Любая деятельность человека, организации, государства основывается на информации. В современном обществе информация представляет также орудие конкурентной борьбы. В ней побеждает тот, кто при прочих равных условиях владеет более полной, качественной и своевременной информацией. Добывание ее всеми возможными способами, в том числе нелегальными, противоправными, приобретает все более массовый и агрессивный характер.
Широкое применение разнообразных технических средств приема, хранения, обработки и передачи информации, бытовых электроприборов и технических средств оргтехники способствует утечке информации через различные поля и электрические сигналы. Предотвращение утечки информации основывается на четком представлении о механизмах ее утечки, возможностях тех или иных каналов утечки, определении рациональных способов защиты информации и средств их реализации.
В соответствии со ст. 2 Федерального закона РФ №24-ФЗ от 20.02.95 "Об информации, информатизации и защите информации" – информация, это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Особенность информации состоит в том, что она нематериальна и только записанная на материальный носитель, может храниться, обрабатываться, передаваться по различным каналам связи.
С точки зрения защиты информация обладает рядом свойств, основными из которых являются следующие:
1. Защищаемая информация доступна человеку, если она содержится на материальном носителе. Так как с помощью материальных средств можно защищать только материальный объект, то объектами информационной защиты являются носители информации. Физическая природа носителя-источника информации, носителя-переносчика и носителя-получателя может быть как одинаковой, так и разной.
2. Ценность информации оценивается степенью полезности ее для владельца. Она может обеспечивать ее владельцу определенные преимущества, приносить прибыль, уменьшить риск в его деятельности.
Вредной является информация, в результате использования которой ее получателю наносится моральный или материальный ущерб. Когда такая информация создается преднамеренно, то ее называют дезинформацией. Часто возникает вредная информация в результате целенаправленной или случайной модификации ее при переносе с одного носителя на другой.
Полезность информации всегда конкретна. Нет ценной информации вообще. Информация полезна или вредна для конкретного ее получателя – пользователя. Поэтому при защите информации необходимо прежде всего определить круг лиц, организаций заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники.
3. Учитывая, что информация может быть для получателя полезной или вредной, т.е. приносить ему прибыль или ущерб, что она покупается и продается, то ее можно рассматривать как товар. Цена информации связана с ее ценностью, но это разные понятия. Например, при проведении исследований могут быть затрачены большие материальные и финансовые ресурсы, которые завершились отрицательным результатом, т. е. не получена информация, на основе которой ее владелец может получить прибыль. Но отрицательные результаты представляют ценность для специалистов, занимающихся рассматриваемой проблемой, так как полученная информация позволяет ускорить процесс решения задачи. Полезная информации может быть получена ее владельцем в результате его научно-исследовательской деятельности, заимствована из различных легальных источников, может попасть к злоумышленнику случайно, например, в результате непреднамеренного подслушивания и, наконец, добыта различными нелегальными путями.
Цена информации, как любого товара, складывается из коммерческой себестоимости и прибыли.
Себестоимость определяется расходами владельца информации на ее получение путем:
проведения исследований в научных лабораториях или аналитических центрах и т. д.;
– покупки информации на рынке информации;
– добывания информации противоправными действиями.
Прибыль от информации в виду ее особенностей может принимать различные формы, причем денежное ее выражение не является самой распространенной формой. В общем случае прибыль от информации может быть получена в результате следующих действий:
– продажи информации на рынке;
– материализации информации в продукции или технологии с новыми свойствами, приносящими прибыль;
– использование информации при принятии более эффективных решений.
4. Информации, как и любой товар, может стареть. Старение информации проявляется в уменьшении ее цены.
В зависимости от продолжительности жизненного цикла коммерческая информация может классифицироваться следующие образом:
– оперативно-тактическая, теряющая ценность примерно по 10% в день (например, информация выдачи краткосрочного кредита, предложения по приобретению товара в срок до одного месяца и др.);
– стратегическая, ценность которой убывает примерно 10% в месяц (сведения о партнерах, о долгосрочном кредите, развитии и т. д.).
5. Учитывая конкретность полезности информации, нельзя объективно (без учета ее потребителя) оценить количество и качество информации. Существующие подходы и методы оценки количества информации не учитывают ее семантику (смысл, содержание).
Информация характеризуется двумя основными показателями: количеством и качеством. Причем количество информации нельзя оценить объективно, без учета уже имеющейся у получателя информации. Объективно можно определить лишь характеристики носителей – количество листов бумаги, объем машинных носителей в двоичных единицах или в количестве стандартных носителей, размерах или весе продукции и т. д.
В интересах защиты ценной (полезной) информации ее владелец (государство, организация, физическое лицо) наносит на носитель условный знак – гриф секретности или конфиденциальности, характеризующий необходимый уровень обеспечения ее безопасности.
В качестве подхода, определяющего гриф конфиденциальности информации, могут служить результаты прогноза последствий попадания информации к противоположной стороне:
– наносится экономический и моральный ущерб организации;
– создаются реальные предпосылки для катастрофических последствий в деятельности организации (предприятия), в том числе для банкротства.
Защищаемая информация неоднородна по содержанию, объему и ценности. Следовательно, защита будет рациональной по критерию эффективность/стоимость в том случае, когда уровень защиты соответствует количеству и качеству информации. Для обеспечения этого условия возникает необходимость структуризации конфиденциальной информации, т. е. разделения ее на так называемые информационные элементы.
Информационный элемент представляет собой информацию на носителе с достаточно четкими границами, удовлетворяющий следующим требованиям:
– имеет конкретный источник информации (документ, человек, образец продукции и т. д.);
– содержится на отдельном конкретном носителе;
– имеет конкретную ценность.
Источниками информации являются субъекты и объекты, от которых информация может поступить к несанкционированному получателю (злоумышленнику). Ценность этой информации определяется информированностью источника. Основными источниками информации являются:
– люди;
– документы;
– публикации в закрытой и открытой печати;
– материалы и продукция;
– черновики и отходы производства;
– технические средства обеспечения производственной деятельности.
Информативность людей как источников информации существенно различаются. Наиболее информированы руководители организаций, их заместители и ведущие специалисты. Каждый сотрудник организации владеет конфиденциальной информацией в объеме, превышающем, как правило, необходимый для выполнения его функциональных обязанностей. Распространение конфиденциальной информации между сотрудниками организации является одним из проявлений процессов выравнивания тезаурусов. Служба безопасности в интересах локализации ценной информации должна учитывать объективные процессы распространения информации внутри организации и за ее пределами.
Документы относятся к наиболее информативным источникам. Они содержат, как правило, достоверную информацию в отработанном и сжатом виде, в особенности, если документы утверждены или подписаны.
Информативность различного рода публикаций имеет широкий диапазон оценок – от очень высокой до преднамеренной или непреднамеренной дезинформации. Поэтому сведения, содержащиеся в публикациях, перед их использованием для решения своих задач, проверяются.
