что такое кондифициальная информация
Конфиденциальная и коммерческая информация
konfidencialnaya_i_kommercheskaya_informaciya.jpg
Похожие публикации
Конфиденциальная информация – это сведения, не подлежащие публичному распространению и охраняемые законом. К ним имеют доступ ограниченное количество лиц, которые берут на себя обязательство не разглашать известную им тайну. Если оно будет нарушено, распространителям секретной информации может грозить дисциплинарная, материальная, административная, а в некоторых случаях даже уголовная ответственность.
Виды конфиденциальной информации
Главный признак конфиденциальности каких-либо сведений – законодательное ограничение доступа к определенному роду информации. Без согласия обладателя тайны данные сведения запрещается передавать посторонним лицам, не имеющим права их знать. Подобная характеристика дана в Федеральном законе об информации № 149 от 27.07.2006 (ст. 2).
Полный перечень конфиденциальной информации представлен в президентском указе № 188, изданном более 20 лет назад – 6 марта 1997 года. Согласно этому документу, к секретным сведениям, не подлежащим разглашению, относятся данные:
В 2015 году в указ Президента № 188 был добавлен новый пункт (п. 7), в соответствии с которым теперь конфиденциальной является информация и о принудительном исполнении судебных и властных актов, а также сведения, содержащиеся в личных делах осужденных граждан. Исключение составляют общедоступные данные, являющиеся таковыми согласно Федеральному закону № 229 от 02.10.2007 «Об исполнительном производстве».
Конфиденциальная информация, коммерческая тайна: отличия
Перечень конфиденциальных сведений наглядно иллюстрирует, что коммерческая тайна является одним из ее видов. То есть это более узкое понятие, имеющее непосредственное отношение к бизнесу, извлечению прибыли. Конфиденциальная коммерческая информация, ее сохранение, способствует успешной деятельности компании, дает ей преимущество над конкурентами. Именно в этом заключается главное предназначение оберегаемых фирмой сведений, имеющих коммерческую ценность.
Компания сама устанавливает режим секретности для определенной информации, фиксируя это в специальном Положении. Также руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям, которые составляют коммерческую тайну.
Конфиденциальная информация организации не всегда связана с необходимостью удержать или повысить прибыль. Вышеназванный указ Президента № 188 показывает, что она имеет широкий спектр. К конфиденциальным сведениям относятся различные виды тайн: служебная, коммерческая, профессиональная и т.д. Их перечень определен правовыми актами и охраняется законом. Следует отметить, что конфиденциальная информация становится коммерческой тайной только после того, как организация в локальных актах признает ее таковой.
Ответственность за разглашение конфиденциальной информации
Принимая на работу сотрудника, которому предстоит работать с конфиденциальными сведениями, работодатель обязан под роспись ознакомить его с их перечнем. В трудовом договоре с подчиненным следует отразить обязательство о неразглашении коммерческой или иной тайны, прописав возможные санкции за его нарушение (57-я статья Трудового кодекса РФ). Тогда, распространив секретную информацию, ее носитель может получить дисциплинарное взыскание, вплоть до увольнения.
Работа с конфиденциальной информацией подразумевает повышенную ответственность сотрудника, которому в силу служебного положения она стала известна. 81-я статья ТК РФ одним из оснований для расторжения трудового договора по инициативе руководства называет разглашение работником коммерческой или другой тайны. Если утечка конфиденциальной информации нанесла компании реальный материальный ущерб, сотрудник должен его компенсировать в полном размере (243-я статья ТК РФ). Но работодателю придется доказать, что материальные потери фирмы являются следствием действий подчиненного.
Подписав документ о неразглашении конфиденциальной информации, и нарушив это обязательство, работнику нужно помнить о возможной уголовной ответственности, установленной 183-й статьей УК РФ. Она применяется, если без согласия владельца разглашена налоговая, коммерческая или банковская тайна, о которой гражданину стало известно в ходе исполнения трудовых или служебных обязанностей. Максимальный штраф за это деяние составляет миллион рублей. Возможны и иные виды наказания, например, лишение свободы или принудительные работы сроком до трех лет.
