Конфиденциальность информации представляет собой. Нормативная база для работы с конфиденциальными документами
Что же такое конфиденциальная информация? В соответствии со ст. 5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (приложение П1.1) вся информация в зависимости от категории доступа к ней подразделяется на две группы: общедоступную информацию и информацию ограниченного доступа (рис. 1.2). При этом под доступом к информации подразумевается возможность ее получения и использования.
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Соответственно информация ограниченного доступа - такая информация, к которой имеет доступ ограниченный круг лиц.
Ранее, до выхода в свет указанного выше закона, согласно ст. 10 утратившего силу Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» информация ограниченного доступа в свою очередь подразделялась на информацию, составляющую государственную тайну, и конфиденциальную информацию. В ныне действующем законе такая четкая классификация отсутствует, как, впрочем, и само понятие «конфиденциальная информация». В законе содержится лишь определение термина «конфиденциальность информации», означающего «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». Поэтому далее под термином «конфиденциальная информация» будет пониматься информация с ограниченным дос-
Рис. 1.2.
Кроме того, Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (приложение П1.2) определены семь видов такого рода информации. К ней, в частности, относятся:
О сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
О сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с Федеральными законами от 20 апреля 1995 г. № 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну;
О служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
О сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
О сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
О сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
О сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. № 229-ФЗ «Об исполнительном производстве».
В указанном нормативном акте термин «конфиденциальная информация» (или «конфиденциальные сведения») прямо не используется, в нем речь идет о сведениях конфиденциального характера, хотя словосочетания «конфиденциальная информация» (или «конфиденциальные сведения») и «информация (сведения) конфиденциального характера» обозначают по сути одно и то же. Если исходить из того, что слово «конфиденциальный» происходит от латинского «confidential» (доверие) и означает «доверительный, не подлежащий огласке», то соответственно термин «конфиденциальная информация» (или «информация конфиденциального характера») будет означать информацию, полученную в ходе доверительных отношений, не подлежащую разглашению. Это подразумевает следующее: «У нас с тобой доверительные отношения, т.е. мы доверяем друг другу. Например, ты доверил мне какую-то информацию и можешь быть уверен в том, что эта информация не будет известна никому до тех пор, пока ты сам не разрешишь мне этого сделать».
Рассмотрим подробнее перечисленные выше виды конфиденциальной информации.
Под персональными данными в соответствии со ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (приложение П1.3) ранее понималась «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
После внесения 25 июля 2011 г. в указанный выше Закон изменений, вступивших в силу в январе 2012 г., термин «персональные данные» определяется как «любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)».
Согласно положениям ст. 6 указанного закона, обработка персональных данных, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, осуществляется с согласия субъектов персональных данных. Как указано в ст. 9 закона, «согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».
Согласие субъекта персональных данных не требуется в ряде случаев, например, когда обработка персональных данных осуществляется для статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных; она необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно, и т.д.
В соответствии со ст. 7 Закона «операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
Что касается тайны следствия и судопроизводства, здесь необходимо отметить следующее. Целями предварительного расследования являются установление лиц, причастных к совершению преступления, получение доказательств виновности лица (лиц) и пресечение дальнейшей преступной деятельности. Как указывается в комментарии к Уголовно-процессуальному кодексу Российской Федерации , запрет на предание огласке данных предварительного расследования обусловлен особенностями досудебного производства, в том числе необходимостью установления и розыска совершивших преступления лиц, предотвращения уничтожения доказательств их сообщниками или иными заинтересованными в исходе уголовного дела лицами. Преждевременное и неконтролируемое разглашение данных предварительного следствия может причинить вред не только полному и объективному исследованию обстоятельств уголовного дела, но и интересам потерпевшего, обвиняемого, других участников расследования.
Касаясь вопроса ограничения гласности судебного разбирательства, хотелось бы подчеркнуть, что, согласно нормам российского законодательства, разбирательство дел во всех судах должно быть открытым, за исключением ряда случаев. Так, в ст. 10 Гражданского процессуального кодекса РФ от 14 ноября 2002 г. № 138-ФЗ указано, в частности, что разбирательство в закрытых судебных заседаниях допускается при удовлетворении ходатайства лица, участвующего в деле и ссылающегося на необходимость сохранения коммерческой или иной охраняемой законом тайны, неприкосновенность частной жизни граждан или иные обстоятельства, гласное обсуждение которых способно помешать правильному разбирательству дела либо повлечь за собой разглашение указанных тайн или нарушение прав и законных интересов гражданина.
Законодательством РФ предусмотрена также тайна совещания судей. Так, ст. 298 Уголовно-процессуального кодекса от 18 декабря 2001 г. № 174-ФЗ устанавливает, что во время постановления приговора в совещательной комнате могут находиться лишь судьи, входящие в состав суда по данному уголовному делу. Судьи не вправе разглашать суждения, имевшие место при обсуждении и постановлении приговора. Аналогичным образом ст. 341 данного акта регулирует тайну совещания присяжных заседателей. Гарантией соблюдения тайны совещания судей и тайны совещания присяжных заседателей является ст. 389.17 Кодекса, которая указывает, что нарушение тайны совещания коллегии присяжных заседателей при вынесении вердикта или тайны совещания судей при постановлении приговора является безусловным основанием отмены или изменения судебного решения.
Под понятием «служебная тайна» в соответствии с упомянутым выше Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» подразумеваются служебные сведения, доступ к которым ограничен органами государственной власти. Ранее более подробное определение служебной тайны было дано в ст. 139 Гражданского кодекса РФ: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности». Однако Федеральным законом от 18 декабря 2006 г. № 231-ФЗ «О введении в действие части четвертой Гражданского кодекса Российской Федерации» ст. 139 Гражданского кодекса признана утратившей силу с 01 января
2008 г., в то время как закон «О служебной тайне» пока еще не принят. В настоящее время общий порядок обращения с материальными носителями информации, содержащими служебную информацию ограниченного распространения (за исключением сведений, составляющих государственную тайну), в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, а также на подведомственных им предприятиях, в учреждениях и организациях определяется Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утвержденным постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 (приложение П1.4). При этом служебная информация ограниченного распространения трактуется как несекретная (т. е. не содержащая сведений, составляющих государственную тайну) информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами.
Таким образом, работник, занимающий определенную должность в федеральных органах исполнительной власти, а также в подведомственных им предприятиях, учреждениях или организациях, обязан сохранять в тайне сведения ограниченного распространения, к которым он имеет доступ в связи с выполняемой работой (приложения П1.8-П1.19. При этом под термином «должность» следует понимать служебное положение работника, определяющее круг его полномочий и ответственности.
К профессиональной тайне относятся сведения ограниченного доступа, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).
В соответствии со ст. 9 Федерального закона «Об информации, информационных технологиях и о защите информации» информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и/или по решению суда.
Слово «профессия» происходит от латинского «professio» (занятие, специальность) и означает род трудовой деятельности, требующий комплекса специальных теоретических знаний и практических навыков, приобретаемых в результате подготовки и трудового опыта. Таким образом, в случае профессиональной тайны речь идет именно о профессии как о роде деятельности, а не о занимаемом должностном положении, как это имеет место, когда мы говорим об информации, составляющей служебную тайну. Лица, занимающиеся определенной профессиональной деятельностью (например, врачебной), обязаны хранить в тайне сведения, которые были им доверены клиентами (пациентами) (приложения П1.20-П1.29).
Под коммерческой тайной в соответствии со ст. 3 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (приложение П1.30) понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Кстати говоря, исходя из данного определения довольно часто используемое словосочетание «защита коммерческой тайны» является неверным. Более правильным будет следующее выражение: «защита информации, составляющей коммерческую тайну».
Следует также обратить внимание на то, что в упомянутом выше Указе Президента РФ «Об утверждении перечня сведений конфиденциального характера» под коммерческой тайной понимаются сведения ограниченного доступа, связанные с коммерческой деятельностью, т.е. в Указе перечислены именно виды сведений конфиденциального характера (в том числе коммерческая тайна), в то время как в законе «О коммерческой тайне» термин «коммерческая тайна» означает установленный обладателем информации режим защиты информации, т.е. комплекс правовых, организационных и технических мер. Таким образом, после принятия закона «О коммерческой тайне» нарушилось терминологическое соответствие нормативных актов, в результате под одним и тем же термином подразумеваются разнородные понятия.
