденциальной
информации
и каналы ее разглашения
Источники (обладатели) ценной, конфиденциальной
документированной информации представляют собой накопители (концентраторы,
излучатели) этой информации. К числу основных видов источников конфиденциальной
информации относятся: персонал
фирмы и окружающие фирму люди;
документы; публикации о фирме и ее разработках, рекламные издания,
выставочные материалы; физические поля, волны, излучения, сопровождающие работу
вычислительной и другой офисной техники, различных приборов и оборудования.
Документация как источник ценной предпринимательской информации
включает:
- конфиденциальную документацию, содержащую предпринимательскую
тайну (ноу-хау);
- ценную правовую, учредительную, организационную и
распорядительную документацию;
- служебную, обычную деловую и научно-техническую
документацию, содержащую общеизвестные сведения;
- рабочие записи сотрудников, их служебные дневники,
личные рабочие планы, переписку по коммерческим и научным вопросам;
- личные архивы сотрудников фирмы.
В каждой из указанных групп могут быть:
- документы на традиционных бумажных носителях (листах
бумаги, ватмане, фотобумаге и т.п.);
- документы на технических носителях (магнитных,
фотопленочных и т.п.);
- электронные документы, банк электронных документов,
изображения документов на экране дисплея (видеограммы) [6; 7].
Информация источника всегда распространяется во внешнюю
среду. Каналы распространения информации носят объективный характер, отличаются
активностью и включают и себя:
- деловые, управленческие, торговые, научные и другие
коммуникативные регламентированные связи;
- информационные сети;
- естественные технические каналы.
Канал распространения информации представляет собой
путь перемещения ценных сведений из одного источника в другой в
санкционированном (разрешенном, законном) режиме или в силу объективных
закономерностей. Например, обсуждение конфиденциального вопроса на закрытом
совещании, запись на бумаге содержания изобретения, работа ПЭВМ и т.п.
Увеличение числа каналов распространения информации порождает расширение
состава источников ценной информации.
Источники и каналы распространения информации при
определенных условиях могут стать объектом внимания конкурента, что создает
потенциальную угрозу сохранности и целостности информации. Угроза безопасности
информации предполагает несанкционированный (незаконный) доступ конкурента или
нанятого им злоумышленника к конфиденциальной информации и как результат этого - кражу, уничтожение, фальсификацию,
модификацию, подмену документов. При отсутствии интереса конкурента угроза
информации не возникает даже в том случае, если создались предпосылки для
ознакомления с ней посторонних лиц. Ценная информация, к которой не проявляется
интерес конкурента, может не включаться в состав защищаемой, а содержащие ее
документы контролируются только с целью обеспечения сохранности носителя.
Конкурент или другое
заинтересованное лицо (далее по тексту злоумышленник) создает угрозу информации
путем установления контакта с источником информации или преобразования канала
распространения информации в канал ее утечки. Если нет угрозы, то
соответственно отсутствует факт утечки информации к злоумышленнику.
Угроза предполагает
намерение злоумышленника совершить противоправные действия по отношению к
информации для достижения желаемой цели. Угроза может быть потенциальной и
реальной. Реальные угрозы, в свою очередь, делятся на пассивные и активные.
По месту возникновения и
отношению к фирме угрозы подразделяются на внутренние и внешние, по времени - постоянные и периодические (эпизодические).
Злоумышленник может создать мнимую угрозу, на противодействие которой будут
затрачены реальные силы и средства. Угрозы информации реализуются злоумышленником
с помощью приемов и методов промышленного или экономического шпионажа.
Угроза сохранности
информации и документов особенно велика при их выходе за пределы службы
конфиденциальной документации, например при передаче документов персоналу на
рассмотрение и исполнение, при пересылке или передаче документов адресатам т.п.
Однако следует учитывать, что потеря ценной информации происходит, как
правило, не в результате преднамеренных действий конкурента или злоумышленника,
а из-за невнимательности, непрофессионализма и безответственности персонала.
Утрата (утечка, утеря)
информации предполагает несанкционированный переход ценных, конфиденциальных
сведений к лицу, не имеющему права владения ими и использования их в своих
целях для получения прибыли. В том случае, когда речь идет об утрате информации
по вине персонала, обычно используется термин «разглашение (огласка) информации». Разглашает информацию
всегда человек - устно, письменно, с
помощью жестов, мимики, условных сигналов, лично или через посредников. Термин
«утечка информации» используется наиболее широко, хотя, на наш взгляд, в
большей степени относится к утрате информации за счет ее перехвата с помощью
технических средств разведки.