Продукция (без документации) является источником признаковой информации. Ноу-хау нового изделия могут содержаться во внешнем виде, например, в форме автомобиля, расцветки ткани, модели одежды, узле механизма и др., в параметрах излучаемых полей (в значениях сигналов радиостанции), в структуре материала (топлива, духов или лекарства). Для получения информации о сущности ноу-хау с целью его использования проводят изучение и исследование продукции способами обратного инженеринга (разборки, расчленения, выделения отдельных составных частей и элементов, проведения химического анализа и т.д.).
Любой творческий и производственный процесс сопровождается отходами производства. Научные работники создают эскизы будущих изделий; при производстве (опытном или промышленном) возможен брак или технологические газообразные, жидкие или твердые отходы. При печатании на пишущей машинке остаются следы документов на копировальной бумаге, которые вместе с черновиками или бракованными листами бросают в корзину для бумаг. Отходы производства в случае небрежного отношения с ними (сбрасывания на свалку без предварительной селекции, сжигания или резки бумаги и т. д.) могут привести к утечке ценной информации. Для такой возможности существуют психологические предпосылки сотрудников, серьезно не воспринимающих отходы как источники информации.
Информативными могут быть не только продукция и отходы ее производства, но и исходные материалы и сырье, а также используемое оборудование. Если среди поставляемых организации материалов и сырья появляются новые наименования, то специалисты конкурента могут определить изменения в создаваемой продукции или технологических процессах.
Следовательно, источниками конфиденциальной информации могут быть как физические лица, так и различные объекты. При решении задач ее защиты нужно учитывать каждый потенциальный источник и его информативность в конкретных условиях. Информация источника содержится на носителе, который представляет материальный объект, обеспечивающий запись, хранение и передачу в пространстве и времени информации. Известны 4 вида носителей информации:
– люди;
– материальные тела (макрочастицы);
– поля;
– элементарные частицы (микрочастицы).
Человеккак носитель информации ее запоминает и пересказывает ее получателю в письменном виде или устно. При этом он может полученную от источника информацию преобразовать в соответствии с собственным толкованием ее содержания.
Материальные тела являются носителями различных видов информации и могут содержать информацию о своем составе, структуре (строении), о воздействии на них других материальных тел. Например, по остаточным изменениям структуры бумаги восстанавливают подчищенные надписи; по изменению структуры металла двигателя определяют его заводской номер, перебитый автомобильными ворами. Бумага является самым распространенным носителем семантической информации, однако все чаще она заменяется машинными носителями (магнитными, полупроводниковыми, светочувствительными и др.). Но бумага еще длительное время останется наиболее массовым и удобным носителем, прежде всего, семантической информации.
Носителями информации о признаках являются различные поля: акустические, электрические, магнитные и электромагнитные (в диапазоне видимого и инфракрасного света, в радиодиапазоне). Информация содержится в значениях параметров полей: частоте, амплитуде, фазе.
Из многочисленных элементарных частиц в качестве носителей информации используются электроны, образующие статические заряды и электрический ток, а также частицы (электроны и ядра гелия) радиоактивных излучений. Попытки использования для переноса информации других элементарных частиц с лучшей проникающей способностью (меньшим затуханием в среде распространения), например, нейтрино, не привели пока к положительным результатам.
ИНФОРМАЦИЯ ПОДЛЕЖАЩАЯ ЗАЩИТЕ
1. Регистрационные данные.
Наименование предприятия, вид деятельности, ИНН, дата регистрации предприятия, отраслевая принадлежность, ОГРН (основной государственный регистрационный номер) и дата его присвоения, юридический и фактический адреса, телефоны и факсы, электронный адрес и т.п.
Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет.
Уровень потенциальной доступности: высокий.
2. Информация о руководстве предприятия.
Персонифицированная информация о высшем менеджменте предприятия, членах их семей, биографические справки, личностные характеристики и межличностные взаимоотношения, наличие собственности, недвижимости, пакетов акций, компрометирующая и криминальная информация.
Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников.
Уровень потенциальной доступности: высокий.
3. Кадровый раздел.
Количественный и качественный состав сотрудников предприятия, текучесть кадров, сотрудники, желающие сменить место работы, а также бывшие сотрудники предприятия, ищущие в настоящее время работу.
Источники наполнения: информация специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников, информация со специализированных сайтов по подбору персонала.
Уровень потенциальной доступности: высокий.
4. Структура предприятия.
Информация о специализации и функциях конкретных подразделений предприятия, руководителях этих подразделений. Общее представление о функционировании предприятия, сильные и слабые стороны организационной структуры предприятия.
Источники наполнения: информация специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников, информация с сайтов по родственной специализации предприятия.
Уровень потенциальной доступности: высокий.
5. Информация о владельцах и акционерах.
Реестр акционеров, аффилированные лица, персонифицированная информация о владельцах и акционерах предприятия, членах их семей, биографические справки, личностные характеристики и межличностные взаимоотношения, наличие собственности, недвижимости, пакетов акций, компрометирующая и криминальная информация.
Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников.
Уровень потенциальной доступности: высокий.
6. Финансово-хозяйственная деятельность.
Основные финансовые показатели, актив, пассив, прибыль, убытки, кредиторская, дебиторская задолженность, бухгалтерские балансы, банковские счета, проводимые операции по ним. Активы, основные средства, недвижимость, информация по крупным сделкам, обременениям, исполненные, исполняемые и ожидаемые договора по профилю (и нет).
Источники наполнения: аналогично пункту 5.
Уровень потенциальной доступности: высокий.
7. Виды деятельности, производимая продукция, рынки сбыта, конкуренты.
Источники наполнения: аналогично пункту 5.
Уровень потенциальной доступности: высокий.
8. Поставщики, партнеры, заказчики.
Источники наполнения: аналогично пункту 5.
Уровень потенциальной доступности: высокий.
9. Арбитражные и хозяйственные споры, наложенные санкции и взыскания. Спорные вопросы собственности.
Источники наполнения: данные арбитражных судов, контролирующих инстанций, специализированных информационно-аналитических агентств, собственная информация предприятия, подлежащая обязательному раскрытию, открытая информация в СМИ и сети Интернет, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников.
Уровень потенциальной доступности: высокий.
10. Конфликтные ситуации на предприятии, среди акционеров.
Источники наполнения: основные – информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, из личных блогов сотрудников, информация с «компроматных» сайтов, иная открытая информация в СМИ и сети Интернет.
Уровень потенциальной доступности: высокий.
11. Компрометирующая информация в отношении предприятия, кадрового состава, владельцев и акционеров. Информация криминального толка.
Источники наполнения: аналогично пункту 10.
Уровень потенциальной доступности: высокий.
12. Подборка прессы.
Источники наполнения: собственная информация предприятия, подлежащая обязательному раскрытию, открытая информация в СМИ и сети Интернет.
Уровень потенциальной доступности: высокий.
Как мы видим, даже если не давать о себе никакой информации, кроме сугубо официальной, узнать о предприятии можно все равно много.