В соответствии со ст. 3 Федерального закона «О коммерческой тайне» к информации, составляющей коммерческую тайну, относятся сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Выражаясь другими словами, информация, составляющая коммерческую тайну, - это специально охраняемые сведения, представляющие ценность для организации в плане получения прибыли и достижения преимущества над конкурентами. Несанкционированное разглашение таких сведений может нанести организации материальный ущерб, привести к ослаблению ее позиций на рынке и к другим негативным последствиям.
В соответствии со ст. 10 Федерального закона «О коммерческой тайне» меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
О ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
О учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
О регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
О нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
После принятия обладателем информации, составляющей коммерческую тайну, указанных мер режим коммерческой тайны считается установленным.
Наряду с этими мерами обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.
К информации, составляющей коммерческую тайну, в принципе может быть отнесена любая деловая информация, кроме ограничений, перечисленных в ст. 5 Закона «О коммерческой тайне». К ней, в частности, относятся сведения, содержащиеся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; сведения о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов; сведения о численности, составе работников, системе оплаты труда; сведения о задолженности работодателей по выплате заработной платы и т.д.
Еще одним видом конфиденциальной информации, упомянутым в Указе Президента РФ «Об утверждении перечня сведений конфиденциального характера», являются сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Согласно ст. 1350 Гражданского кодекса РФ, в качестве изобретения охраняется техническое решение в любой области, относящееся к продукту (в частности, устройству, веществу, штамму микроорганизма, культуре клеток растений или животных) или способу (процессу осуществления действий над материальным объектом с помощью материальных средств). В ст. 1351 Гражданского кодекса указано, что в качестве полезной модели охраняется техническое решение, относящееся к устройству. В качестве промышленного образца (ст. 1352 Кодекса) охраняется художественно-конструкторское решение внешнего вида изделия промышленного или кустарно-ремесленного производства.
В соответствии со ст. 1354 Гражданского кодекса охрана интеллектуальных прав на изобретение или полезную модель предоставляется на основании патента в объеме, определяемом содержащейся в патенте формулой изобретения или полезной модели. Для толкования формулы могут использоваться описания и чертежи, содержащиеся в заявке на выдачу патента на изобретение или полезную модель. При этом следует отметить, что описание раскрывает изобретение или полезную модель с полнотой, достаточной для их осуществления. Согласно ст. 1394 Гражданского кодекса, сведения о выдаче патента, в том числе формула изобретения или полезной модели, публикуются в официальном бюллетене, причем после публикации таких сведений любое лицо вправе ознакомиться с документами заявки. Поэтому многие научно-технические решения, на которые может быть получен патент, специально не регистрируются обладателем этой информации, чтобы скрыть суть разработки от недобросовестных конкурентов, так как в силу неизвестности каких-либо технологических нюансов обладатель информации получает преимущества в производстве товаров и их реализации на рынке. В мировой практике такая информация защищается в режиме коммерческой тайны.
Таким образом, после патентования изобретения защита прав обладателя данной информации обеспечивается с помощью патента. До официальной публикации информации должна обеспечиваться охрана ее конфиденциальности, т.е. сохранение такой информации в тайне от третьих лиц, путем использования специальных организационных, правовых и технических мер защиты, что в совокупности именуется режимом коммерческой тайны.
Федеральным законом от 12 марта 2014 г. № 35-ФЗ «О внесении изменений в части первую, вторую и четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты Российской Федерации» был внесен ряд изменений, касающихся вопросов обеспечения режима коммерческой тайны, в части вторую и четвертую Гражданского кодекса, а также в Федеральный закон «О коммерческой тайне». В частности, в указанных актах уточнены определения понятий «секрет производства (ноу-хау)» (ст. 1465 Кодекса) и «информация, составляющая коммерческую тайну» (ст. 3 Федерального закона «О коммерческой тайне»). В соответствии с данными определениями секрет производства (ноу-хау) является одной из разновидностей информации, составляющей коммерческую тайну. Таким образом, категория «сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них», т. е. как раз то, что и называется секретом производства (ноу-хау), относится к категории «информация, составляющая коммерческую тайну» и не должна определяться в качестве самостоятельного вида конфиденциальной информации, как это имеет место в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ. Вместе с тем данный Указ продолжает действовать и в настоящее время. Таким образом, существуют некоторые противоречия в вопросе распределения конфиденциальной информации по видам.
Ограничения на отнесение каких-либо сведений к информации, составляющей коммерческую тайну, были рассмотрены выше. Что касается более общих ограничений с точки зрения отнесения сведений к категории конфиденциальной информации, в ст. 8 Федерального закона «Об информации, информационных технологиях и о защите информации» указано, что не может быть ограничен доступ, в частности, к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; информации о состоянии окружающей среды; информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Таким образом, в распоряжении организации помимо общедоступной информации находится также информация ограниченного доступа, в том числе конфиденциальная, в отношении которой должны быть применены меры, обеспечивающие ее защиту от несанкционированного доступа и распространения (рис. 1.3). Все эти ресурсы распределены внутри организации между структурными подразделениями, работники которых осуществляют сбор, накопление, обработку, хранение и распространение информации. Кроме того, происходит постоянный обмен информацией, в том
Рис. 1.3. Распределение информационных ресурсов внутри организации числе конфиденциальной, с органами государственной власти, контрагентами и дочерними организациями. Субъектами персональных данных (работниками, кандидатами на работу, пенсионерами, посетителями) передаются в организацию их персональные данные. Какая-то часть сведений о деятельности организации предоставляется средствам массовой информации. Ну и, конечно, наиболее ценную информацию организации стремятся получить в корыстных целях недобросовестные (т.е. пренебрегающие законами цивилизованного рынка товаров и услуг) конкуренты и различного рода преступные группировки (рис. 1.4).
Для обеспечения информационной безопасности организации необходимо комплексное использование правовых, организационных и технических мер защиты. Система таких мер называется режимом конфиденциальности (рис. 1.5).
Правовые меры защиты информации заключаются в формировании соответствующей нормативно-правовой базы в данной области. Речь идет о федеральном законодательстве в сфере инфор-
Рис. 1.4.
Рис. 1.5. Режим конфиденциальности
мационной безопасности, а также о локальных нормативных актах организации, регламентирующих вопросы защиты информации ограниченного доступа (положения, инструкции, перечни конфиденциальной информации, соглашения о конфиденциальности и т.д.).
Под организационными мерами защиты информации понимаются установление порядка доступа к конфиденциальной информации, организация специального делопроизводства, ознакомление лиц, допущенных к конфиденциальным сведениям, с установленными в организации правилами работы с конфиденциальной информацией и осуществление контроля выполнения ими действующих мер защиты информации, проведение воспитательной работы и специальной учебы.
В качестве технических мер защиты информации могут использоваться различные шифры, электронная защита, сигнализация.
Лишь применение целостной системы, а не каких-то единичных мер защиты позволяет обеспечить сохранность конфиденциальной информации, ведь, по образному выражению французского писателя XIX в. В. Гюго, «тайна - та же сеть: достаточно, чтобы прорвалась одна петля, и все расползается».
Одним из центральных звеньев в системе мер обеспечения информационной безопасности организации является определение конфиденциальных сведений, подлежащих защите от несанкционированного доступа и распространения. Прежде чем выстраивать систему защиты, необходимо четко определить предмет защиты, оформив его в виде специального перечня конфиденциальной информации.
В соответствии со ст. 6 Федерального закона «Об информации, информационных технологиях и о защите информации» обладатель информации не только вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа. Он обязан принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами. Кроме того, в ст. 4 Федерального закона «О коммерческой тайне» указано, что право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации. Никто не вправе указывать ему, какую именно информацию включать в перечень конфиденциальной информации. Определение перечня конфиденциальной информации компании является прерогативой обладателя информации, т.е. самой организации. Естественно, при определении перечня необходимо учитывать приведенные выше законодательные ограничения на отнесение сведений к категории конфиденциальной информации, в том числе к информации, составляющей коммерческую тайну.