Также, если разглашена конфиденциальная информация, закон позволяет применить к гражданину или должностному лицу административную ответственность в виде штрафа. В первом случае он может достигать 500-1000 рублей, во втором – 4000-5000 рублей (ст. 13.14 КоАП РФ).
Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.
Коммерческая тайна и их защита на предприятии
В современных условиях, информация – важный корпоративный актив. Значительная ее часть является объектом интеллектуальной собственности. Значительная, но не вся: подавляющее большинство коммерчески ценных сведений не защищены законом автоматически. Все что остается бизнесу, это хранить важные корпоративные сведения в тайне, что с учетом их нематериального характера и неоднородности очень сложно.
Маркетинговые идеи, клиентские базы, технологические стратегии, решения, технологии производства и рецептуры – все это является неохраняемыми объектами коммерческого интереса со стороны конкурентов. Так как исключительных прав на такую информацию не возникает, бизнесу приходится искать иные пути ее защиты. Что говорит закон о конфиденциальной информации? Каков режим ее защиты и как ее отнести к коммерческой тайне? Разбираемся в сложностях законодательства.
Что такое конфиденциальная информация?
Вообще, конфиденциальной считается любая информация, которой обладает какое-либо лицо, если это лицо предъявило к другим лицам, которым эта информация стала известна, требование о ее неразглашении (п. 7 ст. 2 ФЗ № 149 «Об информации, ИТ, защите информации»). Сведениями конфиденциального характера, например, может быть (Указ Президента № 188 от 06.03.1997):
То есть, конфиденциальность – это правовой режим неразглашения сведений. Любых сведений любого характера. Это обобщенное понятие: положение о конфиденциальной информации предполагает, что конфиденциальность может быть установлена в отношении информации, которую ее обладатель почитает конфиденциальной. И если они имеют отношение к предпринимательской деятельности, их следует рассматривать как коммерческую тайну.
Коммерческая тайна и ее отличие от конфиденциальной информации
Согласно ст. 3 ФЗ «О коммерческой тайне» (далее – ФЗ № 98), коммерческая тайна (КТ) – это режим конфиденциальности корпоративных сведений, который, в существующих или возможных обстоятельствах, позволяет получить коммерческую выгоду – увеличить прибыль, сократить расходы, улучшить положение на рынке и т.д.
Такой информацией могут быть любые сведения (производственные, технические, организационные и иные), которые имеют действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой третьи лица не имеют доступа в силу введенного в ее отношении режима КТ (п. 2 ст. 3 ФЗ № 98).
Иными словами, КТ – это разновидность конфиденциальной информации, в отношении которой специальным образом введен режим ограниченного доступа. Получается, что любая КТ – это конфиденциальная информация. Но не любая конфиденциальная информация является коммерческой. Признаки КТ:
Ограниченность информации, содержащей КТ, является условной, так как такая информация может вполне законно использоваться и третьими лицами, если между этими лицами и ее обладателем достигнуто соответствующее соглашение и подписан договор.
Организация вправе самостоятельно определять перечень сведений коммерческой тайны и вводить его в отношении конкретной информации (ч. 1 ст. 4 ФЗ № 98). Да, автоматически конфиденциальные сведения не приобретают характер КТ – для этого на предприятии должен быть введен режим КТ, который предполагает целый комплекс мер.
Способы защиты коммерческой тайны
Сведения, в отношении которых предприятие намерено установить режим конфиденциальности, приобретают статус коммерческой тайны, если администрация предприятия предприняла меры, оговоренные ч. 1 ст.10 ФЗ № 98, а именно:
С момента принятия указанных мер режим КТ считается введенным. В его рамках компания также обязана (ч. 1 ст. 11 ФЗ № 98):
Этот минимум мер, которые обязана предпринять компания для защиты своей конфиденциальной информации. На практике, ограничиваясь лишь некоторыми из них, организация не только не устанавливает особый режим охраны по закону, но и позволяет лицам, которые нарушают порядок использования конфиденциальной информации, уйти от ответственности.
