Из вышеприведенных цитат ряда правовых нормативных актов, где обязательство неразглашения служебной тайны соседствует с коммерческой тайной, можно сделать вывод о том, что информация, полученная служащими государственных органов при выполнении своих должностных обязанностей, и определяемая собственниками как коммерческая тайна, трансформируется в категорию служебной тайны и доступ к ней подлежит, как указано в Указе № 188, ограничению этими органами государственной власти.
При рассмотрении ограничения доступа к сведениям, составляющим служебную тайну, необходимо учесть, что защите подлежит только документированная информация.
Таким образом, служебная тайна как один из видов информации конфиденциального характера, занимает особое место в системе государственной службы. Однако правовое регулирование такого существенного для любого юридического лица вида тайны. на наш взгляд, явно недоработано, начиная с ее нечеткого определения. Но и эта тайна очень важна для предприятий, ведь часто служебная тайна является чьей-то коммерческой тайной. К сожалению, жестких гарантий сохранности конфиденциальных сведений предприятия, попавших в недра государственных органов, нет.
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ ОБЩЕСТВЕННЫМ ОРГАНИЗАЦИЯМ
Обязательства предоставления сведений, составляющих охраняемую законом тайну, общественным организациям для субъектов информационных отношений, за малым исключением, не
предусмотрено. Однако есть некоторые общественные организации, которые имеют право запрашивать или требовать необходимую им информацию.
Согласно Положению об адвокатуре РСФСР (адвокатура - общественная организация), «адвокат, выступая в качестве представителя или защитника, правомочен… запрашивать через юридическую консультацию справки, характеристики и иные документы, необходимые в связи с оказанием юридической помощи, из государственных и общественных организаций, которые обязаны в установленном порядке выдавать эти документы или их копии». Обязанностей предприятий по предоставлению информации нет, и они вправе отказать. В таком случае адвокат будет вынужден действовать через судебные органы.
Законодательство о защите прав потребителей (СМ. Сноску 65) содержит массу процедур, связанных с обращением информации, в частности, обязанность производителей (изготовителей, исполнителей, продавцов) предоставлять необходимые для потребителя сведения, разумеется, не носящие конфиденциальный характер. То есть, производитель не имеет права относить к конфиденциальной ту информацию, которая используется потребителями в целях этого закона.
Вместе с тем постановление Правительства РФ от 26.08.95 № 837 «О поддержке общественного движения в защиту прав потребителей» «в целях повышения роли общественности в обеспечении реализации законодательства о защите прав потребителей Правительство Российской Федерации постановляет:
«Государственному комитету Российской Федерации по антимонопольной политике и поддержке новых экономических структур, Государственному комитету санитарно-эпидемиологического надзора Российской Федерации, Комитету Российской Федерации по стандартизации, метрологии и сертификации. Комитету Российской Федерации по торговле принять меры по оказанию необходимой помощи общественным организациям потребителей в части предоставления доступа к информации о результатах сертификации и экспертизы качества товаров (работ, услуг), проверок соблюдения прав потребителей и правил торгового, бытового и иных видов обслуживания, порядка применения цен, а также
к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской
Федерации о защите прав потребителей».
Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.
Часть II.
КАК ЗАЩИЩАТЬ
Глава 6
СОЗДАНИЕ СИСТЕМЫ ПРАВОВОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Часто используют терминологию «защита коммерческой тайны», однако, как мы уже убедились, коммерческая тайна - только одна из разновидностей информации ограниченного доступа. которую необходимо охранять. Безусловно, защита должна быть комплексной, т. е. целесообразно создавать систему, включающую в себя различные рубежи и объекты защиты, а не довольствоваться локальной защитой.
Целями защиты информации предприятия являются (схема 4):
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, предприятия, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.
ОБЩИЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ
Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
- минимизация привилегий по доступу к информации;
- установка ловушек для провоцирования несанкционированных действий;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- глубина защиты, дублирование и перекрытие защиты;
- особая личная ответственность лиц, обеспечивающих безопасность информации;
- минимизация общих механизмов защиты.
Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:
а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.
АЛГОРИТМ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):
I. Определение объектов защиты.
II. Выявление угроз и оценка их вероятности.
III. Оценка возможного ущерба.
IV. Обзор применяемых мер защиты, определение их недостаточности.
V. Определение адекватных мер защиты.
VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
VII. Внедрение мер защиты. VIII. Контроль.
IX. Мониторинг и корректировка внедренных мер.
Детализируем указанные этапы и представим один из вариантов процесса таким образом:
1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.