Ivan K. LawyerFollow Jul 2, 2018 · 4 min read

Как в ходе изучения судебной практики, так и на основании своего профессионального опыта, к сожалению, сделал для себя вывод, что пока что в России нет четкого понимания того, что относится к конфиденциальной информации (коммерческой или иной охраняемой законом информации), как ее защищать и какие наступают последствия за ее разглашение. При этом такого понимания нет как у работодателя, который не всегда понимает как защитить конфиденциальную информацию, так и у работника, который не видит ничего страшного в разглашении конфиденциальной информации путем ее пересылки на свою личную электронную почту, скачиванию на флеш-носитель или направлении ее третьему лицу.

В данном посте я хотел бы как раз внести такое понимание и разобрать наиболее часто встречающиеся на практике случаи заблуждений в отношении конфиденциальной информации и работы с ней, включая пересылку такой информации работником на свою личную электронную почту.

https://giphy.com/gifs/artefr-secret-confidential-confidentiel-xT1XGRazAbrOJnNu9i

В первую очередь, стоит сказать, что такое конфиденциальная информация и режим конфиденциальности. Представляется, что на основании анализа различных норм законодательства следует дать следующие авторские определения:

Под конфиденциальной информацией следует понимать информацию, которая не является общедоступной или общеизвестной, и доступ к которой является ограниченным для третьих лиц.

Под режимом конфиденциальности понимается режим доступа к информации, ограниченной для третьих лиц, в рамках которого осуществляется регламентация порядка ее использования, способов и средств обеспечения ее защиты.

Таким образом, под режим конфиденциальности попадают различные виды тайн, охраняемых законом, каждая из которых имеет свое специальное регулирование, включая банковскую тайну, коммерческую тайну, тайну следствия, врачебную тайну, персональные данные и другие.

В данном посте мы будем говорить о коммерческой тайне, как наиболее часто втречающейся в практике.

https://giphy.com/gifs/stephen-colbert-secret-quiet-yow6i0Zmp7G24

Начем с того, что нужно сделать работодателю, чтобы ввести данный режим защиты информации. Сначала работодателю нужно выявить информацию, которая может составлять коммерческую тайну, так как не любая информация в силу ст.3 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне” (Далее — ФЗ «О КТ”).

Стоит сказать, что ст.5 ФЗ «О КТ” прямо перечисляет информацию, которая ни при каких обстоятельствах не может быть коммерческой тайной, например сведения, содержащиеся в уставе юридического лица. Далее, работодателю нужно выполнить примерно следующий порядок действий для введения режима коммерческой тайны.

Только при соблюдении вышеуказанных условий можно считать режим коммерческой тайны введенным и пользоваться всеми преимуществами, которые предлагает законодательство при его введении, в частности можно увольнять работников за разглашение коммерческой тайны, а также работников могут привлечь к уголовной ответственности (ст.183 УК РФ). Если же режим введен небрежно без соблюдения необходимых формальностей, то у работодателя не будет возможности уволить работника или завести на него уголовное дело в связи с разглашением коммерческой тайны. Чаще всего работодателям отказывают в какой-либо защите информации из-за ненадлежащего введения режима коммерческой тайны.

Соответственно, в случае введения надлежащего режима коммерческой тайны работнику следует внимательно прочитать документы в данной сфере и понять, что можно делать, а что нельзя. В частности, стоит обратить внимание может ли корпоративный компьютер использоваться в личных целях или его можно использовать только в рабочих. В любом случае при введении режима коммерческой тайны нельзя ее разглашать третьим лицам. Одним из способов разглашения является направление письма, содержащего коммерческую тайну компании, на свой личный электронный ящик. На данной позиции стоит и судебная практика (например, Апелляционное определение Московского городского суда от 6 февраля 2017 г. по делу N 33–4610/2017г.) указывая, что переслав документы с корпоративной почты на внешний электронный адрес — личный почтовый ящик, работник тем самым сделал их доступными третьему лицу — провайдеру услуг электронной почты (google.com, mail.ru, yandex.ru и др.).

