Ценная информация и конфиденциальные документы
Предпринимательская деятельность всегда связана с созданием, использованием и хранением значительных объемов информации и документов, которые представляют конкретную ценность для фирмы и подлежат защите от различных видов угроз.
Документированные информационные ресурсы, которые используются предпринимателем в бизнесе и управлении фирмой, являются его собственной или частной информацией, представляющей для него значительную ценность. Эта информация является интеллектуальной собственностью предпринимателя и нуждается в охране.
Под интеллектуальным продуктом понимается результат творческого труда предпринимателя или коллектива сотрудников фирмы, имеющий конкретную ценность для собственника или владельца. Интеллектуальный продукт, как составной элемент интеллектуальной собственности, - это коммерчески ценная идея, реализованная в информационном виде.
Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация становится часто ценной ввиду ее правового знания для фирмы или развития бизнеса, например: учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.
Обычно выделяется два вида информации, интеллектуально ценной для предпринимателя:
- техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и т.п.;
- деловая: управленческие решения, методы реализации функций, стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Ценная информация формируется в следующих направлениях деятельности фирмы:
- управление фирмой - применяемые нетрадиционные методы управления, порядок подготовки и принятия решений по направлениям деятельности фирмы и другим вопросам;
- прогнозирование и планирование деятельности фирмы - расширение или свертывание производства, предполагаемый объем исследований, программы развития, программы взаимодействия с другими фирмами, планы инвестиций, продажи, закупок и т.п.;
- финансовая деятельность фирмы - баланс, сведения о состоянии банковских счетов и уровне доходности продукции, информация о получении кредитов, кругообороте средств и производственных операциях, долговых обязательствах и т.д.;
- производственная деятельность фирмы - производственные мощности, тип используемого оборудования, запасы сырья, материалов и комплектующих изделий, готовой продукции и т.п.;
- торговая деятельность фирмы - информация о рыночной стратегии, методах осуществления продаж, результатах изучения рынка, эффективности коммерческой деятельности и т.п.;
- переговоры и совещания по направлениям деятельности фирмы - информация о подготовке, содержании и результатах проведения переговоров с посредниками и деловыми партнерами, о совещаниях с персоналом фирмы и т.п.;
- формирование ценовой политики на продукцию и услуги фирмы - информация о структуре цен, предполагаемых расчетных ценах в будущем, методы расчета, размеры скидок и т.п.;
- формирование состава клиентов, компаньонов, посредников и поставщиков фирмы, потребителей ее продукции - сведения о зарубежных и внутренних заказчиках, подрядчиках, поставщиках, потребителях и т.п.;
- изучение направленности интересов конкурентов фирмы - используемые методы аналитической работы и способы борьбы за рынок, результаты маркетинговых исследований и т.п.;
- участие в торгах и аукционах - стратегическая информация, информация о подготовке намечаемых ценах, результатах и т.п.;
- научная и исследовательская деятельность по созданию новой техники и технологий - сведения о программах перспективных исследований, результатах и т.п.;
- использование новых технологий - информация об их содержании, специфике применения, получаемом эффекте и т.п.;
- управление персоналом фирмы - персональные сведения о сотрудниках, методики подбора, тестирования кандидатов на должности, результаты текущей работы с персоналом и т.п.;
- организация безопасности фирмы - сведения о функционировании службы безопасности, содержании системы защиты информации, системе охраны и т.п.
Наиболее ценными являются сведения о производстве и продукции, рынке, научных разработках, материально-техническом обеспечении фирмы, условиях контрактных переговоров, сведения о персонале, системе безопасности фирмы. Больше всего конкурентов интересует информация о динамике сбыта продукции и эффективности предоставляемых фирмой услуг. В России сфера интересов конкурента обычно включает, в первую очередь, финансовую деятельность фирмы и направления обеспечения безопасности работы фирмы.
К разряду ценных и всегда подлежащих защите относятся сведения, составляющие производственную или коммерческую тайну сотрудничающих с фирмой партнеров, заказчиков и клиентов,
В соответствии с основополагающими принципами обеспечения безопасности информационных ресурсов фирмы сведения могут быть: а) открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п. и б) ограниченного доступа и использования, т.е. содержащими тот или иной вид тайны и подлежащими защите, охране, наблюдению и контролю.
Под информационными ресурсами, отнесенными к категории ограниченного доступа к ним персонала и иных лиц, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и др.) ценная текстовая, изобразительная или электронная информация, отражающая приоритетные достижения в области государственной, экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам государства или ее собственника.
Законодательство Российской Федерации запрещает относить к информации ограниченного доступа:
- законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
- документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
- документы, содержащие информацию о деятельности органов государственной и исполнительной власти и органов местного самоуправления об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Ценная общедоступная информация охраняется нормами информационного права (патентного, авторского, смежных прав и др.). Ценная информация ограниченного доступа дополнительно защищается регламентацией сферы и специально установленного порядка ее распространения, использования и обработки. В соответствии с этим документированная информация (документы) ограниченного доступа делится на секретную и несекретную.
Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, производственной, тайне фирмы и др.) или содержащие персональные данные, именуются конфиденциальными.
Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель документированной информации, содержащей сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица.
Несмотря на то, что конфиденциальность является синонимом секретности, термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом.
Конфиденциальные документы включают в себя:
в государственных структурах - документы, проекты документов и сопутствующие
материалы, относимые к служебной информации ограниченного распространения (называемые в чиновничьем обиходе документами для служебного пользования), содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;
в предпринимательских структурах и направлениях подобной деятельности - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства;
независимо от принадлежности - документы и базы данных, фиксирующие любые
персональные данные о гражданах, содержащие профессиональную тайну, обеспечивающую защиту личной или семейной тайны граждан, а также содержащие технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и других структур.
Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается.
Особенностью конфиденциального документа является то, что он представляет собой одновременно:
· массовый носитель ценной, защищаемой информации;
· основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;
· обязательный объект защиты.
Важно, что собственная ценная информация предпринимателя, подлежащая защите, не обязательно является конфиденциальной. Обычный правовой документ важно сохранить в целостности и сохранности, обезопасив от похитителя или стихийного бедствия. Защите подлежит любая официальная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходимая надежность ее защиты находятся в прямой зависимости. При этом предприниматель всегда решает один принципиальный вопрос: использовать ценную информацию для производства товаров, их продажи или, запатентовав новшество, иметь прибыль от продажи лицензий. При решении вопроса учитывается, что защита ценной информации стоит дорого и всегда есть опасность потерять ее в результате действий конкурента.
В соответствии с этим конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.
Оставшиеся конфиденциальными исполненные документы, сохраняющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов зависит от специфики деятельности фирмы. Например, производственные, научно-исследовательские фирмы обладают значительно более ценными документами, чем торговые, посреднические и др.
Можно предположить, что в среднем кратковременный период конфиденциальности составляет 1-3 года, долговременный - свыше этого срока. Документы, относимые к производственной, профессиональной тайне, а также содержащие персональные сведения о гражданах, могут сохранять конфиденциальность в течение длительного времени. Однако при этом не следует отождествлять два разных понятия - срок хранения документов и период их конфиденциальности, хотя конфиденциальные документы характеризуются и тем и другим понятиями. Период конфиденциальности может быть длиннее, чем срок хранения документов и дел.
Документы долговременного периода конфиденциальности (программы и планы развития бизнеса, технологическая документация ноу-хау, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы, обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.
Следовательно, в основе безопасности информационных ресурсов ограниченного доступа лежит выработка критериев ценности документированной информации (документов) для предпринимателя и отнесения их к категории конфиденциальных. Главными аспектами, характеризующими конфиденциальные документы, являются наличие их в различных по типу организационных структурах и объективная нестабильность продолжительности срока ограничения доступа к ним персонала.
12.3. Регламентация состава конфиденциальных
сведений и документов
Процесс выявления и регламентации реального состава информации, представляющей ценность для предпринимателя, в том числе составляющей тайну фирмы, является основополагающей частью системы защиты информации.
Принимая во внимание, что система защиты ценной и конфиденциальной информации является дорогостоящей технологией, определение состава сведений, подлежащих защите, должно базироваться на принципе экономической целесообразности их защиты. Поэтому анализ информационных ресурсов фирмы осуществляется с учетом двух основных критериев: степени заинтересованности конкурентов в информации и степени ценности информации (стоимостной, правовой, деловой).
Для анализа необходимо иметь не только полный перечень реальных и потенциальных конкурентов, но и знать слабые и сильные стороны их деятельности, обладать информацией о состоянии дел у каждого конкурента, разрабатываемых новшествах, сотрудничестве со структурами промышленного шпионажа или криминальными структурами. На этой основе можно с полной уверенностью определить, какую информацию фирма не хотела бы раскрывать конкурентам. Необходимо также определить экономическую значимость новшества, рассчитать величину ущерба от его утраты и на этой основе сделать вывод о том, является ли оно предметом коммерческой тайны и объектом защиты.
Следует учитывать, что вопрос о конфиденциальности информации возникает в случаях: принятия фирмой новой стратегии развития, заключения выгодных контрактов, появления технического или технологического новшества, установления факта потенциальной или реальной угрозы этому новшеству со стороны конкурента. При определении размера ущерба от возможной утраты информации учитывается стоимость продукции, которая не будет произведена, потери от замораживания капитальных вложений, стоимость произведенных научно-исследовательских работ и другие убытки.
В процессе анализа выделяются главные элементы информации, отражающие фирменный секрет. Это дает возможность удешевить систему защиты и сделать ее максимально целенаправленной, динамичной и эффективной. Защита новшества, включая общеизвестные его составляющие, как правило, желаемого результата не дает, за счет громоздкости системы защиты и трудности контроля больших объемов конфиденциальной информации. Массовость засекречивания ведет к росту штатной численности служб безопасности и, в конечном счете, к снижению эффективности защиты и утрате информации. Например, есть смысл защищать новую формулу в известном рецепте производимого продукта, новый алгоритм известных действий, новый прибор в производимом оборудовании и т.п.
