В соответствии со ст.5 Федерального закона N 149-ФЗ Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
На предприятии может быть следующие режимы охраны информации:
1.1.Государственная тайна.
1.2.Конфиденциальная информация:
- коммерческая тайна или ноу-хау;
- служебная тайна;
- банковская тайна;
- тайна страхования;
-врачебная тайна;
- персональные данные;
- конфиденциальная информация, не вошедшая в другие категории, но не входящая в список сведений которые запрещено относить к конфиденциальной информации.
1.4. Публичная информация обязательная для распространения.
Законом N 98-ФЗ "О коммерческой тайне" определяются сведения, которые не могут составлять коммерческую тайну.
В соответствии со статьей 5 указан список таких сведений:
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Кроме того согласно Приказа Минфина РФ от 29.07.1998 N 34н «Об утверждении положения по ведению бухгалтерского учета и бухгалтерской отчетности в Российской Федерации» годовая бухгалтерская отчетность организации является открытой для заинтересованных пользователей банков, инвесторов, кредиторов, покупателей, поставщиков и др., которые могут знакомиться с годовой бухгалтерской отчетностью и получать ее копии с возмещением расходов на копирование.
Требования к коммерческой тайне
Право на коммерческую тайну действует до тех пор, пока сохраняется фактическая монополия лица на информацию, которая ее образует. Коммерческая тайна не требует официального признания ее охраноспособности, государственной регистрации или выполнения каких-либо иных формальностей, а также уплаты государственных пошлин.
Российское законодательство, как и законодательство большинства европейских стран, предъявляет к коммерческой тайне следующие три требования.
Во-первых, информация должна иметь действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам.
Во-вторых, к информации, составляющей коммерческую тайну, не должно быть свободного доступа на законном основании.
В-третьих, чтобы информация считалась коммерческой тайной, требуется, чтобы обладатель информации принимал меры к охране ее конфиденциальности.
На документах, предоставляемых органам государственной власти и муниципальным органам и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф "Коммерческая тайна" с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Персональные данные
В соответствии со статье 3 Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В соответствии с постановлением Правительства РФ от 17.11.2007 N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, в соответствии с которым регламентирована фактическая защита персональных данных.
Статья 13.11.КоАП Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Мероприятия по снижению рисков должны основываться на следующих положениях. Прежде всего это разработка модели угроз. Для чего необходимо определить режим "возможного ущерба". Т.е. такой ситуации, когда предоставление или не предоставление информации приводит к возможному ущербу для компании. И в зависимости от правового регулирования устанавливаются различного рода процедуры, направленные на снижение такого ущерба.
И использовать опыт США, Так в соответствии с законом США 2003 года "О безопасности Родины" введено понятие "критическая инфраструктура", под которой понимаются системы и активы физические или действительные, которые настолько важны, что неспособность или разрушение таких систем и активов имели бы воздействие на уменьшение безопасности.
В российской нормативной базе все это выливается в конкретный документ, который называется Модели угроз:
Так основными угрозами безопасности информации при использовании сети Интернет являются:
заражение информационно-вычислительных ресурсов программными вирусами;
несанкционированный доступ внешних пользователей к информационно-вычислительным ресурсам (в т.ч. целенаправленные сетевые атаки);
внедрение в автоматизированные информационные системы программных закладок;
загрузка трафика нежелательной корреспонденцией (спамом);
несанкционированная передача информации ограниченного доступа должностными лицами в сеть Интернет;
блокировка межсетевого взаимодействия с сетью Интернет путем нарушения целостности данных о настройках коммуникационного оборудования, обеспечивающего взаимодействие с сетью Интернет;
нарушение целостности и достоверности открытых и общедоступных информационных ресурсов
Основными методами обеспечения безопасности информации при использовании сети Интернет для предотвращения указанных угроз являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;
использование сертифицированных средств защиты информации, обеспечивающих целостность и доступность, в том числе криптографических для подтверждения достоверности открытых и общедоступных информационных ресурсов;
использование электронных замков, персональных средств идентификации и аутентификации, других носителей информации для надежной идентификации, аутентификации и разграничения доступа должностных лиц к ресурсам сети Интернет;
использование сертифицированных средств антивирусной защиты информации с актуальными базами антивирусных сигнатур;
мониторинг вторжений (атак) из сети Интернет, нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);
контроль информации, передаваемой в сеть Интернет или загружаемой из сети Интернет;
запрет обращения к нежелательным ресурсам в сети Интернет;
шифрование информации при ее передаче по сети Интернет, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;
сбор и анализ статистических данных о работе должностных лиц с ресурсами сети Интернет.
Защита информации, принимаемые ее обладателем, в соответствии со ст. 10 Федерального закона "О коммерческой тайне" должны включать в себя:
определение перечня информации, составляющей коммерческую тайну;
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля соблюдения такого порядка;
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных выше. Наряду с уже перечисленными мерами обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.
