Модель системы защиты информации

 

Классификация информации

 

Любая компания представляет собой хозяйствующий субъект, имеющий краткосрочные и долгосрочные цели ведения своей дея­тельности, определенные миссией на рынке и стратегией развития, внешние и внутренние ресурсы, необходимые для достижения по­ставленных целей, а также сложившиеся правила ведения бизнеса.

В процессе деятельности сотрудники принимают, обрабатывают и передают информацию, организуя информационный обмен. Именно эти процессы и вызывают необходимость защиты информации Мы уже выяснили, что объектом защиты является информация, но всю ли информацию нужно защищать одинаково? Это зависит от то­го, какова эта информация, т.е. какие сведения она содержит, к какой категории ее можно отнести.

Применительно к уровню защиты информацию можно разделить на три категории:

Информация, составляющая государственную тайну;

Сведения, содержащие коммерческую тайну;

Персональные данные.

Информация, составляющая государственную тайну. Владель­цем этой категории информации является государство. Оно само вы­двигает требования по ее защите и контролирует их исполнение За­коном Российской Федерации "О государственной тайне"[7]. Наруше­ние этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом.

К государственной тайне относятся защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрраз­ведывательной и оперативно-розыскной деятельности, распростране­ние которых может нанести ущерб безопасности Российской Феде­рации. В связи с чрезвычайно высокой важностью данного вида ин­формации доступ к сведениям, составляющим государственную тайну, обеспечивается для работников только после проведения про­цедуры оформления соответствующего права. Речь идет о получении так называемого "допуска", который, увы, впоследствии иногда соз­дает проблемы с выездом за границу. Предприятия, учреждения и организации получают право на проведение работ с использованием сведений, содержащих государственную тайну, также после получе­ния соответствующих полномочий.

Сведения, содержащие коммерческую тайну. Информацией этой категории владеют предприятия, и поэтому они вправе ею распоря­жаться и самостоятельно определять степень защиты.

Несмотря на то, что широкомасштабное развитие коммерческой деятельности в нашем государстве началось совсем недавно, российское законодательство на самом деле достаточно давно уделяло вни­мание этой категории сведений. Правовые нормы, предусматривав­шие ответственность за разглашение ценной конфиденциальной ин­формации, содержались еще в "Уложении о наказаниях" 1845 г., где предусматривалась ответственность за разглашение секретной ин­формации, фабричного секрета, тайны торговой, а также за разгла­шение тайны кредитных установлений. В дореволюционной России защита конфиденциальной информации регламентировалась в ос­новном положениями уголовного права. Так, например, в указанном "Уложении о наказаниях" за разглашение фабричного секрета преду­сматривалась ответственность в виде тюремного заключения сроком от 4 до 8 месяцев. При этом под фабричным секретом понималось "содержимое в тайне и вверенное в виде тайны средство, употреб­ляемое при изготовлении или отделке произведений тех фабрик, за­водов или мануфактур, когда не было на сие положительного согла­сия тех, коим сия тайна принадлежит по праву". После 1917 г. в зако­нодательной защите коммерческой тайны, естественно, начался достаточно длительный перерыв, продлившийся до июня 1990 г., ко­гда был принят закон "О предприятиях в СССР", в котором коммер­ческая тайна вновь обрела положенное ей место. Рассматриваемая категория определялась в законе как "не являющиеся государствен­ными секретами сведения, связанные с производством, технологиче­ской информацией, управлением, финансами и другой деятельностью предприятий, разглашение (передача, утечка) которых может нанести ущерб его интересам".

Вопросы законодательной защиты коммерческой тайны рассмат­ривались и в более поздних законах, приятых впоследствии в России. 22 января 1999 г. Государственной Думой был принят проект закона "О коммерческой тайне", в котором коммерческая тайна определена следующим образом: "Коммерческая тайна - научно-техническая, коммерческая, организационная или иная используемая в предприни­мательской деятельности информация, которая: обладает реальной или потенциальной экономической ценностью в силу того, что она не яв­ляется общеизвестной и не может быть легко получена законным об­разом другими лицами, которые могли бы получить экономическую выгоду от ее разглашения или использования, и является предметом адекватных обстоятельств правовых, организационных, технических и иных мер по охране информации (режим коммерческой тайны)".

Законом устанавливаются три критерия, которые определяют охраноспособность сведений, составляющих коммерческую тайну:

§ информация должна иметь действительную или потенциаль­ную коммерческую ценность в силу неизвестности ее третьим лицам;

§ к информации не должно быть свободного доступа на закон­ном основании;

§ требуется, чтобы обладатель информации принимал меры к ох­ране ее конфиденциальности.

Для того чтобы сведения, которые должны быть отнесены к кате­гории коммерческой тайны, приобрели законную силу, их необходимо оформить в виде специального перечня, утвержденного руководителем предприятия. В этом случае можно утверждать о придании информа­ции определенных прав. Только при выполнении этих условий воз­можно применение предусмотренных законом санкций в случае нару­шения конфиденциальности. При этом возможно установление грифов "Коммерческая тайна" или "Конфиденциально". Гриф "Служебная тайна" и грифы государственной секретности не допускаются.

Однако не все сведения могут быть отнесены к категории, имею­щей статус коммерческой тайны. Так, поскольку государство берет на себя функции контроля над осуществлением деятельности коммер­ческих организаций, правовыми документами, определен перечень сведений, которые не могут составлять коммерческую тайну пред­приятия:

§ его учредительные документы;

§ разрешительные документы на право осуществления предпри­нимательской деятельности;

§ сведения по установленным формам отчетности о финансо­во-хозяйственной деятельности предприятия и иные сведения о нем, необходимые для проверки правильности исчисления и уплаты нало­гов и других обязательных платежей;

§ сведения о загрязнении окружающей среды, нарушении антимо­нопольного законодательства, несоблюдении безопасных условий тру­да, реализации продукции, причиняющей вред здоровью населения;

§ документы о платежеспособности;

§ сведения о численности, составе работающих, их заработной плате и условиях труда.

Персональные данные. Собственниками информации данной кате­гории являемся мы сами. Эта информация затрагивает нашу личную жизнь. Однако, осознавая степень важности этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности государство рассматривает ее защиту как одну из своих важных задач.

Любая организация вне зависимости от размеров и формы собст­венности имеет достаточные объемы информации, которую необходи­мо защищать. К такой информации обычно относятся:

§ вся информация, имеющая коммерческую значимость, а имен­но сведения о клиентах, поставщиках, новых разработках и ноу-хау, факты и содержание заключенных договоров с партнерами;

§ данные о себестоимости продукции и услуг предприятия;

§ результаты аналитических и маркетинговых исследований, и вытекающие из них практические выводы;

§ планы организации, тактика и стратегия действий на рынке;

§ данные о финансовом состоянии организации, размерах окла­дов, премий, денежном наличном обороте.