В зависимости от величины организации и разнообразия сфер ее деятельности подготовку предложений по включению информации в перечень может осуществлять либо какая-то одна постоянно действующая экспертная комиссия организации, либо экспертные комиссии ее подразделений, в состав которых целесообразно включать руководителей подразделений и наиболее подготовленных работников.
Категории сведений, включаемых в перечень, необходимо описывать четко, с использованием общедоступных терминов, чтобы исключить их неоднозначное толкование. Формулировки должны быть понятны каждому работнику и, в случае судебного разбирательства по факту незаконного использования или разглашения конфиденциальной информации компании, судье, т.е. от их четкости может во многом зависеть доказательственное значение перечня в суде.
Если количество включенных в перечень категорий сведений достаточно велико, целесообразно структурировать перечень, распределив категории информации по видам в зависимости от направлений деятельности организации. Кроме того, для каждой категории информации необходимо в соответствующей графе указать срок ограничения доступа к информации.
После того как перечень конфиденциальной информации разработан и утвержден руководством организации, необходимо определить круг лиц из числа работников, допущенных к работе с такой информацией. Таким образом, важно провести работу по разграничению доступа работников к конфиденциальной информации.
Под доступом к конфиденциальной информации понимается ознакомление определенных лиц, в данном случае работников организации, с такой информацией с согласия ее обладателя, т.е. организации в лице ее руководства, при условии сохранения конфиденциальности.
В целях обеспечения информационной безопасности необходимо максимально ограничить число лиц, допускаемых к защищаемой информации. Сохранность информации зависит от числа лиц, допущенных к обращению с нею. Чем уже этот круг, тем выше вероятность сохранения информации в тайне.
Для минимизации возможности несанкционированного разглашения конфиденциальной информации нужно предоставлять работнику доступ только к той информации, которая ему действительно необходима для выполнения его прямых должностных обязанностей. При этом должна быть достигнута некая «золотая середина», т.е. при распределении информации, с одной стороны, необходимо обеспечить предоставление каждому конкретному работнику полного объема данных для качественного выполнения порученных ему функций, а с другой - исключить ознакомление с излишними, ненужными ему для работы сведениями.
Таким образом, для обеспечения правомерного доступа работников организации к конфиденциальным сведениям необходимо внедрить соответствующую систему доступа.
С целью установления порядка доступа работников к конфиденциальной информации разрабатывается список (перечень, номенклатура) должностей, замещение которых предоставляет право доступа к конфиденциальной информации компании. В этом документе необходимо перечислить должности без приведения конкретных фамилий работников, но с указанием объема сведений, к которым допущены работники, занимающие эти должности (целесообразно при этом сослаться на соответствующие пункты перечня конфиденциальной информации).
С работниками, принимаемыми на работу на должности, включенные в указанный список (перечень, номенклатуру) должностей, необходимо заключить договоры (соглашения) о конфиденциальности, содержащие права и обязанности работника и работодателя в сфере обеспечения защиты конфиденциальной информации организации, а также ответственность за неправомерное обращение с ней. Заключение индивидуальных договоров (соглашений) о конфиденциальности с работниками позволяет четко регламентировать их персональную ответственность за разглашение конфиденциальных сведений (приложения П1.30-П1.33). Работник должен понимать, что, по меткому выражению английского литератора XVIII в. Томаса Фуллера, «тот, кто слизывает мед с крапивы, платит за него слишком дорого».
Как следует из приведенного выше текста, виды конфиденциальной информации довольно многообразны. Вместе с тем необходимо отметить, что, несмотря на это, законодательством регламентировано проставление на документах, содержащих такую информацию, лишь двух видов отметок, свидетельствующих об ограничении доступа к ней (грифов конфиденциальности) (рис. 1.6):
О «Коммерческая тайна» с указанием полного наименования и места нахождения обладателя этой информации - на документах, содержащих информацию, составляющую коммерческую тайну (ст. 10 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»);
О «Для служебного пользования» - на документах, содержащих служебную информацию ограниченного распространения (п. 2.1 Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утвержденного постановлением Правительства РФ от 3 ноября 1994 г. № 1233).
Рис. 1.6.
Грифы, обозначающие ограничение доступа к различным видам конфиденциальной информации, равнозначны, ведь равнозначны и сами виды такой информации, перечисленные в перечне сведений конфиденциального характера, утвержденном вышеупомянутым Указом Президента РФ от 6 марта 1997 г. № 188. Соответственно нельзя утверждать, например, что гриф «Коммерческая тайна» важнее, более значим, чем гриф «Для служебного пользования», и наоборот.
Следует обратить внимание на то, что в соответствии с Федеральным законом «О коммерческой тайне» при проставлении на документе грифа «Коммерческая тайна» в обязательном порядке указываются полное наименование и место нахождения юридического лица - обладателя информации (для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). При использовании грифа «Для служебного пользования» обладатель информации не указывается, ведь в данном случае им является государство, которое осуществляет свои полномочия в лице государственных органов и организаций.
В ст. 3 Федерального закона «О коммерческой тайне» указано, что обладатель информации, составляющей коммерческую тайну , - это лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении такой информации режим коммерческой тайны, т.е. комплекс мер по ее защите от несанкционированного доступа и распространения.
В соответствии со ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» обладателем информации является лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации (при этом согласно ст. 6 Закона обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование; от имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами). Изданного утверждения следует, что обладатель информации имеет в том числе и право устанавливать, если считает это необходимым, свой гриф конфиденциальности помимо грифов ограничения доступа, определенных законодательством РФ. Однако при этом важно, чтобы гриф, установленный самостоятельно обладателем информации, признавался другими участниками общественных отношений. Вместе с тем применение слова «конфиденциально» для обозначения грифа ограничения доступа к информации стало уже привычным явлением. Более того, слова «конфиденциально», «конфиденциальный», «конфиденциальность» происходят от одного корня и всем понятно, что речь идет о сохранении информации в тайне от лиц, не допущенных к этой информации, т.е. не имеющих права с ней знакомиться и, тем более, использовать в своей деятельности и в своих интересах. Таким образом, можно сказать, что определенная традиция использования грифа «Конфиденциально» сложилась негласно довольно давно. Вместе с тем принятый в 2004 г. Федеральный закон «О коммерческой тайне» четко установил требование проставлять на документах, содержащих информацию, составляющую коммерческую тайну какого-либо хозяйствующего субъекта, гриф «Коммерческая тайна» и указывать при этом полное наименование и место нахождения обладателя информации. Для информации, составляющей служебную тайну государственных органов и организаций, в соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, упомянутым выше, регламентировано использование пометки «Для служебного пользования».
Таким образом, указание на документах, содержащих информацию, составляющую коммерческую либо служебную тайну, какого-либо иного грифа ограничения доступа (например, грифа «Конфиденциально») является неправомерным.
Ранее, до выхода в свет Федерального закона «Об информации, информационных технологиях и о защите информации», в ст. 2 утратившего силу Федерального закона от 20 февраля 1995 г. «Об информации, информатизации и защите информации» были даны определения терминов «собственник информационных ресурсов», «владелец информационных ресурсов» и «пользователь (потребитель) информации». В ныне действующем законе эти понятия не применяются, в нем содержится лишь определение термина «обладатель информации».
Как уже отмечалось, в соответствии с внесенными в ст. 1465 Гражданского кодекса и ст. 3 Федерального закона «О коммерческой тайне» изменениями частным случаем информации, составляющей коммерческую тайну, является секрет производства (ноу-хау). Согласно положениям ст. 1466 Гражданского кодекса, обладателю секрета производства принадлежит исключительное право использования его любым не противоречащим закону способом, в том числе при изготовлении изделий и реализации экономических и организационных решений.
