Конфиденцильная информация – это документы (приватная информация) в электронном или бумажном виде, содержание которой доступно только определенной группе людей, а ее передача третьим лицам является грубым нарушением законодательства Российской Федерации.

Конфиденциальная информация – это коммерческая, военная, банковская, служебная или государственная тайна. Как правило, конфиденциальная информация может представлять собой особую категорию и относиться к коммерческой тайне.

Сегодня можно выделить несколько основных категорий конфиденциальной информации, каждая из которых относится к своей категории:

1. Научно-техническая . Здесь идет речь о новых идеях, открытия, патентах, оригинальных ноу-хау, современных методиках организации в производственной сфере, рационализаторских предложениях по внедрению неизвестных ранее и более совершенных технологий, появлению новых типов продукции, уникальных методах анализа конкурентоспособности, кодах и паролях, открывающих доступ к конфиденциальной информации, а также уникальное программное обеспечение.

Производственная. К данной категории можно отнести новые технологии в производственной сфере, секретную конструкторскую информацию, схемы и чертежи, данные о материалах, планируемое время выхода товара на рынок, планы выпуска новой продукции, рецептура изготовления товаров, планы дальнейших вложений в новое производство и так далее.

3. Финансовая . К конфиденциальной информации финансового характера относится реальный размер прибыли компании, себестоимость производства (или продукции), банковские или торговые сделки, механизм формирования ценовой политики, уровень платежеспособности и так далее.

4. Деловая .

Здесь речь идет о следующих данных – условиях заключения договоров с другими участниками рынка, внутренней организационной системы, планирования рекламной компании на ближайшее время, информации о конкурирующих компаниях и поставщиках, данные о работниках компании и переговорном процессе с деловыми партнерами, информации о коммерческой переписке и так далее.

Соглашение о неразглашении конфиденциальной информации

С целью защиты конфиденциальных данных от третьих лиц составляется соглашение, которое, как правило, подписывается двумя сторонами. Суть договора – возможность обмена информацией и знаниями с учетом ограниченного доступа к ним посторонних лиц. Основное назначение соглашения – защита ценных данных от утечки. При этом в договоре могут отовариваться все типы конфиденциальной информации — от коммерческой тайны компании до личных данных о ее работниках.

Сегодня можно выделить два основных типа соглашения, которые заключаются в различных учреждениях:

— односторонний договор. Особенность такого документа – изъявление желания одной стороны передать конфиденциальную информацию другой стороне. При этом основным условием соглашения является полная закрытость информации для третьих лиц. Чаще всего такие соглашения оформляются при приеме на работу и оформляются, как один из видов трудовых отношений между сотрудником компании и работодателем. В большинстве случаев такие документы обязательно включают положения, в которых ограничивается право использования, передачи и распространения информации (чаще всего речь идет о данных компании);

— взаимный договор. Особенность такого соглашения – в обоюдной передаче конфиденциальной информации обоих подписантов соглашения. Такие документы чаще всего подписываются в случае слияния двух крупных компаний, проведения совместных крупных сделок и так далее.

В соглашения о неразглашении конфиденциальной информации может быть включена любая информация, которую те или иные лица считаются секретной. При этом для большинства случаев уже разработаны специальные шаблоны. Они состоят из нескольких основных разделов – предмет соглашения, права и обязательства сторон, срок действия договора, особые условия личные данные подписантов (ФИО, адреса, реквизиты и так далее).

Как правило, по договору о неразглашении лицо берет на себя следующие обязательства :

— не использовать конфиденциальную информацию в своих целях и для получения выгоды;
— не разглашать полученные сведения третьим лицам;
— при первой же попытке посторонних лиц получить доступ к конфиденциальной информаци или выведать ее сообщать об этом непосредственному руководству компании;
— строго выполнять все требования и нормы правовых актов в отношении конфиденциальных данных;
— не передавать в течение какого-то времени (как правило, один год) конфиденциальные сведения после прекращения права допуска к ним.

При этом лицо-подписант дает согласие, что в случае невыполнения взятых на себя обязательств и предоставления информации посторонним, он может нести дисциплинарную или другую ответственность. Наказание для нарушителя может быть прописано в трудовом соглашении и законодательстве РФ.

