Главная » Пенсионная реформа » Как организация определяет конфиденциальную информацию. Понятие и виды конфиденциальной информации, классификация и характеристика

Как организация определяет конфиденциальную информацию. Понятие и виды конфиденциальной информации, классификация и характеристика

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Образовательная энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

  • программно-аппаратные средства
  • защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

  • внешние, вызванные действиями других компонентов,
  • внутренние, вызванные действиями самого компонента,
  • клиентские, вызванные действиями пользователей и администраторов.
Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

  • обеспечение подотчетности пользователей и администраторов;
  • обеспечение возможности реконструкции последовательности событий;
  • обнаружение попыток нарушений информационной безопасности;
  • предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

  • применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
  • обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
  • обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

  • К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
  • Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

  • защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
  • защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
  • защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
  • защита аппаратного комплекса от побочных электромагнитных излучений;
  • управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

  1. "Разрешено все, что не запрещено".
  2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

  1. Локализация инцидента и уменьшение наносимого вреда;
  2. Выявление нарушителя;
  3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

  1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
  2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
  3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

  • основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
  • физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
  • поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

  • реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
  • для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
  • авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

  • используется асимметричный метод шифрования передаваемых данных;
  • массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
  • контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

  • реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
  • внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
  • защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

  1. Накопленные предприятием информационные ресурсы представляют ценность.
  2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

  1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
  2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Конфиденциальная информация в любых сферах тщательно охраняется законом. Поэтому обязанность работников, имеющих к ней доступ, – охранять данные и не допускать обнародования. Предусмотрена различная ответственность за разглашение конфиденциальной информации. Человека могут даже осудить по статье из Уголовного кодекса, если он допустил серьезное нарушение. Поэтому в интересах самих работников, чтобы по их вине сведения не просочились к третьим лицам.

Что является конфиденциальной информацией

Конфиденциальная информация – это личные сведения с ограниченным доступом. Подобные данные бывают разных видов, но все они защищаются законодательством. Сотрудники, которые имеют к ним доступ, обязаны сохранять секретность и не допускать огласки. Тем более, они сами не должны разглашать подобную информацию даже в кругу семьи.

Виды конфиденциальных сведений:

  1. Персональные данные физического лица. К ним можно отнести все, что касается событий и фактов частной жизни.
  2. Служебная тайна. К ней имеют доступ только государственные сотрудники, занимающие определенную должность. Сюда можно отнести налоговую тайну, сведения об усыновлении и т.д.
  3. Профессиональная тайна. Она охраняется Конституцией России, и о ней известно ограниченному числу людей, исполняющему профессиональный долг.
  4. Личные дела осужденных за преступления.
  5. Коммерческая тайна. Эти сведения необходимо хранить для того, чтобы защитить юридическое лицо от конкуренции, или для получения выгоды.
  6. Сведения о судебных решениях и их исполнении в рамках производства.
  7. Тайна следствия и судопроизводства. Сюда можно включить сведения о пострадавших и свидетелях, которые нуждаются в государственной защите. Также в секрете держатся данные о судьях и работниках правоохранительных органов.

Данная информация является конфиденциальной, и она не подлежит разглашению. Необходимо соблюдать конфиденциальность подобных сведений с целью защиты интересов физических и юридических лиц. Неразглашение является необходимостью, потому как огласка может привести к тяжелым последствиям. Например, к банкротству фирмы, публичному осуждению человека, опасности, возникшей для свидетелей и потерпевших. Если сотрудник допустит распространение информации, тогда его имеют право наказать в зависимости от тяжести нарушения.

Договор о неразглашении

Для допуска сотрудника к секретным данным потребуется подписать договор о неразглашении. Потому как на основании этого документа можно будет призвать к ответственности, если работник не будет соблюдать свои обязанности относительно сохранности данных. Конкретного образца для соглашения нет, однако должны присутствовать все важные пункты, такие как обязанности сторон и ответственность за разглашение.

Но также нужно понимать, что без нее нельзя получить доступ к секретной информации. В любом случае, стоит обсудить сложившуюся ситуацию лично с начальством, чтобы решить вопрос с договором.

