Файл: Обеспечение конфиденциальности документов и разграничения прав доступа в системе электронного документооборота..pdf
Добавлен: 05.07.2023
Просмотров: 163
Скачиваний: 2
Введение
Деятельность многих организаций (предприятий, учреждений) неразрывно связана с получением и использованием различного рода информации. В современных условиях информация представляет собой товар, имеющий определенную ценность. Часто наиболее ценной является информация, которую он использует для достижения целей организации (предприятия, учреждения) и разглашение которой создает угрозы безопасности. Не вся информация может, в случае ее разглашения, создавать эти угрозы, существует определенная часть, которая нуждается в защите. Такую информацию называют конфиденциальной. Конфиденциальная информация - это документированная (то есть зафиксированная на материальном носителе и с реквизитами, позволяющими ее идентифицировать) информация, доступ к которой ограничивается в соответствии с законодательством РФ. Часть этой коммерческой информации составляет особый блок и может быть отнесена к коммерческой тайне.
Общие сведения о конфиденциальности
На протяжении многих лет считается, кто владеет информацией - тот владеет миром . Многие руководители для защиты своих интересов засекречивают информацию. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации. Предприниматель в своей деятельности имеет дело с самой разнообразной информацией. Однако он не может всю информацию, которой обладает, сделать закрытой для внешних пользователей. С одной стороны, он должен предоставить максимум информации о своей деятельности потребителям, для того, чтобы они сделали выбор в его пользу. С другой стороны, предприниматель должен оградить названные группы лиц, а также своих конкурентов от информации, утечка или разглашение которой может представлять угрозу его экономической безопасности. В выборе «золотой середины», то есть определении того оптимального количества информации, которого будет достаточно для внешних пользователей и оно не будет представлять угроз экономической безопасности, и состоит первый шаг предпринимателя в процессе защиты информации, составляющей коммерческую тайну. Получить информацию о деятельности фирмы можно двумя способами: законным и незаконным. Законный способ - это получение информации из средств массовой информации, рекламных проспектов фирмы, статей о фирме, с выставок, пресс-конференций. Эта информация специально готовится работниками фирмы для открытого пользования всеми заинтересованными лицами. Незаконный способ - это получение информации, не предназначенной для внешних пользователей, без согласия руководства фирмы, с нарушением действующего законодательства и приводящее к прямым экономическим потерям для фирмы, либо к упущенной выгоде. В связи с этим, необходимо определить - какая, информация должна быть отнесена к коммерческой тайне и требует защиты. Важность информации определяется ее ценностью, которая, должна быть полезной своевременной, достоверной полной. Информацию по степени конфиденциальности можно разделить на следующие группы. К данной группе относят документы информация, которой является ключевой в деятельности фирмы, основой ее нормального функционирования. Утрата или разглашение, которой нанесет непоправимый ущерб деятельности организации (предприятию, учреждению). Строго конфиденциальная информация, это документы, утечка которых может вызвать тяжелые последствия для организации (предприятия, учреждения). Конфиденциальная информация - ее разглашение наносит фирме ущерб, сопоставимый с текущими затратами фирмы, ущерб может быть преодолен в сравнительно короткие сроки. Информация ограниченного доступа - ее утечка оказывает незначительное негативное воздействие на экономическое положение фирмы (должностные инструкции, структура управления). Открытая информация. Ее распространение не представляет угроз экономической безопасности фирмы. Наоборот, отсутствие данной информации может оказать негативное воздействие на экономическое положение фирмы. Под безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных. Информация, которая составляет коммерческую тайну, может существовать в бумажном, электронном виде, в памяти сотрудников. Регулирование отношений, связанных с использованием конфиденциальной информацией должно начинаться с основного документа - устава, в котором дается понятие коммерческой тайны и устанавливается ответственность за ее несоблюдение. Для более эффективной организации работы по защите коммерческой информации имеет смысл разработать и утвердить Положение о коммерческой тайне на предприятии. Этот документ строится на основе действующего законодательстве, и отражать специфику данной организации (предприятия, учреждения) субъекта предпринимательства. Он включает перечень сведений, которые составляют коммерческую тайну, степень конфиденциальности информации, порядок доступа к информации и круг работников предприятия, допущенных к информации той или иной степени конфиденциальности. Конфиденциальность - правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю - как условие неразглашения информации во внешнюю среду, и внутреннюю - среди персонала. Таким образом, конфиденциальная информация это - информация, требующая защиты доступ к которой ограничивается в соответствии с действующим законодательством, а также настоящим Регламентом.
Сведения, относящиеся к коммерческой тайне
К коммерческой тайне могут быть отнесены самые разные сведения, связанные с производством и другими вопросами деятельности организации (предприятия, учреждения). С термином «коммерческая тайна» используются и другие термины как «конфиденциальная информация», «ноу-хау», «секреты производства».