Защита конфиденциальной информации: основные способы

Наибольшее внимание защите конфиденциальных данных уделяют предприниматели, которые предусматривают следующие способы защиты:

1. Организационная защита . Здесь есть три пути:

— создание специальной структуры, которая берет на себя функции защиты конфиденциальной информации, несет ответственность за предоставления прав доступа и проверку сотрудников, получающих право на допуск к особым данным;

— четкое соблюдение всех установленных в организации правил и контроль их исполнения. Одновременно с этим организовывается строгая система доступа к конфиденциальным данным. Что касается контроля, то он может быть нескольких типов – документальный, визуальный и так далее;

— разделение всех имеющихся в компании данных по типу важности. При этом организовывается ступенчатая система допуска. К примеру, к менее важной информации допускаются рядовые сотрудники, а к конфиденциальным данным особой важности – менеджеры крупного звена и руководители.

2. Законодательная защита . Ее особенность – упор на соблюдение тех прав бизнесмена, которые зафиксированы в законе РФ. Если же права владельца компании (предпринимателя) нарушены, то он может обратиться в соответствующие структуры для защиты своих интересов и возмещения нарушителем убытков компании.

3. Физическая защита – одно из наиболее важных мероприятий, которому уделяется внимание почти на всех предприятиях. Здесь речь идет об организации пропускного режима, создании и выдаче сотрудникам специальных карт (или предоставление таковых посторонним лицам), применение шкафов повышенной надежности, использование закрывающихся сейфов и так далее.

4. Техническая защита . К такому методу можно отнести использование специальных средств защиты и контроля конфиденциальных данных, таких как микрофоны, видеокамеры, сигнализирующие устройства, системы идентификации пользователей и так далее.

5. Работа с персоналом . Одним из самых важных направлений деятельности является выстраивание правильной работы с трудовым коллективом. Здесь подразумевается организация работы по набору персоналу, оптимизация существующих кадровых служб предприятия, дополнительное обучение персонала, его проверка, стимулирование и прочие мероприятия.

Важный момент – регулярное проведение инструктажей о важности соблюдения правил пользования конфиденциальными данными, а также вероятной ответственности за их разглашение. К основным угрозам конфиденциальной информации, которые исходят от персонала, можно отнести:

— вероятное переманивание работника компании конкурирующей организацией;
— обманные предложения о предоставлении новой должности с хорошим заработком исключительно для выведывания конфиденциальной информации;
— постановка вопросов действующим сотрудникам в особой форме, вынуждающей к разглашению секретных данных;
— предложение финансового вознаграждения за предоставление тех или иных данных (подкуп);
— тайное наблюдение за работниками организации;
— направление специальных агентов для работы в структуре с целью дальнейшего «выуживания» интересующей информации.

Для обеспечения максимальной безопасности проверка персонала должна проходить три основных этапа:

1. Предварительный период , когда работник еще не принят на работу. Здесь речь идет о доскональной проверке кандидата и подписания им основных документов – трудового договора и соглашения о неразглашении.

2. Текущий период (деятельность сотрудника). Здесь обязателен испытательный срок, ознакомление с порядком доступа к конфиденциальной информации, обязанностями, существующими ограничениями и так далее.

Заключительный период (увольнение). Во избежание утечки важной информации после увольнения сотрудник предупреждается о возможных последствиях своих потенциальных действий (о предоставлени важной информации третьим лицам) и дает подписку о неразглашении.

Слово конфиденциальность

Слово конфиденциальность английскими буквами(транслитом) — konfidentsialnost

Слово конфиденциальность состоит из 18 букв: а д е и и к л н н н о о с т ф ц ь ь

Значения слова конфиденциальность. Что такое конфиденциальность?

Конфиденциальность

Конфиденциа́льность, внегласность (от англ. confidence - доверие) - необходимость предотвращения утечки (разглашения) какой-либо информации. С этимологической точки зрения, слово «конфиденциальный» происходит от латинского confidentia - доверие.

ru.wikipedia.org

Конфиденциальность (от лат. " confidential" — доверительный, секретный) — обобщенная категория понятий и требований, регламентирующих вопросы предотвращения утечки (разглашения) какой-либо информации…

Энциклопедический фонд России

Конфиденциальность – обеспечение неразглашения ИНФОРМАЦИИ о потребителях услуг. Агентства по социальной работе придают большое значение ограничению доступа к сведениям о КЛИЕНТАХ.

Словарь справочник по социальной работе. — 2010

Конфиденциальность (лат. confidentia — доверие) — сохранение в тайне чего-либо, не подлежащего разглашению в соответствии с нормами договора, права, морали, например, врачебной этики или нравственных обязательств психолога.

Конфиденциальность — (лат. confidentia — доверие) — сохранение в тайне, не подлежащее разглашению в соответствии с нормами права или этики, например, врачебной.