При разглашении, утечке информация может переходить или
к злоумышленнику и затем, возможно, к конкуренту, или к третьему лицу. Под
третьим лицом в данном случае понимаются любые лица, получившие информацию во
владение в силу обстоятельств (т.е. ставшие ее источником), но не обладающие
правом владения ею и, что очень важно, не заинтересованные в этой информации.
Однако следует учитывать, что от третьих лиц информация может перейти к
заинтересованному в ней лицу - конкуренту
фирмы.
Переход информации к третьему лицу можно назвать
непреднамеренным, стихийным. Он возникает в результате:
- утери или случайного уничтожения документа, пакета
(конверта);
- невыполнения, незнания или игнорирования сотрудником
требований по защите информации;
- излишней разговорчивости сотрудников при отсутствии
злоумышленника;
- работы с конфиденциальными документами при
посторонних лицах, несанкционированной передаче конфиденциального документа
другому сотруднику;
- использования конфиденциальных сведений в открытой
печати, личных записях, неслужебных письмах;
- наличия в документах излишней конфиденциальной
информации;
- самовольного копирования сотрудником документов в
служебных целях [13; 17; 19].
В отличие от третьего лица злоумышленник преднамеренно
и тайно организует, создает канал утечки информации и эксплуатирует ее по
возможности более или менее длительное время. Знать возможный канал утечки
информации означает:
- для злоумышленника - иметь стабильную возможность
получать ценную информацию;
- для владельца информации - противодействовать
злоумышленнику и сохранить тайну, а иногда и дезинформировать конкурента.
Информация должна поступать к конкуренту только по
контролируемому каналу, в котором отсутствуют конфиденциальные сведения, а
циркулирующая информация ранжирована по составу, пользователям и
характеризуется общей известностью и доступностью. Примером такого канала
является издание и распространение рекламно-информационных материалов.
Каналы утечки, которыми
пользуются злоумышленники, отличаются большим разнообразием. Основными видами
этих каналов могут быть следующие:
- установление
злоумышленником взаимоотношений с сотрудниками фирмы или посетителями,
сотрудниками фирм-партнеров, служащими государственных или муниципальных
органов управления и другими лицами;
- анализ опубликованных
материалов о фирме, рекламных изданий, выставочных проспектов и другой
общедоступной информации;
- поступление
злоумышленника на работу в фирму;
- работа в информационных
сетях;
- криминальный, силовой
доступ к информации, т.е. кража документов, шантаж персонала и другие способы;
- работа злоумышленника в
технических каналах распространения информации.
В результате своей
деятельности по организации разглашения или утечки ценной, конфиденциальной
информации злоумышленник получает:
- подлинник или
официальную копию конфиденциального документа (бумажного или машиночитаемого);
- несанкционированно
сделанную копию этого документа (рукописную или изготовленную с помощью
технических средств - копировального
аппарата, фототехники, компьютера и т.п.);
- диктофонную,
магнитофонную кассету со звукозаписью текста документа;
- письменное или устное
изложение за пределами фирмы содержания документа, ознакомление с которым
осуществлялось санкционирование или тайно;
- устное изложение текста
документа по телефону, переговорному устройству, специальной радиосвязи и т.п.;
- аналог документа, переданного по факсимильной связи или электронной
почте;
- речевую или визуальную
запись текста документа, выполненную с помощью технических средств разведки
(радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов,
фотографирования с большого расстояния) [18].
Обнаружение канала
разглашения (утечки) информации - сложная,
длительная и трудоемкая задача. В основе ее решения лежит классификация и
постоянное изучение источников и каналов распространения информации, выявление угроз информации и
возможныx каналов ее утечки, поиск и обнаружение реальных каналов утечки,
оценка степени опасности каждого реального канала, подавление опасных каналов
и анализ эффективности защитных мер, предпринятых для безопасности информации.
Каналы разглашения (утечки) информации всегда индивидуальны и зависят от
конкретных задач, поставленных перед злоумышленником.
Следовательно, контроль источников и каналов
распространения конфиденциальной информации позволяет определить наличие и
характеристику угроз информации, выработать структуру системы защиты
информации, надежно перекрывающую доступ злоумышленнику к ценной информации
фирмы.