Как доказать разглашение личных сведений

Наказание, допустим, штраф по договору о неразглашении, будет положено только в том случае, если удастся подтвердить факт нарушения. Для этого подойдут любые доказательства. Как правило, их получить нетрудно, если удалось выявить недобросовестного сотрудника.

Однако для начала следует подтвердить тот факт, что секретные данные действительно были, и конкретное лицо имело к ним доступ. Для этого нужно использовать документы, допустим, договор о неразглашении. Доказательства потребуются в любом случае, даже для дисциплинарного взыскания. Тем более, они нужны будут для суда, потому как для привлечения к ответственности по статье требуются веские основания и доказательная база.

Какая ответственность предусмотрена

Сотрудник должен знать, какая информация будет являться секретной, а какая общедоступной. Поэтому он не может обнародовать конфиденциальные данные лишь по той причине, что не знал об ограниченном доступе к ним. В большинстве случаев работники намеренно обнародуют сведения, которые будут подлежать защите. Делается это по личным мотивам или же в корыстных целях.

Наказание зависит от того, в чем будет проявляться нарушение. Рассмотрим виды в зависимости от ответственности, к которой могут привлечь виновного человека.

Какое может быть наказание:

  1. Дисциплинарное наказание. Его назначает руководство организации после служебной проверки и расследования. Сотруднику могут сделать выговор, замечание или даже уволить. Конкретное решение зависит от ситуации.
  2. Административная ответственность. Она может наступить при разглашении личных данных, а также при нарушении защиты сведений, помимо государственной тайны. Виновный человек может получить наказание в виде штрафа до 10 000 рублей.
  3. Уголовная ответственность. Составы преступлений достаточно разнообразны и определяются в индивидуальном порядке. Если нарушение носит уголовный характер, тогда могут даже лишить свободы.
  4. Гражданско-правовая ответственность. Потерпевший может взыскать моральный ущерб.

В Украине действуют примерно такие же правила по поводу наказания за разглашение секретных сведений. Ответственности можно избежать лишь в определенных случаях.

В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.

Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ). Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.

Перечень конфиденциальных данных, определенных законодательством:

Вид
конфиденциальной
информации

Перечень сведений

Законодательная
норма

Информация,
составляющая
коммерческую
тайну

Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления профессиональной
деятельности, которые имеют
действительную или потенциальную
коммерческую ценность в силу
неизвестности их третьим лицам

Статья 3
Федерального
закона
N 98-ФЗ "О
коммерческой
тайне"

Банковская
тайна

Сведения об операциях, о счетах и
вкладах организаций - клиентов банков и
корреспондентов

Статья 26
Федерального
закона
N 395-1 "О
банках и
банковской
деятельности"

Адвокатская
тайна,
нотариальная
тайна

Сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю; сведения, которые стали
известны нотариусу в связи с его
профессиональной деятельностью

Основы
законодательства
Российской
Федерации о
нотариате (утв.
ВС РФ
N 4462-1); ст. 8
Федерального
закона
N 63-ФЗ "Об
адвокатской
деятельности и
адвокатуре в
Российской
Федерации"

Сведения,
связанные с
аудитом
организации

Любые сведения и документы, полученные
и (или) составленные аудиторской
организацией и ее работниками, а также
индивидуальным аудитором и работниками,
с которыми им заключены трудовые
договоры, при оказании услуг,
предусмотренных настоящим Федеральным
законом, за исключением:
1) сведений, разглашенных самим лицом,
которому оказывались услуги,
предусмотренные настоящим Федеральным
законом, либо с его согласия;
2) сведений о заключении с аудируемым
лицом договора о проведении
обязательного аудита;
3) сведений о величине оплаты
аудиторских услуг

Статья 9
Федерального
закона
N 307-ФЗ "Об
аудиторской
деятельности"

На практике режим конфиденциальности определяется:

Перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
- договорным регулированием отношений с работниками;
- договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
- нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.

Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.

Режим коммерческой тайны не может быть установлен в отношении следующих сведений:

Содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
- содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
- о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.

Рассмотрим порядок установления перечня в конкретной компании.

Как поступать с сотрудником, разгласившим конфиденциальную информацию?

Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.

При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.

Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.

Таким образом, налагая дисциплинарное взыскание, работодатель должен:

Доказать, что работник нанес материальный вред организации;
- установить, что работник разгласил конфиденциальные данные, включенные в перечень;
- подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.

Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.

Перечень конфиденциальной информации в отдельной организации

В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:

Сведения о производстве и управлении;
- данные об уровне заработной платы сотрудников;
- персональные данные сотрудников;
- управленческие решения, планы развития производства, инвестиционные программы;
- протоколы совещаний;
- конфиденциальные договоры;
- сведения о переговорах;
- сведения о кадровом составе, штатном расписании;
- стоимость и цены;
- бухгалтерская отчетность, первичная документация;
- сведения об уплаченных налогах и сборах;
- отчеты аудиторов.

Обратите внимание: персональные данные и конфиденциальная информация - не равнозначные понятия. Последнее является более широким и может включать в себя различные бухгалтерскую отчетность, данные о кадровом составе организации и иные сведения, которые охраняются компанией в соответствии с установленным режимом коммерческой тайны.

Информация, составляющая коммерческую тайну (секрет производства), - это сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которых такие сведения в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становятся известны третьим лицам без согласия обладателя либо вопреки трудовому или гражданско-правовому договору (Определение Мосгорсуда по делу N 33-36486).

Понятие персональных данных установлено в Федеральном законе N 152-ФЗ "О персональных данных". Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть, если конфиденциальная информация может относиться и к физическим, и к юридическим лицам, персональные данные - только к физическим. Перечень конфиденциальных данных, отнесенных к таковым на законодательном уровне, приведен в приложении.

Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона N 129-ФЗ "О бухгалтерском учете", ни ст. 89 Федерального закона N 208-ФЗ "Об акционерных обществах" не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа по делу N А27-25441/2009).

Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.

Порядок защиты конфиденциальной информации

В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

Определение перечня данных, составляющих коммерческую тайну;
- ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
- учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
- регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации.

В целях охраны конфиденциальности информации работодатель обязан:

Ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).

Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.

Признание данных конфиденциальными может быть оспорено в суде.

При этом в компании могут быть предприняты следующие действия:

Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
- ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
- стенографирование совещаний;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
- учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
- резервирование технических средств и дублирование массивов и носителей информации;
- защита от копирования информации, применение сертифицированных средств ее защиты;
- использование защищенных каналов связи;
- криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.

Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.

Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом "О коммерческой тайне", суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.

В суде компания доказала следующие факты: ознакомление работника с положением "О коммерческой тайне", соблюдение процедуры привлечения к дисциплинарной ответственности, факт отправки документов в адрес заместителя генерального директора сторонней организации - данных о контрагентах, сведений о сроках и способах оказания услуг, размерах вознаграждения.

Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.

Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т. к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.

Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.

Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.

В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.

конфиденциальная информация - это сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их правообладателя.

Учет (регистрация) конфиденциальных документов, прежде всего, преследует цель сохранности документов и фиксации их местонахождения. Поэтому, основная цель учета конфиденциальных документов– обеспечение их физической сохранности, комплектности и целостности, контроль за доступом к ним персонала, проверка реального наличия документов и аналитическая работа по осведомленности персонала о содержании документов.

В отличие от открытых документов конфиденциальные документы (на любом носителе) учитываются сразу при поступлении или перед изготовлением черновика документа, т. е. до рассмотрения, распределения или согласования и подписания

Учет конфиденциальных документов всегда централизуется по категориям документов и делится на несколько видов, так называемых учетов, соответствующих стадиям технологической обработки документов в документопотоках и обеспечивающих четкое распределение учетных операций на каждом участке обработки документов. Это позволяет дробить знание тайны организации между несколькими независимыми работниками и осуществлять коллегиальность при контроле за сохранностью документов на каждом участке.

В организациях, как правило, ведутся следующие виды учета конфиденциальных документов:

1) учет конвертов (пакетов), содержащих конфиденциальные документы, а также учет документов, поступающих без конвертов, по телеграфной, факсимильной связи и электронной почте с грифом конфиденциальности;

2) учет поступления документов, не имеющих грифа конфиденциальности, но отнесенных к конфиденциальным документам в перечне конфиденциальных документов организации;

3) учет входящих документов;

4) учет исходящих и внутренних документов;

5) инвентарный учет документов;

6) номенклатурный учет дел.