После определения сведений, составляющих конфиденциальную информацию, предстоит разработать и осуществить мероприятия по обеспечению их сохранности. Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются с учетом условий ее распространения и возникающей у конкурентов заинтересованности в ее получении. Для построения системы защиты конфиденциальной информации на предприятии очень важно определить источник и соответствующие им возможные каналы утечки защищаемой информации. На каждом конкретном предприятии перечень таких каналов носит индивидуальный характер, что определяется спецификой его производственной, научно-технической, коммерческой и иной деятельности и степенью развития связей с деловыми партнерами как внутри страны, так и за рубежом.
Организация эффективной защиты коммерческой тайны предприятия во многом зависит от правильного установления носителей информации. Анализ в этой области позволяет выделить четыре вида носителя информации в зависимости от их функционального назначения, в частности: документ, человек, изделие (предмет, материал) и процесс.
Информация может быть представлена в различной форме и на различных физических носителях. Основными формами информации, представляющими интерес с точки зрения защиты, являются:
– документальная;
– акустическая (речевая);
– телекоммуникационная.
Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях. Особенность документальной информации в том, что она в сжатом виде содержит сведения, подлежащие защите.
Речевая информация возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения. Носителем речевой информации являются акустические колебания (механические колебания частиц упругой среды, распространяющиеся от источника колебаний в окружающее пространство в виде волн различной длины).
Речевой сигнал является сложным акустическим сигналом в диапазоне частот от 200... 300 Гц до 4... 8 кГц.
Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. Носителем информации при ее обработке техническими средствами и передаче по проводным каналам связи является электрический ток, а при передаче по радио– и оптическому каналам – электромагнитные волны.
Основными объектами защиты информации являются:
– информационные ресурсы, содержащие сведения, отнесенные к конфиденциальной информации – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
– технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации: средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации ограниченного доступа (звукозапись, звукоусиление, звукосопровождение, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), их информативные физические поля. Эти средства и системы называют основными техническими средствами и системами (ОТСС);
– технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в защищаемом помещении. Такие технические средства и системы называют вспомогательными техническими средствами и системами (ВТСС). К ним относятся: различного рода телефонные средства и системы; средства и системы передачи данных в системе радиосвязи; средства и системы охранной и пожарной сигнализации; средства и системы оповещения и сигнализации; контрольно-измерительная аппаратура; средства и системы кондиционирования; средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.); средства электронной оргтехники; средства и системы электрочасофикации; иные технические средства и системы.
помещения, предназначенные для проведения конфиденциальных мероприятий (совещаний, конференций, переговоров и т.п.) – защищаемые помещения (ЗП).
Характеристика каналов утечки документальной информации
Документ представляет собой средство закрепления различным способом на специальном материале информации о фактах, событиях, явлениях объективной действительности и мыслительной деятельности человека. Документ отличает то, что его функциональное назначение целиком и полностью исчерпывается свойством носителя информации. В период своего существования документ проходит определенные этапы: составление и оформление, размножение, пересылка, использование, хранение, уничтожение. Конкретное наполнение этих этапов зависит от типа документа. В настоящее время известны документы на бумажных носителях, на магнитных носителях и т.п. В целом система документов имеет довольно разветвленную структуру.
Необходимым условием сохранения документальной информации является разработка специальной инструкции по обеспечению сохранности конфиденциальной информацию в организации или на предприятии. В ней следует детализировать порядок действия исполнителей, предусмотреть четкую систему документооборота, изготовление изделий, организации работ в режимных помещениях, регламентировать условия применения средств связи, использования средств вычислительной техники, приема представителей других предприятий и т.п. В такой инструкции следует определить:
– правила и процедуру присвоения и снятия грифа документам, работам, изделиям, содержащим коммерческую тайну предприятия;
– процедуру допуска работников предприятия к сведениям, составляющим коммерческую тайну предприятия;
– обязанности и ограничения, налагаемые на исполнителей, допущенных к сведениям, составляющим коммерческую тайну предприятия;
– правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами и изделиями, содержащими коммерческую тайну предприятия;
– правила приема представителей других предприятий;
– принципы организации и проведения контроля за обеспечением сохранности сведений, составляющих коммерческую тайну предприятия;
ответственность за разглашение сведений, составляющих коммерческую тайну, и другие нарушения установленного порядка их защиты.
Очень важным нормативным началом в деле обеспечения названного режима является специальная памятка. Она составляется для работников, которые допущены к сведениям, составляющим коммерческую тайну предприятия, и должна содержать основные положения по обеспечению сохранности этих сведений. При небольших объемах работы с документацией и изделиями, содержащими коммерческую тайну, и малом числе работников, допущенных к ним, она может заменять собой инструкцию предприятия по данному вопросу. В памятку следует включить обязанности работников по сохранению коммерческой тайны, за нарушение которых может последовать установленная ответственность. Кроме того, необходимо указать, что работник обязан:
– работать только с теми сведениями и документами, содержащими коммерческую тайну предприятия, к которым он получил доступ в силу своих служебных обязанностей;
– знать, какие конкретно сведения подлежат защите;
– знать, кому из сотрудников предприятия разрешено работать со сведениями, составляющими коммерческую тайну предприятия, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников.
В памятке также устанавливается, что при участии в работе сторонних организаций работник может знакомить их представителей со сведениями, составляющими коммерческую тайну предприятия, только с письменного разрешения руководителя структурного подразделения. При этом руководитель должен определить конкретные вопросы, подлежащие рассмотрению, и указать, кому и в каком объеме может быть доведена информация, подлежащая защите. При этом руководитель должен определить конкретные вопросы, подлежащие рассмотрению, и указать, кому и в каком объеме может быть доведена информация, подлежащая защите.
Следует включить в памятку и положение о том, что запрещается помещать без необходимости сведения, составляющие коммерческую тайну предприятия, в документы, содержащие государственные секреты и имеющие в связи с этим соответствующий гриф секретности. Такое нарушение порядка обращения со сведениями, составляющими коммерческую тайну предприятию, может рассматриваться как их разглашение и влечет ответственность в соответствии с установленным законом порядком. В зависимости от особенностей предприятия в памятке могут содержаться другие положения.
На предприятии принимается целый ряд других документов. Следует быть очень внимательным к установлению системы контроля за документами, регулярно ее проверять и совершенствовать. В целях установления надлежащего контроля за хранением и использованием секретных документов, необходимо выделить их общей массы документов, находящихся в обороте на предприятии. Для этого следует ясно обозначить на лицевой обложке всех документов степень их секретности.
Существует объективная необходимость в организации специального делопроизводства с документальными носителями конфиденциальной информации, устанавливающего порядок их подготовки, присвоения соответствующего грифа, размножения, рассылки, приема и учета, группировки в дела, использования, хранения, уничтожения и проверки наличия, а также создания подразделения специального делопроизводства или назначения уполномоченного по данному вопросу.