Жмуров В.А. Большой толковый словарь терминов по психиатрии

Конфиденциальность Этическое требование, применяющееся как в экспериментальных исследованиях, так и в психотерапии. Согласно этому требованию участники или пациенты имеют право на то, чтобы информация…

Психология от А до Я. — 2000

Конфиденциальность, право на

Конфиденциальность, право на (privacy, right of), право на свободу от вмешательства и слежки, пользующееся особым пиететом в амер.

законодательстве. В индивидуалистических зап. об-вах К. входит в понятие свободы личности…

Народы и культуры. — 2002

Конфиденциальность информации

Конфиденциальность информации

Словарь финансовых терминов

Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности…

Словарь финансовых терминов

Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности…

Конфиденциальность информации (Confidentiality information) - запрет передачи определенной информации посторонним лицам без согласия ее обладателя. Например…

slovar-lopatnikov.ru

КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ В АУДИТЕ

КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ В АУДИТЕ (англ. confidentiality)– один из принципов аудита, заключающийся в том, что аудиторы (аудиторские фирмы) обязаны обеспечивать сохранность документов…

Финансово-кредитный энциклопедический словарь / Под общ. ред. А.Г. Грязновой. — 2004

Налоговая конфиденциальность

Словарь финансовых терминов

Налоговая конфиденциальность — налагаемое на представителей налоговых органов обязательство нераспространения данных о финансовом положении и налоговом статусе налогоплательщика, кроме случая решения судебных органов.

Налоговая конфиденциальность. — налагаемое на представителей налоговых органов обязательство нераспространения данных о финансовом положении и налоговом статусе налогоплательщика, кроме случая решения судебных органов.

Бизнес-словарь

Принцип конфиденциальности

Принцип конфиденциальности — принцип бухгалтерского учета, предполагающий соблюдение коммерческой тайны предприятия, за разглашение которой предусмотрена законодательно установленная ответственность.

Принцип конфиденциальности. — принцип бухгалтерского учета, предполагающий соблюдение коммерческой тайны предприятия, за разглашение которой предусмотрена законодательно установленная ответственность.

Бизнес-словарь

Русский язык

Конфиденциа́льность, -и.

Орфографический словарь. - 2004

Примеры употребления слова конфиденциальность

Важными принципами нашей работы являются анонимность и конфиденциальность.

Планирует ли Google сделать конфиденциальность приоритетом для будущих разработчиков приложений для Glass?

Сама же компания Baker Tilly тоже отказалась от данного вида заявления, ссылаясь на конфиденциальность.

Цюрупы, 95, либо на адрес электронной почты: [email protected]. Конфиденциальность гарантируется.

В организациях всегда имеются управленческие документы, утечка содержания которых нежелательна или просто вредна, так как может быть использована прямо или опосредственно во вред ее авторам.

Такая информация и соответственно документы, содержащие ее, считаются конфиденциальными (закрытыми, защищаемыми) .

Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны — государственной или негосударственной.

В соответствии с этим документы делятся на секретные и несекретные .

Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну.

Несекретные документы , включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.

Законодательством РФ установлено, что документированная информация (документы) является общедоступной, за исключением отнесенной законом к категории ограниченного доступа .

При этом документированная информация с ограниченным доступом подразделяется:

1) на информацию, отнесенную к государственной тайне,

2) конфиденциальную информацию.

Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относятся к охраняемой законодательством тайне.

Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите.

То есть, конфиденциальна, прежде всего, информация, а уж затем становятся конфиденциальными и документы, в которых эта информация зафиксирована.

За исключением государственных секретов.

Информация может быть разделена на три категории.

1. Несекретная (или открытая) , которая предназначена для использования как внутри фирмы, так и вне нее.

Для служебного пользования , которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две подкатегории:

— доступную для всех сотрудников фирмы;

— доступную для определенных категорий сотрудников, но могущую быть переданной в полном объеме другому сотруднику для производства необходимой работы.

3. Секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информацию второй и третьей категории обычно называют конфиденциальной.

Таким образом, конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством и уровнем доступа к информационному ресурсу.

Конфиденциальная информация становится доступной или раскрытой только санкционированным лицам, объектам или процессам.

Российское законодательство выделяет несколько видов конфиденциальной информации.

Указом Президента РФ от 06.03.1997 № 188 (ред. от 23.09.2005) утвержден Перечень сведений конфиденциального характера:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные).

2. Сведения, составляющие тайну следствия и судопроизводства , а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения , доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью , доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Сведения, связанные с коммерческой деятельностью , доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения , полезной модели или промышленного образца до официальной публикации информации о них.