При любом виде учета, как и при учете обычных документов, выполняются следующие процедуры:

2) первичная регистрация исходных сведений о документе;

3) последующая запись рабочих сведений о документе;

4) формирование справочно-информационной картотеки по документам;

5) контроль процесса полноты и правильности регистрации документов, сохранности документов и учетных форм.

Основой индексирования конфиденциальных документов является валовая нумерация всего потока документов в течение календарного года. Это гарантирует сохранность записи исходных сведений о документе и сохранность документов. К номеру документа может добавляться смысловой индекс, идентифицирующий дело, в котором будет храниться документ.

Сведения, включаемые в учетную форму, при регистрации конфиденциальных документов делятся на два блока. Первый блок фиксирует постоянные (исходные) сведения о документе (вид документа; наименование автора; дату; индекс; краткое содержание документа; количество листов; наличие и количество листов приложений.). Второй блок фиксирует переменные, текущие, рабочие сведения о движении документов и местонахождении документов (резолюцию руководителя; фамилию исполнителя; дату передачи документа; роспись за документ; различные отметки.).

Служба делопроизводства для регистрации исходных и рабочих сведений о конфиденциальном документе чаще всего применяет традиционную карточную форму учета документов. Однако, одним из ее серьезных недостатков является отсутствие определенной гарантии в сохранности учетных карточек в картотеке и возможность их легкой подмены. В связи с этим возникает необходимость учета карточек и ведения с этой целью специальной учетной формы

При карточной форме учета на каждый конфиденциальный документ заполняются один – два экземпляра регистрационной карточки.

При заполнении одного экземпляра карточки она учитывается в контрольном (контрольно – учетном) журнале, обеспечивающем последовательность присвоения документам учетных номеров, контроль за наличием документов и карточек, ускорения их поиска и внесения отметок о местонахождении документа. В журнале напротив учетного номера документа указывается фамилия исполнителя, расписавшегося в карточке за получение документа.

При заполнении двух экземпляров карточки все указанные сведения фиксируются во втором экземпляре карточки, а функцию контрольного (контрольно – учетного) журнала выполняет валовая (нумерационная) учетная картотека.

Значительное место в обработке конфиденциальных документов занимает инвентарный (списочный, перечневый) учет следующих конфиденциальных документов

1) не включенных в номенклатуру дел и не подлежащих подшивке в дела;

2) изъятые по какой либо причине из дела, переведенные на выделенное хранение и образовавшие самостоятельное дело, папку, альбом;

3) технические носители информации (чистые и с записанной информацией);

4) бумажные носители информации особо ценных документов для составления черновиков, оригиналов и подлинников документов;

5) при необходимости – журналы учета документов и учетные картотеки, книги выдачи дел и документов, законченные производством дела.

Инвентарный учет конфиденциальных документов ведется непрерывно. Номера каждого года продолжают номера предыдущих лет. Инвентарный номер указывается на документе в верхнем левом углу на первом и титульном листах.

На основе применяемых регистрационных форм создается справочно-информационный банк данных, предназначенный для контроля за сохранностью документов, накопления и систематизации исходных данных о документах, внесения в учетные формы рабочих сведений в процессе исполнения документов, обеспечения контроля исполнения и проверки наличия документов.

Доступ к конфиденциальной информации санкционируется руководством организации только в письменном виде в виде распорядительного документа либо визы на служебной записке или определенном конфиденциальном документе.

Особенностью использования конфиденциальной информации является то, что не потребитель определяет, какая информация ему нужна и какой информацией он может пользоваться, а руководитель, санкционирующий доступ к ней. Это обеспечивает то, что тайну организации знает только ограниченный круг лиц и разглашение отдельной ее части не наносит серьезного вреда деятельности организации.

Реализация разрешительной системы доступа к документам основывается на анализе их содержания, которое является главным критерием однозначного определения кто, как, когда и с какими категориями документов имеет право ознакомиться и работать.

Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лица, который обращался к документу. Этот факт указывается также в карточке осведомленности сотрудника о тайнах организации.

При рассмотрении документов руководитель организации в целях защиты информации обязан решать задачи:

1) принятия решения по составу исполнителей, допускаемых к документу;

2) исключения возможности ознакомления с документом посторонних лиц в процессе своей работы с документом;

3) исключение возможности кражи или копирования документов посетителями, техническим и обслуживающим и другим персоналом;

4) исключения возможности утечки информации по техническим каналам при обсуждении документа по незащищенным каналам связи;

5) обеспечения физической сохранности всех частей документа.