Какие конкретно меры должны проводить такие органы в законе не установлены, однако существуют положения статьи 10, на которые должны ориентироваться соответствующие государственные и муниципальные органы, которые должны провести меры по охране конфиденциальности информации, включающие в себя:
Вместе с тем положения о фактической охране тайны коммерческой информации входят в противоречие с положениями административного кодекса согласно которого установлены случаи обязательного предоставления информации. В случае непредставления установлена административная ответственность. Так, ст. 15.6 "Непредставление сведений, необходимых для осуществления налогового контроля" КоАП РФ устанавливает, что непредставление в установленный законодательством о налогах и сборах срок либо отказ от представления в налоговые органы, таможенные органы и органы государственного внебюджетного фонда оформленных в установленном порядке документов и (или) иных сведений, необходимых для осуществления налогового контроля, а равно представление таких сведений в неполном объеме или в искаженном виде за исключением случаев, предусмотренных частью 2 статьи 15.6, влечет наложение административного штрафа на граждан в размере от одного до трех минимальных размеров оплаты труда; на должностных лиц - от трех до пяти минимальных размеров оплаты труда.
В соответствии со ст. 19.7 "Непредставление сведений (информации)" КоАП РФ непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.8, 19.19 Кодекса, влечет наложение административного штрафа на граждан в размере от одного до трех минимальных размеров оплаты труда; на должностных лиц - от трех до пяти минимальных размеров оплаты труда; на юридических лиц - от тридцати до пятидесяти минимальных размеров оплаты труда.
В соответствии со ст. 19.8 "Непредставление ходатайств, уведомлений (заявлений), сведений (информации) в федеральный антимонопольный орган, его территориальные органы или органы регулирования естественных монополий" КоАП РФ непредставление в федеральный антимонопольный орган, его территориальный орган или органы регулирования естественных монополий сведений (информации), если представление таких сведений (информации) является обязательным в соответствии с антимонопольным законодательством Российской Федерации, законодательством Российской Федерации о естественных монополиях, либо представление заведомо недостоверных сведений влечет наложение административного штрафа на граждан в размере от десяти до пятнадцати минимальных размеров оплаты труда; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда; на юридических лиц - от пятисот до одной тысячи минимальных размеров оплаты труда.
Для отнесения информации к конфиденциальной должен быть издан приказ о внесении конкретного перечня информации отнесенной к коммерческой тайне.
В приказе должен быть причислен перечень сведений, составляющих коммерческую тайну
Производство (структура производства, производственные мощности, тип и размещение оборудования, запасы сырья, материалов, комплектующих и готовой продукции).
Управление (применяемые оригинальные методы управления организацией; сведения о подготовке, принятии и исполнении отдельных решений руководства по коммерческим, организационным, производственным, научно-техническим и иным вопросам) .
Планы (планы расширения или свертывания производства различных видов продукции и их технико-экономические обоснования; планы инвестиций, закупок и продаж).
Совещания (факты проведения, цели, предмет и результаты совещаний и заседаний органов управления).
Протоколы общих собраний акционеров общества, протоколов заседаний Совета директоров, заключений аудиторских проверок за исключением отнесенных статьей 5 Закона N 98-ФЗ "О коммерческой тайне" к сведениям, которые не могут составлять коммерческую тайну.
Рынок (применяемые оригинальные методы изучения рынка; сведения о результатах изучения рынка, содержащие оценки состояния и перспективы развития рыночной конъюнктуры; рыночная стратегия; применяемые оригинальные методы осуществления продаж; сведения об эффективности коммерческой деятельности организации).
Партнеры (систематизированные сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, клиентах, потребителях, покупателях, компаньонах, спонсорах, посредниках и других партнерах деловых отношений организации, а также о ее конкурентах, которые не содержатся в открытых источниках).
Переговоры (сведения о подготовке и результатах проведения переговоров с деловыми партнерами организации).
Контракты (сведения, условие конфиденциальности которых установлено в договорах, контрактах, соглашениях и других обязательствах организации).
Цены (методы расчета, структура, уровень цен на продукцию и размеры скидок).
Торги, аукционы (сведения о подготовке к торгам или аукциону и их результатах).
Наука и техника (цели, задачи, программы перспективных научных исследований; ключевые идеи НИР; точные значения конструкционных характеристик создаваемых изделий и оптимальных параметров разрабатываемых технологических процессов; аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи; данные об условиях экспериментов и оборудовании, на котором они проводились; сведения о материалах, из которых изготовлены отдельные детали; сведения об особенностях конструкторско-технологического, художественно-технического решения изделия, дающие положительный экономический эффект; сведения о методах защиты от подделки товарных знаков; сведения о состоянии программного и компьютерного обеспечения).
Технология (особенности используемых и разрабатываемых технологий и специфика их применения).