Информация может быть отнесена к коммерческой (предпринимательской) тайне и стать конфиденциальной при соблюдении следующих условий:
- информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства, фальсификацию финансовой деятельности с целью неуплаты налогов и другие подобные факты;
- информация не должна быть общедоступной или общеизвестной;
- возникновение или получение информации предпринимателем должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;
- персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;
- предприниматель должен быть в состоянии выполнить реальные действия по защите
этой информации, т.е. иметь, например, средства для закупки или разработки системы защиты информации.
В соответствии с постановлением Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. к конфиденциальным не могут быть отнесены следующие сведения и документы:
- учредительные документы (решение о создании предприятия или договор учредителей) и устав;
- документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
- сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
- документы о платежеспособности;
- сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
- документы об уплате налогов и обязательных платежей;
- сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба;
- сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
В отличие от государственной тайны состав сведений, составляющих коммерческую тайну, государством централизованно не регламентируется и определяется индивидуально каждой фирмой. Одновременно фирма устанавливает необходимый уровень конфиденциальности этих сведений, степень требуемой их защиты, длительность защиты, ее стоимость и технологию. Состав ценной и конфиденциальной информации, подлежащей защите, определяется собственником или владельцем этих сведений и фиксируется в специальном перечне. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.
Перечень конфиденциальных сведений фирмы представляет собой классифицированный список типовой и конкретной ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В нем закрепляется факт отнесения сведений к защищаемой информации и определяется период (срок) конфиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список должностей сотрудников фирмы, которым дано право использовать эти сведения в работе. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы.
Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Поэтому он должен регулярно обновляться и корректироваться. Ограничение доступа к информации, относящейся к новой продукции, но не обладающей ценностью, применяться не должно.
Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. Закрепление части информации за конкретными должностями позволяет снизить вероятность раскрытия секрета сотрудниками и предотвратить возможность включения ими в документы конфиденциальной информации.
Перечень необходим также для выделения конфиденциальных документов из общего документопотока, соответствующего их маркирования (грифования) и автономной обработки, использования и хранения. При рассмотрении в судах дел о краже сотрудниками информации и понесенных фирмой в связи с этим убытках перечень используется в качестве доказательства отнесения этих сведений к разряду конфиденциальных.
Ведение перечня заключается в регулярной его корректировке и обновлении, отражающих новые перспективные разработки фирмы, переход на выпуск нового вида продукции, изменение тематики работы, направлений деятельности, конъюнктуру рынка и т.п. В процессе ведения в перечень включается конфиденциальная информация, отражающая реальные новшества, разработки и изобретения. С этой целью руководители структурных подразделений фирмы или направлений ее деятельности должны регулярно составлять реестры новой индивидуальной конфиденциальной информации и информации, потерявшей свою конфиденциальность. Реестры представляются в комиссию для внесения изменений в перечень.
Перевод сведений, включенных в перечень, из категории конфиденциальных в категорию открытых, т.е. исключение сведений из перечня, осуществляется комиссией по представлению руководства фирмы, структурных подразделений и службы безопасности.
На основании перечня конфиденциальных сведений служба безопасности или служба фирмы составляет и ведет классифицированный перечень ценных и конфиденциальных документов фирмы, подлежащих защите, с указанием обозначаемого на них грифа ограничения доступа и состава сотрудников, допущенных к этим документам. Перечень составляется в рамках структурных подразделений или направлений деятельности фирмы и регламентирует два аспекта работы сотрудников фирмы с конфиденциальными документами; а) состав создаваемых подразделением документов и документов, направляемых в подразделение для работы, б) состав конфиденциальных сведений, которые могут быть включены в каждый указанный в перечне документ. Утверждается перечень первым руководителем фирмы.
В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
В перечне должно быть положение о том, что сохранение коммерческой тайны партнеров является неотъемлемой частью деятельности фирмы. Открытая публикация сведений, полученных на договорной или доверительной основе или являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров.
При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, и исполнению условий договора.
Следовательно, в целях определения состава защищаемых сведений и документов каждая фирма должна составлять и регулярно обновлять соответствующие перечни, без которых система защиты информации фирмы не может функционировать. Важно, что эти перечни носят индивидуальный характер для каждой фирмы и отражают реальную информационную сферу направлений ее деятельности, требования собственника информации по ограничению доступа персонала к информации, составляющей интеллектуальную собственность фирмы.
Контрольные вопросы:
1. Что включает в себя понятие «конфиденциальные сведения»?
2. Каков порядок работы с конфиденциальной документацией?
3. Какие документы подходят под определение «коммерческая тайна»?
4. Каков порядок регламентации состава конфиденциальных сведений?