Передача (прием) документов руководителю, исполнителям осуществляется только под роспись в журнале учета конфиденциальных документов либо по передаточному журналу сотрудником службы ДОУ.

Все полученные руководителем или исполнителем конфиденциальные документы в обязательном порядке вносятся им в опись документов, находящихся у исполнителя. Опись предназначена для проверки наличия документов, записи отметок службы ДОУ о возврате документов и постоянно хранится у исполнителя.

Прием – передача конфиденциальных документов производится полистно с целью проверки комплектности документа, его состояния и исключения возможности подмены отдельных листов документа.

Работник службы ДОУ, принявший возвращенный документ, делает отметку в учетной карточке документа, в описи исполнителя и одновременно делает отметку о новом местонахождении документа в контрольном журнале.

Таким образом, в процессе учета, распределения, рассмотрения, передаче документов исполнителям и приеме их обратно выполняется весь комплекс технологических операций, как обычного документооборота, так и ограничительных операций защищенного документооборота.

Под исполнением конфиденциального документа , как и обычного, понимается процесс документирования управленческого решения и действия исполнителей по выполнению заданий, предписываемых документом или резолюцией руководителя организации. Но в отличие от исполнения открытых документов исполнение конфиденциальных документов представляет собой стадию, насыщенную процедурами и этапами защищенного документооборота, основными из которых являются:

1) установление грифа конфиденциальности сведений, подлежащих включению в будущий документ;

2) оформление и учет носителя для документирования конфиденциальной информации;

3) составление, изготовление и издание конфиденциального документа.

Особенностью исполнения конфиденциальных документов является то, что по отношению к ним система защиты конфиденциальной информации начинает функционировать не после издания (подписания) конфиденциального документа, а заблаговременно, т. е. до создания будущего документа.

При составлении конфиденциального документа следует установить, является ли используемая информация конфиденциальной и какой уровень грифа конфиденциальности ей необходимо присвоить в случае издания (подписания) документа.

Основой присвоения издаваемому документу грифа конфиденциальности составляют перечень конфиденциальных сведений и документов организации и требования партнеров.

Разрешением на отправку конфиденциального документа является подписанное руководителем организации сопроводительное письмо к документу или разрешительная запись, сделанная лично руководителем в учетной форме, если документ отправляется без сопроводительного письма.

При подготовке документа к отправке на лицевой стороне конверта (пакета) обозначается гриф конфиденциальности, адресные реквизиты и номера вложенных документов. На оборотной стороне конверта (пакета) в местах склеивания ставятся печати организации. Конверты с конфиденциальными документами адресатам курьерами под роспись за получение в разносной книге, реестре или в расписке.

При отправке конфиденциальных документов заказными и ценными почтовыми отправлениями используют двойное пакетирование документов (вкладывание конверта в конверт). При этом, гриф конфиденциальности и другие реквизиты ставятся на внутреннем конверте, который опечатывается и при необходимости прошивается. Внешний конверт оформляется как при отправке обычных документов в соответствии с почтовыми правилами. Факт отправки конфиденциальных документов подтверждается почтовыми реестрами.

Конверты для отправки конфиденциальных документов должны быть светонепроницаемыми, прочными, исключающими возможность вскрытия места склейки.

Понятие "конфиденциальная информация" очень часто встречается в юридической практике. Что оно означает, и какие виды существуют? Рассмотрим это далее.

Общее понятие

Прежде чем рассматривать то, какие существуют виды конфиденциальной информации, следует детально разобраться в общих особенностях самого понятия.

Итак, если говорить очень простым языком, то к категории конфиденциальной информации относятся все те задокументированные сведения, которые хранятся на определенном предприятии или в организации любой формы собственности, распространение которых является нежелательным для самого лица. Это связано с тем, что такие сведения, как правило, представляют собой данные относительно определенных особенностей деятельности компании или фирмы, разглашение которых может нанести вред их обладателю.

Если говорить юридическими терминами, то в первых статьях Закона "Об информации" говорится о том, что рассматриваемое понятие подразумевает под собой документированные сведения, доступ к которым охраняется от всестороннего вмешательства законодательством России, действующим в настоящее время.