Глава 2. Система защиты
документированной информации от
несанкционированного доступа
2.1. Защита ценной информации и
конфиденциальных документов
Система защиты информации (СЗИ) представляет собой комплекс
организационных, технических и технологических средств, методов и мер,
препятствующих несанкционированному (незаконному) доступу к информации.
Собственник или владелец информации лично определяет не
только состав ценной информации, подлежащей защите, но и соответствующие
способы и средства защиты. Одновременно им разрабатываются меры материального и
морального стимулирования сотрудников, соблюдающих порядок защиты ценной
информации, и меры ответственности персонала за разглашение тайны фирмы.
Система защиты информации должна быть многоуровневой с иерархическим доступом
к информации, предельно конкретизированной и привязанной к специфике фирмы по
структуре используемых методов и средств защиты, открытой для регулярного
обновления, надежной как в обычных, так и в экстремальных ситуациях. Она не
должна создавать сотрудникам фирмы серьезные неудобства в работе.
Комплексность системы защиты достигается ее
формированием из различных элементов -
правовых, организационных, технических и программно-математических.
Соотношение элементов и их содержание обеспечивают индивидуальность системы
защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления.
Конкретную систему защиты можно представить в виде кирпичной стены, состоящей
из множества разнообразных элементов (кирпичиков). Соотношение элементов
системы, их состав и взаимосвязь отражают, определяют не только ее индивидуальность,
но и конкретный заданный уровень защиты с учетом ценности информации и
стоимости подобной системы.
Элемент правовой защиты информации предполагает:
- наличие в учредительных и организационных документах
фирмы, контрактах, заключаемых с сотрудниками, и в должностных инструкциях
положений и обязательств по защите сведений, составляющих тайну фирмы и ее
партнеров;
- формулирование и доведение до сведения всех
сотрудников фирмы механизма правовой ответственности за разглашение конфиденциальных
сведений.
В правовой элемент системы защиты может также
включаться страхование ценной информации от различных рисков.
Элемент организационной защиты информации содержит меры
управленческого и ограничительного характера, побуждающие персонал соблюдать
правила защиты конфиденциальной информации, и включает в себя:
- формирование и регламентацию деятельности службы
безопасности фирмы, обеспечение этой службы нормативно-методическими
документами по организации и технологии защиты информации;
- регламентацию и регулярное обновление перечня
(списка) ценной, конфиденциальной информации, подлежащей защите, составление
и ведение перечня конфиденциальных документов фирмы;
- регламентацию системы (иерархической схемы)
разграничения доступа персонала к конфиденциальной информации;
- регламентацию технологии защиты и обработки
конфиденциальных документов фирмы;
- построение защищенного традиционного или безбумажного
документооборота;
- построение технологии документирования ценной
информации, составления, оформления, изготовления и издания конфиденциальных
документов;
- построение технологической системы обработки и
хранения конфиденциальных документов;
- организацию архивного хранения конфиденциальных
документов;
- регламентацию защиты ценной информации фирмы от несанкционированных
действий персонала;
- порядок и правила работы персонала с
конфиденциальными документами и информацией, контроль за исполнением всеми
сотрудниками этого порядка и правил;
- отбор персонала для работы с конфиденциальной
информацией, обучения и инструктирования сотрудников;
- порядок зашиты информации при ведении переговоров,
проведении совещаний по конфиденциальным вопросам, приеме посетителей,
осуществлении рекламной, выставочной и другой деятельности;
- регламентацию аналитической работы по выявлению угроз
ценной информации фирмы и каналов утечки информации;
- оборудование и аттестацию помещений и рабочих зон,
выделенных для осуществления конфиденциальной деятельности, лицензирование
технических систем и средств защиты информации и охраны;
- регламентацию пропускного режима на территории, в
зданиях и помещениях фирмы, идентификацию персонала и грузов;
- регламентацию системы охраны территории, здания,
помещений, оборудования, денежных средств, транспорта и персонала фирмы;
- регламентацию организационных вопросов эксплуатации
технических средств защиты информации и охраны;
- регламентацию действий службы безопасности и
персонала в экстремальных ситуациях;
- регламентацию работы по управлению системой защиты
информации фирмы [6].
Элемент организационной защиты является стержнем,
который связывает в единую систему все другие элементы.
