Конфиденциальность информации, принцип конфиденциальности

Защита конфиденциальной информации в организации

ГК «Интегрус» предлагает услуги по защите конфиденциальных данных, коммерческой информации и ноу-хау разработок для предприятий. Для каждой компании, имеющей доступ в Интернет, использующую информационные системы для своей работы, разрабатывается пакет собственных нормативных документов, ИТ-решений, обеспечивающих безопасность на всех уровнях.

Конфиденциальная информация (данные) – это такая информация, доступ к которой ограничен согласно требованиям законодательства или нормами организации (предприятия). Требуют применения мер защиты следующие виды конфиденциальных данных:

  • личные – касающиеся частной жизни граждан, в том числе персональные данные (ПНд), за исключением сведений, подлежащих распространению в СМИ;
  • служебные – то, что можно отнести к категории служебной тайны;
  • судебные – любые сведения о судьях, должностных лицах контролирующих и правоохранительных органов, потерпевших, свидетелей, участников уголовного судопроизводства, а также любая информация из личных дел осужденных, о принудительном исполнении судебных актов;
  • коммерческие – это коммерческая тайна, плюс сведения об изобретениях, полезных моделях, промышленных образцах до официальной публикации информации по ним предприятием (ноу-хау, технологии производства, секреты разработки и т.д.);
  • профессиональные – врачебная, нотариальная, адвокатская тайна, тайна телефонных переговоров, почтовых сообщений, переписки, телеграфных и иных видов сообщений.

В своей работе мы обычно имеем дело с защитой служебной, коммерческой, профессиональной и личной конфиденциальной информации. Защита данных и сведений в организации строится на трех уровнях:

  • ограничение несанкционированного доступа (с целью модификации, изменения, уничтожения, копирования, распространения и прочих неправомерных действий):
      • замки, двери, решетки на окнах, сигнализация и т.д. — любые средства, ограничивающие физический доступ к носителям информации;
      • генераторы шума, сетевые фильтры и другие устройства, перекрывающие или обнаруживающие каналы утечки информации.
  • разграничение доступа для сотрудников (персонала) организации клиента;
  • реализация прав доступа для работников предприятия.

Защита конфиденциальных данных предполагает проработку таких решений для ИТ-инфраструктуры, чтобы иметь возможность:

  • своевременного обнаружения фактов несанкционированного доступа к информации;
  • снижения уязвимости технических средств обработки и хранения информации;
  • оперативного восстановления поврежденной, модифицированной информации;
  • предупреждения о последствиях несанкционированного доступа к конфиденциальным данным.

В отношении личной конфиденциальной информации, персональных данных, нами также осуществляется контроль размещения баз данных на территории России.

Средства защиты конфиденциальной информации

Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

  1. Правовой, обеспечивающий единый госстандарт по информационной защите, но не нарушающий права пользователей. Уровень регламентируется Законом РФ «Об информации, информатизации и защите информации», подзаконными актами РФ, внутриорганизационными положениями о защите конфиденциальной информации, определяющими работу с «закрытой» документацией. На этом уровне от нас требуется так выстроить информационную систему и решения по ее защите, чтобы не нарушить права пользователей и нормы обработки данных.
  2. Организационный, упорядочивающий работу с конфиденциальной документацией, определяющий степени и уровни доступа пользователей в информационные системы, носителями информации. Этот уровень предотвращает утечку сведений по халатности или небрежности персонала, сводя его к минимуму.
    • Сюда относятся архитектурно-планировочные мероприятия и решения, структурирование систем запросов и выдача допусков на пользование Интернетом, корпоративной электронной почтой, сторонними ресурсами.
    • Права на получение и использование подписи в электронном цифровом виде, следование корпоративным и морально-этическим правилам, принятым внутри организации, также являются важными составляющими защиты конфиденциальных данных.
  1. Технический уровень защиты конфиденциальной информации включает подуровни – аппаратный, криптографический, программный, физический.

Организация защиты конфиденциальных данных

Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации. Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила. Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Техническая защита конфиденциальных сведений

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

  • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

  • с использованием криптопровайдеров (программных компонентов шифрования);
  • организацией VPN;
  • применением средств формирования, контроля и использования ЭЦП.

При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

integrus.ru

Коммерческая тайна и их защита на предприятии

В современных условиях, информация – важный корпоративный актив. Значительная ее часть является объектом интеллектуальной собственности. Значительная, но не вся: подавляющее большинство коммерчески ценных сведений не защищены законом автоматически. Все что остается бизнесу, это хранить важные корпоративные сведения в тайне, что с учетом их нематериального характера и неоднородности очень сложно.