Например, в Санкт-Петербурге суд не признал разглашением секрета производства публикацию в сети технических данных пароконденсатных систем бывшим работником предприятия, так как агрегаты, чертежи и разработки не были поименованы как такие, что относятся к коммерческой тайне (Апелляционное определение горсуда СПб № 33-17808/2016 от 27.09.2016).
Нужно ли заключать соглашение о неразглашении?
Соглашение о запрете разглашения коммерческой тайны – способ регулирования отношений, возникающих в процессе использования конфиденциальной информации предприятия. Обычно такие соглашения заключаются с работниками, которые получат доступ к данным, содержащим КТ, в качестве дополнения к трудовому договору. Если вопрос неразглашения не урегулирован трудовым договором, заключение такого соглашения обязательно. Без него режим КТ будет недействителен.
Такое соглашение составляется как любой договор и обязательно должно содержать:
Похожее соглашение следует заключать также и с контрагентами, получающими доступ к конфиденциальным сведениям.
Ответственность за разглашение конфиденциальной информации
Потенциальными субъектами разглашения сведений, содержащих КТ, являются работники организации, у которых есть доступ к таким сведениям. Соглашение о неразглашении, подписанное ими, не регулирует вопрос ответственности, а лишь фиксирует тот факт, что они взяли на себя обязательство об охране тайны. Вместе с тем, работник может понести такие виды ответственности:
Резюме
Итак, конфиденциальной может быть любая коммерческая, важная для компании информация. Но только после принятия указанных в законе мер она приобретает характер коммерческой тайны. Если их не предпринять, существует не только риск распространения важных сведений, но и ухода виновных лиц от ответственности. Важно предпринимать все указанные в законе меры, без выборочного подхода – он результата не дает и охраняемый режим не вводит.
Какие сведения относятся к конфиденциальной информации
Защита данных
на базе системы
Д еятельность многих организаций и служб связана с необходимостью хранения данных, огласка которых нежелательна. Конфиденциальность некоторых из них официально подтверждается законодательными актами. Существует информация, которая сохраняется в тайне по инициативе руководства предприятий или личным пожеланиям граждан. Чтобы конфиденциальные сведения не попали к посторонним лицам, должна быть организована их защита. Для обеспечения информационной безопасности используются специальные методы и компьютерные программы.
Сведения, не подлежащие разглашению
Информацией, не подлежащей огласке, считают не только служебные или государственные тайны, но и данные, доступные ограниченному кругу лиц. Ограничения могут накладываться, например, на сообщения о чрезвычайных событиях, губительных природных явлениях, санитарно-эпидемиологической обстановке в стране.
О том, какие сведения официально считаются конфиденциальными, говорится в Указе Президента Российской Федерации (с последними дополнениями от 13 июля 2015 года за № 357). К ним относятся:
Сведения, которые не считаются конфиденциальными
Сведения не считаются секретной информацией, если они внесены в свидетельство о регистрации предприятия, лицензию или учредительные документы.
Конфиденциальной информацией не являются данные об имуществе компании, кадровой политике и способах оплаты труда. Не считаются тайной также любые данные, занесенные в каталоги и прайс-листы.
Руководство предприятия не должно засекречивать сведения о наличии вредных производственных факторов. Оно несет ответственность за сокрытие информации о несоблюдении экологических и санитарных норм.
Открытой информацией являются также данные о проведении на предприятиях тендеров и конкурсов с целью подписания контрактов и набора новых сотрудников.
К секретным сведениям не имеют отношения данные о финансовой деятельности некоммерческих организаций.
Для чего составляется перечень засекреченных сведений
Вопрос о конфиденциальности служебных данных иногда бывает спорным. Нередко из-за неопределенности принятых правил возникают производственные конфликты и судебные разбирательства.
Прежде чем уволить работника, подозреваемого в разглашении коммерческой тайны, работодатель должен обосновать причину подобных действий. Увольняемый человек зачастую не согласен с тем, что совершил нечто противозаконное. Он может обратиться в Инспекцию труда с жалобой на несправедливые обвинения.
Пример 1.