Центральной проблемой при разработке методов
организационной защиты информации является формирование разрешительной
(разграничительной) системы доступа персонала к конфиденциальным сведениям,
документам и базам данных. Важно четко и однозначно установить: кто, кого, к
каким сведениям, когда, на какой период и как допускает.
Разрешительная система доступа решает следующие задачи:
- обеспечение сотрудников всеми необходимыми для работы
документами и информацией;
- ограничение круга лиц, допускаемых к конфиденциальным
документам;
- исключение несанкционированного ознакомления с
документами.
Иерархическая последовательность доступа реализуется по
принципу «чем выше ценность конфиденциальных сведений, тем меньшее число
сотрудников могут их знать». В соответствии с этой последовательностью
определяется необходимая степень ужесточения защитных мер, структура рубежей
(эшелонов) защиты информации.
Доступ сотрудника к конфиденциальным сведениям,
осуществляемый в соответствии с разрешительной системой, называется
санкционированным. Разрешение (санкция) на доступ к этим сведениям всегда
является строго персонифицированным и дается руководителем в письменном виде: приказом,
утверждающим схему должностного или именного доступа к информации, резолюцией
на документе, списком-разрешением в карточке выдачи дела или на обложке дела,
списком ознакомления с документом.
Организационные меры защиты отражаются в нормативно-методических
документах службы безопасности фирмы. В этой связи часто используется единое
название двух рассмотренных выше элементов системы защиты - элемент организационно-правовой защиты
информации;
Элемент технической защиты включает:
- средства защиты технических каналов утечки
информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов,
принтеров, факсов и других приборов и оборудования;
- средства защиты помещений от визуальных и
акустических способов технической разведки;
- средства охраны зданий и помещений от проникновения
посторонних лиц (средства наблюдения, оповещения, сигнализации, информирования
и идентификации, инженерные сооружения);
- средства противопожарной охраны;
- средства обнаружения приборов и устройств технической
разведки (подслушивающих и передающих устройств, звукозаписывающей и
телевизионной аппаратуры и т.п.) [7; 16].
Элемент программно-математической защиты информации
включает:
- регламентацию доступа к электронным документам
персональными паролями, идентифицирующими командами и другими простейшими
методами защиты;
- регламентацию специальных средств и продуктов
программной защиты;
- регламентацию криптографических методов защиты
информации в ЭВМ и сетях, криптографирования (шифрования) текста документов
при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.
В каждом элементе защиты могут быть реализованы на
практике только отдельные составные части. Например, в организационной защите
можно регламентировать только приемы обработки конфиденциальных документов и
систему доступа к ним персонала. Методы и средства защиты информации в рамках
системы зашиты должны регулярно изменяться с целью предотвращения их раскрытия
злоумышленником.
Конкретная система зашиты информации фирмы всегда
является строго конфиденциальной. Разработчики этой системы никогда не должны
быть ее пользователями.
Следовательно, используемая фирмой система защиты
ценной, конфиденциальной информации является индивидуализированной
совокупностью необходимых элементов защиты, каждый из которых в отдельности
решает свои специфические для данной фирмы задачи и обладает
конкретизированным относительно этих задач содержанием. В комплексе эти
элементы формируют многорубежную защиту секретов фирмы и дают относительную
гарантию безопасности предпринимательской деятельности фирмы.
2.2.
Защита информации: отечественный и зарубежный опыт
Формирование российского законодательства [1; 2], регулирующего
вопросы защиты информации и информации, составляющей коммерческую тайну, в
частности, испытывает определенное влияние опыта и практики ведущих государств
мира. В связи с этим интересно рассмотреть некоторые вопросы
правового регулирования защиты коммерческой тайны в зарубежных странах.
В литературе и на практике могут встречаться различные
применяемые в этой области термины, в частности, такие, как: производственная
тайна, деловая конфиденциальная информация, промышленная тайна, торговый
секрет, секрет фирмы,
«ноу-хау» и другие. Обозначают
они не что иное, как
секреты хозяйствующего субъекта в смысле известного определения (ст. 139
ГК РФ) коммерческой тайны.
Подобное разнообразие употребляемой терминологии
объясняется, как правило, отсутствием в законодательстве ведущих государств
специальных актов, регулирующих защиту информации, составляющей коммерческую
тайну.