Маркетинговые идеи, клиентские базы, технологические стратегии, решения, технологии производства и рецептуры – все это является неохраняемыми объектами коммерческого интереса со стороны конкурентов. Так как исключительных прав на такую информацию не возникает, бизнесу приходится искать иные пути ее защиты. Что говорит закон о конфиденциальной информации? Каков режим ее защиты и как ее отнести к коммерческой тайне? Разбираемся в сложностях законодательства.

Что такое конфиденциальная информация?

Вообще, конфиденциальной считается любая информация, которой обладает какое-либо лицо, если это лицо предъявило к другим лицам, которым эта информация стала известна, требование о ее неразглашении (п. 7 ст. 2 ФЗ № 149 «Об информации, ИТ, защите информации»). Сведениями конфиденциального характера, например, может быть (Указ Президента № 188 от 06.03.1997):

  • сведения о частной жизни лица;
  • адвокатская, врачебная, иная профессиональная тайна;
  • тайна следствия и судопроизводства;
  • служебные сведения;
  • сведения из личных дел осужденных;
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен, то есть коммерческая тайна.

То есть, конфиденциальность – это правовой режим неразглашения сведений. Любых сведений любого характера. Это обобщенное понятие: положение о конфиденциальной информации предполагает, что конфиденциальность может быть установлена в отношении информации, которую ее обладатель почитает конфиденциальной. И если они имеют отношение к предпринимательской деятельности, их следует рассматривать как коммерческую тайну.

Коммерческая тайна и ее отличие от конфиденциальной информации

Согласно ст. 3 ФЗ «О коммерческой тайне» (далее – ФЗ № 98), коммерческая тайна (КТ) – это режим конфиденциальности корпоративных сведений, который, в существующих или возможных обстоятельствах, позволяет получить коммерческую выгоду – увеличить прибыль, сократить расходы, улучшить положение на рынке и т.д.

Такой информацией могут быть любые сведения (производственные, технические, организационные и иные), которые имеют действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой третьи лица не имеют доступа в силу введенного в ее отношении режима КТ (п. 2 ст. 3 ФЗ № 98).

Иными словами, КТ – это разновидность конфиденциальной информации, в отношении которой специальным образом введен режим ограниченного доступа. Получается, что любая КТ – это конфиденциальная информация. Но не любая конфиденциальная информация является коммерческой. Признаки КТ:

  • имеет коммерческий характер, потенциально приносящий организации прибыль или иную выгоду;
  • ограниченность информации – ее открытое использование наносит ущерб коммерческим интересам компании;
  • возможность организации защиты конфиденциальной информации со стороны ее обладателя;
  • не относится к сведениям, в отношении которых не может быть установлен режим КТ – сведения из учредительных документов, сведения о загрязнении окружающей среды, о задержках зарплаты и иные, указанные в ст. 5 ФЗ № 98;
  • нуждается в защите, так как доступ к ней не имеет ограничений по закону, а сама она не требует регистрации;
  • сокрытие этой информации не наносит вред обществу.

Ограниченность информации, содержащей КТ, является условной, так как такая информация может вполне законно использоваться и третьими лицами, если между этими лицами и ее обладателем достигнуто соответствующее соглашение и подписан договор.

Организация вправе самостоятельно определять перечень сведений коммерческой тайны и вводить его в отношении конкретной информации (ч. 1 ст. 4 ФЗ № 98). Да, автоматически конфиденциальные сведения не приобретают характер КТ – для этого на предприятии должен быть введен режим КТ, который предполагает целый комплекс мер.

Способы защиты коммерческой тайны

Сведения, в отношении которых предприятие намерено установить режим конфиденциальности, приобретают статус коммерческой тайны, если администрация предприятия предприняла меры, оговоренные ч. 1 ст.10 ФЗ № 98, а именно:

  1. Определила и утвердила перечень данных, составляющих коммерческую тайну.
  2. Установила порядок и алгоритмы обращения с такой информацией, тем самым ограничила к ней доступ. Приняла положение о КТ.
  3. Определила перечень должностей и работников, имеющих доступ к конфиденциальным сведениям, а также ведет и учет.
  4. Включила обязательство о неразглашении тайны в трудовой договор и типовой гражданско-правовой договор с контрагентами. Порядок обращения с конфиденциальными сведениями также включен в должностные инструкции.
  5. Нанесла на все материальные носители информации, где содержится КТ, гриф «Коммерческая тайна».