Успех осуществления мероприятий по защите конфиденциальной информации во многом зависит от создания и соблюдения специального режима пользования ЭВТ. Использование в современных условиях компьютеров, с одной стороны, значительно облегчило сбор и хранение необходимой информации, а с другой – весьма усложнило решение проблемы защиты коммерческой тайны предприятия. Это связано с тем, что:
– необходимо иметь дело с обширным объемом информации, среди которой есть и конфиденциальная;
– в процессе производства и хранения информации она становится доступной большому количеству людей;
– обеспечение закрытости такой информации требует новых и более сложных процедур.
В случае если видны свидетельства физического вторжения в помещение, где хранятся секретные документы, то можно утверждать, что совершено хищение. Но такой вывод порой невозможно сделать, когда похищается информация, хранящаяся в электронной памяти. Не существует какой-то единственной системы, которая бы способна была обеспечить сохранность информации, заложенной в ЭВМ. Решение комплекса вопросов, связанных с защитой конфиденциальной информации, зависит от типа используемого компьютера и степени конфиденциальности информации, которую он обрабатывает. Необходимо предпринимать особые меры для обеспечения контроля за доступом к информации через персональные компьютеры. Следует учитывать и тип информации, которая хранится в памяти ЭВМ.
Принимая во внимание необходимость обеспечения закрытости информации, следует установить контроль за доступом ко всем терминалам. Целесообразно регулярно изменять имена пользователей и ключевые слова, особенно если на предприятии происходит частая смена операторского состава. Весьма эффективен порядок, когда при работе с ЭВМ каждый из допущенных работников имеет свой личный код, позволяющий ему пользоваться лишь теми программами и данными, которые его непосредственно касаются. Наличие указанных кодов предохраняет также от доступа посторонних к хранящейся информации.
Как бы ни была надежна система защиты конфиденциальной информации, периодически необходима ее проверка. Процесс проверки должен включать мероприятия как по защите информации, так и по уничтожению документации. Чтобы избежать ненужного накопления старой информации, необходимо обеспечить своевременное рассекречиванию и удалению ненужной информации из системы. Однако, хотя некоторые документы больше не представляют никакой пользы и подлежат рассекречиванию, содержащаяся в них информация может быть полезной для вашего конкурента, который может узнать о порядке решения ряда задач организации или предприятия. В ходе проверки необходимо проанализировать, насколько эффективно уничтожаются записи с целью исключить возможность использования рассекреченной информации в ущерб интересам организации. Конечным итогом системы проверки служит оценка эффективности проводимых мероприятий по защите документальной информации.
Характеристика технических каналов утечки информации
Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. По сути ТКУИ – способ получения с помощью портативных средств разведки (ПСР) конфиденциальной информации об объекте.
Сигналы являются материальными носителями информации. По своей физической природе сигналы могут быть электрическими, электромагнитными, акустическими и т.д. То есть сигналами, как правило, являются электромагнитные, механические и другие виды колебаний (волн), причем информация содержится в их изменяющихся параметрах. В зависимости от природы сигналы распространяются в определенных физических средах. В общем случае средой распространения могут быть газовые (воздушные), жидкостные (водные) и твердые среды. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт (земля) и т.п.
В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата ПСР технические каналы утечки информации можно разделить на:
электромагнитные, электрические и параметрические – для телекоммуникационной информации;
воздушные (прямые акустические), вибрационные (виброакустические), электроакустические, оптико-электронные и параметрические – для речевой информации.
Электронные устройства перехвата информации часто называют аппаратными закладками. Они представляют собой мини-передатчики, излучение которых модулируется информационным сигналом. Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается на специальное запоминающее устройство, а уже затем по команде передается на запросивший ее объект.
В воздушных (прямых акустических) технических каналах утечки информации средой распространения акустических сигналов является воздух. Для перехвата акустических сигналов в качестве датчиков используются микрофоны. Сигналы, поступающие с микрофонов непосредственно записываются на специальные портативные устройства звукозаписи или передаются с использованием специальных передатчиков в пункт приема, где осуществляется их запись. Автономные устройства, конструктивно объединяющие миниатюрные микрофоны и передатчики, называют закладными устройствами перехвата речевой информации, или просто акустическими закладками. Перехваченная закладными устройствами речевая информация может передаваться по радиоканалу, оптическому каналу (в инфракрасном диапазоне длин волн), по сети переменного тока, соединительным линиям вспомогательных технических средств и систем (ВТСС), посторонним проводникам (трубам водоснабжения и канализации, металлоконструкциям и т.п.). Однако встречаются закладные устройства, прием информации с которых можно осуществлять с обычного телефонного аппарата. Такие устройства устанавливаются или непосредственно в корпусе телефонного аппарата, находящегося в контролируемом помещении и называемом «телефоном-наблюдателем», или подключаются к телефонной линии, чаще всего в телефонной розетке. Подобное устройство конструктивно объединяет миниатюрный микрофон и специальный блок коммутации и часто называется «телефонным ухом». Блок коммутации подключает микрофон к телефонной линии при дозвоне по определенной схеме до «телефона-наблюдателя» или подаче в линию специального кодированного сигнала. Использование портативных диктофонов и акустических закладок требует проникновения на контролируемый объект (в помещение). В том случае, когда это не удается, для перехвата речевой информации используются направленные микрофоны.
Следовательно, для перехвата акустической (речевой) информации используются:
– портативные диктофоны и проводные системы скрытой звукозаписи;
– направленные микрофоны;
– акустические радиозакладки (передача информации по радиоканалу);
– акустические сетевые закладки (передача информации по сети электропитания 220 В);
– акустические ИК-закладки (передача информации по оптическому каналу в ИК-диапазоне длин волн);
– акустические телефонные закладки (передача информации по телефонной линии на высокой частоте);
– акустические телефонные закладки типа "телефонное ухо" (передача информации по телефонной линии "телефону-наблюдателю" на низкой частоте).
В вибрационных (виброакустических) технических каналах утечки информации средой распространения акустических сигналов являются ограждения конструкций зданий, сооружений (стены, потолки, полы), трубы водоснабжения, канализации и другие твердые тела. Для перехвата акустических колебаний в этом случае используются средства разведки с контактными микрофонами – стетоскопы. Контактные микрофоны, соединенные с электронным усилителем, называют электронными стетоскопами. По вибрационному каналу также возможен перехват информации с использованием закладных устройств. В основном для передачи информации используется радиоканал, поэтому такие устройства часто называют радиостетоскопами. Возможно использование закладных устройств с передачей информации по оптическому каналу в ближнем инфракрасном диапазоне длин волн, а также по ультразвуковому каналу (по металлоконструкциям здания).