Конфиденциальность информации предполагает защиту ее от несанкционированного доступа.

Конфиденциальность обеспечивается следующим требованием законодательства:

Конфиденциа́льность (от - доверие) - необходимость предотвращения утечки какой-либо информации.

С этимологической точки зрения, слово «конфиденциальный» происходит от латинского confidentia - доверие. В современном русском языке это слово означает «доверительный, не подлежащий огласке, секретный». Слово «секрет», заимствовано из французского secret означает - «тайна». В словаре В. Даля также названы аналогичные значения: «конфиденциальная» - «откровенная, по особой доверенности, неоглашаемая, задушевная»; «тайна» - «кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое». Исходя из определений понятия конфиденциальная информация, тайна, секрет являются равнозначными.

С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость.

И в различных областях и различных странах конфиденциальность и информация относящаяся к конфиденциальной определяется по разному.

В странах Европейского союза конфиденциальность информации регулируется с помощью ряда соглашений и директив, таких как директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.

Так, конвенция «О преступности в сфере компьютерной информации» (ETS N 185 ) направлена на сдерживание, в том числе, действий направленных против конфиденциальности компьютерных данных и компьютерных сетей, систем. Согласно данной конвенции для противодействия преступлениям против конфиденциальности доступности и целостности компьютерных данных и систем каждая сторона принимает законодательные и иные меры, необходимые для того, чтобы квалифицировать в качестве уголовного преступления согласно её внутригосударственному праву:

• Противозаконный доступ
• Неправомерный перехват
• Воздействие на данные
• Воздействие на функционирование системы
• Противозаконное использование устройств.

Согласно конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108 ) стороны должны соблюдать секретность или конфиденциальность при обработке персональных данных, а также в отношении информации сопровождающей ходатайство о помощи.

Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (N 95/46/ЕС ) затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» - физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества. А «обработчик» - это физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора. Для обеспечения конфиденциальности, любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.

Согласно дополнению к директиве N 95/46/EC , директива 2002/58/ЕС , конфиденциальность относительно обработки персональных данных и защите частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способах вмешательства или наблюдения за сообщениями и относящего к ним данным по трафику, осуществляемые лицами или другими пользователями без согласия самого пользователя.

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy).

(См. Эдвард Шилз - The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

• программно-аппаратные средства
• защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Главный документ, в соответствии с которым осуществляется работа по защите государственной тайне, - это Закон о государственной тайне.

В соответствии с Указом Президента РФ от 06.03.1997 г. № 188 в перечень сведений конфиденциального характера включены:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

2. Сведения, составляющие тайну следствия и судопроизводства;

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; информация, составляющая коммерческую тайну – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

Таким образом:

Сведения, составляющие коммерческую тайну, могут быть в любой сфере экономической деятельности;

Состав сведений, относимых к коммерческой тайне, должен определяться обладателем коммерческой тайны или, согласно договору, конфидентом коммерческой тайны;

Защита информации, составляющей коммерческую тайну, должна осуществляться ее обладателем.

Государственная тайна

Государственная тайна (ГТ) - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Классификация защищаемой информации по праву собственности:

сведения, являющиеся государственной, служебной тайной, иные виды защищаемой информации, в том числе и сведения являющиеся коммерческой тайной. Собственник защищаемой информации - государство и его структуры;

сведения, составляющие коммерческую тайну. Собственник защищае­мой информации - предприятие, товарищество, акционерное общество и др.;

партийная тайна. Не исключена государственная и коммерческая тай­на. Собственник - общественные организации;

сведения о гражданах государства: тайна переписки, телефонных и те­леграфных разговоров, врачебная тайна и др. Сохранение гарантируется госу­дарством. Личные тайны их личное дело. Государство не несет ответственно­сти за сохранность личных тайн.

Классификация защищаемой информации по степени секретности (конфиденциальности):

особой важности (особо важная) - ОВ;

совершенно секретная (строго конфиденциальная) - СС;

секретная (конфиденциальная) - С;

для служебного пользования (не для печати, рассылается по списку) - ДСП;

несекретная (открытая).

Следует отметить, что чем выше степень секретности информации, опре­деленная ее собственником, тем выше уровень ее защиты, тем более дорого­стоящей она становится, тем уже круг лиц, знакомящихся с этой информацией.

Виды тайн:

1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. (О персональных данных: Федер. закон от 27.07.2006 № 152-ФЗ.-Ст. 3);

2. Тайна следствия и судопроизводства, указом Президента РФ №1111 от 23 сентября 2005 года дополнен словами «а также сведния о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. №119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»»;

3. Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами;

4. Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами;

5. Коммерческая тайна – сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами;

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Конфиденциальная информация в трудовых отношениях Иванов Дмитрий Викторович

1.1. Понятие конфиденциальной информации

В условиях рынка и конкуренции возникают проблемы, связанные с обеспечением безопасности не только физических и юридических лиц, их имущественной собственности, но и информации, имеющей коммерческое значение, иных сведений, в частности, о результатах интеллектуальной деятельности: секретах производства, служебных секретах производства и др.

Информация обладает рядом присущих ей свойств.

Полезность информации состоит в том, что она создает субъекту выгодные условия для принятия оперативного решения и получения эффективного результата.

В свою очередь, полезность информации (особенно коммерческой) зависит от своевременного ее доведения до субъекта предпринимательства. Например, из-за несвоевременного поступления полезных по своему содержанию сведений упускается возможность заключить выгодную торговую или иную сделку. Результат – время упущено, информация теряет свою полезность.

Критерии полезности и своевременности тесно взаимосвязаны и взаимозависимы с критерием достоверности оцениваемой информации. Недостоверные сведения сводят к нулевому эффекту своевременность и кажущуюся их полезность для субъекта предпринимательства.

Ценность информации – это комплексный показатель ее качества, мера пригодности для принятия решений в конкретной сфере. Отсюда коммерческая ценность информации – это показатель ее пригодности (полезности) для принятия решений в коммерческой деятельности. Ценность информации складывается из достоверности, актуальности, полноты, полезности и своевременности информации.

Для предпринимательской деятельности, а значит, и для трудовых отношений (т. е. предпринимателя – работодателя), особое значение имеет коммерческая информация. В зарубежной экономической литературе предпринимательская информация рассматривается не в качестве средства достижения положительного результата (прибыли), а, прежде всего, как условие, способствующее или препятствующее его наступлению (например, в законодательстве Великобритании иностранные юристы выделяют такое понятие, как «бизнес-информация»).

По мнению английских правоведов (Ли, Мартина, Хейда), в рыночной экономике информация также является товаром, и ее получение, хранение, передача и использование должны подчиняться законам товарно-денежных отношений. Каждый собственник имеет право охранять свои интересы и защищать необходимую информацию, получая при этом определенную свободу предпринимательства. Право на тайну означает ограничение государственного вмешательства в экономическую жизнь предприятия и защиту его интересов при взаимодействии с другими субъектами рыночных отношений. Главное назначение бизнес-информации – обеспечивать предприятию экономические преимущества в конкурентной борьбе.

Информация как понятие имеет различные аспекты изучения. В переводе с латинского «informatio» – разъяснение, изложение, уведомление, истолкование, представление, иначе говоря, сведения о чем-либо, являющиеся объектом сбора, хранения и переработки. Такое определение дается в экономическом словаре.

В конце 50-х годов один из основоположников кибернетики – Норберт Винер определил информацию как «обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств. Процесс получения и использования информации является процессом нашего приспособления к случайностям внешней среды и нашей жизнедеятельности в этой среде». В данном определении ученый впервые затрагивает проблему неполноты получаемой индивидом информации, с одной стороны, и необходимость защиты сведений от «случайностей внешней среды» – с другой.

Правовое понятие информации дано в п. 1 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ (далее – Закон об информации): информация – сведения (сообщения, данные) независимо от формы их представления. В п. 1 ст. 5 указанного Закона говорится о том, что информация может являться объектом публичных, гражданских и иных правовых отношений. Надо сказать, что предполагаются некоторые изменения терминологии, предусмотренные проектом Федерального закона № 404643–5 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона „Об информации, информационных технологиях и о защите информации“, рассмотренного в первом чтении Государственной Думой РФ 6 октября 2010 г., а именно слова „конфиденциальная информация“ заменить словами „информация, в отношении которой установлено требование об обеспечении ее конфиденциальности,“ либо словами „информация ограниченного доступа“.

Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. Таким образом, термин «информация» становится универсальным, он обозначает любые сведения о ком-либо или о чем-либо, получаемые из любого источника в любой форме: письменной, устной, визуальной и т. п. В данном определении сведения понимаются как реальные объекты социальной жизни: лица, предметы, факты, события, явления, процессы. Эти сведения могут служить и объектом познания, и ресурсом пополнения информационной базы: с одной стороны, сведения могут быть получены в результате исследования окружающей действительности и приобщены к уже существующей объективной системе знаний о мире, а с другой – быть объектом поиска, производимого конкретным потребителем для достижения его целей.

Кроме того, при взаимодействии информации и общества происходит изменение социальных регуляторов (морали, права), а также структурное изменение всего общества под воздействием технических и технологических процессов. Повсеместное внедрение информационных технологий и основанных на них информационных телекоммуникационных сетей привело к формированию глобального межгосударственного информационного виртуального пространства, в котором информация вращается в непривычной для традиционного права электронной форме.

Таким образом, усиление информационной зависимости человека от растущего объема потребляемой информации требует упорядочения и системной организации самой информации, в том числе с помощью норм права.

Родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал А. Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений). К ним, в частности, относятся известная самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; сохранение передаваемой информации у передающего субъекта (этим признаком информация принципиально отличается от вещных материальных объектов); способность к сохранению, агрегированию, интегрированию, накоплению, «сжатию»; количественная определенность; системность.

Качество современного уровня правового регулирования отношений по поводу информации во многом определяется степенью учета законодателем этих признаков (свойств).

Первое российское легальное определение понятия «информация» было дано в Федеральном законе «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ, в ст. 2 которого говорилось, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления. В действующем Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 152-ФЗ определение информации, как выше говорилось, представлено в более общем виде. Информацией являются любые сведения (сообщения, данные) независимо от формы их предоставления.

Пункт 3 ст. 5 Закона об информации содержит классификацию информации в зависимости от порядка ее предоставления или распространения. Так, по этому основанию информация подразделяется на свободно распространяемую; предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; информацию, распространение которой в Российской Федерации ограничивается или запрещается, например, информация, составляющая государственную или коммерческую тайну. В п. 2 этой статьи приводится разделение информации в зависимости от категории доступа к ней. По этому основанию информация может быть общедоступной; ограниченного доступа.

Основы правового режима информации ограниченного доступа были установлены в ст. 10 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации». Часть 2 ст. 10 определяла два базовых типа информации ограниченного доступа: информация, отнесенная к государственной тайне (т. е. секретная), и конфиденциальная информация.

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (п. 1 ст. 9 Закона об информации). Таким образом, конфиденциальной может быть любая информация, могущая повлечь указанные последствия. Конфиденциальная информация может выражаться не только в секретах производства, сведениях, недоступных для других, но и быть тайной. Российское законодательство устанавливает различные виды тайны: государственную, коммерческую, служебную, профессиональную, иную, а также персональные данные. Регулированию отношений, связанных с персональными данными, посвящен специальный Федеральный закон «О персональных данных», принятый 27 июля 2006 г. № 152-ФЗ (далее – Закон о персональных данных).

Конфиденциальная информация определена в п. 7 ст. 2 Закона об информации через требование не передавать такую информацию третьим лицам без согласия ее обладателя. Надо сказать, что ее режим довольно резко критикуется в литературе как весьма неопределенный. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» использует лишь самые общие нормативные установки, например: «Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение» (ч. 4 ст. 9).

Само слово «конфиденциальность» в переводе с латинского означает «доверие» (т. е. передавая такую информацию, мы надеемся на ее сохранность и нераспространение, так как ее разглашение может нанести сторонам определенный ущерб). Это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять-таки через информацию с ограниченным доступом, не содержащую государственную тайну, во-первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во-вторых, государственная тайна – это тоже конфиденциальная информация.

Возникает вопрос и о соотношении конфиденциальной информации и информации ограниченного доступа. Понятие информации, находящейся в ограниченном обороте, очень «молодое» даже по меркам российского информационного права, пишет С. В. Комлев. Впервые это понятие было введено в Федеральный закон «О кредитных историях». Несмотря на то что смысловое содержание понятия информации, находящейся в ограниченном обороте, активно использовалось и ранее, законодатель официально ввел его в российскую правовую систему только в начале 2005 г. Согласно ч. 4 ст. 7 указанного законодательного акта совокупность информации, содержащейся в титульной, основной и дополнительной (закрытой) частях кредитных историй, является ограниченно оборотоспособным объектом. Представляется не только достаточно удобным, но и обоснованным и возможным распространить этот термин на весь спектр информации, хоть и не относящейся к государственной тайне, но свободное распространение которой нанесет существенный вред общественным отношениям. Под информацией, находящейся в ограниченном обороте, следует понимать информацию, обладатель которой принимает меры к ее охране и защите и свободное распространение которой может нарушить права и свободы человека или затронуть его законные интересы, а также может нанести вред экономическим интересам организации.