В соответствии со ст. 1229 Гражданского кодекса исключительное право на результаты интеллектуальной деятельности состоит из двух правомочий - права использования и права распоряжения. Исключительное право использования означает возможность использования охраняемого объекта по своему усмотрению любым не противоречащим закону способом. В правомочие распоряжения входит как право на отчуждение охраняемого результата, так и право выдачи лицензии на использование такого результата. Лицо, которое обладает исключительным правом (гражданин или юридическое лицо), именуется правообладателем. Им становится и то лицо, которому правообладатель уступил (передал) свои права, а также лицо, к которому эти права перешли по закону. Следовательно, обладателем исключительного права может быть не только первоначальный обладатель такого права на результат интеллектуальной деятельности, но и производный (последующий) обладатель такого права. Таким образом, круг обладателей информации может быть довольно широк.
В связи с неурегулированностью в Федеральном законе «О коммерческой тайне» вопроса о том, какой именно обладатель информации (первичный и (или) последующий) должен указываться при написании на документе грифа «Коммерческая тайна», автор полагает целесообразным указывать в качестве обладателя информации, полученной в результате выполнения научно-исследовательских или проектно-изыскательских работ по договору, заказчика этих работ. Если же информация была создана каким-либо лицом (физическим или юридическим) самостоятельно, то в качестве обладателя этой информации должно указываться непосредственно данное лицо, т.е. первичный обладатель информации.
К сожалению, в законодательстве РФ отсутствуют подробные разъяснения относительно необходимости проставления грифов конфиденциальности на документах, содержащих иные (за исключением сведений, составляющих коммерческую либо служебную тайну) виды информации, указанные в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6 марта 1997 г. № 188. Основываясь на имеющейся нормативной базе в сфере защиты конфиденциальной информации, можно сделать следующие выводы:
О проставление грифов конфиденциальности на документах, содержащих иные виды конфиденциальной информации, в обязательном порядке не предполагается;
О обладатель информации сам вправе решать, каким образом защищать информацию, в том числе использовать ли при этом грифы конфиденциальности для иных видов конфиденциальной информации и какие именно, если законодательно это не регламентировано.
Автор полагает, что исходя из приведенного выше определения термина «конфиденциальность информации», предлагаемого законодательством, обеспечение конфиденциальности информации не означает обязательное проставление на документах, содержащих такую информацию, грифа ограничения доступа к ней (грифа конфиденциальности). Так, в случае обработки персональных данных в соответствии с Федеральным законом «О персональных данных» речь идет лишь об обязанности операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Более того, учитывая тот факт, что, например, в кадровых подразделениях организаций весь массив обрабатываемой информации содержит персональные данные работников, невозможно и абсурдно на всех документах, содержащихся на бумажных и внешних электронных носителях (вопросы защиты конфиденциальной информации при ее размещении в автоматизированных системах обработки данных здесь не рассматриваются и являются предметом исследований других авторов в многочисленных литературных публикациях), проставлять гриф ограничения доступа. Более разумным представляется проведение работы по обеспечению защиты такой информации от несанкционированного доступа и распространения с помощью ряда других организационных мер, в том числе:
О конвертования документов, содержащих персональные данные, подлежащих передаче между подразделениями внутри самой компании (и, при необходимости, внутри подразделения компании) или отправке в сторонние организации;
О выдачи документов с персональными данными работникам, допущенным к такой информации, с использованием журналов регистрации документов.
Что касается сведений ограниченного доступа, связанных, например, с профессиональной деятельностью (сведений, составляющих профессиональную тайну), то здесь при обеспечении конфиденциальности информации речь идет прежде всего о профессиональной этике специалиста, обязывающей его хранить в тайне сведения, которые были доверены ему клиентами (пациентами), т.е. имеются в виду доверительные отношения между лицами, занимающимися определенной профессиональной деятельностью, и их клиентами (пациентами).
Таким образом, резюмируя сказанное, можно утверждать, что конфиденциальность различных видов информации, ее сохранение в тайне от третьих лиц могут быть обеспечены различными способами (или их комбинацией), например как путем проставления на материальных носителях информации грифов конфиденциальности, так и с помощью использования других организационных мер.
"Кадровик. ру", 2012, N 7
ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В любой компании существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями.
Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ). Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в других нормативных правовых актах.
Перечень конфиденциальных данных,
определенных законодательством
|
Вид |
Перечень сведений |
Законодательная |
|
Информация, |
Сведения любого характера |
Статья 3 |
|
Банковская |
Сведения об операциях, о счетах и |
Статья 26 |
|
Адвокатская |
Сведения, связанные с оказанием |
Основы |
|
Сведения, |
Любые сведения и документы, полученные |
Статья 9 |
На практике режим конфиденциальности определяется:
Перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
Договорным регулированием отношений с работниками;
Договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
Нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.
Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.
Режим коммерческой тайны не может быть установлен в отношении следующих сведений:
О загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
О численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
О задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
О нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
О размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
О перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
Сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.
Рассмотрим порядок установления перечня в конкретной компании.
Как поступать с сотрудником,
разгласившим конфиденциальную информацию?
Во многих компаниях к сотруднику, разгласившему секретные сведения, применяют следующие меры: налагают дисциплинарное взыскание, взыскивают убытки в суде. Некоторые работодатели просто увольняют провинившихся, считая, что распространение конфиденциальной информации является серьезным проступком. Действительно, такая возможность есть. Согласно пп. "в" п. 6 ч. 1 ст. 81 ТК РФ трудовой договор может быть расторгнут работодателем даже в случае однократного разглашения коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
При возникновении спора о восстановлении на работе лица, уволенного по рассматриваемому основанию, именно на работодателя возлагается бремя доказывания всех обстоятельств разглашения коммерческой тайны. Необходимо тщательно рассмотреть все обстоятельства конкретного дела, проанализировать, имеются ли законные основания для увольнения работника, заподозренного в разглашении конфиденциальной информации, а также оценить возможные риски в случае оспаривания сотрудником увольнения.
Приведем следующий пример: работник использовал флэш-накопитель для распечатки документа на принтере. Однако работодатель посчитал данные действия разглашением коммерческой тайны, поскольку запрет на использование флэш-накопителя для передачи конфиденциальной информации содержался в локальном акте. Однако в организации не было точного перечня таких секретных данных. В результате работник обратился в трудовую инспекцию, и после проверки ему удалось добиться снятия дисциплинарного взыскания.
Таким образом, налагая дисциплинарное взыскание, работодатель должен:
Доказать, что работник нанес материальный вред организации;
Установить, что работник разгласил конфиденциальные данные, включенные в перечень;
Подтвердить факт разглашения и ознакомления работника со списком конфиденциальных сведений.
Если компания захочет взыскать убытки в суде (допустим, менеджер уволился и продал конфиденциальную базу данных конкурентам), то потребуется оценить материальный ущерб. Ключевым условием, позволяющим сформировать доказательственную базу, является наличие перечня конфиденциальной информации.
Перечень конфиденциальной информации
в отдельной организации
В каждой организации составляется свой перечень конфиденциальной информации. Как правило, в него входят:
Сведения о производстве и управлении;
Данные об уровне заработной платы сотрудников;
Персональные данные сотрудников;
Управленческие решения, планы развития производства, инвестиционные программы;
Протоколы совещаний;
Конфиденциальные договоры;
Сведения о переговорах;
Сведения о кадровом составе, штатном расписании;
Стоимость и цены;
Бухгалтерская отчетность, первичная документация;
Сведения об уплаченных налогах и сборах;
Отчеты аудиторов.
Обратите внимание: персональные данные и конфиденциальная информация - не равнозначные понятия. Последнее является более широким и может включать в себя различные бухгалтерскую отчетность, данные о кадровом составе организации и иные сведения, которые охраняются компанией в соответствии с установленным режимом коммерческой тайны.
Информация, составляющая коммерческую тайну (секрет производства), - это сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которых такие сведения в любой возможной форме (устной, письменной, иной, в том числе с использованием технических средств) становятся известны третьим лицам без согласия обладателя либо вопреки трудовому или гражданско-правовому договору (Определение Мосгорсуда от 14.11.2011 по делу N 33-36486).
Понятие персональных данных установлено в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных". Это любые сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, если конфиденциальная информация может относиться и к физическим, и к юридическим лицам, персональные данные - только к физическим. Перечень конфиденциальных данных, отнесенных к таковым на законодательном уровне, приведен в приложении.