Электроакустические технические каналы утечки информации возникают за счет преобразований акустических сигналов в электрические и включает перехват акустических колебаний через ВТСС, обладающие «микрофонным эффектом», а также путем «высокочастотного навязывания». Перехват акустических колебаний в данном канале утечки информации осуществляется путем непосредственного подключения к соединительным линиям ВТСС, обладающих «микрофонным эффектом», специальных высокочувствительных низкочастотных усилителей. Например, подключая такие средства к соединительным линиям телефонных аппаратов с электромеханическими вызывными звонками, можно прослушивать разговоры, ведущиеся в помещениях, где установлены эти аппараты. Технический канал утечки информации путем «высокочастотного навязывания» может быть осуществлен путем несанкционированного контактного введения токов высокой частоты от генератора, подключенного в линию (цепь), имеющую функциональную связь с нелинейными или параметрическими элементами ВТСС, на которых происходит модуляция высокочастотного сигнала информационным. Информационный сигнал в данных элементах ВТСС появляется вследствие электроакустического преобразования акустических сигналов в электрические. В силу того, что нелинейные или параметрические элементы ВТСС для высокочастотного сигнала, как правило, представляют собой несогласованную нагрузку, промодулированный высокочастотный сигнал будет отражаться от нее и распространятся в обратном направлении по линии и излучаться. Для приема излученных или отраженных высокочастотных сигналов используются специальные приемники с достаточно высокой чувствительностью.
Оптико-электронный (лазерный) канал утечки акустической информации образуется при облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей (стекол окон, картин, зеркал и т.д.). Отраженное лазерное излучение (диффузное или зеркальное) модулируется по амплитуде и фазе (по закону вибрации поверхности) и принимается приемником оптического (лазерного) излучения, при демодуляции которого выделяется речевая информация. При этом, лазер и приемник оптического излучения могут быть установлены в одном или разных местах (помещениях). Для перехвата речевой информации по данному каналу используются сложные лазерные акустические локационные системы, иногда называемые лазерными микрофонами. Работают они в ближнем инфракрасном диапазоне волн.
Методы и средства защиты информации от утечки по техническим каналам
Защита информации от утечки по техническим каналам достигается проектно – архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств).
Организационные мероприятия – это мероприятия по защите информации, проведение которых не требует применения специального разработанных технических средств.
К основным организационным мероприятиям относятся:
– категорирование и аттестация объектов и выделенных для проведения закрытых мероприятий помещений (выделенные помещения (ВП) – при защите секретной информации; защищаемые помещения (ЗП) – при защите конфиденциальной информации) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени конфиденциальности;
– установление контролируемой зоны вокруг объекта;
– организация контроля и ограничение доступа на объекты и в выделенные помещения;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
– отключение на период закрытых мероприятий технических средств, имеющих элементы, обладающие «микрофонным эффектом», от линий связи и т.д.
– привлечение к проведению работ по защите информации, по строительству, реконструкции объектов, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам.
Технические мероприятия – это мероприятия по защите информации, предусматривающие применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения информационный сигнал/шум в местах возможного размещения портативных средств наблюдения или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством наблюдения, и проводятся с использованием активных и пассивных средств.
Пассивные методы защиты направлены на:
ослабление побочных электромагнитных излучений (информационных сигналов) на границе контролируемой зоны до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
ослабление наводок побочных электромагнитных излучений (информационных сигналов) в посторонних проводниках и соединительных линиях ВТСС, выходящих за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов;
исключение (ослабление) просачивания информационных сигналов в цепи электропитания, выходящие за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством разведки на фоне естественных шумов.
Активные методы защиты информации направлены на:
– создание маскирующих пространственных электромагнитных помех с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала;
– создание маскирующих электромагнитных помех в посторонних проводниках и соединительных линиях ВТСС с целью уменьшения отношения сигнал/шум на границе контролируемой зоны до величин, обеспечивающих невозможность выделения средством разведки информационного сигнала.
Рекомендации по защите речевой информации
Организационно – технические мероприятия по защите речевой информации направлены на обеспечение защиты информации, обсуждаемой в выделенных (защищаемых) помещениях, от утечки по техническим каналам (акустический, виброакустический, электроакустические преобразования, внедрение электронных устройств перехвата информации).
При проведении мероприятий с использованием защищаемой речевой информации и технических средств ее обработки возможна утечка информации за счет:
– акустического излучения информативного речевого сигнала;
– виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ВП(ЗП);
– прослушивания разговоров, ведущихся в ВП(ЗП), по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;
электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящие за пределы КЗ;
– побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в т.ч. возникающих за счет паразитной генерации, и линий передачи информации;
– электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;
– радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в ВП)), или при наличии паразитной генерации в их узлах (элементах);
– радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации («закладочных устройств»), закладываемых в ВП(ЗП), в технические средства и системы обработки информации.
Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации.
В организации (предприятии) должен быть документально определен перечень ВП(ЗП) и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ВП(ЗП), в котором необходимо отразить:
– план размещения оборудования и схему кабельных соединений с указанием типа и емкости кабельных линий, выходящих за пределы помещения;
– перечень оборудования ВТСС и мебели, установленных в помещении, с указанием типа, учетного или инвентарного номера и даты установления и замены;
– перечень реализованных в помещении мероприятий по защите информации;
– перечень мер по акустической и вибрационной защите помещения;
– акты и результаты аттестации и периодических проверок, выводы о соответствии ВП(ЗП) предъявляемым требованиям.
Защищаемые помещения должны размещаться в пределах контролируемой территории организации (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ контролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ВП(ЗП) на первых этажах зданий.
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи). Целесообразно, чтобы окна выходили на внутреннюю, закрытую для несанкционированного доступа территорию и около окон не должно быть пожарных лестниц, водосточных труб, пристроек и т.п.
Защищаемые помещения необходимо оснащать сертифицированными по требованиям безопасности информации ВТСС, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. Эксплуатация ВТСС должна осуществляться в соответствии с предписаниями и эксплутационной документацией на них.
Специальная проверка ВП(ЗП) и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится, при необходимости, по решению руководителя предприятия. При этом проверке подвергаются ограждающие конструкции ВП(ЗП), системы отопления и вентиляции, мебель и другие предметы интерьера, а также линии и арматура систем связи, электропитания, освещения и сигнализации.
Эффективность защиты ВП(ЗП) должна соответствовать действующим нормам защиты в зависимости от установленной категории помещения.
К организационно – режимным мероприятиям по защите ВП(ЗП) можно отнести следующие:
– двери помещений необходимо оборудовать замками повышенной надежности;
– двери ВП(ЗП) в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
– выдача ключей от ВП(ЗП) должен производиться только лицам, работающим в этом помещении или ответственным за него;
– уборка помещений должна производится в присутствии лиц, ответственных за него, или специально выделенными уборщиками, имеющими допуск;
– в случае ухода из этих помещений в рабочее время, необходимо их закрывать на ключ или оставлять под ответственность доверенных лиц.
В случае обнаружения факта несанкционированного проникновения в ВП(ЗП) производится расследование, организуемое подразделением по защите информации, с обязательным составлением акта.
Во время проведения конфиденциальных мероприятий запрещается использование в защищаемом помещении радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ВП(ЗП) телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ВП(ЗП) в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Системы пожарной и охранной сигнализации ВП(ЗП) должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ВП(ЗП) контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в защищаемом помещении рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ВП(ЗП), их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ВП(ЗП). Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне защищаемых помещений разговоров, ведущихся в нем. Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ВП(ЗП).
Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ВП(ЗП) и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). С целью снижения уровня виброакустического сигнала рекомендуется расположенные в ВП(ЗП) элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. Для этой цели должны применяться сертифицированные средства активной защиты.
Информация как объект правового регулирования
Информационная сфера – сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации. Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов права, осуществляющих такую деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется, и социальных отношении, регулируемых правом или подлежащих правовому регулированию.
Основным объектом правоотношений в информационной сфере является информация. Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (Федеральный закон «Об информации, информатизации и защите информации»). Закон вводит также термин документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Понятие «документированная информация» основано на двуединстве информации – сведений и материального носителя, на котором она отражена в виде символов, знаков, букв, волн или других способов отображения. В результате документирования происходит как бы материализация и овеществление сведений. Информация «закрепляется» на материальном носителе, «привязывается» к нему и тем самым обособляется от своего создателя. В итоге в качестве документированной информации мы получаем банк данных, фонд документов, книгу, сборник статей или иной массив документов (данных) на бумажном, машиночитаемом или иных носителях. Согласно приведенному определению, документированная информация (документ) есть по сути дела объект материальный, что дает основание относить ее также и к категории вещей. На нее распространяется право вещной собственности. Однако документированная информация относится к вещам особого рода, главное отличие которой заключается в единстве документированной информации и материального носителя, что предопределяет специфику требований, касающихся ее правового режима.
С правовой точки зрения двуединство информации и материального носителя дает возможность защищать документированную информацию с использованием одновременно двух институтов: института интеллектуальной собственности и института вещной собственности.
Обеспечение безопасности информации, в том числе и в компьютерных системах, требует сохранения следующих ее свойств:
1) целостности;
2) доступности;
3) конфиденциальности.
Целостность информации заключается в ее существовании в неискаженном виде, неизменном по отношению к некоторому ее исходному состоянию.
Доступность информации – это свойство, характеризующее ее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.
Конфиденциальность информации – это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей.
Все известные на настоящий момент меры защиты информации можно разделить на следующие виды:
правовые;
организационные;
технические.
Рассмотрим, какое место занимают правовые меры в системе комплексной защиты информации.
Правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение организационных и правовых мер вызвано отчасти объективно сложившимися обстоятельствами:
проблемы законодательного регулирования защиты информации регламентировались ограниченным и явно недостаточным количеством нормативно-правовых актов;
в отсутствие законодательства по вопросам защиты информации разрабатывалось большое количество ведомственных нормативных документов, основное назначение которых заключалось в определении организационных требований по обеспечению защиты информации;
внедрение автоматизированных информационных систем требует соответствующего правового обеспечения их защиты, однако на практике в развитии правовой базы не произошло существенных изменений и приоритет остается за организационными мерами.
Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:
1) формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;
2) определение мер ответственности за нарушение правил защиты информации;
3) придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;
4) придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:
законодательство об интеллектуальной собственности;
законодательство о средствах массовой информации;
законодательство о формировании информационных ресурсов и предоставлении информации из них;
законодательство о реализации права на поиск, получение и использование информации;
законодательство о создании и применении информационных технологий и средств их обеспечения.
В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.
В соответствии с действующим законодательством информационные правоотношения – это отношения, возникающие при:
– формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, по иска, распространения и предоставления потребителю документированной информации;
– создании и использовании информационных технологий и средств их обеспечения;
– защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Коммерческая тайна
Коммерческая деятельность организации тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразной информации. В связи с этим возникают следующие вопросы:
– вся ли информация подлежит защите или следует выделять отдельные ее группы?
– если для защиты выделяется определенная группа информации, то какие критерии для этого существуют?
Отвечая на поставленные вопросы, прежде всего подчеркнем, что защите подлежит не вся информация, а только та, которая представляет ценность для организации. При определении ценности коммерческой информации необходимо руководствоваться такими ее свойствами, как полезность, своевременность и достоверность.
Полезность информации состоит в том, что она создаст субъекту выгодные условия для принятия оперативного решения и получения эффективного результата. В свою очередь полезность информации зависит от своевременного ее получения и доведения до исполнителя. Из-за несвоевременного поступления важных по своему содержанию сведений часто упускается возможность заключить выгодную торговую или иную сделку.
Критерии полезности и своевременности тесно взаимосвязаны и взаимозависимы с критерием достоверности информации. Причины возникновения недостоверных сведений различны: неправильное восприятие (в силу заблуждения, недостаточного опыта или профессиональных знаний) фактов или умышленное, предпринятое с определенной целью, их искажение. Поэтому, как правило, сведения, представляющие коммерческий интерес, а также источник их поступления должны подвергаться перепроверке.
Собственник коммерческой информации на основании совокупности перечисленных критериев определяет ее ценность для своей хозяйственной деятельности и принимает соответствующее оперативное решение.
Коммерческая тайна – конфиденциальная информация, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну, – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Режим коммерческой тайны – правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.
Федеральный Закон РФ «О коммерческой тайне» № 98-ФЗ от 29.07.2004, регламентирующий коммерческую деятельность, предусматривает, что владельцами (собственниками) коммерческой информации могут быть граждане России, граждане иностранных государств, а также объединения граждан – коллективных предпринимателей.
Обширны и направления коммерческой деятельности. Это внутренние и внешние экономические сферы производственной, посреднической, коммерческой, научно-технической, инвестиционной, сервисной деятельности.
Обеспечение защиты государственной тайны не имеет прямого отношения к защите коммерческой тайны. Однако следует указать на некоторые возможные исключения. Под защиту государства может быть взята коммерческая информация, оцененная как особо важная не только для ее собственника, но и для государства, когда не исключено, что к ней может проявить интерес иностранная спецслужба. Вопрос о подобной защите должен решаться на договорной основе между предпринимателем и органом федеральной безопасности с обозначением пределов и функций профессиональной деятельности последних.
Определение и вопросы гражданско-правовой охраны служебной и коммерческой тайны рассмотрены в ст. 139 части первой Гражданского кодекса Российской Федерации, называющейся «Служебная и коммерческая тайна»:
«1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами. Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».
Следовательно, можно выделить основные признаки информации, составляющей коммерческую и служебную тайну и подлежащей защите:
– действительная или потенциальная ценность информации в силу неизвестности ее третьим лицам;
– доступ к информации закрыт на законном основании;
– обладатель информации принимает надлежащие меры по ее охране.
Действительная или потенциальная коммерческая ценность информации во многом носит субъективный характер и позволяет предпринимателю ограничивать доступ к практически любым сведениям, используемым в предпринимательской деятельности, за исключением сведений, определяемых нормативно-правовыми актами.
Коммерческая информация, циркулирующая в организации, подразделяется на техническую, организационную, финансовую, рекламную, информацию о спросе – предложении, конкурентах, криминальной обстановке и т.д.
Прежде чем принимать меры к защите определенной информации, необходимо ответить на следующие вопросы:
1) какие сведения не могут составлять коммерческую тайну предприятия и предпринимателя, т.е. какие сведения нельзя скрывать и ограничивать доступ к ним?