Правда, недавно вышло Постановление Конституционного суда от 26 октября 2017 г. № 25-П в связи с которым практика по делам о разглашении коммерческой тайны (пересылка работником информации на личную электронную почту) может развернуться в пользу работников. Тем не менее, пока что судебная практика идет по пути, что пересылка работником информации на личную электронную почту является разглашением коммерческой тайны в связи с чем работник может быть уволен, а также подвергнут уголовному преследованию.

В судебной практике масса дел по увольнению работников в связи с разглашением коммерческой тайны (например, Апелляционное определение Московского городского суда от 6 февраля 2017 г. по делу N 33–4610/2017г.). При этом немало дел и в отношении привлечения работника к уголовной ответственности за разглашение коммерческой тайны, например, когда менеджер пересылал своим знакомым на их электронную почту цены поставщиков компании (Апелляционное постановление Вологодского областного суда от 01.07.2014 N 22–1200/2014).

Таким образом, хотелось бы сделать следующие выводы:

1. Только введение полноценного и надлежащего режима коммерческой тайны в соответсвии с ФЗ «О КТ” позволяет работодателю уволить работника за разглашение коммерческой тайны или возбудить уголовное дело в отношении работника для привлечения его к уголовной ответственности.
2. Любое разглашение коммерческой тайны работником (включая пересылку информации на личную электронную почту), которая стала ему известна в связи с осуществлением работы, может влечь увольнение работника, а также уголовную ответственность.
3. Иные нарушения режима коммерческой тайны, не связанные с ее разглашением, например, несоблюдение обязанности по блокировке компьютера на рабочем месте, если это не привело к утечке информации, не является разглашением и, соответственно, нельзя применить, например, возможность увольнения к работнику.

В результате, миф можно считать опровергнутым. Хочу обратить также внимание, что режим конфиденциальной информации достаточно многогранная и сложная тема и в рамках данного поста были разобраны только отдельные вопросы в ограниченном виде.

Правильный вариант написания слов: конфиденциальный, конфиденциальность, конфиденциально

Правило

Это словарные слова, которые мы рекомендуем запомнить. Для проверки правильности написания используйте орфографический словарь русского языка, например, под редакцией Д.Н.Ушакова или добавляйте наш сайт в закладки.

Происходит от латинского слова confidentia, поэтому пишется с одной буквой «ф», буквой «и» во втором слоге.

Правописание «»и/ы» после «ц»

Звук «ц» только твердый.

После «ц» буква «ы» пишется в следующих случаях:

В остальных случаях (в корневых морфемах и словах на -ция) после буквы «ц» пишется «и», например: цивилизация, традиция, цинк, панцирь, цитата, цинга, цирюльник, циферблат.

Морфологический разбор слова конфиденциальный

1. Часть речи — имя прилагательное
2. Морфологические признаки:
Начальная форма: конфиденциальный (именительный падеж единственного числа мужского рода);
Постоянные признаки: относительное;
Непостоянные признаки: единственное число, именительный падеж, мужской род, полная форма.
3. Синтаксическая роль: Может быть различным членом предложения, смотрите по контексту.

Ударение и состав слова

Ударение падает на 5-й слог с буквой а.
Всего в слове 16 букв, 6 гласных, 9 согласных, 6 слогов.

Примеры использования и цитаты

Наконец вдруг совершенно неожиданно получаю конфиденциальное письмо от директора канцелярии, что граф предписывает мне ограничиться тем…

Нет прощения — Андреев Л.Н.

И, нагнувшись к Алеше, он продолжал конфиденциальным полушепотом. — Засади я его, подлеца, она услышит, что я его засадил, и тотчас к нему побежит.

Белый орел — Лесков Н.С.

Валуев конфиденциально рассказывал, что Уваров был прислан из Петербурга, для того чтобы узнать мнение москвичей об Аустерлице. В третьем кружке Нарышкин говорил о заседании австрийского военного совета, в котором…

«Братья Карамазовы. Часть 2» — Достоевский Федор

Похожие слова

депиляция, цифровой, позиционируешь

В настоящее время в обществе идут напряженные поиски ответов на эти вопросы. Однако, кажется, что у правительства уже есть своя твердая позиция по данному вопросу. Проблема недостатка конфиденциальности в нашей жизни в глазах подавляющего большинства выглядит несколько надуманной, и рано или поздно полемика может превратиться в серьезное противостояние.

