Мудрый Юрист

Саморегулирование в информационной сфере безопасности бизнеса

Северин Виктор Андреевич, доктор юридических наук, профессор, профессор кафедры коммерческого права и основ правоведения юридического факультета Московского государственного университета имени М.В. Ломоносова.

В статье рассмотрены проблемы саморегулирования в информационной сфере коммерческих организаций и определены пути формирования саморегулируемых организаций в данной сфере. Отмечается, что за последние 20 лет в России происходит наращивание объемов секретной информации теперь уже не государством, а частными компаниями. Это может быть связано с наступлением определенных отрицательных последствий как для самой организации, так и общества в целом. Сформулированы требования, предъявляемые к созданию саморегулируемых организаций в области информационной безопасности, и названы основные направления деятельности саморегулируемых организаций в сфере информации.

Ключевые слова: информационная сфера, секретность бизнеса, коммерчески значимая информация, допуск и доступ к информации, государственное регулирование, саморегулирование в сфере информации.

Self-regulation in information sphere of business security

V.A. Severin

Severin Viktor A., professor, Chair of Commercial Law and Fundamentals of Legal Science, Law Faculty, Lomonosov Moscow State University, doctor of juridical sciences, professor.

The article deals with the problem of self-regulation in the information sphere of commercial organizations and the ways of forming self-regulatory organizations in this field. It is noted that in the last 20 years in Russia there is increasing volumes of sensitive information is no longer the state and private companies. This may be due to the onset of certain negative consequences, both for the organization and society as a whole. The requirements to be met by the creation of self-regulatory organizations in the field of information security, and named the main activities of self-regulatory organizations in the sphere of information.

Key words: information sphere, business secrecy, commercially relevant information, access and access to information, government regulation, self-regulation in the field of information.

Россия вступила в новую информационную эру постиндустриального развития. Возникли новые информационные отношения <1>. В условиях формирования в нашей стране гражданского общества и инновационной экономики наблюдается тенденция сужения функций государственного регулирования и создания все большего числа саморегулируемых организаций в различных сферах экономики <2>. По оценкам специалистов, в информационной сфере может произойти ускоренное создание и развитие механизмов саморегулирования безопасности бизнеса, что объясняется прежде всего несовершенством законодательного регулирования информационных отношений по поводу получения и использования субъектами хозяйственной деятельности ценной технической и технологической информации; отсутствием комплексного подхода к защите информации в условиях глобализации, конкурентной разведки и промышленного шпионажа.

<1> См.: Право и информатика / Под ред. проф. Е.А. Суханова. М., 1990. С. 5.
<2> См.: Инновационное развитие сферы услуг: Учеб. пособие / Под ред. Е.В. Егорова, Т.Б. Беляевой. М.: Экономический факультет МГУ имени М.В. Ломоносова. 2010. С. 46 - 59.

В связи с этим особого внимания заслуживает подготовка кадров для нужд инновационной экономики. В этой области отмечается недостаточная профессиональная подготовка специалистов для правового сопровождения деятельности различных субъектов информационных отношений. В новых условиях требуется подготовка юристов нового поколения, умеющих: а) осуществлять правовое обеспечение инновационных процессов, происходящих в экономике, включая механизмы саморегулирования; б) защищать права на охраняемые результаты интеллектуальной деятельности (РИД) и коммерчески значимую информацию (КЗИ) <3>. Анализ показывает, что введение в хозяйственный оборот и использование РИД будет и дальше выражаться не столько в патентоспособных изобретениях (патентование, как известно, достаточно сложная и дорогостоящая процедура), сколько в инновациях через коммерциализацию научных исследований и разработок, содержащих КЗИ.

<3> О понятии КЗИ см.: Северин В.А. Коммерческая тайна в России. 2-е изд. М., 2009. С. 48.

Применительно к информационной сфере исследование различных аспектов саморегулирования приобретает исключительно важный характер, поскольку эта сфера затрагивает законные интересы и права миллионов граждан, например в области допуска и доступа лиц к информации. Если применительно к информации, которой монопольно владеет государство, на законодательном уровне определен порядок в этой сфере <4>, то коммерческие структуры по-прежнему работают по своим внутренним правилам.

<4> Федеральный закон от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" // base.garant.ru/194874/.