2) какие сведения невыгодно скрывать?
3) какие сведения подлежат защите?
Ответ на первый вопрос содержится в ст. 5 Федерального Закона РФ «О коммерческой тайне» – сведения, которые не могут составлять коммерческую тайну. Согласно Закону, к таковым относятся:
– учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
– документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
– сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
– документы о платежеспособности;
– сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
– документы об уплате налогов и обязательных платежах;
– сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба.
Предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять перечисленные выше сведения по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством, а также трудового коллектива предприятия.
Можно задаться вопросом о том, кому конкретно предприниматель обязан предъявлять по требованию перечисленные сведения.
Исходя из характеристики информации, следует предполагать, что претендовать на это могут в пределах своей компетенции:
– прокурор в порядке надзора и в других случаях, предоставленных ему законом;
– правоохранительные органы по возбужденному уголовному делу;
– налоговые службы (управления);
– аудиторские фирмы (по просьбе самого владельца);
– профсоюзы;
– государственные предприятия (учреждения);
– санэпидемстанции;
– экологические организации;
– коммерческие предприятия и частные лица, вступающие в сделку с организацией.
Данный перечень не является исчерпывающим и может быть продолжен.
Ответ на вопрос о том, какие сведения невыгодно скрывать, касается коммерческой информации, которую невыгодно скрывать самой организации или предпринимателю. Это прежде всего рекламная информация. Без рекламы трудно добиться эффективного результата в хозяйственной деятельности, особенно в условиях жесткой конкуренции. Однако широкое распространение рекламы имеет как положительную, так и отрицательную стороны. Рекламная информация становится достоянием не только законопослушных граждан, на которых она и рассчитана, но и преступных элементов. Коммерческая информация, содержащаяся в рекламе в газетах, журналах, по телевидению и радио, помогает преступникам определить объект будущего посягательства, изучить его слабые стороны.
Предприниматель, рекламирующий свою деятельность, должен знать, с какими препятствиями он может столкнуться и как он может их преодолеть в конкретной ситуации. Не является решением этой проблемы конспирация коммерческой деятельности, что пытаются делать некоторые фирмы. Обеспечить свою безопасность можно путем применения соответствующих форм, методов и способов защиты.
К группе коммерческих сведений, подлежащих защите, относятся те, которые представляют хозяйственную ценность для предпринимателя и на которые не распространяется законный доступ третьих лиц, т.е. прежде всего сведения, составляющие коммерческую тайну.
Проблема состоит в том, кто и как должен обеспечить защиту коммерческой тайны. Действующее законодательство напрямую указывает на особенности по ее охране – ст. 10 Закона.
Следует отметить, что ограничения, вводимые на использование сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при формировании трудовой деятельности организации, персонала ее подразделений, а также при их сотрудничестве с работниками других организаций.
Целью таких ограничений является предотвращение разглашения, утечки или несанкционированного доступа к конфиденциальной информации. Ограничения должны быть целесообразными и обоснованными с точки зрения необходимости обеспечения информационной безопасности. Не допускается использование ограничений для сокрытия ошибок и некомпетентности руководства организации, бесхозяйственности, расточительства, недобросовестной конкуренции и других негативных явлений в деятельности организации, а также для уклонения от выполнения договорных обязательств и уплаты налогов.
Далее последовательно рассмотрим основные мероприятия, по введению на предприятии режима защиты конфиденциальной информации.
– определить перечень сведений, составляющей коммерческую тайну,
– установить порядок обращения с этой информацией,
– организовать учет лиц, получающих доступ к информации, и лиц, которыми информация была предоставлена или передана,
– регулировать трудовые отношения с работниками по охране конфиденциальности информации,
– регулировать гражданско-правовые отношения с контрагентами по охране конфиденциальности информации,
– нанести на носители, содержащие информацию, составляющую коммерческую тайну, гриф "Коммерческая тайна" с указанием обладателя информации.
Перечень информации, составляющей коммерческую тайну
При определении перечня информации, составляющей коммерческую тайну необходимо учитывать положения ст. 5 закона "О коммерческой тайне", устанавливающие перечень сведений, которые не могут составлять коммерческую тайну.
Следующим этапом является установление порядка обращения с информацией, составляющей коммерческую тайну предприятия , контроль соблюдения и организация порядка учета лиц, которым эта информация была предоставлена или передана.
Коммерческая тайна и трудовые отношения.
Заключение трудового договора, с условием, что сотрудник будет иметь доступ к информации, составляющей коммерческую тайну. Заключение соглашения о неразглашении информации, составляющей коммерческую тайну.
Ниже приведен типовой пример «Обязательства о неразглашении коммерческой тайны»
ОБЯЗАТЕЛЬСТВО
О НЕРАЗГЛАШЕНИИ КОММЕРЧЕСКОЙ ТАЙНЫ
Я,
_____________ – – (фамилия, имя, отчество) в качестве работника (служащего/ей) __________________________________ – – (именуемого в дальнейшем предприятие) в период трудовых (служебных) отношений с предприятием (его правопреемником) и в течение ______________________ – – после их окончания обязуюсь:
(срок)
1. Не разглашать сведения, составляющие коммерческую тайну предприятия, которые мне будут доверены или станут известны по работе (службе);
2. Не передавать третьим лицам и не раскрывать публично сведения, составляющие коммерческую тайну предприятия, без согласия предприятия;
3. Выполнять относящиеся ко мне требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны предприятия;
4. В случае попытки посторонних лиц получать от меня сведения о коммерческой тайне предприятия немедленно сообщить _______________________________________________________________________________________________________________________
(должностное лицо или подразделение предприятия)
5. Сохранять коммерческую тайну тех предприятий, с которыми имеются деловые отношения предприятия;
6. Не использовать знания коммерческой тайны предприятия для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб предприятию;
7. В случае моего увольнения все носители коммерческой тайны предприятия (рукописи, черновики, чертежи, магнитные ленты, перфокарты, перфоленты, диски, дискеты, распечатки с принтеров, кино-фотонегативы и позитивы, модели, материалы, изделия и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы на предприятии передать
__________________________________________________________________________________________________
(должностное лицо или подразделение предприятия)
8. Об утрате или недостаче носителей коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению коммерческой тайны предприятия, а также о причинах и условиях возможной утечки сведений, немедленно сообщать
____________________________________________________________________________________________________
(должностное лицо или подразделение предприятия)
Я предупрежден(на), что в случае невыполнения любого из пунктов 1, 2, 3, 5, 6, 8 настоящего обязательства, могу быть уволен(на) с предприятия. До моего сведения также доведены с разъяснениями соответствующие положения по обеспечению сохранности коммерческой тайны предприятия и перечень сведений, составляющих коммерческую тайну предприятия.
Мне известно, что нарушение этих положений может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством в виде лишения свободы, денежного штрафа, обязанности по возмещению ущерба предприятию (убытков, упущенной выгоды и морального ущерба) и других наказаний.