Необходимо обратить внимание на тот факт, что информация, признанная в компании конфиденциальной, может и не быть отнесена к таковой. К конфиденциальным могут быть причислены документы бухгалтерской отчетности, предоставляемые участникам общества лишь для ознакомления (Постановление ФАС Поволжского округа от 05.04.2005 N А12-12462/04-С56). Аналогичный вывод сделан и в Постановлении ФАС Дальневосточного округа от 16.05.2007, 08.05.2007 N Ф03-А73/07-1/1090 по делу N А73-9822/2006-9, в котором суд признал, что ни нормами Федерального закона от 21.11.1996 N 129-ФЗ "О бухгалтерском учете", ни ст. 89 Федерального закона от 26.12.1995 N 208-ФЗ "Об акционерных обществах" не предусмотрено обязательное предоставление акционеру копий первичных учетных документов, оборотных ведомостей аналитического учета и электронной базы данных бухгалтерской программы общества. Вместе с тем, например, сведения об исполнении налогоплательщиками своих обязательств по уплате налогов не являются налоговой тайной и могут быть разглашены (Постановление ФАС Западно-Сибирского округа от 27.07.2010 по делу N А27-25441/2009).
Таким образом, работодатель самостоятельно должен составить перечень конфиденциальных сведений и установить их распорядительным документом в зависимости от важности данной информации. Однако признание данных конфиденциальными может быть оспорено в суде. При этом важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты.
Порядок защиты конфиденциальной информации
В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
Определение перечня данных, составляющих коммерческую тайну;
Ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
Учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
Регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
Нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации.
В целях охраны конфиденциальности информации работодатель обязан:
Ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
Ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
Создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).
Трудовой договор с руководителем организации должен предусматривать обязательства этого сотрудника по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за соответствующие меры.
Признание данных конфиденциальными
может быть оспорено в суде
При этом в компании могут быть предприняты следующие действия:
Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
Ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
Стенографирование совещаний;
Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты данных;
Учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
Резервирование технических средств и дублирование массивов и носителей информации;
Защита от копирования информации, применение сертифицированных средств ее защиты;
Использование защищенных каналов связи;
Криптографическое преобразование данных, обрабатываемых и передаваемых средствами вычислительной техники и связи.
Очень важно установить в локальном акте организации не только перечень конфиденциальных сведений, но и порядок их использования.
Во взаимоотношениях с работниками компании используют обычно две тактики: защиту интересов в суде, защиту интересов в досудебном порядке путем расторжения договора с работником. Рассмотрим первый способ. В качестве примера можно привести Определение Мосгорсуда от 22.12.2011 по делу N 4г/8-10945/11. Разрешая заявленные исковые требования, руководствуясь ст. 81 ТК РФ, Федеральным законом "О коммерческой тайне", суд пришел к выводу о том, что увольнение истца является законным и обоснованным, поскольку он разгласил коммерческую тайну. Истец направил в адрес сторонней организации по электронной почте документы, к которым у третьих лиц не было свободного доступа и в отношении которых работодатель ввел режим коммерческой тайны.
В суде компания доказала следующие факты: ознакомление работника с положением "О коммерческой тайне", соблюдение процедуры привлечения к дисциплинарной ответственности, факт отправки документов в адрес заместителя генерального директора сторонней организации - данных о контрагентах, сведений о сроках и способах оказания услуг, размерах вознаграждения.
Но, если конфиденциальная информация не передается третьим лицам, факт копирования сведений без передачи третьим лицам не может расцениваться как разглашение. Так, в Определении от 12.12.2011 по делу N 4г/8-10961/2011 Мосгорсуд пришел к выводу о том, что информация, скопированная истицей на флэш-карту, составляла коммерческую тайну общества, однако доказательств того, что данные сведения были переданы ею третьим лицам, сторона ответчика не представила, а истица совершение подобных действий отрицала. Доказательств пересылки истицей указанных сведений на электронные почтовые ящики третьих лиц, а равно фактов размещения в сети Интернет суд также не получил. При осмотре домашнего компьютера истицы и удалении из него скопированной информации таковых фактов ответчик не зафиксировал. Отметок об этом в акте об удалении информации не было. Действия работника, в результате которых указанная информация становится доступна иным сотрудникам, осуществляющим контроль за соблюдением режима коммерческой тайны в организации, не могут быть квалифицированы по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ. При таких обстоятельствах, когда конфиденциальная информация не была разглашена третьим лицам, физическое лицо может быть восстановлено на работе с выплатой компенсации за время вынужденного прогула.
Распространение несекретной информации не является разглашением конфиденциальных сведений. Такой вывод следует из Определения Мосгорсуда от 14.11.2011 по делу N 33-36486. Суд пришел к выводу о том, что сведения о наличии оборудования, его стоимости, данные о дистрибьюторах не представляют коммерческой тайны, т. к. размещены в прайс-листах, каталогах и буклетах. Таким образом, конфиденциальность не была нарушена. Аналогичный вывод сделал Мосгорсуд в Определении от 18.10.2011 по делу N 33-33741. Разрешая спор и частично удовлетворяя исковые требования, суд обоснованно исходил из того, что обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагаются на работодателя. Работодатель не представил как доказательств того, что система B2B содержала конфиденциальную информацию, так и доказательств распространения истцом данных, составляющих коммерческую тайну.
Конечно, многие компании в суде не могут доказать свою правоту, поскольку в нормативно-правовой базе отсутствует конкретный перечень документов, которыми можно подтвердить убытки, связанные с незаконным раскрытием конфиденциальной информации. Кроме того, очень сложно оценить именно материальную составляющую, например, утечки информации о контрагентах или финансовых показателях, а также сам факт разглашения. Ведь разглашение может быть осуществлено как в письменной форме, так и в устной. В связи с этим многие компании вынуждены использовать такие методы наказания нерадивых работников, как дисциплинарные взыскания.
Однако иногда компании предпочитают не выносить сор из избы и расстаются с такими работниками по-хорошему. В подобных ситуациях предпочтительнее оформить увольнение по соглашению сторон, предусмотренному ст. 78 ТК РФ. Одно из существенных преимуществ заключается в том, что оспорить такое увольнение практически невозможно, поскольку наличествует взаимная договоренность сторон.
В заключение следует отметить, что от того, насколько четко компания определяет перечень конфиденциальных сведений, а также порядок их охраны, зависят целостность коммерческой тайны, защита интересов организации и возможность восстановления справедливости в суде.
Приложение
Пример перечня конфиденциальных данных
Перечень сведений, отнесенных к конфиденциальной
(служебной) информации в центральном аппарате
Федерального агентства железнодорожного транспорта
и подведомственных ему предприятиях и учреждениях,
утв. Приказом Федерального агентства
железнодорожного транспорта от 24.01.2011 N 18
|
Сведения, отнесенные к конфиденциальной (служебной) информации |
|
|
I. Сведения об отраслевой управленческой деятельности |
|
|
Отдельные материалы заседаний Федерального агентства железнодорожного |
|
|
Сведения (информация), подготовленные Росжелдором на поступающие из |
|
|
Сведения об организации работы, о конкретных мерах или проводимых |
|
|
II. Сведения об административно-хозяйственной деятельности |
|
|
Сведения о персональных данных работника Росжелдора, содержащиеся в |
|
|
Сведения, получаемые при приеме гражданина на государственную |
|
|
Сведения об осведомленности работника со сведениями, составляющими |
|
|
Протоколы заседаний конкурсных комиссий по проведению конкурсов на |
|
|
Акты проверок деятельности территориальных управлений и |
|
|
Сведения о штатном расписании Росжелдора |
|
|
Сведения о расположении структурных подразделений в здании |
|
|
Протоколы заседаний жилищной комиссии |
|
|
Протоколы заседаний конкурсной комиссии по проведению |
|
|
III. Сведения о режиме секретности, мобилизационной подготовке, |
|
|
Акты проверок обеспечения пропускного режима в административное |
|
|
Сведения о результатах оценки уязвимости объектов транспортной |
|
|
Сведения, являющиеся информационными ресурсами единой государственной |
|
|
IV. Сведения о защите информации |
|
|
Сведения об организации обработки служебной информации на средствах |
|
|
Сведения, раскрывающие организацию, состояние защиты информации, или |
|
|
Сведения о методах, средствах или эффективности (состоянии защиты) |
|
|
Обобщенные сведения, содержащиеся в схеме локальной вычислительной |
|
|
Сведения о конкретных проводимых и (или) планируемых мероприятиях по |
|
|
V. Прочие сведения |
|
|
Сведения об организации, состоянии или расположении инженерных систем |
|
|
Сведения, раскрывающие содержание планов и конкретных мероприятий по |
|
|
Данные охранного видеонаблюдения, фиксации системы охраны помещений, |
Е. Шестакова
генеральный директор
ООО "Актуальный менеджмент"
Подписано в печать
- Корпоративная культура
Ключевые слова:
1 -1
Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.
Конфиденциальность информации – это гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Конфиденциальная информация – это информация, на доступ к которой имеет право ограниченный круг лиц.
Если же доступ к конфиденциальной информации получает лицо, не имеющее такого права, то такой доступ называется несанкционированным и рассматривается как нарушение защиты конфиденциальной информации. Лицо, получившее или пытающееся получить несанкционированный доступ к конфиденциальной информации, называется злоумышленником .
Например, если Саша отправил Маше письмо по электронной почте, то информация в этом письме является конфиденциальной, так как тайна личной переписки охраняется законом. Если Машин брат, взломав пароль, получил доступ к Машиному почтовому ящику и прочитал письмо, то имеет место несанкционированный доступ к конфиденциальной информации, а Машин брат является злоумышленником.
Обеспечение конфиденциальности информации является наиболее проработанным разделом информационной безопасности.
Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним. Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальной информации или доступ к ним ограничивается. Так, федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности» ограничивает доступ к сведениям по операциям и счетам клиентов и корреспондентов банка.
Однако не, по всем сведениям, составляющим конфиденциальную информацию, применяется прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относятся к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ и являются следующими:
соответствующая информация неизвестная третьим лицам
к данной информации не установлено на законном основании свободного доступа
меры по обеспечению конфиденциальности информации принимает собственник информации.
Конфиденциальная информация подразделяется на:
· предметную,
· служебную.
Предметная информация - это сведения о какой-то области реального мира. которые, собственно, и нужны злоумышленнику, например, чертежи подводной лодки или сведения о месте нахождения Усамы Бен-Ладена. Служебная информация не относится к конкретной предметной области, а связана с параметрами работы определенной системы обработки данных. К служебной информации относятся в первую очередь пароли пользователей для работы в системе. Получив служебную информацию (пароль), злоумышленник с ее помощью может затем получить доступ к предметной конфиденциальной информации.
Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.
Этот аспект информационной безопасности стал исключительно актуальным в последнее время в связи с принятием ряда международных правовых актов по защите интеллектуальной собственности. Данный аспект касается в основном предотвращения нелегального использования программ.
Так, например, если пользователь устанавливает на свой компьютер нелицензионную систему Windows, то имеет место факт нарушения защиты информации.
Кроме того, данный аспект касается использования информации, полученной из электронных источников. Эта проблема стала наиболее актуальной в связи с развитием сети Интернет. Сложилась ситуация, когда пользователь Интернет рассматривает всю размещенную там информацию как свою личную собственность, и пользуется ей без каких-либо ограничений, зачастую выдавая за собственный интеллектуальный продукт.
Например, студент «скачивает» из Интернета реферат и сдает преподавателю под своей фамилией.
Законодательные акты и правоприменительная практика, касающиеся данной проблемы, пока находятся в стадии становления.
Следует отметить, что хотя во всех цивилизованных странах на страже безопасности граждан (в том числе информационной) стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому процесс обеспечения информационной безопасности во многом опирается на меры самозащиты.
Следовательно, необходимо представлять, откуда могут исходить и в чем состоять угрозы информационной безопасности, какие меры могут быть предприняты для защиты информации, и уметь грамотно применять эти меры.
В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), циркулирующая в обществе информация подразделяется на общедоступную информацию и информацию ограниченного доступа. Законом также установлено, что ограничения на доступ к информации устанавливаются только федеральными законами (ч. 2 ст. 5).
Закон об информации подразделяет информацию в зависимости от порядка ее предоставления или распространения (ст. 5):
1) на информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Законодательством Российской Федерации установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.
Сведения, относящиеся к государственно тайне
К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации, регулируются Законом РФ от 21.07.1993 № 5485-1 «О государственной тайне» (в ред. от 01.12.2007).
Конфиденциальная информация и ее виды
Определение понятия «конфиденциальность информации» дает Закон об информации: «конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».
Виды конфиденциальной информации установлены Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» (в ред. от 23.09.2005). К ней относятся:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
■ Персональные данные , в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Указанным Законом установлен порядок обработки персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.
Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (гл. 14), согласно которому работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Положение о неразглашении персональных данных содержится и в Федеральном законе от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния» (в ред. от 18.07.2006), в ст. 12 которого говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.
Уголовный кодекс Российской Федерации (ст. 137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан.
■ Тайна следствия и судопроизводства. Положения о недопустимости разглашения следственных данных установлены, в частности, Уголовно-процессуальным кодексом Российской Федерации: «Данные предварительного расследования не подлежат разглашению… Данные предварительного расследования могут быть преданы гласности лишь с разрешения прокурора, следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства. Разглашение данных о частной жизни участников уголовного судопроизводства без их согласия не допускается» (ч. 1, 3 ст. 161).
Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия прокурора, следователя или лица, производящего дознание, влечет уголовную ответственность.
■ Служебные сведения ограниченного доступа (служебная тайна). Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» (в ред. от 23.09.2005) определяет служебную тайну как служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
Постановлением Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» установлен порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Положением установлено, что на документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования». Положение также определяет порядок изготовления, учета документов ограниченного распространения и организации их документооборота.
■ Сведения, связанные с профессиональной деятельностью: врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др. Порядок обращения и порядок доступа к информации, составляющей различные виды профессиональной тайны, регламентируется рядом законодательных актов Российской Федерации. Как правило, это законодательные акты, регулирующие отношения в определенных сферах деятельности. Например, Федеральный закон от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» (в ред. 24.07.2007, с изм. от 03.12.2007) содержит ст. 8 «Адвокатская тайна», в которой установлено, что адвокатской тайной являются любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю. Адвокат не может быть вызван и допрошен в качестве свидетеля об обстоятельствах, ставших ему известными в связи с обращением к нему за юридической помощью или в связи с ее оказанием.
Основы законодательства Российской Федерации о нотариате от 11.02.1993 № 4462-1 (в ред. от 18.10.2007) устанавливают: «Нотариусу при исполнении служебных обязанностей, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий, или увольнения, за исключением случаев, предусмотренных настоящими Основами. Сведения (документы) о совершенных нотариальных действиях могут выдаваться только лицам, от имени или по поручению которых совершены эти действия» (ст. 5).
В Основах законодательства Российской Федерации об охране здоровья граждан от 22.07.1993 № 5487-1 (в ред. от 18.10.2007) установлено, что информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных Законом (ч. 1, 2 ст. 61 «Врачебная тайна»).
Приказом Федерального фонда обязательного медицинского страхования от 25.03.1998 № 30 «О соблюдении конфиденциальности сведений, составляющих врачебную тайну» установлен комплекс организационных мер по обеспечению защиты информации, составляющей врачебную тайну.
Федеральный закон от 17.07.1999 № 176-ФЗ «О почтовой связи» (в ред. от 26.06.2007) содержит положения, направленные на защиту тайны связи, – тайны переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи. Тайна связи не подлежит разглашению без согласия пользователя услуг почтовой связи. Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям (ст. 15).
Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений в соответствии с Уголовным кодексом Российской Федерации (ст. 138) влечет уголовную ответственность.
■ Сведения, связанные с коммерческой деятельностью, доступ к которым ограничивается (коммерческая тайна). Определение коммерческой тайны приведено в Гражданском кодексе Российской Федерации (ст. 139) и Федеральном законе от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (в ред. от 24.07.2007). Закон трактует коммерческую тайну как конфиденциальность информации, позволяющую ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (ст. 3).
