Информационная безопасность предприятия занимает одну из лидирующих позиций среди факторов его успешной работы. От уровня такой безопасности во многом зависят шансы компании справиться с внешними угрозами: конкурентами, рейдерскими атаками, излишним административным давлением контролирующих органов и т. д.
Однако нередко «удар» может быть нанесен с тыла — причиной утечки стратегически важной для фирмы информации могут стать бывшие или действующие сотрудники. Цель этой публикации состоит в предложении читателю некоторых практических рекомендаций по формированию или оптимизации системы информационной безопасности предприятия.
Следует отметить, что должный уровень этого вида безопасности может быть гарантирован только при построении комплексной системы, которая должна состоять двух главных элементов: технического и юридического.
Так, техническую часть системы информационной безопасности предприятия составляют программные и технические средства предотвращения утечки, уничтожения и блокирования информации, нарушения целостности и режима доступа к ней. Этот элемент системы условно можно назвать «прямым» сдерживающим фактором, который может исключить всякую возможность нарушить режим использования информации.
Основное внимание автора в этом материале будет сосредоточено на втором, юридическом элементе системы, под которым мы понимаем нормативное определение собственником (руководством) предприятия порядка доступа к информации и правил ее обработки. Этот элемент системы условно можно назвать «непрямым» сдерживающим фактором, который через призму рассматриваемой темы направлен на решение двух главных задач: 1) привить пользователям информации чувство неизбежной юридической ответственности за нарушение порядка ее использования (обработки) и 2) обеспечить возможность практической реализации такой ответственности путем сбора надлежащих и допустимых доказательств возможных нарушений и следовательно — успешной защиты своих прав в суде.
Кроме того, установление порядка использования информации на предприятии позволяет сделать этот процесс максимально контролируемым и понятным для его участников.
Таким образом, по нашему мнению, юридическую составляющую системы информационной безопасности компании можно считать неотъемлемой «процедурной» оболочкой технического «ядра» этой системы.
Переходя к рассмотрению возможной модели юридической части указанной системы следует определиться с главными ее элементами, к числу которых можно отнести: 1) собственно информацию, которая подлежит защите и 2) участников процесса работы с ней. Остановимся на каждом из них более детально.
Информация. Учитывая законодательное определение термина «информация», а также практический опыт работы на предприятиях, можно утверждать, что в юридической защите, как правило, нуждаются три формы тех или иных сведений:
- Информация в электронном виде, сохраненная на определенных материальных носителях (ПК, серверы, USB носители, карты памяти и т. д.).
- Документация компании (информация, изложенная на бумаге).
- Устная информация, которая стала известна сотруднику, либо информация, не зафиксированная в объективном виде, но которую сотрудник получил вследствие собственного анализа и сопоставления определенных фактов (обстоятельств).
Итак, с точки зрения построения эффективной системы информационной системы предприятия важно понимать, какая именно информация подлежит защите (охране).
Статьей 21 Закона Украины «Об информации» (в редакции Закона от 13.01.2011 г. № 2938-VI) определено, что информацией с ограниченным доступом является конфиденциальная, тайная и служебная информация. Конфиденциальной является информация о физическом лице, а также информация, доступ к которой ограничен физическим или юридическим лицом, кроме субъектов властных полномочий. Конфиденциальная информация может распространяться по желанию (согласию) соответствующего лица в определенном ею порядке в соответствии с предусмотренными ею условий, а также в других случаях, определенных законом.
Гражданский кодекс Украины в статье 505 предусматривает понятие «коммерческой тайны», которой является информация, секретная в том смысле, что она в целом или в определенной форме и совокупности ее составляющих является неизвестной и не является легкодоступной для лиц, которые обычно имеют дело с видом информации, к которому она принадлежит, в связи с этим имеет коммерческую ценность и была предметом адекватных существующим обстоятельствам мер по сохранению ее секретности, принятых лицом, законно контролирующим эту информацию. Коммерческой тайной могут быть сведения технического, организационного, коммерческого, производственного и другого характера, за исключением тех, которые в соответствии с законом не могут быть отнесены к коммерческой тайне.