Оглянитесь по сторонам – мир, в котором мы живем, окружает нас камерами видеонаблюдения, банки в точности до копейки знают, сколько у нас денег и сколько мы тратим, поисковикам известны наши интересы и истинные предпочтения, и, разумеется, нельзя забывать о том, что органы власти могут с легкостью получить доступ к вашей переписке в социальных сетях и коммуникационных приложениях.

На дворе 2015 год. Эдвард Сноуден уже выступил с болезненными для Агентства национальной безопасности США заявлениями, разоблачающими применяемые им методы слежки. Как оказалось, конфиденциальность может и не входить в список законных прав граждан США. Кого-то откровения Сноудена вдохновили, ну а кого-то – испугали.

Мы добровольно вручили власти полномочия по реализации этих законов, ведь они говорили, что эти ответные меры предпринимаются из целей предосторожности, ради национальной безопасности и нашей с вами безопасности тоже.

Возможно ли такое, что иной раз действия правительства продиктованы мотивами укрепления собственных позиций, а отнюдь не интересами простых людей?

Трудный выбор

Выбор между конфиденциальностью и безопасностью является опасной тенденцией — ведь правильного выбора не существует как такового. Мы не должны были бы стоять перед необходимостью принятия данного решения, однако складывается впечатление, что нас к этому принуждают. И вполне предсказуемо люди выбирают безопасность. Однако выбор в пользу безопасности делают далеко не все.

Наш переменчивый мир располагает чудесными технологиями. Технологии, созданные целеустремленными людьми во имя защиты конфиденциальности всех и каждого.
Безусловно, данные технологии включают в себя и криптовалюты, служащие великому делу и ставящие перед собой цель изменения банковской системы, сделав ее прозрачной и открытой.

Спасибо, Bitcoin

Первой криптовалютой является Биткоин. Сатоши Накамото (Satoshi Nakamoto), создавая биткоин, руководствовался благородным устремлением позволить каждому человеку иметь возможность пользоваться финансовой системой, сделать ее настолько свободной и децентрализованной, настолько это возможно.

Биткоин также мог бы одновременно обеспечивать базовую конфиденциальность и впечатляющий уровень прозрачности, сочетая в себе красоту технологии блокчейна и надежную криптографическую защиту.

Нет ничего удивительного в том, что биткоин уже получил печальную известность как популярный инструмент пользователей дарквеба и личностей, промышляющих незаконной деятельностью. Несмотря на всемирное признание и интерес к биткоину и блокчейну со стороны управляющих высшего ранга, биткоину до сих пор приходится бороться со своим нежелательным реноме из прошлого.

Спасибо, тебе, биткоин, за широту предоставляемых тобой возможностей по инвестированию, за всю ту тяжелую работу, которую тебе пришлось проделать для того, чтобы победить в спорах о репутации. Ты делаешь замечательную работу и повышаешь шансы других криптовалют на успех, так как многие люди ассоциируют криптовалюты с тобой.

Не приходится и говорить о том, что биткоин вызывает пристальный интерес со стороны правительства к своей персоне, что является наилучшим знаком в современном политическом и деловом мире. Разумеется, правительство только прощупывает почву криптовалют, разрабатывая массу правил и предписаний. Тем не менее, подобная ситуация является признаком того, что криптовалюты уже стали весомым игроком мирового финансового рынка. Присутствие на мировой арене невозможно без принятия соответствующих законов, однако мы можем надеяться на то, что правительства разных стран по всему миру разработают единый Лицензионный документ, который будет обладать большей степенью лояльности нежели NY BitLicense. Например, правительство Швейцарии, разработало элегантные и тонко продуманные законы, которые не покушаются на конфиденциальность пользователей криптовалют, если на то нет действительно весомых причин. Граждане Швейцарии имеют полный спектр преимуществ владельцев частных швейцарских банковских счетов, в реальности не имея таковых. Правительство Швейцарии, в частности, знаменито уважением к конфиденциальности личности, и стоит принять к сведению то, что оно распространяется также и на криптовалюты.