Работнику понадобилось распечатать служебный документ, для чего он перенес содержимое на флэш-накопитель. В договоре, подписанном им при поступлении на работу, указывалось, что сотрудники фирмы не имеют права разглашать коммерческие тайны. Но там ничего не говорилось о том, какие именно сведения считаются секретной информацией. Если проверка, проведенная трудовой инспекцией, подтвердит неопределенность формулировок, работодателю придется отменить приказ об увольнении.
Перенос коммерческих сведений на флешку нельзя считать проступком, если не доказано, что работник передал этот носитель третьему лицу или поместил засекреченные данные в домашний компьютер.
Пример 2.
Сотрудник, уволившийся по собственному желанию, поделился конфиденциальной информацией о деятельности компании с конкурентами. В результате фирма понесла убытки. Руководство подает заявление в суд и требует, чтобы виновник возместил материальные потери. Для оценки справедливости требований и размеров ущерба суду также потребуется перечень секретных сведений и обоснование суммы убытков.
Чтобы избежать подобной неопределенности, работодатель должен составить список коммерческих тайн. В документе необходимо четко указывать, что их разглашение нанесет фирме финансовый ущерб. Следует отметить, кто из работников имеет право пользоваться конфиденциальной информацией. Необходимо сообщить о порядке обращения с подобными материалами и мерах, предпринимаемых для соблюдения конфиденциальности.
Секретные данные должны храниться под грифом «Коммерческая тайна».
Доступ к документам предоставляется только тем сотрудникам, которым они нужны для работы. Доверенное лицо дает расписку о неразглашении. Перед этим его знакомят со списком коммерческих тайн и предупреждают об ответственности за утечку информации.
В защите нуждается не только интеллектуальная собственность компании, но и сведения о клиентах. Разглашение их персональных и банковских данных грозит фирме потерей репутации, доверия.
Меры сохранения конфиденциальности сведений
Руководство компании должно заранее принять меры для защиты конфиденциальной информации. Такими мерами являются:
1. Введение разрешительной системы доступа к секретным работам и документам, содержащим важные данные. Необходимо соблюдать режим коммерческой тайны. Следует четко оговаривать список доверенных лиц, которым дается разрешение на вход в информационную систему.
2. Ограничение доступа посторонних лиц в помещения, где хранятся секретные документы или важные компьютерные программы.
3. Надежное хранение паролей и ключей доступа к ценным сведениям. Это позволит защитить их от похищения, подмены или уничтожения.
4. Резервное копирование важных материалов. Оно позволяет в случае необходимости доказать их подлинность, воспроизвести утерянные данные.
Все предпринимаемые действия должны согласовываться с законодательством Российской Федерации.
Средства, используемые для обеспечения сохранности данных
Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.
Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.
Идентификация
Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.
Аутентификация
Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.
К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.
После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.
Протоколирование
Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.
Аудит
Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.
Шифрование
Для создания конфиденциальности проводится шифрование данных, относящихся к коммерческим тайнам.
Экранирование
При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.
Использование защищенных коммуникационных каналов
Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.
Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.
Заключение
Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания. Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам.
К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.
В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.
Конфиденциальность
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Содержание
Определения
Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).
Актуальность конфиденциальности
С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.
При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации. Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях, на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.
С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность».
Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.
На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности. А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.
Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.
| 090000 | Информационная безопасность |
|---|---|
| 090100 | Информационная безопасность |
| 090101 | Криптография |
| 090102 | Компьютерная безопасность |
| 090103 | Организация и технология защиты информации |
| 090104 | Комплексная защита объектов информатизации |
| 090105 | Комплексное обеспечение информационной безопасности автоматизированных систем |
| 090106 | Информационная безопасность телекоммуникационных систем |
| 090107 | Противодействие техническим разведкам |
| 090108 | Информационная безопасность (СПО) |
С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты, программы защиты от сетевых вторжений, программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.
Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.
Конфиденциальность в законодательстве РФ
Кроме того, в ГОСТ 17799-2005 конфиденциальность определена, как «обеспечение доступа к информации только авторизованным пользователям.»
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
 | Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |  |
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.