Інформаційна безпека підприємства займає одну з лідируючих позицій серед чинників його успішної роботи. Від рівня такої безпеки багато в чому залежать шанси компанії впоратися із зовнішніми загрозами : конкурентами, рейдерськими атаками, зайвим адміністративним тиском контролюючих органів і т. д.
Проте нерідко "удару" може бути завданий з тилу - причиною витоку стратегічно важливій для фірми інформації можуть стати колишні або діючі співробітники. Мета цієї публікації полягає в пропозиції читачеві деяких практичних рекомендацій по формуванню або оптимізації системи інформаційної безпеки підприємства.
Слід зазначити, що належний рівень цього виду безпеки може бути гарантований тільки при побудові комплексної системи, яка повинна полягати двох головних елементів : технічного і юридичного.
Так, технічну частину системи інформаційної безпеки підприємства складають програмні і технічні засоби запобігання витоку, знищенню і блокуванню інформації, порушенню цілісності і режиму доступу до неї. Цей елемент системи умовно можна назвати "прямим" стримуючим чинником, який може виключити всяку можливість порушити режим використання інформації.
Основна увага автора в цьому матеріалі буде зосереджена на другому, юридичному елементі системи, під яким ми розуміємо нормативне визначення власником (керівництвом) підприємства порядку доступу до інформації і правил її обробки. Цей елемент системи умовно можна назвати "непрямим" стримуючим чинником, який через призму даної теми спрямований на рішення двох головних завдань : (1) прищепити користувачам інформації почуття неминучої юридичної відповідальності за порушення порядку її використання (обробки) і (2) забезпечити можливість практичної реалізації такої відповідальності шляхом збору належних і допустимих доказів можливих порушень і отже - успішного захисту своїх прав в суді.
Крім того, встановлення порядку використання інформації на підприємстві дозволяє зробити цей процес максимально контрольованим і зрозумілим для його учасників.
Таким чином, на нашу думку, юридичну складову системи інформаційної безпеки компанії можна вважати невід'ємною "процедурною" оболонкою технічного "ядра" цієї системи.
Переходячи до розгляду можливої моделі юридичної частини вказаної системи слід визначитися з головними її елементами, до яких можна віднести : (1) власне інформацію, яка підлягає захисту і (2) учасників процесу роботи з нею. Зупинимося на кожному з них детальніше.
Інформація. Враховуючи законодавче визначення терміну "інформація", а також практичний досвід роботи на підприємствах, можна стверджувати, що в юридичному захисті, як правило, мають потребу три форми тих або інших відомостей:
1) інформація в електронному вигляді, збережена на певних матеріальних носіях (ПК, сервери, USB носії, карти пам'яті і т. д.);
2) документація компанії (інформація, викладена на папері);
3) усна інформація, яка стала відома співробітникові, або інформація, не зафіксована в об'єктивному виді, але яку співробітник отримав внаслідок власного аналізу і зіставлення певних фактів (обставин).
Отже, з точки зору побудови ефективної системи інформаційної системи підприємства важливо розуміти, яка саме інформація підлягає захисту (охороні).
Статтею 21 Закона України "Про інформацію" (у редакції Закону від 13 січня 2011 р. № 2938 - VI) визначено, що інформацією з обмеженим доступом являється конфіденційна, таємна і службова інформація. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежений фізичною або юридичною особою, окрім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згоді) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.
Цивільний кодекс України у статті 505 передбачає поняття "комерційної таємниці"якою є інформація, секретна в тому сенсі, що вона в цілому або в певній формі і сукупності її складових є невідомою і не є легкодоступною для осіб, які зазвичай мають справу з видом інформації, до якої вона належить, у зв'язку з цим має комерційну цінність і була предметом адекватних існуючим обставинам заходів по збереженню її секретності, прийнятих особою, законно контролюючою цю інформацію. Комерційною таємницею можуть бути зведення технічного, організаційного, комерційного, виробничого і іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.
На наш погляд, у сфері підприємницької діяльності юридичної особи поняття "Конфіденційна інформація" і "комерційна таємниця" можна вважати синонімами.