С момента принятия указанных мер режим КТ считается введенным. В его рамках компания также обязана (ч. 1 ст. 11 ФЗ № 98):

  • ознакомить работников под расписку с перечнем сведений, которые отнесены к КТ;
  • ознакомить работников под расписку с порядком использования конфиденциальных сведений и ответственностью за нарушение этого порядка;
  • создать работникам все необходимые условия для соблюдения режима КТ.

Этот минимум мер, которые обязана предпринять компания для защиты своей конфиденциальной информации. На практике, ограничиваясь лишь некоторыми из них, организация не только не устанавливает особый режим охраны по закону, но и позволяет лицам, которые нарушают порядок использования конфиденциальной информации, уйти от ответственности.

Например, в Санкт-Петербурге суд не признал разглашением секрета производства публикацию в сети технических данных пароконденсатных систем бывшим работником предприятия, так как агрегаты, чертежи и разработки не были поименованы как такие, что относятся к коммерческой тайне (Апелляционное определение горсуда СПб № 33-17808/2016 от 27.09.2016).

Нужно ли заключать соглашение о неразглашении?

Соглашение о запрете разглашения коммерческой тайны – способ регулирования отношений, возникающих в процессе использования конфиденциальной информации предприятия. Обычно такие соглашения заключаются с работниками, которые получат доступ к данным, содержащим КТ, в качестве дополнения к трудовому договору. Если вопрос неразглашения не урегулирован трудовым договором, заключение такого соглашения обязательно. Без него режим КТ будет недействителен.

Такое соглашение составляется как любой договор и обязательно должно содержать:

  1. Наименование, реквизиты, данные работника и работодателя.
  2. Предмет соглашения: обязательство работника, в связи с доступом к конфиденциальной информации, обеспечить ее неразглашение.
  3. Права и обязанности сторон: обязательство работника охранять вверенную ему информацию, использовать ее только по назначению и защищать от посягательств третьих лиц.
  4. Срок действия: если об этом сказано, может действовать даже после окончания действия трудового договора.
  5. Особые условия: любые другие условия, которые стороны хотят предусмотреть соглашением.

Похожее соглашение следует заключать также и с контрагентами, получающими доступ к конфиденциальным сведениям.

Ответственность за разглашение конфиденциальной информации

Потенциальными субъектами разглашения сведений, содержащих КТ, являются работники организации, у которых есть доступ к таким сведениям. Соглашение о неразглашении, подписанное ими, не регулирует вопрос ответственности, а лишь фиксирует тот факт, что они взяли на себя обязательство об охране тайны. Вместе с тем, работник может понести такие виды ответственности:

  1. Дисциплинарная. За разглашение конфиденциальной информации, содержащей коммерческую тайну, можно уволить работника по инициативе работодателя (пп. «в» п. 6 ст. 81 ТК).
  2. Материальная. В судебном порядке с работника можно взыскать материальный ущерб, недополученную прибыль, иные причиненные компании убытки
  3. Административная. За разглашение информации, доступ к которой ограничен, на работника можно наложить административный штраф до 5 тыс. рублей (ст. 13.14 КоАП).
  4. Уголовная. ЗА разглашение или использование коммерческой тайны без согласия обладателя информации работника можно привлечь к уголовной ответственности по ч. 2 ст. 183 УК. Это угрожает ему штрафом в 1 млн рублей или исправительными работами до 2 лет, принудительными работами или реальным тюремным сроком на срок до 2 лет. Если такие действия повлекли крупный ущерб, тяжкие последствия или были совершены из корыстных побуждений, ответственность усиливается.

Резюме

Итак, конфиденциальной может быть любая коммерческая, важная для компании информация. Но только после принятия указанных в законе мер она приобретает характер коммерческой тайны. Если их не предпринять, существует не только риск распространения важных сведений, но и ухода виновных лиц от ответственности. Важно предпринимать все указанные в законе меры, без выборочного подхода – он результата не дает и охраняемый режим не вводит.

pravoved.ru

Конфиденциальность — это. Определение, регулирование, охрана конфиденциальной информации

Конфиденциальность — это категория, которая подразумевает сохранение в тайне информации о личности человека или же о его деятельности и финансовом состоянии и так далее.

Определение понятия

Законодательное регулирование

Конфиденциальность — это достаточно серьезная тема, которая затрагивает практически все сферы общественной жизни. Именно поэтому регулирование данного вопроса уже давно происходит на законодательном уровне. Так, в соответствии со специальным Указом президента Российской Федерации конфиденциальными считаются следующие виды информации:

  • вся личная информация, идентифицирующая человека, а также факты, касающиеся его частной жизни (исключения составляют сведения, предоставленные в средства массовой информации, а также подписание документов, разрешающих распространение данных);
  • данные о ведении расследования и судебные документы, а также информация о лицах, которым обеспечивается защита в рамках государственных программ;
  • служебная тайна, к которой относятся данные о работе государственных органов, научных лабораторий, а также предприятий оборонного сектора;
  • сведения о таких видах деятельности, как медицинская, адвокатская, аудиторская, судебная, следственная и так далее;
  • коммерческая тайна, заключающаяся в подробностях о производственном и технологическом процессе, а также организации работы предприятия в целом;
  • сведения о научных разработках до момента получения патентной документации или же до внедрения в эксплуатацию.

Где нужна конфиденциальность информации

Любая сфера деятельности требует сохранения в тайне определенного объема информации. Примером может послужить коммерческое предприятие. Его работники не имеют права разглашать сведения о технологии производства, организационной структуре и прочих моментах, что закрепляется в соответствующих пунктах трудового договора. Нарушение данного правила грозит штрафом или увольнением.

Наверное, все слышали такое словосочетание, как государственная тайна. Это целый ряд сведений, которые находятся под защитой властных институтов и правоохранительных органов. Речь идет о научной, военной, политической, разведывательной и прочих видах деятельности. Предавая данные факты огласке, индивид не только может нанести государству экономический ущерб, но еще и поставить под угрозу его безопасность. За подобные правонарушения предусматривается серьезная ответственность.

В медицинских и прочих заведениях подобного рода также необходимо соблюдать конфиденциальность. Персонал не имеет права разглашать информацию о клиентах. Это же касается и аудиторских фирм. В противном случае потерпевшая сторона может инициировать судебное разбирательство.

Что не может быть конфиденциальной информацией

Рамки политики конфиденциальности не распространяются на следующие виды информации:

  • информация, указанная в учредительных документах;
  • данные свидетельства о регистрации предприятия;
  • сведения об имуществе организации;
  • информация о соблюдении правил безопасности и норм экологической ответственности;
  • о кадровом составе, а также системе вознаграждения за проделанную работу;
  • факты установленного нарушения норм закона;
  • сведения о проведении конкурсов, тендеров и прочих мероприятий, в которых решается судьба объектов государственной собственности;
  • финансовая отчетность некоммерческих организаций.

Охрана конфиденциальности

Конфиденциальность данных может быть защищена их владельцем следующим образом:

  • для начала стоит составить перечень сведений, которые попадают в категорию «коммерческая тайна» в соответствии с законодательством;
  • установление внутреннего порядка охраны информации путем ограничения круга лиц, имеющих к ней доступ, а также внедрение ответственности за несоблюдение правил;
  • ведение учета лиц, которые допущены к конфиденциальным данным;
  • внесение пункта об ответственности за распространение секретной информации в трудовой договор, а также коммерческие контракты с контрагентами;
  • четкая фиксация на цифровых и бумажных носителях всей информации с целью доказательства ее подлинности и правообладания;
  • незамедлительная регистрация в соответствующих органах тех сведений, которые должны находиться под защитой.

Выводы

Конфиденциальность — это объективная необходимость в современных условиях. Каждый человек, а также организация имеет право на сохранение в тайне определенной информации. Нарушение данной нормы влечет за собой наступление административной, а в некоторых случаях и уголовной ответственности.

Конфиденциальность информации, принцип конфиденциальности
businessman.ru

Конфиденциальность

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальной считается информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.

К основным профессиональным требованиям конфиденциальности относится неразглашение информации следующего характера:

  • — сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
  • — сведения, составляющие тайну следствия и судопроизводства;
  • — служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с федеральными законами и нормативными актами (служебная тайна);
  • — сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, аудиторская, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и др.);
  • — сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с федеральными законами и нормативными актами (коммерческая тайна);
  • — сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Компоненты конфиденциальности даны на рис. 4.4.

Рис. 4.4. Компоненты конфиденциальности

В условиях рыночной конкуренции конфиденциальная информация имеет особое значение для успеха коммерческой деятельности.

Ненадлежащее и несанкционированное использование или распоряжение конфиденциальной информацией наносит ущерб бизнесу и может иметь негативные последствия для результатов финансово-хозяйственной деятельности компании.

Для защиты конфиденциальных сведений в организации между работником и работодателем заключается трудовой контракт со специальным разделом о коммерческой тайне.

Некоторые специфические черты имеет конфиденциальность работы бухгалтера организации. По роду службы он имеет сведения личного характера: анкетные данные сотрудников, величину их заработной платы и других доходов, удержаний и перечислений по личному заявлению и решениям компетентных органов. Главный бухгалтер обладает сведениями о договоренностях с партнерами, о сделках и операциях. Вся эта информация считается конфиденциальной и не имеет ограничений во времени. Даже после увольнения, независимо от его причины, бухгалтер не должен разглашать эти сведения.

Профессиональный бухгалтер должен обеспечить конфиденциальность информации, полученной в результате профессиональных или деловых отношений.

раскрывать информацию третьим лицам, не обладающим соответствующими полномочиями;

использовать для получения им или третьими лицами каких-либо преимуществ.

Обязанности по соблюдению принципа конфиденциальности:

  • — соблюдение конфиденциальности информации, раскрытой ему потенциальным клиентом или работодателем;
  • — соблюдение конфиденциальности даже вне своей профессиональной среды, поскольку существует возможность неумышленного разглашения информации, особенно в условиях поддержания длительных отношений с деловыми партнерами либо их близкими родственниками или членами семьи;
  • — соблюдение конфиденциальности информации внутри своей фирмы или нанимающей организации;
  • — обеспечение соблюдения конфиденциальности сотрудниками, работающими под его профессиональным руководством, и лицами, оказывающими ему консультации или помощь, а также должное уважение со стороны указанных лиц к его обязанности соблюдать конфиденциальность;
  • — обеспечение осторожности в ходе любых переговоров для предотвращения распространения конфиденциальной информации и проявление особой осторожности при использовании любых средств телекоммуникации.

Выдержка из Кодекса деловой этики компания L’Oréal:

«Вопрос: Друзья часто задают вопросы о работе в компании L’Oréal: им любопытно, из каких компонентов состоят те или иные продукты, что нового собираемся выпускать.

Ответ: Любая информация (в печатной, электронной или другой форме), к которой Вы имеете доступ как сотрудник компании L’Oréal, считается конфиденциальной. Раскрытие такой информации даже друзьям, которым Вы полностью доверяете, недопустимо.

Вопрос: Недавно я с потенциальным клиентом направлялся на встречу в конференц-зал. Проходя мимо кабинета одного из моих коллег, я увидел, что дверь в его кабинет открыта, а сам он по громкой связи обсуждает наши ценовые условия с другим клиентом. Как раз когда мы проходили мимо кабинета, мы услышали, как он предлагал ему льготные условия — и все это слышал мой клиент! Я считаю, ему нужно быть более внимательным, верно?

Ответ: Мы должны принимать все необходимые меры для защиты конфиденциальной информации, даже находясь на своем рабочем месте: например, придерживаться метода «чистого стола», хранить все документы под замком, регулярно менять пароли и соблюдать осторожность, пользуясь громкой связью. Никогда нельзя предугадать, кто будет проходить мимо кабинета, однако даже в отношениях с сотрудниками Ь’Огёа1 важная коммерческая информация должна передаваться лишь тем лицам, которым необходимо ее знать. Помните: Столкнувшись с проблемой, связанной с конфиденциальностью, предпринимайте все необходимые шаги, чтобы решить ее. Вы получите помощь и поддержку, обсудив проблему со своим руководством, юридическим отделом или руководителем отдела по работе с персоналом.»

Директоры и менеджеры должны проинструктировать работников компании, работающих с конфиденциальной информацией, разглашение которой может причинить вред заинтересованным лицам. Также необходимо разработать реальные механизмы и процедуры, предотвращающие разглашение информации. Например, к трудовому контракту в качестве приложения работник должен заполнить обязательство о неразглашении конфиденциальной информации (рис. 4.5). Тем самым собственникам гарантируется защита информации.

Для упрощения процедуры раскрытия информации целесообразно разработать образцы внутрикорпоративных документов (справок, служебных записок и пр.), которые будут содержать основания, содержание и объяснение, почему подлежит раскрытию та или иная информация.

Например, в приказе ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» предлагается форма такого документа (табл. 4.1).

Рис. 4.5. Пример документа о неразглашении конфиденциальной информации

Профессиональный бухгалтер может раскрыть информацию в случае, если ему предоставлены специальные полномочия или при наличии у него законного или профессионального права на такое раскрытие.

К обстоятельствам, при которых раскрытие информации является уместным, могут быть отнесены следующие случаи:

  • 1) подготовка документов или представление доказательств в иной форме в ходе судебного разбирательства;
  • 2) раскрытие ставших известными фактов нарушения закона соответствующим органам государственной власти.

Таблица 4.1.

Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)

п/п

Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов

Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов

Номера экземпляров (криптографические номера) ключевых документов

Отметка о получении

Отметка о выдаче

От кого получены

Дата и номер сопроводительного письма

Ф.И.О. пользователя СКЗИ

Конфиденциальность информации, принцип конфиденциальности
studme.org

COMMENTS