И, хотя будущее биткойна, находящегося на пути к массовому внедрению, оптимистичное, все же его лидеры никогда не утверждали того, что технология биткойна защитит конфиденциальность и обеспечит анонимность его пользователей. К счастью, есть криптовалюты, для которых конфиденциальность важнее всего; очевидно больше всех на этом пути продвинулась технология CryptoNote.

Существует решение, в котором можно быть абсолютно уверенным. Самое важное заключается в том, чтобы наш огромный мир, вздрагивающий при одном только слове «терроризм», понял то, что конфиденциальность это исцеление, а не проклятье.

Конфиденциальность считается одним из основных прав человека, которое должно быть у каждого, также как свобода речи, слова и религии.

Конфиденциальность или безопасность?

В связи с этим возникает самый важный вопрос – отчего так важна конфиденциальность? Ответ на него просто, но при этом глубок и изобилует подробностями.
Прежде всего, конфиденциальность связана со свободой.

Конфиденциальность стоит в одном ряду со свободами мысли и слова. Это своего рода дети одних родителей.

Если правительство решает уважать конфиденциальность, оно также дает людям основное право не быть принуждаемыми к даче свидетельских показаний против самих себя и членов своих семей. Еще одним важным моментом является то, что правительство могло бы дать каждому возможность измениться и получать второй шанс при необходимости. Например, во многих странах местные власти могут зачастую удалить из личных документов человека некую информацию, которая потенциально могла бы его скомпрометировать, если данный человек продемонстрировал раскаяние, компенсировал ущерб и вел себя примерно.

Случайное появление нежелательной и неуместной информации о каком-то человеке зачастую приводит к импульсивному, поспешному и жесткому осуждению его со стороны общества, мимоходом разрушая при этом человеческие судьбы.

Одним из явных признаков свободы для людей является их независимость и возможность контроля над собственными жизнями, что невозможно в ситуации, когда масса важных решений, влияющих на нашу жизнь, принимается тайком и без нашего в том участия.

Далее, конфиденциальность и уважение к личности идут рука об руку. Предоставляя гражданам право на конфиденциальность, правительство демонстрирует свое отношение к людям – в этом случае люди это не просто кирпичики в стене, но личности, с которыми считаются.

Свобода социальной и политической жизни не может естественным образом существовать и получать признание без уважения к личной конфиденциальности. Жизнь в обществе научила нас различать вежливость и отсутствие таковой. Такие же рамки применимы к отношениям между правительством и гражданами. Неправомерное вмешательство в личные дела человека является невежливым и не вызывает уважения. Если у правительства отсутствуют веские причины для игнорирования потребности каждого человека в конфиденциальности, оно тем самым как бы заявляет: «Меня интересует лишь собственная выгода, а ваши интересы недостойны моего внимания».

И наконец, третий, и наиболее известный факт, связанный с конфиденциальностью — доверие. Мы доверяем правительству, отдавая за него свои голоса в кабинке для голосований; поэтому естественно ожидать, что и оно доверяет нам.

Отсутствие доверия запускает порочный круг подозрений и злоупотреблений с обеих сторон. Игнорирование конфиденциальности является самым главным врагом доверия.
При возникновении споров люди обычно противопоставляют права на неприкосновенность и безопасность праву на конфиденциальность.

Сограждане уже привыкли к неловкому ощущению присутствия в их жизни технологии, не позволяющей им быть выслушанными или выразить себя.

Тенденции по предоставлению людям презумпции невиновности в обществе не наблюдается и для такого поведения существует ряд законных причин, как будто бы верно то, что если бы технология способствовала аморальным действиям, то она очевидно бы это и делала.

Ключевым моментом, вызывающим эти мрачные размышления, является страх – как бы ни было досадно это осознавать, но кажется, мы постоянно боимся. Страх является одной из сильнейших человеческих эмоций. Политики иногда злоупотребляют этой сильной и разрушительной эмоцией, переступая черту. Как показывает политический опыт, запуганных людей проще всего заставить отказаться от некоторых своих прав в обмен на безопасность.

Общество не должно чувствовать себя виноватым за уважение к конфиденциальности, ведь это не подразумевает того, что люди выбирают конфиденциальность в ущерб безопасности. Люди могу выбрать и то, и другое.

К сожалению, правительство не может гарантировать 100% безопасность, и никогда не сможет. Никто не сможет. Правительство должно сделать все возможное по достижению этой цели, не прослушивая при этом всех и каждого, не читая чужую переписку в Facebook и не контролируя каждую копейку в кошельках своих граждан.

Бенджамин Франклин однажды сказал:

«Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности».

Конфиденциальность имеет значение

Как бы парадоксально это ни звучало, но в будничной жизни люди в целом ведут себя очень мужественно.

Каждый день мы выходим на улицы, невзирая на риск быть сбитыми машиной, ограбленными, избитыми или даже рискуя отправиться на тот свет из-за аневризмы мозга. Мы привыкли к постоянному существованию в опасной среде, к вероятности получения травм в рядовой будничный день, что, кстати, многократно вероятнее атаки террористов. Однако люди, храбро проживающие каждый свой день, испытывают огромный страх перед терроризмом и угрозой нарушения национальной безопасности.

На развитие военных и оборонительных технологий уже были потрачены огромные средства, вместо того, чтобы, например, открыть новые школы или сделать медицинское обслуживание более доступным. И так это и должно очевидно быть, ведь мы живем в этом опасном запутанном мире, и, разумеется, мы должны поощрять все усилия по обеспечению безопасности собственной страны.

Давно пора начать жить для самих себя, хотя бы чуть-чуть, и ожидать от правительства понимания и поддержки такого образа жизни. Основные права конфиденциальности по анонимной передаче денег или свободе переписки должны быть у каждого человека. У вас должно быть право не сообщать Старшему Брату о том, сколько у вас денег, где и как именно вы их храните и кому отдаете. Старшего Брата вообще не должно быть, будем надеяться на то, что мы живем не в мире Оруэлла.

Уважение конфиденциальности должно быть таким же щепетильным, как уважение свободы слова и религии, потому что – ведь это так просто! – конфиденциальность имеет значение. Разумеется, на первых порах правительство может позволить себе небольшую ксенофобию, но, однажды к управлению государством придет новое поколение политиков, и они будут доверять людям чуть-чуть больше – этого должно быть достаточно.

Криптовалюты и другие технологии по защите конфиденциальности идеально подходят в качестве инструментов улучшения этого мира, давая людям новые важные права и свободы. Это неиссякаемый источник новых технологий и вдохновения.

Современный мир это место взаимных связей, потому ему нужны мировые ресурсы, которые доступны для всего международного сообщества. У нас – и у наших правительств – прямо сейчас есть хороший шанс на строительство прозрачной финансовой системы – чтобы, вместо того, чтобы нести свои деньги в банк, вы могли бы купить цифровую валюту: Bitcoin, Ether, NXT или Bytecoin, будучи при этом уверенными в том, что действуете во имя всеобщего блага и ради развития мира личности.

Конфиденциальность является чем-то самим собой разумеющимся для каждого из нас, для такого как я, автор этой статьи и таких как вы, уважаемые читатели, как ваши соседи или дети-подростки.

В конфиденциальности нет абсолютно ничего плохого, конфиденциальность это лучший выбор.

Сегодня, как никогда ранее, справедливо изречение: «Кто владеет информацией, тот владеет миром». И все же владеть информацией — это только полдела. Ее еще нужно уметь грамотно защищать.

Сегодня, как никогда ранее, справедливо изречение: «Кто владеет информацией, тот владеет миром». И все же владеть информацией — это только полдела. Ее еще нужно уметь грамотно защищать. Однако трудно построить оборону, не определив стандарт классификации корпоративной информации по степени ее конфиденциальности.

Чтобы построить эффективную систему защиты информационных активов, любой компании необходимо определить степень ценности различных типов данных, знать, где они находятся, каким образом и кем обрабатываются и как уничтожаются в конце жизненного цикла. Без этого будет сложно предотвратить утечку конфиденциальных данных и обосновать финансовые расходы на защиту информации.

