· во-вторых, эта информация не должна быть общеизвестной или общедоступной на законных основаниях;
· в-третьих, эти сведения не должны являться государственными секретами или защищаться согласно нормам авторского или патентного права;
· в-четвертых, информация, составляющая коммерческую тайну, должна быть зафиксирована в письменной или иной материальной форме или находиться в исключительном ведении предприятия;
· в-пятых, такая информация должна быть понятным образом специально обозначена («грифована»), и в отношении нее должны быть обеспечены необходимые меры по сохранению конфиденциальности;
· в-шестых, эти сведения не должны напрямую касаться деятельности предприятия, способной нанести ущерб обществу, жизни и здоровью людей (нарушение законов, загрязнение окружающей среды и т. д.), а также использоваться в целях недобросовестной конкуренции, уклонения от налогообложения, осуществления запрещенной или незакрепленной в уставе предприятия деятельности.
Анализ и обращение возможных каналов угроз утечки информации, составляющей коммерческую тайну, а следовательно, и мероприятия по их перекрытию должны вестись по следующим основным направлениям.
Человек – документ – изделие (процесс) – объект информации.
В данной статье рассматривается только объект информации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объектов информатизации, помещений или объектов (зданий, сооружений, технических средств).
Угрозой безопасности информации, составляющей коммерческую тайну, является совокупность условий и интересов, обеспечивающих потенциальную или реальную опасность утечки информации и нанесения ущерба.
Сущность коммерческой тайны определена законодательством в 3 видах в зависимости от характера отношений между обладателем информации и другими участниками: – в рамках трудовых отношений; – в рамках гражданско-правовых отношений; – при предоставлении информации государству и в соответствии с требованиями Федеральной службы по техническому и экспертному контролю России (ФСТЭК) в области технической защиты информации.
Утечка информации, составляющей коммерческую тайну, на объектах информатизации возможна по техническим каналам, в которые входят: гибкие и жесткие магнитные диски, магнитные ленты, средства ввода и вывода информации, средства отображения, обработки и передачи информации, средства коммуникации и электроснабжения.
Источниками возможных угроз могут быть: природные явления (магнитные бури, стихийные бедствия и т. д.), естественные, технические и созданные людьми – искусственные. Все множество потенциальных угроз по природе их возникновения можно разделить на преднамеренные и непреднамеренные, а по отношению к объекту информатизации – внешними и внутренними.
Меры по защите коммерческой тайны, принимаемые ее обладателем, должны включать в себя:
1. Определение перечня информации, составляющей коммерческую тайну. В данный перечень включается информация: – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе ноу-хау, определенная данным законом; – определяемая самим обладателем коммерческой информации, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам.
Исключение составляют сведения, которые не могут составлять коммерческую тайну, а также сведения, составляющие государственную тайну (у государственной тайны свой правовой режим). При составлении данного перечня необходимо исходить из трех основных принципов: законности, обоснованности и своевременности придания коммерческой информации конфиденциальности, то есть отнесения ее к коммерческой тайне.
Принцип законности заключается в соблюдении мер по охране конфиденциальной информации, составляющей коммерческую тайну.
Принцип обоснованности устанавливается путем экспертной оценки целесообразности придания конфиденциальности конкретной информации исходя из вероятных последствий (экономических, финансовых, кризисных и др.) этого акта и баланса экономической выгоды и безопасности организации (включая информационную безопасность).
Принцип своевременности заключается в установлении ограничения доступа и распространения коммерческой информации с момента ее получения, разработки или до разработки.
Перечень утверждается распорядительным документом руководителя организации. 2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка. В соответствии с законом доступ к информации определен как порядок ознакомления определенных лиц с информацией, с согласия обладателя информации, составляющей коммерческую тайну, при условии сохранения ее конфиденциальности.
3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана. Предоставление данной информации определяется законом как передача информации, зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.
Передача информации, составляющей коммерческую тайну, определена как передача обладателем информации, зафиксированной на материальном носителе, контрагенту – стороне гражданско-правового договора на основании данного договора.
4. Определение порядка регулирования отношений использования информации, составляющей коммерческую тайну. Данная мера предполагает регулирование отношений между: – работодателем и работниками на основании трудовых договоров; – контрагентами на основании гражданско-правовых договоров; – органами государственной власти на основании данного Федерального закона.
В любом случае вне зависимости от вида договоров в них необходимо указать объем и условия передачи информации, составляющей коммерческую тайну, включая условия принятия работником (контрагентом) мер по охране ее конфиденциальности. Данное положение также касается индивидуальных предпринимателей – обладателей информации, составляющей коммерческую тайну, не имеющих работников, с которыми заключены трудовые договоры, но имеющих гражданско-правовые договора с физическими лицами.
Что касается органов государственной власти, иных органов, органов местного самоуправления, то в соответствии с Федеральным законом «О коммерческой тайне» и другими федеральными законами они обязаны создать условия, обеспечивающие охрану конфиденциальности информации, предоставленной им юридическими лицами или индивидуальными предпринимателями.
Должностные лица, государственные или муниципальные служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам, другим органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, а также не вправе использовать эту информацию в корыстных или иных целях.
5. Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц – полное наименование и место нахождения, а для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). В данном случае гриф – реквизит документа – не означает степень конфиденциальности информации («конфиденциальность» тождественно термину «секретность»), как в Законе «О государственной тайне» – «особой важности, «Совершенно секретно» и «Секретно», а означает, что право собственности на информацию, составляющую коммерческую тайну, охраняется законодательством.
Обладатель коммерческой информации для внутреннего использования (локального пользования) может устанавливать дополнительные меры в соответствии с Федеральным законом. К таким мерам можно отнести установление степени конфиденциальности коммерческой тайны и проставлять дополнительно на документах название любых грифов, например: «Конфиденциально», «Особо конфиденциально» и т. д., за исключением наименования грифов степени секретности, определяемых Законом «О государственной тайне».
Меры по охране конфиденциальности информации признаются разумно достаточными, если:
– исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
–обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровью, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
В целом систему защиты информации, составляющей коммерческую тайну на объектах информатизации, можно представить в виде функциональной модели, которая является частью комплексной системы в организации защиты информации.
Рисунок. Функциональная модель системы защиты информации, составляющей коммерческую тайну на объекте информатизации
В условиях рыночной экономики каждое предприятие вынуждено постоянно вести конкурентную борьбу за свое существование, за прибыльное ведение дел, за свое доброе имя. Само понятие «безопасность» принимает расширенное содержание, оно включает в себя как составляющие информационно-коммерческую, юридическую и физическую безопасность.