Учитывая, что в условиях гражданского общества информация является важнейшим фактором развития инновационной сферы, важно выделить проблемы саморегулирования в сфере информации и структурно обозначить пути их решения.

Проблемы саморегулирования в сфере информации. В информационной сфере есть проблемы, которые могут быть решены в рамках саморегулирования путем самостоятельной инициативной деятельности субъектов. После распада СССР и перехода России к рыночной экономике отдельные вопросы в области правового регулирования и защиты информации не решаются государством. Например, в отличие от порядка, установленного для допуска лиц к государственной тайне <5>, Закон о коммерческой тайне <6> не регулирует процедуры допуска лиц к информации, составляющей коммерческую тайну, в частности при устройстве граждан на работу <7>. Поскольку коммерческие организации занимают доминирующее место в экономике, существующие проблемы в этой области затрагивают миллионы людей.

<5> Постановление Правительства РФ от 6 февраля 2010 г. N 63 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне" (с изм. и доп. от 1 ноября 2012 г.) // base.garant.ru/12173121/.
<6> Федеральный закон от 29.07.2004 N 98-ФЗ (в ред. от 11.07.2011) "О коммерческой тайне". www.consultant.ru.
<7> Северин В.А. Допуск к информации в коммерческих организациях // Законодательство. 2012. N 10. С. 21 - 26.

Хотелось бы обозначить ряд проблем, существующих в информационной сфере, для разрешения которых не используется государственное регулирование.

Во-первых, за последние 20 лет в России происходит наращивание объемов секретной информации теперь уже не государством, а частными компаниями, что сопровождается усилением режима конфиденциальности информации. Все это затрудняет доступ общества и граждан к информации.

К сожалению, не разработан механизм, сдерживающий секретность бизнеса и обеспечивающий прозрачность его действий по отношению к обществу, государству и личности.

Нет контроля со стороны государства за разработкой и реализацией бизнесом собственных систем безопасности, которые порой ограничивают доступ общества к научно-технической и иной информации, а иногда и просто нарушают права граждан.

Во-вторых, отсутствуют специальные правовые нормы, регулирующие порядок допуска лиц к КЗИ.

Трудовым кодексом РФ и иными актами не установлены процедуры проверки лиц, допускаемых к КЗИ, которые затрагивают миллионы людей.

Каждая организация устанавливает свои правила, которые не всегда соответствуют закону.

Поэтому нужен механизм саморегулирования в этой сфере. Саморегулируемые организации (СРО) должны установить жесткие правила допуска граждан к КЗИ. Это нужно для того, чтобы применяемые коммерческими службами безопасности формы и методы защиты отвечали требованиям законности и не нарушали прав граждан и организаций на доступ к информации.

В-третьих, непродуманное, необоснованное отнесение сведений к КЗИ может быть связано с наступлением определенных отрицательных последствий, причем как для самой организации, так и общества в целом.

С одной стороны, это отвлечение ресурсов на установление и обеспечение режима коммерческой тайны, не вызываемых объективной необходимостью. С другой - это потери общества от ограничений использования информации, которая выведена из гражданского оборота.

Законодательством не предусмотрены санкции к субъектам, злоупотребляющим своим правом на отнесение информации к коммерческой тайне.

Необоснованное засекречивание причиняет ущерб не только отдельным предприятиям, но и в целом стране. Ущерб может включать: а) непосредственные затраты на засекречивание КЗИ; б) ущерб обществу и государству в результате ограничения обладателем обращения КЗИ и невозможности ее использования в рыночной экономике.

Пути формирования саморегулируемых организаций в сфере информации.

Первоочередной мерой СРО, исключающей произвол коммерческих структур в этом вопросе, является разработка обязательных для участников СРО правил и стандартов, обеспечивающих реализацию конституционных норм (ст. 23, 29 Конституции РФ) на получение информации в социальной сфере жизнедеятельности человека.

Актуальным является решение в рамках СРО следующих вопросов.

Во-первых, это вопрос о законности действий администрации при проведении проверочных мероприятий в отношении лиц, поступающих на работу, и в процессе их трудовой деятельности. Нужно выработать единые правила для администрации по использованию правовых средств с целью сбора и проверки данных на лиц, допускаемых к КЗИ.