Як бачимо, право визначити, яку саме інформацію відносити до розряду конфіденційної або комерційної таємниці, належить власникові такої інформації.
Проте, варто відмітити, що постановою Кабінету Міністрів України від 09 серпня 1993 р. № 611 встановлений перелік інформації, яка не може бути віднесена до розряду комерційної таємниціа саме:
1. засновницькі документи, документи, що дозволяють займатися підприємницькою діяльністю і її окремими видами;
2. інформація по усіх встановлених формах державної звітності;
3. ці, необхідні для перевірки числення і сплати податків і інших обов'язкових платежів;
4. відомості про чисельність і склад працюючих, їх заробітній платі в цілому і по професіях і посадах, а також наявність вільних робочих місць;
5. документи про сплату податків і обов'язкових платежів;
6. інформація про забруднення природного довкілля, недотримання безпечних умов праці, реалізації продукції, що завдає шкоди здоров'ю, а також інші порушення законодавства України і розміри заподіяних при цьому збитків;
7. документи про платоспроможність;
8. зведення про участь посадовців підприємства в кооперативах, малих підприємствах, союзах, об'єднаннях і інших організаціях, що займаються підприємницькою діяльністю;
9. відомості, що відповідно до чинного законодавства підлягають оголошенню.
Андрій Тригуб |
Цією постановою також передбачено, що підприємства зобов'язані подавати перераховані в нім відомості органам державної виконавчої влади, контролюючим і правоохоронним органам, іншим юридичним особам відповідно до чинного законодавства, на їх вимогу.
На наш погляд, найбільш проблемним пунктом з приведеного списку є документи про платоспроможність, оскільки саме такого роду інформація часто не бажана до розголошування. В той же час, оскільки детальний опис форм надання такої інформації в постанові Уряду не розкрите, її власник має певний простір для мінімізації доступу до неї. Більше того, в даному випадку юридична сила постанови може бути предметом окремих дискусійяка свідомо не зачіпається автором.
Таким чином, підприємству слід уважно підходити до визначення переліку інформації, що відноситься до категорії комерційної таємниці. Компанія повинна чітко визначити у своїх внутрішніх документах загальний список конфіденційної інформації.
Таким документом може бути положення про комерційну таємницю, затверджене загальними зборами учасників компанії або наказом керівника. Також, можна рекомендувати закріпити такий перелік у вигляді номенклатури з потрібним рівнем деталізації і наближення до особливостей роботи підприємства. Така номенклатура конфіденційної інформації дозволить досягти певного рівня універсальності її застосування до кожного окремого співробітника, а також, при необхідності, формувати статистичні і і аналітичні матеріали для керівництва.
Наступним етапом побудови системи інформаційної безпеки є визначення переліку інформації (частини номенклатури), до якої надається доступ певної категорії співробітників (наприклад - в розрізі посад), а також стоншування цього списку персональне для кожного окремого співробітника (наприклад - для скорочення доступів на період випробувального терміну). Вказані дії можуть бути реалізовані в посадових інструкціях і наказах керівника відповідно.
На наш погляд, це дозволить централізований налагодити механізм стримування і противаг і усунути можливість неконтрольованих доступів до інформації в майбутньому (наприклад - унаслідок відсутності окремої заборони). Також це дасть можливість підтвердити, що співробітник фактично мав доступ до певної інформації або ж навпаки - довести, що заволодіння певним видом інформації виходило за рамки службових функцій співробітника і було протиправним.
Не буде зайвим нагадати, що будь-яке правило або порядок ефективні лише тоді, коли їх виконання контролюється належними образом. Для цього слід визначити конкретний підрозділ (наприклад - служба безпеки і IT- відділ), або ж посадовець, які нестимуть персональну відповідальність за контроль над дотриманням правил доступу до комерційної таємниці, а також зберіганням, розмноженням і використанням документів.
Андрій Тригуб,
адвокат, Адвокатське об'єднання "Адвокатська контора "Скляренко і партнери"
Про наступний елемент системи інформаційної безпеки - "дійових осіб" - читайте у другій частині статті. Також буде опублікований шаблон Угоди про нерозголошування комерційної таємниці.