Например, в Австралии законом предусматривается
уголовно-правовая и гражданско-правовая ответственность лиц, виновных в
разглашении коммерческой тайны или производственных секретов, включая неправомерное
использование документов, полученных от партнеров в доверительном порядке. В
Австрии закрытой считается информация, отвечающая определенным критериям:
охрана при помощи специальных мер; наличие особых условий хранения; ограничение
круга лиц, имеющих право доступа к данной информации; наличие защиты от
свободного хождения внутри предприятия; особый коммерческий интерес предприятия
в сохранении тайны; установление ответственности непосредственных носителей
коммерческой тайны - служащих предприятия
(фирмы).
Отношения конфиденциальности в Великобритании строятся
на основе отраженных в договоре обязательств отношений работодателя с его
работниками и др. Соглашения об условиях конфиденциальности могут
предшествовать заключению договоров между партнерами, являться их составной
частью, а также действовать после их прекращения. Иными словами, подобные
вопросы регулируются нормами договорного права, деликтного права, судебными
прецедентами и отдельными нормативными актами.
К коммерческой и производственной тайне в Германии
отнесены: коммерческие замыслы, коммерческие цели фирмы, предмет и результаты
заседаний органов управления фирм, размеры и условия банковских кредитов,
расчеты цен, балансы и бухгалтерские книги, негласные компаньоны товариществ, компьютерные
программы, списки представителей или посредников, картотеки клиентов и т.д.
При этом ответственным за разглашение коммерческой или
производственной тайны считается любой сотрудник фирмы (служащие, рабочие,
ученики), которому были доверены или стали известны в силу существующих
служебных отношений коммерческие и производственные секреты фирмы. Посторонние
или третьи лица также несут ответственность за нарушение тайны предпринимательской
деятельности (подстрекатели и пособники разглашения секретов фирмы либо
понуждающие к деяниям, направленным на разглашение секретов). Помимо
указанного, законодательство Германии признает виновными и незаконно
завладевших секретами с помощью технических средств (изготовление или воспроизведение
воплощающего секрет предмета - графика,
изображения, видеофильма) или изъятие предмета, в котором воплощен секрет.
Защита коммерческой и производственной тайны в Германии
предусмотрена и в отношениях между фирмой и судебным органом при ведении
судебного процесса. В частности. Гражданский процессуальный кодекс Германии
предусматривает гарантии защиты секретов во время судебного разбирательства.
При этом участник процесса имеет право отказаться от дачи показаний.
Подобная норма есть и в российском законодательстве, с
той лишь разницей, что слушание дела по ходaтaйcтвy участвующего в деле лица может быть проведено в закрытом судебном заседании (п. 1 cт. 9 АПК РФ).
В отдельных случаях за незаконное разглашение коммерческой
тайны установлены достаточно жесткие санкции. Так, в соответствии с § 333, «лишением свободы до одного года
наказывается тот, кто неправомерно разглашает тайну общества, дочернего
предприятия (§ 290 абз. 1, 2), совместно ведущегося предприятия (§ 310) или ассоциированного предприятия (§ 311), в особенности производственную или
коммерческую тайну...».
Для сравнения следует указать, что но российскому законодательству,
в соответствии со ст. 71 Федерального
закона «Об акционерных обществах» от 26.12.95
г. 208-ФЗ, не уточняется, какую именно ответственность несут члены совета
директоров, здесь в п. 2 cт. 71 отмечается только, что они несут
ответственность перед обществом за убытки, причиненные обществу их виновными
действиями (бездействием), если иные основания и размер ответственности не
установлены федеральными законами [6].
В отличие от германского законодательства, анализ
действующего законодательства России, в
частности статьи 107 - 112 ГК РФ
(производственные кооперативы) и Федерального закона от 08.05.96 г. 41-ФЗ «О производственных кооперативах», показывает,
что какой-либо детальной либо уточняющей регламентации, направленной на защиту
коммерческой тайны, эти законодательные акты не содержат [15].
Помимо указанных обстоятельств, в Германии большое
значение придается практике «последоговорной обязанности молчания» работника.
И, как показывает действительность, такие меры предосторожности оказываются
далеко не лишними.
В Египте нормативное регулирование защиты коммерческой
тайны посредством специального законодательного акта не осуществляется. В
каждой организации функционирует своя система защиты коммерческой информации.