Все они обозначают одно и тоже понятие, которое в ГК РФ именуется «коммерческой тайной». Согласно ст. 139 ГК РФ коммерческая тайна - это информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Информация может быть разделена на три категории. Первая - несекретная (или открытая), которая предназначена для использования как внутри фирмы, так и вне нее. Вторая - для служебного пользования, которая предназначена только для использования внутри фирмы. Она подразделяется, в свою очередь, на две категории:
Доступную для всех сотрудников фирмы. Доступную для определенных сотрудников. Третья - секретная информация (или информация ограниченного доступа), которая предназначена для использования только специально уполномоченными сотрудниками фирмы и не предназначена для передачи иным сотрудникам в полном объеме или по частям. Информацию второй и третьей категории обычно называют конфиденциальной. Критерии, при которых информация может быть отнесена к конфиденциальной, перечислены в ст. 13 части 1 ГК РФ. К ним отнесены: Коммерческая ценность информации в силу ее неизвестности третьим лицам; Отсутствие свободного доступа к этой информации на законном основании; Обеспечение мер безопасности для конфиденциальной информации; Таким образом, обеспечение конфиденциальности документной информации содержит три точки зрения:
1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
2. Организация делопроизводства с конфиденциальными документами. По функционально-целевому признаку выделяются следующие составляющие коммерческой тайны; Деловая информация: (сведения о контрагентах, сведения о конкурентах, сведения о потребителях, сведения о деловых переговорах, коммерческая переписка, сведения о заключенных и планируемых контрактах). Научно-техническая информация: (содержание и планы научно - исследовательских работ, содержание «ноу-хау», рационализаторских предложений, планы внедрения новых технологий и видов продукции). Производственная информация: (технология, планы выпуска продукции, объем незавершенного производства и запасов, планы инвестиционной деятельности). Организационно-управленческая информация: (сведения о структуре управления фирмой не содержащиеся в уставе, оригинальные методы организации управления, система организации труда). Маркетинговая информация: (рыночная стратегия, планы рекламной деятельности, планы обеспечения конкурентных преимуществ по сравнению с продукцией других фирм, методы работы на рынках, планы сбыта продукции, анализ конкурентоспособности выпускаемой продукции).
Информация о персонале фирмы: (личные дела сотрудников, планы увеличения (сокращения) персонала, содержание тестов для проверки вновь принимаемых на работу). Программное обеспечение: (программы, пароли, коды доступа к конфиденциальной информации, расположенной на электронных носителях). Как правило, именно перечисленная выше информация в наибольшей степени интересует конкурентов, партнеров, банки, криминальные структуры. В соответствии с ФЗ "Об информации, информационных технологиях и о защите информации" не могут составлять коммерческую тайну.
Учредительные документы (решение о создании предприятия или договор учредителей) и Устав; Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
Сведения по установленным формам отчетности финансово - хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ; Документы о платежеспособности; Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест; . Документы об уплате налогов и обязательных платежах; Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
Перечисленные сведения предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива организации (предприятия, учреждения). Таким образом, информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности. В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих секретов может привести к снижению доходов предприятия или его банкротству.
Особенности подбора персонала для работы с документами, содержащими конфиденциальную информацию. В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информацией. Никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Многие специалисты по защите информации считают, что при правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80%, без применения каких-либо дополнительных методов и средств защиты Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко. Организация эффективной защиты экономической безопасности организации со стороны персонала включает три основных этапа работы с сотрудниками, допущенными к конфиденциальной информации.
Предварительный (в период предшествующий приему на работу);
Текущий (в период работы сотрудника);
Заключительный (во время увольнения сотрудника).
Предварительный этап является наиболее ответственным и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, целесообразнее всего соблюсти следующую технологию приема. Прежде всего, на основании должностной инструкции и особенностей деятельности разрабатываются требования к кандидату на должность. Они включают не только формальные требования - пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить - какой работник необходим фирме, а самому кандидату - сопоставить собственные качества с требующимися.
Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидатом могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур.
К ним относятся обращение в службы занятости, агентства по найму рабочей силы и прочие аналогичные организации;
Поиск кандидатов среди студентов и выпускников высших учебных заведений;
Подбор кандидатов по рекомендациям фирм-партнеров;
Подбор кандидатов по рекомендациям надежных сотрудников фирмы.
Подбор, основанный на случайном обращении кандидатов непосредственно в фирму, может представлять угрозу ее экономической безопасности в будущем.
В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:
Трудового договора (контракта);
Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;
Договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).
Работник обязан строго хранить в тайне сведения, отнесенные к коммерческой тайне предприятия, ставшие ему известными по службе или иным путем.
Разглашение коммерческой тайны предприятия, передача третьим лицам, публикация без согласия предприятия, а также использование для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб предприятию, влечет уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством.
В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня. Эффективным способом защиты информации, является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными обязанностями работников. Посещение же «закрытых» территорий производится только с разрешения руководства. Третий этап - увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности.