Организация работы с конфиденциальной информацией на примере конкретной организации

Для хозяйствующего субъекта зачастую наиболее ценной является информация, которую он использует для достижения целей предприятия/организации и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.

Чтобы понять, какую ценность информация имеет для получателя, рассмотрим, основные процессы, которые происходят при этом. Целесообразно отнести к таким процессам следующие:

1. Определение или постановка  цели, которую хочет получатель (приемник) информации.

2. Получение информации.

3. Преобразование смысла, заключенного  в полученной информации на  основе использования определенных возможностей (процесс получения данных).

4. Аналитическая оценка возможности  применения полученной информации  для достижения поставленной  цели на основе использования  возможностей.

5. Принятие решения об использовании  или не использовании полученной информации для достижения поставленной цели:

- если принято решение о неиспользовании  полученной информации для достижения  поставленной цели, то полученная  информация не имеет ценности  с точки зрения достижения  поставленной цели;

- если принято решение об использовании полученных знаний (информации) для достижения поставленной цели, то полученная информация имеет ценность с точки зрения достижения поставленной цели.

6. Осуществление действий по  достижению поставленной цели  на основе использования возможностей и ранее полученных знаний.

7. Оценка результатов достижения  поставленной цели на основе  использования определенных критериев, которые удовлетворяют получателя  информации:

- если оценка результатов, по  достижению поставленной цели, удовлетворяет  получателя информации, то эта  информация обладала определенной положительной ценностью для решения этой задачи;

- если оценка результатов, по  достижению поставленной цели, не  удовлетворяет получателя информации, то эта информация также обладала  определенной ценностью для решения  этой задачи, но эта ценность может оказаться даже отрицательной.

Одну и туже информацию могут получить несколько пользователей (получателей) и в одно время. При этом у получателей информации могут быть как одинаковые, так и разные цели. Но ценность полученной информации всегда будет индивидуальна для каждого отдельно взятого получателя. Это можно объяснить простым примером. В мире каждый человек индивидуален, обладает собственными знаниями и имеет свою шкалу ценности информации при реализации, поставленной цели. Однако основные процессы, которые возникают при определении ценности информации и, имеют место для любого отдельно взятого субъекта. При этом необходимо отметить, что в организациях, например, в органах муниципального самоуправления, где получателей и пользователей информации достаточно много, эти процессы усложняются, так как руководитель коллектива является ответственным лицом при окончательной оценки ценности информации, полученной коллективом для достижения поставленной цели.

Если его способности и ранее полученные знания не позволяют получить из этой информации соответствующие знания для принятия наиболее эффективного решения, то в результате органы муниципальной (местной) власти могут не достичь необходимого результата управления. Этот пример еще раз показывает, что ценность полученной информации всегда индивидуальна.

Отсюда можно констатировать, что под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.

При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности.

Ценность документов определяется с учетом, как особой роли организации, так и ее типового характера в системе органов власти и управления, значимостью выполняемых ею функций.

К критериям содержания документа относится значимость информации документа, его уникальность, типичность документа. Наибольшую ценность среди документов, образующихся в деятельности организации, имеют документы, отражающие основную деятельность организации в целом и ее структурных подразделений (вопросы организации работы, планирование и отчетность, основные направления деятельности, контроль и др.). Другая группа документов имеет вспомогательный характер, большую часть её составляют первичные бухгалтерские документы, документы по вопросам снабжения организации, бытовым и административно-хозяйственным вопросам.

Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие. В основе государственных стандартов оценки ценности информации обычно используют MLS решетку (Multilevel Security).

1.2 Понятие конфиденциальности  и виды конфиденциальной информации.

Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".

Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.

Отметим, что родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал                А.Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений), отнеся к ним, в частности, известную самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; способность к сохранению, агрегированию, интегрированию, накоплению, "сжатию" и др.

В соответствии со ст. 2 Федерального закона от 27 июля 2006 г.                № 149-ФЗ "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.

В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.

Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.

Так в соответствии с международным стандартом ISO 17799 "Безопасность информационных систем" используются следующие обозначения:

ОТ - открытая информация;

КИ - конфиденциальная информация;

СКИ - строго конфиденциальная информация.

В российском законодательстве используются следующие грифы конфиденциальности:

ОТ - открытая информация;

ДВИ - для внутреннего использования;

КИ - конфиденциальная информация.

В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:

- собственники информации (по отдельным  видам они могут частично совпадать);

- области (сферы) деятельности, в которых  может быть информация, составляющая  данный вид тайны;

- на кого возложена защита  данного вида тайны (по некоторым  видам тайны здесь также возможно совпадение).

Конфиденциальная информация может быть предметом трудового договора. Обладателем конфиденциальной информации всегда является работодатель и работник, причём последний обладает не только сведениями о себе (персональными данными), но в силу трудового договора может хранить секреты производства и иные тайны.

Условием трудового договора будет обязанность не разглашать информацию, отвечающую признакам конфиденциальности (п. 7 ст. 2 закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"), а не только охраняемую законом тайну (государственная служебная, коммерческая, иная).

Таким образом, конфиденциальная информация может быть не только дополнительным, как об этом сказано в статье 57 ТК РФ, но и обязательным условием трудового договора.

А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.

По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.

По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.

В соответствии со ст.8 Федерального закона от 21.07.1993 № 5485-1        "О государственной тайне" только для информации составляющей государственную тайну устанавливаются три степени секретности сведений, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Примечательно, что в США и в ряде НАТО грифы секретности схожи с установленными отечественным законодательством - "конфиденциально (confidential)", "секретно (secret)", "совершенно секретно (top secret)". Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Федерального закона от 21.07.1993 № 5485-1                 "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 30.11.95г. №1203 (уточнен Указом Президента РФ от 11.02.2006 № 90). К сведениям, представляющим государственную тайну, относят:

- информацию в военной области;

- информацию о внешнеполитической  и внешнеэкономической деятельности;

- информацию в области экономики, науки и техники;

- сведения в области разведывательной, контрразведывательной и оперативно-розыскной  деятельности.

В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

- о научно-исследовательских, опытно-конструкторских  и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

- о методах и средствах защиты  секретной информации;

- о государственных программах  и мероприятиях в области защиты  государственной тайны.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.

Следует обратить внимание, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству. Отсутствие четкой классификации конфиденциальной информации и их правовых режимов в законодательстве приводит к значительному числу противоречий и пробелов.

С правовым режимом конфиденциальной информации связано еще больше неопределенности, чем с режимом секретной информации. Считается, что типология конфиденциальной информации была установлена Указом Президента РФ от 6 марта 1997 г. N 188 "О перечне сведений конфиденциального характера". Указом определено шесть типов конфиденциальной информации, которые представлены следующим образом:

1. Сведения о фактах, событиях  и обстоятельствах частной жизни  гражданина, позволяющие идентифицировать  его личность (персональные данные), за исключением сведений, подлежащих  распространению в средствах  массовой информации в установленных федеральными законами случаях.