В Индии все вопросы, связанные с передачей, использованием,
охраной коммерческой информации, а также ответственностью за нарушение прав
собственника или владельца коммерческих секретов, регулируются, в основном,
тремя статутными документами - Законом о
патентах, Договорным правом и Уголовным кодексом [6; 15]].
В Италии большое внимание уделяется регулированию
отношений непосредственно между работником и работодателем. Так, например,
понятие «долг верности» по итальянскому праву (ст. 2105 ГК Италии) означает запрет наемному работнику
развертывать к своей или чужой выгоде конкурентную
деятельность в отношении работодателя, передавать, разглашать либо
использовать каким-либо образом знания относительно организации или
продуктивных методов предприятия, если это может принести ущерб предприятию.
Представляется, что такое правило весьма обременительно
для работника, так как оно не указывает момента окончания «долга верности»;
запрет на разглашение коммерческой тайны существует вне зависимости от того,
как получил работник соответствующие знания; наконец, для нарушения «долга
верности» не обязательно наличие ущерба -
достаточно возможности его наступления.
Соединенные Штаты имеют наиболее совершенное
законодательство в области защиты информации. Еще в 1979 году здесь был принят закон о коммерческой тайне или, по
принятой в США терминологии, «фирменных секретах» (секретах производства).
Однако следует заметить, что часть штатов данный законодательный акт не
восприняла. В соответствии с законом, к коммерческой тайне относится
информация, которая:
- имеет самостоятельную экономическую стоимость
благодаря тому, что не является общеизвестной или доступной людям, которые
могут ее использовать в коммерческих целях;
- является объектом разумных усилий по защите. В
качестве доказательств, подтверждающих, что такая информация действительно
является коммерческой тайной, закон рекомендует:
- указать ценность информации;
- назвать, какие меры защиты данного секрета были
предприняты.
Рассматривая вопросы ответственности за нарушение
условий сохранения коммерческой тайны за рубежом, следует подчеркнуть, что
законодательствами, в основном, предусматриваются такие санкции, как лишение
свободы либо штраф, а также увольнение и обязательство по возмещению ущерба.
При этом размеры наказания в разных странах неодинаковы.
По Уголовному кодексу РФ самая жесткая санкция в связи с незаконным разглашением или
использованием сведений, составляющих коммерческую тайну или банковскую тайну
без согласия их владельцев ... при условии
причинения крупного ущерба (ч. 2 cт. 183 УК РФ) не превышает трех лет лишения
свободы.
Что касается штрафных санкций, то за незаконное
получение указанных сведений возможно наложение штрафа от ста до двухсот
минимальных размеров оплаты труда или в размере заработной платы или иного дохода
осужденного за период от одного до двух месяцев (ч. 1 cт. 183 УК РФ).
При этом, за незаконное разглашение указанных сведений возможно наложение
штрафа в размере от двух до пятисот минимальных размеров оплаты труда или в
размере заработной платы иного дохода осужденного за период от двух до пяти
месяцев [6; 15].
И, наконец, в качестве основных направлений, которые
выявлены в ходе рассмотрения зарубежного законодательства о защите
коммерческой тайны, представляется возможным указать следующие:
1. Зарубежное законодательство практически во всех
случаях широко практикует привлечение к ответственности лиц, нанимаемых
работодателями и допускаемых к тайне предпринимательства и к коммерческой
тайне, в частности.
2. Поскольку государственные служащие в силу своих
должностных обязанностей могут или должны быть ознакомлены с тайной
предпринимательства, во многих странах предусматривается их ответственность за
разглашение сведений, составляющих коммерческую тайну.
3. В связи с тем, что зарубежное законодательство во
многих случаях под недобросовестной конкуренцией понимает и неправомерное
получение или разглашение сведений, составляющих коммерческую тайну, представляется
возможным отметить и такие черты зарубежного законодательства о
недобросовестной конкуренции, как его многофункциональность, комплексный
подход, активность в области обновления и совершенствования, а также достаточно
высокую степень практической действенности.
4. При анализе зарубежного опыта нами было выбраны разные государства с
их подходом к обеспечению защиты конфиденциальных документов от
несанкционированного доступа. Мы пытались показать специфику подходов (как
хороших, так и плохих на наш взгляд) не выбирая только хорошие. Мы хотели
представить разные способы решения этой насущной проблемы.