«___»__________________2011г. (подпись)
Один экземпляр обязательства получил(а)
«___»__________________2011г.
_____________________________
(подпись)
Профессиональные тайны
Профессиональная тайна – информация, защита которой от несанкционированного распространения является обязанностью субъекта в силу выполняемых им профессиональных функций. При этом в качестве субъекта может выступать как юридическое, так и физическое лицо.
В соответствии с действующим законодательством к профессиональной тайне относится информация, связанная со служебной деятельностью медицинских работников, нотариусов, адвокатов, частных детективов, священнослужителей, работников банков, загсов, учреждений страхования. Сохранение в тайне сведений, полученных в связи с выполнением профессиональных функций, вызвано в первую очередь нормами профессиональной этики, а не собственными коммерческими интересами предпринимателя или организации. Соответствующий правовой статус рассматриваемым нормам придает их законодательное закрепление.
Врачебная тайна. Согласно ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.
Нотариальная тайна. Тайна является специфическим правилом нотариальных действий. В соответствии со ст. 5 Основ законодательства Российской Федерации о нотариате нотариусу при исполнении служебных обязанностей, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий или увольнения, за исключением случаев, предусмотренных Основами. Обязанность хранить профессиональную тайну включена в текст присяги нотариуса.
Адвокатская тайна. В соответствии с Федеральным законом «Об адвокатской деятельности и адвокатуре в Российской Федерации» адвокат, помощник адвоката и стажер адвоката не вправе разглашать сведения, сообщенные доверителем в связи с оказанием ему юридической помощи. Причем доверительные сведения, полученные адвокатом, могут быть как в виде документов, так и в устном виде. Законом установлены гарантии независимости адвоката. В частности, адвокат не может быть допрошен в качестве свидетеля об обстоятельствах, которые стали ему известны в связи с исполнением им обязанностей защитника или представителя (ст. 15 Закона).
Банковская тайна. Понятие банковском тайны, в соответствии со ст. 857 ГК Российской Федерации, охватывает сведения о банковском счете, вкладе, операциях по счету, а также сведения о клиентах банка. Банковская тайна защищает конфиденциальную информацию клиента или коммерческую информацию корреспондента. Федеральный закон «О банках и банковской деятельности» определяет обязанности субъектов, категории информации и основания, по которым сведения предоставляются заинтересованным органам государственной власти, организациям и лицам. Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. Банк России не вправе разглашать сведения о счетах, вкладах, а также сведения о конкретных сделках и об операциях из отчетов кредитных организаций, полученные им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных федеральными законами. Таким образом, кредитная организация вправе относить к банковской тайне любые сведения, за исключением прямо указанных в Законе.
Тайна страхования. Институт страховой тайны во многих отношениях схож с институтом банковской тайны.
Тайну страхования, в соответствии со ст. 946 ГК Российской Федерации, составляют полученные страховщиком в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными ст. 139 или ст. 150 ГК РФ. Согласно ст. 8 Закона РФ «Об организации страхового дела в Российской Федерации» в качестве лица, обязанного сохранять тайну страхования, могут выступать как юридические, так и физические лица – страховые агенты и страховые брокеры. Кроме того, в соответствии со ст. 33 Закона должностные лица федерального органа исполнительной власти по надзору за страховой деятельностью не вправе использовать в корыстных целях и разглашать в какой-либо форме сведения, составляющие коммерческую тайну страховщика.
Тайна связи. Федеральный закон «О связи» в части защиты информации регулирует общественные отношения, связанные с обеспечением невозможности противоправного ознакомления с сообщениями, передаваемыми любыми субъектами – физическими или юридическими лицами – по средствам связи. При такой постановке вопроса тайна связи становится инструментом обеспечения сохранности конфиденциальной информации.
Тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией Российской Федерации. Обязанность обеспечения соблюдения тайны связи возлагается на оператора связи, под которым понимается физическое или юридическое лицо, имеющее право на предоставление услуг электрической или почтовой связи. Также операторы связи обязаны соблюдать конфиденциальность сведений об абонентах и оказываемых им услугах связи, ставших известными операторам в силу выполнения профессиональных обязанностей.
Тайна усыновления. Институт тайны усыновления связан с интересами охраны семейной жизни и выражается в установлении гражданской и уголовной ответственности за разглашение тайны усыновления (удочерения). Согласно ст. 155 УК РФ тайна усыновления может быть двух разновидностей. Первой обладают лица, которые обязаны хранить факт усыновления как служебную или профессиональную тайну (судьи, работники местных администраций, органов опеки и попечительства и прочие лица, указанные в ч. 1 ст. 139 СК РФ). Второй – все другие лица, если установлены их корыстные или иные низменные побуждения при разглашении тайны усыновления без согласия обоих усыновителей.
Тайна исповеди. Обеспечение тайны исповеди является внутренним делом священника; юридической ответственности за ее разглашение он не несет. Согласно ч. 2 ст. 51 Конституции РФ и ч. 7 ст. 3 Федерального закона «О свободе совести и религиозных объединениях» священнослужитель не может быть привлечен к ответственности за отказ от дачи показаний по обстоятельствам, которые стали ему известны из исповеди.
Персональные данные
В России нормы, регулирующие вопросы защиты персональных данных, были впервые включены в Конституцию Российской Федерации 1993 г. Согласно ст. 23 и 24 Конституции РФ каждый гражданин Российской Федерации имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Конституционное положение о недопустимости сбора, хранения, использования и распространения информации о частной жизни лица является одной из гарантий закрепленного в ст. 23 Конституции РФ права на неприкосновенность частной жизни. Оно признано защитить частную жизнь, личную и семейную тайну от какого бы то ни было проникновения в нее со стороны, как государственных органов, органов местного самоуправления, так и негосударственных предприятий, учреждений, организаций, а также отдельных граждан.
Основные положения работы с информацией о частной жизни получили закрепление в Федеральном законе от 20 февраля 1995 г. «Об информации, информатизации и защите информации». Согласно этому Закону информация о гражданах (персональные данные), т.е. сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, относится к категории конфиденциальной (ст. 2, п. 5 ст. 10, п. 1 ст. 11). Ключевым в определении персональных данных следует считать понятие «идентификация». Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона (п. 1 ст. 11).
Федеральный закон «О персональных данных» от 27 июля 2006 года № 152 (с изменениями внесенными 26.07.2011 года) регулирует деятельность по обработке (использованию персональных данных). К персональным данным относятся:
– идентификационные данные;
– биографические данные;
– личные характеристики;
– сведения о семейном положении;
– сведения о социальном положении;
– сведения о состоянии здоровья;
– особенности половой жизни гражданина и его половая ориентация;
– политические взгляды и религиозные убеждения.
В новой редакции Закона «О персональных данных» предусматривается, что нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, но и органы местного самоуправления, а также Банк России. В принципах обработки персональных данных акцентируется внимание на законности их обработки, соответствии содержания и объема обрабатываемых персональных данных заявленным целям обработки.