На наш взгляд, в сфере предпринимательской деятельности юридического лица понятия «конфиденциальная информация» и «коммерческая тайна» можно считать синонимами.
Как видим, право определить, какую именно информацию относить к разряду конфиденциальной или коммерческой тайны, принадлежит собственнику такой информации.
Однако, стоит отметить, что постановлением Кабинета Министров Украины «О перечне сведений, не представляющих коммерческую тайну» от 09.08.1993 г. № 611 установлен перечень информации, которая не может быть отнесена к разряду коммерческой тайны, а именно:
- учредительные документы, документы, разрешающие заниматься предпринимательской деятельностью и ее отдельными видами;
- информация по всем установленным формам государственной отчетности;
- данные, необходимые для проверки исчисления и уплаты налогов и других обязательных платежей;
- сведения о численности и составе работающих, их заработной плате в целом и по профессиям и должностям, а также наличие свободных рабочих мест;
- документы об уплате налогов и обязательных платежей;
- информация о загрязнении окружающей природной среды, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью, а также другие нарушения законодательства Украины и размеры причиненных при этом убытков;
- документы о платежеспособности;
- сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, союзах, объединениях и других организациях, занимающихся предпринимательской деятельностью;
- сведения, что в соответствии с действующим законодательством подлежат объявлению.
Этим постановлением также предусмотрено, что предприятия обязаны подавать перечисленные в нем сведения органам государственной исполнительной власти, контролирующим и правоохранительным органам, другим юридическим лицам в соответствии с действующим законодательством, по их требованию.
На наш взгляд, наиболее проблемным пунктом из приведенного списка являются документы о платежеспособности, поскольку именно такого рода информация часто не желательна к разглашению. В то же время, поскольку детальное описание форм предоставление такой информации в постановлении правительства не раскрыто, ее собственник имеет определенный простор для минимизации доступа к ней. Более того, в данном случае юридическая сила постановления может быть предметом отдельных дискуссий, которая сознательно не затрагивается автором.
Таким образом, предприятию следует внимательно подходить к определению перечня информации, относящейся к категории коммерческой тайны. Компания должна четко определить в своих внутренних документах общий список конфиденциальной информации.
Таким документом может быть положение о коммерческой тайне, утвержденное общим собранием участников компании или приказом руководителя. Также, можно рекомендовать закрепить такой перечень в виде номенклатуры с нужным уровнем детализации и приближения к особенностям работы предприятия. Такая номенклатура конфиденциальной информации позволит достичь определенного уровня универсальности ее применения к каждому отдельному сотруднику, а также, при необходимости, формировать статистические и и аналитические материалы для руководства.
Следующим этапом построения системы информационной безопасности является определение перечня информации (части номенклатуры), к которой предоставляется доступ определенной категории сотрудников (например — в разрезе должностей), а также утонение этого списка персонально для каждого отдельного сотрудника (например — для сокращения доступов на период испытательного срока). Указанные действия могут быть реализованы в должностных инструкциях и приказах руководителя соответственно.
На наш взгляд, это позволит централизованно наладить механизм сдерживания и противовесов и устранить возможность неконтролируемых доступов к информации в будущем (например — по причине отсутствия отдельного запрета). Также это даст возможность подтвердить, что сотрудник фактически имел доступ к определенной информации либо же наоборот — доказать, что завладение определенным видом информации выходило за рамки служебных функций сотрудника и было противоправными.
Не будет лишним напомнить, что любое правило или порядок эффективны лишь тогда, когда их исполнение контролируется должными образом. Для этого следует определить конкретное подразделение (например — служба безопасности и IT-отдел), либо же должностное лицо, которые будут нести персональную ответственность за контроль над соблюдением правил доступа к коммерческой тайне, а также хранением, размножением и использованием документов.
Часть 2
Андрей Тригуб