Заключение
В ходе исследования было
выявлено, что информация, используемая предпринимателем в бизнесе и управлении
предприятием, банком, компанией составляет его интеллектуальную собственность.
При определенных условиях эта информация становится конфиденциальной и
относится к коммерческой тайне. В основном различают два вида информации,
подлежащих защите: техническая (методы изготовления продукции, производственные
показатели и т.д.) и деловая (экономические прогнозы, стратегия действия на
рынке и т.д.).
Коммерческая ценность
информации определяется временем, необходимым конкуренту для выработки той же
идеи или ее хищения и воспроизводства, опубликования и перехода в число
общеизвестных. Степень ценности информации и необходимая надежность ее защиты
находятся в прямой зависимости.
Информация и документы, составляющие коммерческую
тайну, имеют грифы секретности,
например, «Коммерческая тайна», «Строго конфиденциально», «Конфиденциально -
Особый контроль» и др.
Основными источниками ценной, конфиденциальной документированной
информации являются: персонал фирмы и окружающие фирму люди; документы;
публикации о фирме и ее разработках, рекламные издания, выставочные материалы
и т.д.
Угроза разглашения
конфиденциальной информации влечет за собой соблюдение особых мер по защите
информации от несанкционированного доступа. Система защиты информации должна быть многоуровневой и
привязанной к специфике фирмы по структуре используемых методов и средств
защиты.
В разных странах мира по-разному подходят к способам
защиты информации. Однако всех их объединяет предусмотренная законодательством
ответственность за разглашение коммерческой тайны или хищение конфиденциальной
информации.
Список использованных источников и литературы
1. Закон Российской Федерации «Об информации, информатизации
и защите информации» от 25 января 1995 г. //
Сборник законов Российской Федерации. 1995. №
8.
2. О государственной тайне: Закон РФ от 21.07.93
№5485-1 с изменениями, внесенными Федеральным Законом от 19.09.97 №131-ФЗ //
Собрание Законодательства РФ 1997. №41. Ст.4673.
3. Герасименко В. А. Защита информации в
автоматизированных системах обработки данных. - М., Энергоатомиздат, 1994. –
346 с.
4. Киселев А. Е., Чаплыгин В. М., Шейкин М. С.
Коммерческая безопасность. - М., Инфоарт, 1993. – 345 с.
5. Коломиец А. Защита информации, составляющей коммерческую
тайну//Закон.-1998. - №2. - С. 59 - 64.
6. Крысин А. В. Безопасность предпринимательской
деятельности. - М., Финансы и статистика, 1996. – 425 с.
7. Курушин В.Д., Минаев В.А. Компьютерные преступления
и информационная безопасность: справочник. – М.: Новый юрист,1998. - С. 65.
8. Левин А. А. Секрет фирмы. - М., Машиностроение,
1992. – 348 с.
9. Николас К. Сирополис. Управление малым бизнесом. –
М.: Дело,1997. – 425 с.
10. Организация работы с документами / Под ред.
В.А.Кудряева. – М.: Инфра-М,1999. – 575 с.
11. Основы предпринимательства. Серия «Учебники, учебные пособия». – Ростов н/Д:
Феникс,2002. – 512 с.
12. Современный словарь иностранных слов. – М.: Рус.
яз., 1993. - С. 307.
13. Степанов Е.А. Безопасность информационных ресурсов
// Делопроизводство.-1998. - №2. - С. 45-56.
14. Степанов Е.А. Некоторые документоведческие проблемы
защиты информации // Документ в административных структурах. - М., ВНИИДАД,
1995. – 456 с.
15. Тайна: Обзор нормативных актов // Закон. - 1998. -
№2. - С. 83-103.
16. Халяпин Д. Б., Ярочкин В. И. Основы защиты
информации: Учебное пособие. - М., ИПКИР, 1994. – 322 с.
17. Халяпин Д. Б., Ярочкин В. И. Основы защиты
промышленной и коммерческой информации. Термины и определения. - М., ИПКИР,
1992. – 346 с.
18. Шиверский А.А.Защита информации. –
М.,1996. – 356 с.
19. Экономическая безопасность предприятия: Защита коммерческой
тайны. Практическое пособие для руководителей и специалистов / Под ред.
В.М.Чаплыгина. - М., Аналитик-Пресс, 1991. – 344 с.
20. Ярочкин В. И. Безопасность информационных систем. - М., Ось-89,
1996. – 456 с.