Крупные отечественные компании обычно имеют внутренний приказ или распоряжение, в которых определено, какие типы информации относятся к конфиденциальным данным или коммерческим сведениям. Однако эти определения зачастую весьма туманны (например, «и другие сведения, составляющие коммерческую тайну»), кроме того, в них отсутствуют правила отнесения информации к той или иной степени конфиденциальности, а также правила обращения с теми или иными данными. Документ такого качества непригоден для использования на практике, особенно для защиты информации в электронной форме.

В крупных западных компаниях хорошо проработаны корпоративные стандарты классификации информации, в которых перечисленные недостатки отсутствуют. Этому в значительной мере способствует более развитое законодательство в области защиты информации и привлечение сторонних консультантов, имеющих практический опыт в разработке документов по информационной безопасности.

Следует отметить, что в российском законодательстве принят ряд законов, требующих от предприятия определенных усилий по защите своих информационных активов. В первую очередь следует отметить закон «О коммерческой тайне» от 29 июля 2004 года и Гражданский кодекс РФ (статья 139 «Служебная и коммерческая тайна»). Данные законодательные акты ориентированы в основном на юридическую сторону вопроса защиты информации. Поэтому отечественному предприятию следует иметь внутренний стандарт, который учитывает специфику предприятия, определяет правила классификации информации по приемлемой в практическом отношении «шкале конфиденциальности» и устанавливает правила работы с классифицированной информацией, ее хранения и уничтожения. Этот стандарт определяет базовую политику в области информационной безопасности наравне с другими основополагающими корпоративными стандартами, такими как, например, стандарт по управлению рисками. Более развернутая шкала оценки степени конфиденциальности помогает оптимизировать финансовые затраты на защиту информационных активов.

Нужен документ

Как же правильно сформулировать стандарт классификации корпоративной информации по степени конфиденциальности? На тему защиты информации, и в частности ее классификации, издано значительное количество книг и публикаций, но, к сожалению, русскоязычная литература по данной тематике, как правило, носит теоретический характер, а зарубежная содержит явный уклон в сторону обеспечения безопасности правительственных или военных информационных систем и базируется на соответствующей законодательной базе.

Безусловно, теория важна. Однако как применить ее на практике предприятию, действующему в условиях недостаточно развитой законодательной базы в этой сфере? Как определить, какая информация используется в компании, какую выбрать шкалу классификации и как правильно определить меры по защите данных?

Перед тем как принимать какие-либо организационные и тем более технические меры в области информационной безопасности, необходимо разработать пригодный для практического использования документ, определяющий общие правила, но не технические детали в области классификации корпоративной информации по степени конфиденциальности. К сожалению, устоявшегося названия для этого документа в русском языке еще нет, в английском же он называется так: Data Classification Standard.

Этот документ должен быть формально утвержден высшим руководством компании, например советом директоров или генеральным директором, в противном случае ваши дальнейшие усилия обречены на неудачу. Это не такая простая задача, как кажется на первый взгляд. В крупных компаниях (особенно холдингах) велика степень бюрократизации, что затрудняет принятие подобного корпоративного стандарта. В таком случае потребуется ряд подготовительных действий, способствующих утверждению данного документа.

Ключевые пункты стандарта

Правильно составленный корпоративный стандарт классификации информации должен включать в себя следующие разделы:

• заявление руководства компании о важности защиты информационных активов;
• назначение стандарта классификации данных;
• принятые категории классифицированной информации;
• принципы отнесения информации к той или иной категории конфиденциальности;
• перечни используемых типов информации, отнесенных к той или иной категории конфиденциальности;
• правила управления доступом и контроля доступа к классифицированным данным;
• правила применения методов защиты при передаче классифицированных данных;
• маркировка и методы хранения классифицированной информации;
• порядок уничтожения носителей с классифицированными данными;
• правила обращения с классифицированной информацией;
• срок следующего пересмотра стандарта.

Заявление руководства компании о важности защиты информационных активов. В этом пункте должна быть отражена позиция высшего руководства компании в отношении защиты информационных активов. Данным заявлением руководство выражает свою поддержку предпринимаемым мерам.