Второй вопрос, на который следует обратить внимание, - это содержание корпоративных актов, определяющих порядок допуска и доступа лиц к КЗИ, их оптимальный выбор с тем, чтобы эти акты не противоречили требованиям Конституции РФ и законодательства в области прав и свобод человека и гражданина.

Третий вопрос касается проведения "допускной работы" в коммерческих структурах. Здесь проблемы возникают с получением ответов на запросы, которые направляются в организации по прежним местам работы лиц, оформляемых на допуск. Законодательство не устанавливает легальной возможности обмена информацией между коммерческими организациями о персональных данных работника в связи с оформлением допуска, предшествующего заключению трудового договора.

К этому нужно добавить, что отсутствие законодательного регулирования по вопросам принятия руководством предприятия решения об оформлении либо лишении работника допуска к коммерческой тайне создает опасный прецедент субъективного подхода при решении данного вопроса.

Важно обратить внимание на формулировку отказа лицу в приеме на работу, связанную с допуском к коммерческой тайне. Поскольку причины отказа не закреплены в трудовом законодательстве, то они могут быть названы в обязательных стандартах СРО, что позволило бы исключить в какой-то степени субъективный подход при приеме на работу.

Теперь о возможностях формирования саморегулируемых организаций в сфере обращения информации. До сих пор в России был только контроль со стороны государства через лицензирование за техническими аспектами защиты информации <8>.

<8> См.: Постановление Правительства Российской Федерации от 15 августа 2006 г. N 504 г. "О лицензировании деятельности по технической защите конфиденциальной информации" // Российская газета. 29 августа 2006 г.

Прецедента саморегулирования правовых услуг в сфере информационной безопасности не было. Контроль и надзор за качеством предоставления правовых услуг в данной области не входят в сферу ответственности какого-либо государственного органа. Вместе с тем нужно отметить, что в этой области действует, например, Некоммерческое партнерство "Сообщество пользователей стандартов по информационной безопасности АБИСС". Партнерство оказывает профессиональные услуги в области обеспечения информационной безопасности для кредитных организаций - участников национальной платежной системы Российской Федерации <9>.

<9> См.: www.abiss.ru.

Если говорить о возможности создания саморегулируемой организации в области предоставления услуг, направленных на обеспечение информационной безопасности в коммерческих организациях, например в части определения КЗИ, допуска и доступа лиц к такой информации, то она может быть создана только в форме некоммерческой организации. Безусловно, эта работа должна соответствовать требованиям Гражданского кодекса Российской Федерации, Федерального закона от 12 января 1996 г. N 7-ФЗ "О некоммерческих организациях" <10> и Федерального закона от 1 декабря 2007 г. N 315-ФЗ "О саморегулируемых организациях" <11>.

<10> Федеральный закон от 12 января 1996 г. N 7-ФЗ "О некоммерческих организациях" // СЗ РФ. 1996. N 3. Ст. 145 (с изм. и доп.) // base.garant.ru/10105879/.
<11> См.: Федеральный закон от 1 декабря 2007 г. N 315-ФЗ "О саморегулируемых организациях" (с изменениями от 22, 23 июля 2008 г.). См.: base.garant.ru/12157433/.

Два общих замечания, касающихся порядка формирования СРО:

  1. Как известно, основным признаком СРО является единство отрасли производства или профессиональной деятельности определенного вида. В этом плане можно говорить, что сегодня в коммерческих организациях, где обращается КЗИ, созданы службы безопасности, которые совместно с производственными подразделениями (инженерами, технологами, конструкторами и т.п.) и юристами профессионально решают вопросы выделения из общего информационного потока наиболее ценной информации и осуществляют ее защиту.
  2. Содержанием деятельности саморегулируемых организаций является разработка и установление правил и стандартов предпринимательской деятельности, а также осуществление контроля соблюдения юридических норм в области ИБ, например в части отнесения информации к коммерческой тайне, допуска и доступа лиц к КЗИ.

Несколько слов об обязательных требованиях, предъявляемых к созданию саморегулируемых организаций в области ИБ.

