Модель системы защиты информации
Классификация информации
Любая компания представляет собой хозяйствующий субъект, имеющий краткосрочные и долгосрочные цели ведения своей деятельности, определенные миссией на рынке и стратегией развития, внешние и внутренние ресурсы, необходимые для достижения поставленных целей, а также сложившиеся правила ведения бизнеса.
В процессе деятельности сотрудники принимают, обрабатывают и передают информацию, организуя информационный обмен. Именно эти процессы и вызывают необходимость защиты информации Мы уже выяснили, что объектом защиты является информация, но всю ли информацию нужно защищать одинаково? Это зависит от того, какова эта информация, т.е. какие сведения она содержит, к какой категории ее можно отнести.
Применительно к уровню защиты информацию можно разделить на три категории:
Информация, составляющая государственную тайну;
Сведения, содержащие коммерческую тайну;
Персональные данные.
Информация, составляющая государственную тайну. Владельцем этой категории информации является государство. Оно само выдвигает требования по ее защите и контролирует их исполнение Законом Российской Федерации "О государственной тайне"[7]. Нарушение этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом.
К государственной тайне относятся защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. В связи с чрезвычайно высокой важностью данного вида информации доступ к сведениям, составляющим государственную тайну, обеспечивается для работников только после проведения процедуры оформления соответствующего права. Речь идет о получении так называемого "допуска", который, увы, впоследствии иногда создает проблемы с выездом за границу. Предприятия, учреждения и организации получают право на проведение работ с использованием сведений, содержащих государственную тайну, также после получения соответствующих полномочий.
Сведения, содержащие коммерческую тайну. Информацией этой категории владеют предприятия, и поэтому они вправе ею распоряжаться и самостоятельно определять степень защиты.
Несмотря на то, что широкомасштабное развитие коммерческой деятельности в нашем государстве началось совсем недавно, российское законодательство на самом деле достаточно давно уделяло внимание этой категории сведений. Правовые нормы, предусматривавшие ответственность за разглашение ценной конфиденциальной информации, содержались еще в "Уложении о наказаниях" 1845 г., где предусматривалась ответственность за разглашение секретной информации, фабричного секрета, тайны торговой, а также за разглашение тайны кредитных установлений. В дореволюционной России защита конфиденциальной информации регламентировалась в основном положениями уголовного права. Так, например, в указанном "Уложении о наказаниях" за разглашение фабричного секрета предусматривалась ответственность в виде тюремного заключения сроком от 4 до 8 месяцев. При этом под фабричным секретом понималось "содержимое в тайне и вверенное в виде тайны средство, употребляемое при изготовлении или отделке произведений тех фабрик, заводов или мануфактур, когда не было на сие положительного согласия тех, коим сия тайна принадлежит по праву". После 1917 г. в законодательной защите коммерческой тайны, естественно, начался достаточно длительный перерыв, продлившийся до июня 1990 г., когда был принят закон "О предприятиях в СССР", в котором коммерческая тайна вновь обрела положенное ей место. Рассматриваемая категория определялась в законе как "не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятий, разглашение (передача, утечка) которых может нанести ущерб его интересам".
Вопросы законодательной защиты коммерческой тайны рассматривались и в более поздних законах, приятых впоследствии в России. 22 января 1999 г. Государственной Думой был принят проект закона "О коммерческой тайне", в котором коммерческая тайна определена следующим образом: "Коммерческая тайна - научно-техническая, коммерческая, организационная или иная используемая в предпринимательской деятельности информация, которая: обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным образом другими лицами, которые могли бы получить экономическую выгоду от ее разглашения или использования, и является предметом адекватных обстоятельств правовых, организационных, технических и иных мер по охране информации (режим коммерческой тайны)".
Законом устанавливаются три критерия, которые определяют охраноспособность сведений, составляющих коммерческую тайну:
§ информация должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
§ к информации не должно быть свободного доступа на законном основании;
§ требуется, чтобы обладатель информации принимал меры к охране ее конфиденциальности.
Для того чтобы сведения, которые должны быть отнесены к категории коммерческой тайны, приобрели законную силу, их необходимо оформить в виде специального перечня, утвержденного руководителем предприятия. В этом случае можно утверждать о придании информации определенных прав. Только при выполнении этих условий возможно применение предусмотренных законом санкций в случае нарушения конфиденциальности. При этом возможно установление грифов "Коммерческая тайна" или "Конфиденциально". Гриф "Служебная тайна" и грифы государственной секретности не допускаются.
Однако не все сведения могут быть отнесены к категории, имеющей статус коммерческой тайны. Так, поскольку государство берет на себя функции контроля над осуществлением деятельности коммерческих организаций, правовыми документами, определен перечень сведений, которые не могут составлять коммерческую тайну предприятия:
§ его учредительные документы;
§ разрешительные документы на право осуществления предпринимательской деятельности;
§ сведения по установленным формам отчетности о финансово-хозяйственной деятельности предприятия и иные сведения о нем, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;
§ сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения;
§ документы о платежеспособности;
§ сведения о численности, составе работающих, их заработной плате и условиях труда.
Персональные данные. Собственниками информации данной категории являемся мы сами. Эта информация затрагивает нашу личную жизнь. Однако, осознавая степень важности этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности государство рассматривает ее защиту как одну из своих важных задач.
Любая организация вне зависимости от размеров и формы собственности имеет достаточные объемы информации, которую необходимо защищать. К такой информации обычно относятся:
§ вся информация, имеющая коммерческую значимость, а именно сведения о клиентах, поставщиках, новых разработках и ноу-хау, факты и содержание заключенных договоров с партнерами;
§ данные о себестоимости продукции и услуг предприятия;
§ результаты аналитических и маркетинговых исследований, и вытекающие из них практические выводы;
§ планы организации, тактика и стратегия действий на рынке;
§ данные о финансовом состоянии организации, размерах окладов, премий, денежном наличном обороте.