Назначение стандарта классификации данных. Содержание этого раздела может быть примерно таким: «Информация является важным корпоративным ресурсом, который необходимо защищать вследствие его ценности для поддержки ключевых бизнес-процессов компании. Для обеспечения эффективной защиты значимых информационных ресурсов необходимо понимание того, что является значимой информацией, где находятся информационные ресурсы и каким образом осуществляется обработка информации. Это позволит с наименьшими затратами снизить риск разглашения конфиденциальной информации до приемлемого уровня». Целью данного стандарта также является определение правил обращения с классифицированной информацией компании.

Принятые категории классифицированной информации. Для практического применения стандарта в коммерческих компаниях имеет смысл использовать шкалу, состоящую из четырех категорий (степеней) секретности: «публичная», «для внутреннего использования», «конфиденциальная» и «строго конфиденциальная». Более детализированная градация, например «ограниченного распространения для бизнес-партнеров» (Business confidential), может привести к расплывчатости определений каждого класса данных и должна использоваться только тогда, когда для этого есть объективные причины.

Принципы отнесения информации к той или иной категории конфиденциальности. В этом разделе следует дать четкие правила отнесения информации к той или иной категории конфиденциальности. Следует воздержаться от определений типа «и другие важные сведения».

Перечни используемых типов информации. В этом разделе указываются списки используемых типов информации, разбитых по категориям «строго конфиденциально», «конфиденциально», «для внутреннего использования» и «публичная информация». Также следует составить перечень типов используемой информации с указанием их степени конфиденциальности для каждого крупного подразделения компании. В дальнейшем это облегчит ежегодное обновление стандарта.

Правила управления доступом и контроля доступа к классифицированным данным. Этот раздел должен определять принципы управления доступом к информации каждой степени конфиденциальности и контроля над ним. Эти принципы должны включать в себя идентификацию и аутентификацию, авторизацию, аудит, контроль за физическими носителями.

Правила применения методов защиты при передаче классифицированных данных. Эти правила должны быть описаны для всех используемых в компании способов передачи, например сети передачи данных (локальная, распределенная), электронная почта, факс, телефонные разговоры (включая мобильную связь), бумажные копии, видеоконференции, модемная связь, репликации баз данных.

Маркировка и методы хранения классифицированной информации. Правила маркировки должны быть указаны для каждого типа классифицированной информации и для всех используемых в компании способов хранения, включая хранение на серверах, рабочих станциях, ноутбуках, сменных носителях (дискеты, флэш-карты и т. п.).

Порядок уничтожения носителей с классифицированными данными. Должен предусматривать правила уничтожения каждого типа информации на всех типах используемых носителей, включая жесткие диски, сменные носители (дискеты, ленты, флэш-карты и т. д.), электронную почту, бумажные копии.

Правила обращения с классифицированной информацией. В этом разделе определяются требования по маркировке, хранению, передаче и уничтожению для каждого типа классифицированных данных.

Методика проведения классификации информации

Предлагаемая методика основана на рекомендациях международных стандартов информационной безопасности BS 7799 и ISO 17799.

Процесс разработки корпоративного стандарта классификации информации состоит из следующих основных этапов:

• создание рабочей группы;
• проведение собеседований с подразделениями компании;
• консолидация собранных сведений;
• согласование с подразделениями компании консолидированных сведений и утверждение стандарта.

Создание рабочей группы

От того, насколько правильно сформирована рабочая группа, зависит успех всего мероприятия. В рабочую группу должны входить ответственные представители подразделений компании и специалисты, имеющие как минимум следующие качества:

• хорошие знания в отрасли, в которой работает компания, знание структуры компании, особенности данного бизнеса, конкурентов, партнеров по бизнесу;
• достаточные знания в области информационной безопасности. Хорошим подтверждением наличия необходимых знаний является международный сертификат CISSP;
• детальное представление об информационных системах компании. Например, пользователи могут хранить важную информацию на диске P, при этом следует знать, на каком сервере находится этот диск у данного пользователя;
• отличные навыки проведения собеседований. Это очень важное требование. Отсутствие данных навыков чаще всего приводит к упущениям в работе, а иногда и отрицательному отношению ко всему проекту со стороны руководства компании и ее сотрудников;
• навык делового общения с представителями высшего руководства, которые, как правило, могут выделить лишь малое количество времени для собеседований;
• авторитет и уважение в компании;
• опыт проведения проектов в области классификации информации. Отсутствие опыта обязательно скажется на результате проекта.