Законодательное регулирование

Понятие конфиденциальной информации, ее виды и характеристика закреплены в определенных нормативных актах, которые в настоящее время действуют на территории России. Какие относятся к их числу?

Главную роль в определении такого понятия играет Закон "Об информации", который закрепляет само понятие как в общем, так и в узком смыслах. Что касается видов конфиденциальной информации по законам РФ, то их полный перечень детальным образом представлен в положениях, прописанных в Указе Президента №188.

Кроме всего прочего, конфиденциальную информацию могут составлять сведения относительно конкретного лица - такие данные именуются персональными данными. Регулирование данного понятия производится на основании статей Закона "О персональных данных".

Обеспечение сохранности конфиденциальной информации, полученной в результате ведения деятельности определенного характера, в России происходит на основании актов отраслевого законодательства. В частности, к таким относятся законы "О нотариате", Об адвокатской деятельности", "О врачебной тайне" и т. п.

Кроме всего этого, отдельное внимание следует уделять сохранности информации, которая представляет собой тайну деятельности предприятия. Данные положения отлично регулирует Закон "О коммерческой тайне".

Методы регулирования конфиденциальной информации

Для того чтобы обеспечить надлежащую сохранность информации, составляющей конфиденциальные сведения, законодатель предусмотрел определенный перечень мер и методов, которые позволяют делать это.

Так, законодатель отмечает то, что для того, чтобы обеспечить сохранность конфиденциальных сведений, необходимо четко определиться, какие данные подходят к их числу. С такой целью предусматривается установление самого понятия "конфиденциальная информация", виды ее, а также определенный перечень сведений, которые могут составлять ее.

Кроме этого, для обеспечения сохранности сведений, представляющих собой тайну, законодатель предусматривает определенный порядок выдачи фактов, отнесенных к данной категории, а также определенные запреты на действия, наличие которых может привести к нарушению установленного режима безопасности информации, отведенной под группу секретной.

Виды

Что касается основных видов конфиденциальной информации, то на практике можно встретить небольшое их количество. Все они перечислены в содержании Указа Президента №188, который был издан в 1997 году.

Персональные данные

Если говорить кратко, вид конфиденциальной информации, представляющий собой персональные данные, подразумевает под своим понятием определенный спектр данных, которые касаются непосредственно определенного лица, именуемого в юридической практике субъектом персональных данных. Какие сведения относятся к этой группе данных? В первую очередь, под ними подразумеваются личные сведения - фамилия, имя, а также отчество. Кроме этого, в числе сведений, составляющих персональную информацию, законодатель определяет адрес, по которому лицо прописано или совершает свое проживание, место рождения и дату, место фактического пребывания в определенный момент. К списку данных, представляющих собой конфиденциальную информацию, также относят и сведения, имеющиеся в документах, удостоверяющих личность человека (дату и место его выдачи, серию, номер и т. п.)

Кроме всего прочего, к перечню сведений, составляющих персональные данные, законодатель также определяет и ту информацию, которая известна сотрудникам органов ЗАГС в результате совершения ими своих профессиональных обязанностей.

Законодатель определяет особенные принципы произведения обработки данных, которые представляют собой персональную информацию. Безусловно, все они должны быть соблюдены надлежащим образом. Практика показывает, что именно это позволяет точно обеспечить сохранность данных.

Работа с конфиденциальной информации в российском законодательстве предусматривает соблюдение соответствия всех целей, для которых осуществляется обработка предоставленных лицом сведений, тем, что были заявлены в качестве тех, для которых истребовались данные. Кроме этого, их объем должен полностью соответствовать тому, который необходим для реализации заявленной цели.

Законодатель предусматривает то, что все данные, которые были отведены под группу сведений, составляющих персональную информацию, должны быть исключительно достоверными. Что касается органов и специалистов, которые производят их обработку, то они не должны использовать те сведения, которые не нужны для достижения поставленной цели.

Что касается процесса хранения данных, то оно должно осуществляться лишь таким образом, чтобы по предоставленным сведениям можно было определить их владельца. Если говорить о сроках, в течение которых должен производиться процесс хранения данный вид конфиденциальной информации из классификации, рассматриваемой в этой статье, то он не должен превышать то время, которое необходимо для реализации поставленной цели. По истечении отведенного периода все данные должны быть уничтожены в установленном порядке. То же самое следует сделать тогда, когда отсутствует необходимость использования сведений.