К информации, находящейся в ограниченном обороте, относятся сведения, составляющие:

1) коммерческую тайну; 2) аудиторскую тайну; 3) банковскую тайну; 4) налоговую тайну; 5) тайну страхования; 6) тайну связи; 7) тайну завещания; 8) адвокатскую тайну; 9) врачебную тайну; 10) тайну усыновления ребенка; 11) содержание кредитных историй физических, юридических лиц и индивидуальных предпринимателей.

Из приведенного перечня видно, что информация, находящаяся в ограниченном обороте, встречается во многих сферах общественной жизни. Информация, находящаяся в ограниченном обороте, характеризуется следующими признаками: она не является государственной тайной; в информации содержатся сведения, свободный оборот которых может нанести ущерб обладателю данных сведений или лицу, сведения о котором содержатся в информации. Собственник или законный обладатель принимает меры по охране и защите информации.

Надо сказать, что действующее законодательство, точно не определяя конфиденциальную информацию, тем самым затрудняет и понимание соотношения безусловно близких и взаимозависимых категорий, в том числе конфиденциальной информации и информации ограниченного доступа, коммерческой, служебной, профессиональной, иной тайны, секретов производства, служебных произведений. Этому препятствует разнобой терминологии различных нормативных правовых актов, регулирующих рассматриваемые отношения, а в некоторых случаях и коллизия некоторых норм законов, о чем более подробно ниже, когда речь пойдет о конкретных видах конфиденциальной информации. Анализируя нормативные правовые акты, имеющие прямое отношение к рассматриваемому вопросу, можно констатировать, что информация разделяется на 1) общедоступную; 2) информацию ограниченного доступа (терминология ст. 7 и 9 Закона, которая, как можно судить по тексту, тождественна сведениям конфиденциального характера (терминология Указа Президента РФ от 6 марта 1997 г. в ред. Указа Президента РФ от 23 сентября 2005 г.). В свою очередь, информация ограниченного доступа (сведения конфиденциального характера) подразделяется на персональные данные, коммерческую, служебную, профессиональную и иные тайны. Особняком стоит государственная тайна, хотя она, разумеется, представляет собой конфиденциальные сведения.

Заслуживает внимания мнение Е. К. Волчинской, которая полагает, что можно выделить несколько условий, необходимых и достаточных для установления режимов конфиденциальности:

– заинтересованность субъекта в ограничении доступа к информации, свидетельствующая о том, что конкретная информация представляет для него ценность (в моральном, материальном или ином аспекте);

– наличие интереса (права) других субъектов на получение и/или использование этой информации, т. е. обладатель, реализуя свой интерес, не должен нарушать законные права других субъектов на получение информации;

– право ограничивать доступ к информации может распространяться только на информацию, полученную законным путем, в том числе самостоятельно, по договору, в дар и т. д.;

– информация, доступ к которой ограничивается, не должна быть общеизвестной;

– обладатель информации, к которой он хочет ограничить доступ, должен обеспечить необходимые меры защиты этой информации – установить режим тайны.

Указом Президента Российской Федерации от 6 марта 1997 г. № 188 (в редакции Указа Президента РФ от 23 сентября 2005 г. № 1111 установлен перечень сведений конфиденциального характера:.

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Согласно ст. 5 Закона «О коммерческой тайне» от 29 июля 2004 года к сведениям, которые не могут составлять коммерческую тайну, относятся перечисленные в п. 1–11:

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации, а именно ст. 9 Закона об информации. В соответствии с ним «Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну служебную тайну и иную тайну обязанность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение» (п. 4). Понятие конфиденциальной информации достаточно широкое, поскольку к этой категории, надо полагать, относятся все виды информации ограниченного доступа, защищаемой законом, – коммерческая, профессиональная и другие тайны, а также некоторые иные сведения, в отношении которых установлен режим конфиденциальности.

Перечень сведений, составляющих конфиденциальную информацию, не подлежит расширенному толкованию. Поэтому произвольное отнесение кем-либо к разряду конфиденциальной другой, не предусмотренной перечнем информации не влечет за собой правовых последствий. Общедоступной информацией являются общеизвестные сведения и иная информация, доступ к которой не ограничен. Установлению правового режима общедоступной информации посвящена ст. 7 Закона об информации. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать свое имя в качестве источника такой информации.