Первым требованием к созданию СРО является наличие минимального количества ее членов - не менее 25 субъектов предпринимательской деятельности (в данном случае это могут быть службы безопасности коммерческих организаций одной или нескольких отраслей экономики) или не менее 100 субъектов профессиональной деятельности (частные детективы и охранники, имеющие индивидуальные лицензии). Некоммерческая организация приобретает статус саморегулируемой организации с момента внесения сведений в государственный реестр саморегулируемых организаций.

Вторым требованием к СРО являются принятые в соответствии с законодательством стандарты и правила предпринимательской и профессиональной деятельности в области информационной безопасности, обязательные для выполнения всеми членами будущей СРО, и контроль качества услуг через саморегулируемые организации. Для решения этой задачи должны быть созданы специализированные органы, осуществляющие не только контроль за соблюдением членами саморегулируемой организации требований стандартов, но и рассмотрение дел о применении в отношении членов саморегулируемой организации мер дисциплинарного воздействия, предусмотренных внутренними документами саморегулируемой организации.

Третьим требованием является наличие дополнительной имущественной ответственности СРО, что обеспечивается наличием компенсационного фонда СРО и коллективного либо индивидуального страхования ответственности членов СРО.

Представляется, что деятельность саморегулируемых организаций (СРО) в области информационной безопасности может быть сконцентрирована в первую очередь на 10 приоритетных научных направлениях, например определенных в МГУ имени М.В. Ломоносова <12>. Речь идет об обеспечении информационной безопасности создаваемого рынка инноваций в России, основанного на свободном обмене информацией, технологиями и научными кадрами.

<12> См.: Программа развития Федерального государственного образовательного учреждения высшего профессионального образования "Московский государственный университет имени М.В. Ломоносова" до 2020 года // Распоряжение Правительства Российской Федерации от 27 сентября 2010 г. N 1617-р // СЗ РФ. 2010. N 44. Ст. 5701.

Для решения этой задачи необходимо разработать с учетом основных областей знаний и технологий программу сотрудничества между коммерческими структурами, научными и образовательными учреждениями и органами государственной власти в области обеспечения информационной безопасности, включающей такие направления, как:

В заключение может быть предложено создание рабочей межведомственной группы, включающей представителей заинтересованных органов государства и бизнеса, МГУ имени М.В. Ломоносова и других научных и образовательных учреждений, для разработки предложений по созданию и функционированию саморегулируемых организаций в области информационной безопасности коммерческих организаций.

Литература

  1. Инновационное развитие экономики России: сценарии и стратегии: Пятая международная научная конференция. М., МГУ им. М.В. Ломоносова. Экономический ф-т. 18 - 20 апреля 2012 г. // Сб. статей: Т. 1 / Под ред. В.П. Колесова, Л.А. Тутова. М.: ТЕИС, 2012.
  2. Инновационное развитие сферы услуг: Учеб. пособие / Под ред. Е.В. Егорова, Т.Б. Беляевой. М.: Экономический факультет МГУ имени М.В. Ломоносова, 2010.
  3. Гладких В.И., Сбирунов П.Н. Особенности квалификации незаконного получения и разглашения сведений, составляющих коммерческую, налоговую или банковскую тайну // Юрист. 2012. N 5. С. 36 - 41.
  4. Кузык Б.Н., Яковец Ю.В. Россия - 2050. Стратегия инновационного прорыва. М.: Экономика, 2005.
  5. Право и информатика / Под ред. проф. Е.А. Суханова. М., 1990.
  6. Предпринимательское право Российской Федерации: Учебник / Отв. ред. Е.П. Губин, П.Г. Лахно. 2-е изд. М.: Норма: ИНФРА-М, 2011.
  7. Северин В.А. Коммерческая тайна в России. 2-е изд. М., 2009.
  8. Северин В.А. Теория и практика правовой работы в коммерческих организациях // Вестн. Моск. ун-та. Серия 11. Право. 2011. N 2.
  9. Северин В.А. Допуск к информации в коммерческих организациях // Законодательство. 2012. N 10.
  10. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. М., 2001.
  11. Экономическая безопасность России: Общий курс. Учебник / Под ред. В.К. Сенчагова. 2-е издание. М.: Дело, 2005. С. 738 - 748.
  12. Шаваев А.Г. Безопасность корпораций (криминологические, уголовно-правовые и организационные проблемы). М., 1998.