Обработка персональных данных

Существуют определенные правила обработки персональных данных, которые обязательно следует учитывать в процессе работы с ними. Так, данный процесс осуществляется исключительно в соответствии со всеми требованиями, которые представлены в статьях ФЗ "Об информации". В соответствии предписанными в нем положениями, обработку данных может осуществлять исключительно оператор и только по согласию самого лица.

В определенных случаях данное согласие не требуется. В частности, это касается того момента, когда обработка персональных данных производится для получения статистических данных или для изучения, подтверждения научных утверждений. В некоторых случаях, это требуется для того, чтобы произвести защиту жизни и здоровья людей, а также некоторых других интересов, отнесенных к группе жизненно важных. В том случае, если журналист занимается осуществлением своей профессиональной деятельности, тогда когда факт заполучения им информации не принесет существенного ущерба лицу, являющемуся владельцем данных, он также может использовать сведения в своей работе.

В юридической практике нередко случаются такие ситуации, когда использование персональных данных лица без его согласия на то, производится в целях обеспечения соблюдения требований, предписанных договором, исполнения его положений. Однако, это возможно лишь в том случае, когда одной из его сторон является субъект, занимающийся предпринимательской деятельностью.

Коммерческая тайна

Это особый вид конфиденциальной информации. Правовой способ ее защиты и хранения также отличается своими определенными особенностями. В чем они состоят?

В первую очередь, следует понимать то, что коммерческая тайна - это информация, которая представляет собой особенности производства товаров, а также ведения бизнеса, при раскрытии которой предприятие или организация попросту перестанет получать доход.

Следует понимать еще и то, что наряду с коммерческой тайной в юридической практике существует и служебная. Данное понятие может быть использовано только в определенных государственных службах. Она представляет собой секретную информацию, охраняемую законом в особенном порядке. Что касается ее содержания, то оно, как правило, касается особенностей несения государственной службы, которые скрыты от всеобщего обозрения и имеют режим закрытого или ограниченного доступа.

Основные положения, которые касаются коммерческой и служебной тайны регулируются нормами, прописанными в статьях Законов "О коммерческой тайне" и "О служебной тайне".

За разглашение лицами, которые являются носителями информации, представляющей собой служебную или коммерческую тайну, вверенных им сведений, они могут быть подвержены ответственности, различных видов: уголовной, гражданско-правовой, административной, а также дисциплинарной, что особенно часто применяется на различных предприятиях.

Документированные информационные ресурсы

Это один из основных видов конфиденциальной информации, который очень часто используется как среди юридических, так и среди физических лиц. Она имеет особенный режим обеспечения сохранности представленных данных, а ее оформление представлено в особой форме.

Так, документированным информационным ресурсом признаются сведения определенного характера, которые зафиксированы на носителе материального типа с указанием отдельных реквизитов, перечень которых для каждого варианта документа представлен в законодательстве отдельно.

Что касается вида носителя конфиденциальной информации, то в качестве него, как правило, используется бумага. Вся фиксация сведений на носителе должна осуществляться в строгом соответствии с указанными в документе требованиями. На эти материальные носители может быть установлено право собственности, что осуществляется в соответствии с нормами гражданского законодательства.

Профессиональная и следственная тайна

В России, как и в других государствах, имеется определенный перечень профессий, которые, в силу своих особенностей, предусматривают обработку лицами определенных данных, которые составляют собой информацию, запрещенную для разглашения. К таким группам лиц, в первую очередь относятся адвокаты, нотариусы, специалисты в области медицины и т. п. Доступ к данным, полученным ими в ходе выполнения трудовых обязанностей, ограничивается на основании положений, представленных в отдельных нормативных актах, а также в Конституции государства. Так, например, в силу особенностей своей деятельности, нотариус знает об особенностях заключения каких-либо сделок, а также об их содержании. Однако лицо, которое занимается осуществлением нотариальной деятельности, не может никоим образом разглашать третьи лицам полученные им сведения.