Закон «О коммерческой тайне» устанавливает виды информации, которая не может составлять коммерческую тайну. Это информация, содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; содержащаяся в документах, дающих право на осуществление предпринимательской деятельности; о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, о наличии свободных рабочих мест и др. (ст. 5).
Данный Закон устанавливает меры организационного характера, обеспечивающие защиту документов, содержащих коммерческую тайну, от несанкционированного доступа. В том числе законом установлен гриф ограничения доступа к документам, содержащим коммерческую тайну, – «Коммерческая тайна».
■ Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них, в соответствии с Указом Президента РФ 06.03.1997 № 188, также являются конфиденциальной информацией. Меры по защите такого рода информации установлены Гражданским кодексом Российской Федерации (ч. 4).
В.Ф. Янковая,
канд. ист. наук, зам. директора ВНИИДАД
Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".
Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.
Отметим, что родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал А.Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений), отнеся к ним, в частности, известную самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; способность к сохранению, агрегированию, интегрированию, накоплению, "сжатию" и др.
В соответствии со ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.
В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.
Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.
Так в соответствии с международным стандартом ISO 17799 "Безопасность информационных систем" используются следующие обозначения:
ОТ - открытая информация;
КИ - конфиденциальная информация;
СКИ - строго конфиденциальная информация.
В российском законодательстве используются следующие грифы конфиденциальности:
ОТ - открытая информация;
ДВИ - для внутреннего использования;
КИ - конфиденциальная информация.
В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:
- - собственники информации (по отдельным видам они могут частично совпадать);
- - области (сферы) деятельности, в которых может быть информация, составляющая данный вид тайны;
- - на кого возложена защита данного вида тайны (по некоторым видам тайны здесь также возможно совпадение).
Конфиденциальная информация может быть предметом трудового договора. Обладателем конфиденциальной информации всегда является работодатель и работник, причём последний обладает не только сведениями о себе (персональными данными), но в силу трудового договора может хранить секреты производства и иные тайны.
Условием трудового договора будет обязанность не разглашать информацию, отвечающую признакам конфиденциальности (п. 7 ст. 2 закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"), а не только охраняемую законом тайну (государственная служебная, коммерческая, иная).
Таким образом, конфиденциальная информация может быть не только дополнительным, как об этом сказано в статье 57 ТК РФ, но и обязательным условием трудового договора.
А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.
По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.
По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.
В соответствии со ст.8 Федерального закона от 21.07.1993 № 5485-1 "О государственной тайне" только для информации составляющей государственную тайну устанавливаются три степени секретности сведений, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".
Примечательно, что в США и в ряде НАТО грифы секретности схожи с установленными отечественным законодательством - "конфиденциально (confidential)", "секретно (secret)", "совершенно секретно (top secret)". Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Федерального закона от 21.07.1993 № 5485-1 "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 30.11.95г. №1203 (уточнен Указом Президента РФ от 11.02.2006 № 90). К сведениям, представляющим государственную тайну, относят:
- - информацию в военной области;
- - информацию о внешнеполитической и внешнеэкономической деятельности;
- - информацию в области экономики, науки и техники;
- - сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.
В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:
- - о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;
- - о методах и средствах защиты секретной информации;
- - о государственных программах и мероприятиях в области защиты государственной тайны.
Следует обратить внимание, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству. Отсутствие четкой классификации конфиденциальной информации и их правовых режимов в законодательстве приводит к значительному числу противоречий и пробелов.
С правовым режимом конфиденциальной информации связано еще больше неопределенности, чем с режимом секретной информации. Считается, что типология конфиденциальной информации была установлена Указом Президента РФ от 6 марта 1997 г. N 188 "О перечне сведений конфиденциального характера". Указом определено шесть типов конфиденциальной информации, которые представлены следующим образом:
- 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- 2. Сведения, составляющие тайну следствия и судопроизводства.
- 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (служебная тайна).
- 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
- 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом и федеральными законами (коммерческая тайна).
- 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об основах охраны здоровья граждан Российской Федерации", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др.
К этому Указу накопилось довольно много претензий, главные из которых состоят в том, что он классифицирует виды конфиденциальной информации неполно, и некорректно. В последнем случае, например, указывают на то, что такая разновидность профессиональной тайны по этому Указу, как "тайна переписки... согласно ст. 23 Конституции РФ должна относиться к праву каждого человека, а не только специалиста определенной профессии", указывают также на то, что не проводится разграничения персональных данных и тайны частной жизни, и т.д. Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" также не снимает обозначенной проблемы, поскольку использует лишь самые общие нормативные установки, например: "Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение" (ч. 4 ст. 9).
Рассмотрим наиболее существенные виды информации конфиденциального характера, утвержденные Указом Президента РФ от 06 марта 1997 № 188.
27 июля 2006 года вступил в силу Федеральный закон Российской Федерации № 152-ФЗ "О персональных данных". Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
"Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания" (п.10. ст.3 ФЗ № 152-ФЗ).
Принятие Федерального закона от 27.07.2006 № 152-ФЗ призвано защитить конфиденциальные сведения (персональные данные субъекта), такие как: ФИО, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В качестве примера конфиденциальности информации о персональных данных субъекта можно привести положения, отмеченные в Письме Банка России от 28 ноября 2001 г. № 137-Т "О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем" (состав персональных данных для идентификации физического лица):
- - фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая);
- - дата и место рождения;
- - место жительства (регистрации);
- - место пребывания;
- - сведения о документе, удостоверяющем личность (наименование, серия и номер, орган, выдавший документ, дата выдачи документа).
Другим примером являются персональные данные, предусмотренные ФЗ от 15 ноября 1997 г. № 143-ФЗ: "Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния".
Одно из противоречий о защите персональных данных субъекта наглядно иллюстрирует банковская практика. Например, при открытии накопительного вклада на имя другого лица, вкладчик должен предоставить банку персональные данные этого лица; при оформлении кредита в банке или торговых точках необходима ксерокопия документа, содержащего персональные данные (в основном, паспорта); при оформлении договора зарплатного проекта для сотрудников предприятия банк обязан уведомить каждого сотрудника предприятия о начале обработки его персональных данных и получить согласие до выпуска карты и т.д. Все это существенно осложняет работу банков, процедуру обработки информации и передачи ее третьей стороне. Также, становится невозможной работа по обмену информацией о клиенте между филиалами одного банка. Филиал не может отправить куда-либо сведения об этом гражданине или информацию о его текущих делах без получения соответствующего разрешения от клиента. Необходимо учесть, что клиент имеет право не давать согласие на передачу его персональных данных третьим лицам. В этом случае гражданин получает возможность скрыть отрицательно характеризующую его информацию.
Проблема связана с отношением регулирующих органов к персональным данным как к самостоятельному объекту правовой охраны наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п. И для этого есть основания, поскольку в ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). Это создает путаницу, так как требование конфиденциальности персональных данных не абсолютно. Открытые персональные данные также обрабатываются и должны защищаться, например, на официальных сайтах органов государственной власти, профессиональных энциклопедиях и т.п.
Следующий вид информации с ограниченным доступом - служебная тайна - представляет наибольшую сложность с точки зрения определения ее понятия и правового режима, поскольку в этот вид тайны в разное время включалось и теперь включается различное содержание.
Определение служебной тайны дано в Указе Президента РФ от 06 марта 1997 № 188 "Об утверждении Перечня сведений конфиденциального характера", согласно которому служебная тайна представляет собой служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. Стоит отметить, в связи с отменой ст. 139 ГК РФ данное определение утратило всякую правовую основу.
В действующем законодательстве не определено однозначно понятие служебной тайны. Большинство ученых склонно придерживаться мнения, что к служебной тайне относятся те сведения о физических и юридических лицах, которые становятся известными различным должностным лицам по роду их служебной деятельности, однако в силу своего особого характера не могут свободно распространяться. В силу этого к служебной тайне относят тайну следствия, врачебную тайну, налоговую тайну, адвокатскую тайну и др.
Для обозначения служебной информации конфиденциального характера помимо термина "служебная тайна" используется целый ряд других, в первую очередь, - "служебная информация".