В п. 1 ст. 6 Закона об информации дано понятие «обладатель информации», под которым понимается физическое, юридическое лицо, Российская Федерация, ее субъект, муниципальное образование, которые либо своими силами создали информацию, либо приобрели на основании закона или договора право предоставлять или ограничивать возможность других лиц получать и использовать определенную информацию. Обращает на себя внимание, однако, что из этого перечисления выпадают организации без образования юридического лица, что отнюдь небезразлично для трудовых отношений, т. к. эти организации могут быть работодателями (ст. 20 ТК РФ).

Предметом обладания являются сведения независимо от формы их предоставления.

В прежнем законодательстве субъект, осуществляющий права собственности в отношении информационных ресурсов, информационных систем, технологий и средств их обеспечения лишь в части владения и пользования ими, а также реализующий полномочия распоряжения в пределах, установленных Законом, именовался владельцем указанных объектов.

С точки зрения трудового права небезынтересно определить, при каких обстоятельствах как та, так и другая сторона трудового договора может обладать конфиденциальной информацией, и какого именно вида.

Исходя из содержания ст. 6 Закона об информации, работодатель – безусловный обладатель как производственной, технической, экономической, организационной и другой конфиденциальной информации, так и информации, касающейся работника, необходимой работодателю в силу исполнения работником своей трудовой функции (ст. 65, 88 ТК РФ). Работник также может быть обладателем производственной и прочей информации, во-первых, потому, что она может быть доверена ему работодателем как необходимая для выполнения трудовой функции, во-вторых, работнику могут принадлежать результаты интеллектуальной деятельности, созданные в процессе трудовой деятельности, как-то: изобретения; полезные модели; промышленные образцы и т. п. (ст. 1225 ГК РФ). Кроме того, в силу главы 14 ТК РФ и Закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ работник – физическое лицо является субъектом персональных данных (п. 1 ст. 3).

Однако при этом надо иметь в виду следующее.

Согласно главе 70 части четвертой ГК РФ, в отличие от недействующего ныне Закона об авторских правах 1993 г., по-иному решаются вопросы авторских прав на служебные произведения. В свое время в ст. 14 Закона об авторском праве служебные произведения делились на произведения, созданные «в порядке выполнения служебных обязанностей» и «в порядке служебного задания» работодателя. Эти два положения отличаются друг от друга тем, что при выполнении служебного задания работнику дается прямое указание о создании определенного произведения, причем такое указание может не вытекать из его служебных обязанностей и находиться за рамками таких обязанностей. В п. 1 ст. 1295 ГК РФ понятие служебного произведения сужено таким образом, что под него подпадают лишь произведения, созданные в пределах установленных для работника трудовых обязанностей, и взаимоотношения работника и работодателя по поводу служебного задания должны регулироваться дополнительным соглашением.

Любые условия, касающиеся взаимоотношений между работником (автором) и работодателем по поводу служебного произведения, могут быть согласованы как в трудовом, так и в ином договоре (абз. 1 п. 2 ст. 1295 ГК РФ). Хотя служебные произведения создаются в рамках трудовых отношений, следует согласиться с мнением В. А. Дозорцева, что трудовой договор в этом случае является основанием заключения гражданско-правового договора, поскольку субъективные гражданские права, включая право на получение автором вознаграждения от работодателя, могут предоставляться только по гражданско-правовому договору.

Если продолжать рассматривать фигуру обладателя информации, то необходимо сказать, что в Законе об информации появляется особый субъект правоотношений в сфере информации – оператор информационной системы. Определение его понятия впервые дано в Законе «О персональных данных», в п. 2 ст. 3 которого сказано, что оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. По общему правилу, оператором считается собственник используемых при этом технических средств, хотя в ч. 5 ст. 14 Закона об информации содержится исключение из этого правила, сделанное в отношении государственных информационных систем: при создании такой системы ее оператором может быть и лицо, с которым этот собственник заключил договор об эксплуатации информационной системы. Если информационная система не является государственной или муниципальной, то порядок ее создания и эксплуатации определяется ее оператором (ч. 6 ст. 13 Закона об информации). Поэтому прежде чем привлечь оператора к оказанию услуг по эксплуатации информационной системы и заключить с ним соответствующий договор, важно ознакомиться с его внутренними правилами или положениями (которые обычно включаются в условия договора и поэтому имеют юридическую силу для сторон).

С учетом высказанных соображений можно предложить для обсуждения следующее определение понятия конфиденциальной информации.

Под конфиденциальной информацией следует понимать легально полученную информацию, которая в силу закона или иного акта, имеющего юридическое значение, доступна строго определенному кругу лиц и в отношении которой установлен режим определенного рода секретности.