В рабочую группу следует включить представителей всех заинтересованных подразделений, например подразделения службы безопасности.

Проведение собеседований с подразделениями компании

Как определить, к какой степени конфиденциальности относится тот или иной тип информации? На этот вопрос должен ответить владелец информации. Несмотря на кажущуюся простоту, собрать эти сведения не так легко. Ведь они будут ценны только в том случае, если накоплены в достаточном объеме.

Для выяснения того, какие виды информации обрабатываются в определенных подразделениях компании, следует провести серию собеседований с ответственными лицами этих подразделений.

Но прежде нужно подготовить предварительный список типов данных, свойственных компаниям данной отрасли. Наличие такого списка сократит время, затрачиваемое на проведение собеседований, и поможет избежать упущений.

Все ответственные лица должны быть заранее ознакомлены с принципами классификации информации и предварительным списком типов данных. Для этого нужно провести вводную презентацию для представителей подразделений, в ходе которой разъяснить цели и задачи проекта, рассказать, кто является спонсором (главным заказчиком) проекта, изложить последовательность шагов, объяснить, какое от представителей подразделений требуется участие и каков конечный результат проекта. Презентация существенно сократит время собеседований, так как сотрудники будут к ним подготовлены.

Обсуждая бизнес-процессы, в которых задействовано подразделение, следует составить список используемых в подразделении типов информации и по каждому из них задать достаточно длинный список вопросов. Вот некоторые из них.

• Какой уровень конфиденциальности, по мнению ответственного лица, может быть присвоен данным, находящимся в его компетенции?
• Где хранятся данные (локальная сеть, почтовый ящик электронной почты, печатная копия и пр.)?
• Как происходит обмен данными внутри компании?
• Какие виды информационного обмена между подразделением и внешними организациями (электронная почта, электронная почта с использованием PGP, печатные копии, факсимильная связь, устное общение) применяет компания?
• Какие методы и средства защиты используются?

Часто встречаются ситуации, когда подразделения компании перестраховываются, завышая степень конфиденциальности тех или иных данных. В таком случае следует задать наводящие вопросы, например такой: «Чем выше степень конфиденциальности, тем строже правила работы с ней. Готовы ли вы расписываться в журнале каждый раз при получении данных документов и каждый день сдавать их под роспись?»

Консолидация собранных сведений

Проведя собеседования с подразделениями компании, можно переходить к консолидации собранных сведений. Консолидация заключается в присвоении степени конфиденциальности имеющимся типам информации. Мнения подразделений об этих степенях могут расходиться, в этом случае следует опираться на профессиональное суждение рабочей группы. Иногда требуется провести дополнительные собеседования. В коммерческой компании список конфиденциальной и строго конфиденциальной информации не должен получиться большим. Длинный список свидетельствует об ошибках, допущенных при проведении собеседований.

Согласование данных и утверждение стандарта

Консолидированный список типов данных и их степени конфиденциальности должен быть согласован с подразделениями компании и утвержден высшим руководством компании в составе документа «Классификация информации по степени конфиденциальности». Наиболее частое препятствие на этом этапе возникает со стороны службы безопасности из-за недоверия с ее стороны к полученным результатам. Чтобы избежать такой ситуации, в процесс проекта и в рабочую группу следует привлекать представителей службы безопасности.

Что дальше?

«Классификация информации» задает требования по обращению с данными, но не технические детали. Она служит каркасом для документов более «низкого» уровня, например инструкций пользователей и администраторов, стандартов конфигурации рабочих станций и серверов.

Алексей Пастоев — менеджер компании «Керберус», apastoev@kerberus.ru

Примеры фрагментов стандарта классификации данных

Правила определения конфиденциальной информации

Гриф «конфиденциальная» должен присваиваться только той информации, которая в случае ее разглашения ухудшит конкурентное положение компании, нанесет серьезный финансовый ущерб, приведет к невыполнению нормативных обязательств, понизит общественный престиж или иным способом причинит серьезный вред компании, ее клиентам или партнерам.

Примеры информации:

• контракты;
• отчеты компании до момента опубликования;
• документы финансового планирования.