Какие виды ценной конфиденциальной информации относятся к данной группе? В первую очередь, законодатель определяет таковой сведения, имеющиеся в личной переписке, телефонных переговорах, письмах и в иных отправлениях, которые совершаются через почтовые отделения, телеграфы, а также другие сообщения, взятые из иных источников. В таком случае лишь пользователь почтовых или, например, телеграфных услуг имеет право дать согласие на разглашение данных, составляющих На деле существуют определенные виды конфиденциальной информации в школе, обеспечивать сохранность которой обязаны сотрудники учреждения. К числу таковых могут быть отнесены данные, представленные в медицинских карточках, сведения о факте удочерения или усыновления, о безопасности здания школы, под чем подразумевается ее антитеррористическая защищенность и т. п.

Отдельное внимание следует уделить еще одному существующему в юридической практике понятию - такому, как следственная тайна. Сведения, которые были получены в ходе проведения расследований, а также ведения оперативной деятельности, также не подлежат разглашению, в особенности, лицами, которые имеют к ним прямой или косвенный доступ. Еще один вид охраняемой законом информации - судопроизводства. Обеспечивать надлежащую сохранность сведений, отнесенных к данной группе, обязаны все сотрудники аппарата суда, а, в особенности, те, которые имеют прямое отношение к рассмотрению дела. В том случае, если лицо нарушает установленный режим, в результате чего происходит утечка секретных сведений, оно может понести ответственность - дисциплинарную или уголовную, в зависимости от того, насколько серьезные последствия повлекло за собой деяние и какую форму вины имеет совершенное действие.

Сведения о сущности изобретения

Отдельное внимание законодатель уделяет вопросу, связанному с обеспечением сохранности сведений, которые составляют собой сущность изобретений или каких-либо полезных моделей. Сохранность сведений должна охраняться до того момента, пока оно не будет заявлено в свет официально, а также не будет опубликована информация об объектах.

Каким именно образом обеспечивается защита представленных объектов? Все меры, которые принимает для этого государство, предписаны статьями Гражданского кодекса, в части 4.

Данное понятие и вид конфиденциальной информации предусматривает особенный характер ее защиты. В частности, она может быть представлена в юрисдикционной форме, которая производится с участием специализированных государственных органов, а также созданием патента на это особенное изобретение.

Нередко защита новых изобретений осуществляется в гражданско-правовой форме. Специалисты в области юриспруденции отмечают, что она применяется, как правило, в том случае, когда лицензиат осознанно или случайным образом нарушает прописанные в договоре права и сознательно уклоняется от предусмотренных его содержанием обязанностей. Как правило, по результатам проведения такой формы защиты потерпевшая сторона получает компенсационную выплату, размер которой равен сумме понесенных убытков.

Кроме представленных выше форм защиты этого вида конфиденциальной информации, существует также и административный порядок. Он предусматривает письменное обращение стороны, чьи законные интересы были ущемлены, в специальный орган - Палату патентного ведомства, которая относится к группе апелляционных органов. Законодатель предусматривает довольно длительный процесс рассмотрения поданной заявки, который может длиться до 4 месяцев. По результатам процедуры, как правило, орган принимает свое решение в пользу пострадавшей стороны. На деле такая практика особенно пользуется популярностью среди обладателей патента, который признается недействительным.

Защита засекреченных сведений

Виды конфиденциальной информации и их защита прописаны в положениях различных законов, в числе которых имеется немалое количество отраслевых. Что касается защиты сведений, то она предусматривает комплекс определенных мер, которые создают препятствия к доступу к данным. К ним может быть отнесена необходимость произведения хранения документов-носителей секретных сведений в специальных сейфах, передачу электронных данных по локальной сети, ограничение списка лиц к данным и т. п.

Кроме всего этого, при нарушении установленных требований, виновное лицо обязано понести наказание, соразмерное причиненном им ущербу.



Просмотров

Дарий III: биография Дарий 3 краткая характеристика
Дарий III: биография Дарий 3 краткая характеристика
Белла Ахмадулина — интересные факты из жизни поэтессы Мужья и дети беллы ахмадулиной
Белла Ахмадулина — интересные факты из жизни поэтессы Мужья и дети беллы ахмадулиной
 Начертательная геометрия
 Начертательная геометрия
Диетические блины из овсяной муки и овсяных хлопьев
Диетические блины из овсяной муки и овсяных хлопьев
Как приготовить папоротник соленый
Как приготовить папоротник соленый
Сонник: к чему снится черт
Сонник: к чему снится черт