Сведения, составляющие служебную, налоговую, коммерческую, банковскую, профессиональную тайну;
Сведения о сущности изобретения, полезной модели или промышленного образца до публикации информации о них;
Персональные данные;
Сведения о банковских счетах юридических лиц и индивидуальных предпринимателях;
Сведения, полученные от органов записи актов гражданского состояния;
Безопасность (порядок и организация защиты коммерческой тайны; сведения об охране, пропускном режиме, системе сигнализации, сведения, составляющие коммерческую тайну организаций-партнеров и переданные на доверительной основе). сведения, раскрывающие систему, средства и методы защиты конфиденциальной информации от несанкционированного доступа и утечки её по каналам связи (технические паспорта автоматизированных систем, защищаемых помещений, проектно-конструкторская документация на средства защиты информации), а также значения действующих кодов, паролей, сведения, раскрывающие значение (содержание) ключевых данных средств шифрования информации и электронной цифровой подписи;
Система защиты информации, состоит из: руководителя и его заместителей; начальников структурных подразделений (отделов). При этом общее руководство решением вопросов защиты информации осуществляет руководитель.
В соответствии с требованиями приказа о «Коммерческой тайне» работа по обеспечению информационной безопасности планируется в соответствии с Планами мероприятий по обеспечению безопасности информационных ресурсах.
Мероприятия по защите персональных данных, циркулирующих в автоматизированных системах должны соответствовать «Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17 ноября 2007г. № 781, и руководящими документами ФСТЭК России в этой области.
Приказом руководителя должна быть создана постоянно действующая техническая комиссия по информационной безопасности на объектах информатизации. (требования «Типового положения» (приказ Гостехкомиссии России и ФСБ России от 28 июля 2001г. № 309/405).
В целях информационной безопасности должны быть утверждены
Политика информационной безопасности объектов информатизации
Политика управления парольной защиты;
Политика безопасности рабочих станций и серверов;
Политика идентификации пользователей;
Возможные каналы утечки и моделью угроз информационной безопасности на объектах информатизации;
Типовая модель нарушителя объектов информатизации,
Штатное расписание с указание вопросов информационной безопасности.
Положение о порядке организации и проведения работ по технической защите конфиденциальной информации
Инструкция о порядке работы с документами, содержащими сведения, составляющими коммерческую тайну
Сведения о разграничении доступа пользователей к информационным ресурсам объекта информатизации (Матрица доступа).
Инструкция по резервному копированию информации
Инструкция по организации парольной защиты автоматизированной системы
Инструкция системного администратора
Приказ о создание (копирование) учет и хранение копий баз данных на небумажных носителях информации
Приказ о списке работников, имеющих право нахождения в помещении серверных.
Инструкция по оборудованию и организации доступа должностных лиц в помещения серверных.
Утвержден порядок защиты от вредоносного программного обеспечения, порядок использования глобальной сети Интернет и средств электронной почты, порядок использования сертифицированных средств криптографической защиты информации СКЗИ и управления ключевой информацией
Обеспечение фактической защиты конфиденциальной информации должно проходить в соответствии с требованиями ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" определяет защиту информации как деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Этот же ГОСТ называет основные виды защиты информации.
Руководитель в целях охраны конфиденциальности информации обязан:
1) ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
Мероприятия по обеспечению информационной безопасности закреплены в регламентах работника, в том числе в его обязанности должны входить: соблюдение коммерческой тайны, обеспечение защиты конфиденциальной информации от несанкционированного доступа; организация взаимодействия со сторонними организациями по обмену конфиденциальной информацией; обеспечение информационной безопасности, в том числе, защиты конфиденциальной информации от несанкционированного доступа при ее обработке, хранении и передаче по каналам связи; прием и передача коммерческой тайны; администрирование сетевых ресурсов; организация антивирусной защиты; администрирование ресурсов базы данных ; обеспечение резервного копирования баз данных и программных средств; организация доступа пользователей в базы данных, регистрация действий пользователей автоматизированной информационной системы.
Должны быть утверждены приказами положения о подразделениях по защите информации, должностные инструкции сотрудников данных подразделений. В организации должны быть подписанные обязательства о неразглашении конфиденциальной информации всеми сотрудниками допущенными к конфиденциальной информации.
В целях охраны конфиденциальности информации работник обязан:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
3) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;
4) возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;
5) передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
Согласно пункту 6 ч. 1 ст. 81 Трудового кодекса РФ к грубым нарушениям относятся:
- разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника;
В соответствии с Постановлением Пленума Верховного Суда РФ от 17 марта 2004 г. N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации" (в ред. от 28 декабря 2006 г. N 63) при рассмотрении дела о восстановлении на работе лица, уволенного по пункту 6 ч. 1 ст. 81 Кодекса, работодатель обязан представить доказательства, свидетельствующие о том, что работник совершил одно из грубых нарушений трудовых обязанностей, указанных в этом пункте. При этом следует иметь в виду: перечень грубых нарушений трудовых обязанностей, дающий основание для расторжения трудового договора с работником по указанному выше основанию, является исчерпывающим и расширительному толкованию не подлежит.
В случае оспаривания работником увольнения по подпункту "в" п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, если эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать их.
|