Длительное время единственным источником, в котором было закреплено легальное определение служебной информации, была ст.31 Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг": "служебной информацией федеральный закон понимает любую не являющуюся общедоступной информацию об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения…".
Следует обратить внимание на то, что, во-первых, данное определение не является универсальным и применяется только в рамках соответствующего правового института. Во-вторых, закон прямо устанавливает, что служебная информация представляет собой сведения с ограниченным доступом. В третьих, в связи с принятием 27 июля 2010 Федерального закона № 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", ст.31. Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг" утратил силу в январе 2011 г. Термин "служебная информация" заменена термином "инсайдерская информация".
Понятие "служебная информация" также, находит свое отражение в законодательных актах -- посвященных государственной и муниципальной службе, где используется достаточно часто, но ее содержание в них не раскрывается. Так, в Федеральном законе от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" ст.15 и ст.7 Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается обязанность соблюдать порядок работы со служебной информацией: "не разглашать сведения, составляющие государственную и иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство", и "сотрудник таможенного органа не вправе: использовать в неслужебных целях средства материально-технического и информационного обеспечения, финансовые средства, другое государственное имущество, а также служебную информацию". Согласно ст. 17 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" и ст.7.1. Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается запрет для государственных и муниципальных служащих: "разглашать или использовать в целях, не связанных с гражданской службой, сведения, отнесенные в соответствии с федеральным законом к сведениям конфиденциального характера, или служебную информацию, ставшие ему известными в связи с исполнением должностных обязанностей".
В свою очередь в постановлении Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" понятие "служебная информация" отражено в перечне сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:
- - акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
- - сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
- - описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
- - порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;
- - решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;
- - сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
- - документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
Таким образом, можно сделать вывод, что служебная информация - это конфиденциальные служебные сведения о деятельности государственных органов, доступ к которой ограничен федеральными законами или в силу исполнения должностных обязанностей, а также сведения, поступившие органам государственной власти от физических и юридических лиц, имеющие действительную ценность в силу неизвестности их третьим лицам и доступ к которым ограничен в соответствии с федеральными законами.
В настоящее время все больше уделяется внимание еще одному виду информации с ограниченным доступом - коммерческая тайна.
Понятие "коммерческая тайна" в переводе с английского "commercial" означает перечень сведений о деятельности фирмы, предприятия, не подлежащих разглашению ввиду возможных убытков, недополученной прибыли и других отрицательных последствий.
В российском законодательстве определение коммерческой тайны указано в ст.3 Федерального закона от 29.07.2004 № 98-ФЗ "О коммерческой тайне", понятие "коммерческая тайна" - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Под информацией, составляющей коммерческую тайну, понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе, составляющая секреты производства - ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Носителями коммерческой информации являются руководители предприятий или организаций, а также другие служащие, допущенные к коммерческим секретам. При этом сведения, составляющие коммерческую тайну предприятия или организации в соответствии со ст.4 от 29.07.2004 № 98-ФЗ, разрабатываются и утверждаются руководителем предприятия или организации с учетом требований постановления Правительства Российской Федерации от 05.12.1991 № 35 "О передаче сведений, которые не могут составлять коммерческую тайну".
В российском законодательстве нет исчерпывающих сведений относящихся к понятию "коммерческая тайна", но в литературе приведены примерные перечни сведений, относящихся к коммерческой информации
Так, Э. Соловьев предлагает следующий ориентировочный перечень сведений, составляющих коммерческую тайну:
- - сведения о производственных возможностях предприятия;
- - организация труда;
- - структура кадров и производства;
- - сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической деятельности;
- - инвестиционные программы;
- - имущественное положение предприятия;
- - бюджет;
- - методы изучения рынка сбыта;
- - круг клиентов;
- - сведения об иностранных партнерах;
- - структура цены;
- - условия по сделкам;
- - особые условия контрактов;
- - сведения о детальной расшифровке предмета лицензий при их купле-продаже;
- - результаты научных исследований и проектных разработок;
- - технические проекты;
- - конструкция объекта;
- - изобретения, "ноу-хау", промышленные и технические образцы;
- - сведения, связанные с технологической информацией;
- - способы производства продукции.
В.А. Герасименко, Д.В. Павлов, А.А. Шиверский приводят следующий примерный перечень сведений, относимых к коммерческой тайне:
- 1. Сведения стратегического характера:
- - планы развития производства, в том числе с применением новых технологий, открытий и т.п.;
- - причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления и т.п.
- 2. Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции; разработка технологий и новых видов продукции с учетом потребностей рынка и т.д.
- 3. Деловая информация:
- - о торговых и деловых партнерах, клиентах, посредниках, поставщиках и т.д.;
- - об условиях контрактов, соглашений, договоров и др.;
- - о состоянии кредитно-финансовой системы предприятия;
- - маркетинговая информация.
Положительным элементом формулировок содержания коммерческой тайны, приведенных В.А. Герасименко, Д.В. Павлов, А. А. Шиверским и Э. Я. Соловьевым, является то, что они попытались выделить основные области предпринимательской деятельности, в которых могут существовать сведения, составляющие коммерческую тайну.
На основании вышеизложенного можно сделать вывод, что действующее законодательство никак не ограничивает предметный характер информации, составляющей коммерческую тайну. К коммерческой тайне относятся конфиденциальные сведения в областях: производственно-хозяйственной; коммерческой; управленческой; научно-технической; финансовой, главное, чтобы данная информация имела бы коммерческую ценность в силу неизвестности ее третьим лицам.
Остальные виды тайн чаще всего обозначены, их объемы пересекаются, одна тайна накладывается на другую. Такое положение крайне отрицательно складывается на правоприменительной практике. Проблемы с определением круга сведений, относящихся к конкретному виду тайн, существуют даже в отношении наиболее "проработанных" законодательно тайн (таких как, государственная тайна и "ноу-хау"), что нередко подтверждает и судебная практика.
Поэтому, при решении вопроса об отнесении конкретной информации к защищаемой нужно руководствоваться определенными критериями, т.е. признаками, при наличии которых информация может быть отнесена к защищаемой.
Общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.
Критерии отнесения открытой информации к защищаемой:
- - необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;
- - необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);
- - необходимость информации для управленческой деятельности, сюда относится информация, требующаяся для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ее функционирования;
- - необходимость информации для финансовой деятельности;
- - необходимость информации для обеспечения функционирования социальной сферы;
- - необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;
- - важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.
Эти критерии обусловливают необходимость защиты открытой информации от утраты.
Названные выше критерии отнесения открытой информации к защищаемой вызывают потребность в защите от утраты и конфиденциальной информации.
Однако основной, определяющий критерий отнесения информации к конфиденциальной и защиты ее от утечки - возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам.
Этот критерий имеет две составляющие: Неизвестность информации третьим лицам. Получение преимуществ от использования информации (получение выгоды, предотвращение политического, экономического или морального ущерба). Эти две составляющие взаимосвязаны и взаимообусловлены с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ тому, кто ее защищает, с другой стороны, преимущества можно получить только за счет такой неизвестности.
При отсутствии названных выше критериев нет оснований для перевода информации в категорию защищаемой. Но наличие этих критериев не означает, что информация во всех случаях без исключения должна быть отнесена к охраняемой. Критерии - это лишь объективные показатели возможности отнесения информации к защите.
Для реализации этой возможности в действительности необходимы следующие условия:
- 1. Если информация не является общедоступной на законном основании, т.е. не содержит сведений, которые запрещено относить к конфиденциальным. Перечни таких сведений содержатся в нормативных актах РФ.
- 2. Если имеются технические возможности для защиты носителей информации. Речь идет об объектах, которые практически невозможно скрыть от технических средств обнаружения и фиксации, особенно спутниковых.
- 3. Если затраты на защиту информации не превысят количественных и качественных показателей преимуществ, получаемых при ее защите.
Таким образом, правовой и методологической основой для разработки перечней защищаемой информации являются: критерии отнесения информации к защищаемой; условия отнесения информации к защищаемой; понятие соответствующего вида тайны (их характеристики и показатели); специфика предприятия (для коммерческой тайны, что для одних является коммерческой тайной, для других - рекламная информация).