Мудрый Юрист

Концептуальные аспекты безопасности информации при производстве и реализации товаров

Северин Виталий Андреевич, профессор кафедры коммерческого права и основ правоведения юридического факультета Московского государственного университета (МГУ) имени М.В. Ломоносова, доктор юридических наук.

В статье рассматриваются правовые, организационные и иные меры, направленные на установление режима конфиденциальности информации. Структурно рассмотрены режимные меры, устанавливающие охрану конфиденциальности информации до начала производства работ, и меры, обеспечивающие информационную безопасность организации в процессе обращения информации при производстве и реализации товаров (работ, услуг). Определены типичные направления работы по обеспечению режима конфиденциальности в организациях и основные требования, предъявляемые к системе защиты информации в условиях перехода страны к инновационной экономике.

Ключевые слова: коммерчески значимая информация, конкурентная разведка, режим коммерческой тайны, режимные меры, информационная безопасность, промышленный шпионаж, обеспечение режима конфиденциальности.

Conceptual Aspects of Information Security in Production and Sale of Goods

V.A. Severin

Severin Vitaly A., Professor of the Department of Commercial Law and Legal Methods of the Law Faculty of the Lomonosov Moscow State University (MSU), Doctor of Law.

The article discusses the legal, organizational and other measures aimed at establishing the confidentiality of information. Structurally considered security measures include protection of confidentiality of information prior to commencement of works and measures to ensure information security for the organization in the process of circulation of information in the production and realization of goods (works, services). Determination of typical areas of work to ensure confidentiality in organizations, and the basic requirements to the system of information protection in conditions of transition to innovative economy.

Key words: commercial information, competitive intelligence, trade secrets, security measures, information security, industrial espionage, ensuring confidentiality.

Система обеспечения национальных интересов страны <1>, включающая защиту коммерческих секретов, представляет собой комплекс правовых, организационных, технических и иных мер, направленных на сохранение государственных, служебных и коммерческих секретов от спецслужб иностранных государств и организаций, ведущих конкурентную разведку <2>.

<1> Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для бакалавриата и магистратуры / Под ред. Т.А. Поляковой, А.А. Стрельцова. М.: Юрайт, 2016. С. 10 - 15.
<2> Введение в информационную безопасность: Учебное пособие для вузов / А.А. Малюк, В.С. Горбатов, В.И. Королев и др.; под ред. В.С. Горбатова. М.: Горячая линия - Телеком, 2011. С. 12 - 18.

Государством установлен порядок режима секретности в деятельности государственных органов и предприятий по обращению со сведениями, составляющими государственную и служебную тайну. Порядок, обеспечивающий режим коммерческой тайны (далее - конфиденциальности), устанавливается в организациях, где обращается коммерчески значимая информация (КЗИ), использование которой приносит предпринимателям максимальную прибыль <3>.

<3> Северин В.А. Коммерческая тайна в России. 2-е изд. М.: Зерцало-М, 2009. С. 38 - 57.

С учетом особенностей деятельности организаций и их размеров, осуществляются различные мероприятия по обеспечению режима конфиденциальности КЗИ. Под обеспечением режима конфиденциальности КЗИ понимается разработка и осуществление в организациях правовых, организационных, воспитательных и иных мер, направленных на поддержание порядка выполнения работ и обращения с документами, содержащими КЗИ в целях предотвращения их утечки, что может причинить ущерб организации <4>. Установленный порядок обращения со сведениями, составляющими коммерческую тайну, должен действовать в условиях, исключающих их утечку к конкурентам <5>. Эти условия формируются в результате осуществления различных по своему характеру и назначению мер <6>.

<4> Гладких В.И., Сбирунов П.Н. Особенности квалификации незаконного получения и разглашения сведений, составляющих коммерческую, налоговую или банковскую тайну // Юрист. 2012. N 5. С. 37.
<5> Шаваев А.Г. Безопасность корпораций. Криминологические, уголовно-правовые и организационные проблемы. М., 1998. С. 88 - 91.
<6> Организационно-правовое обеспечение информационной безопасности: Учебное пособие / А.А. Стрельцов, В.С. Горбатов, Т.А. Кондратьева и др.; под общ. ред. А.А. Стрельцова. М.: Академия, 2008. С. 27 - 40.

Определяющее значение имеют организационные меры, направленные на установление режима конфиденциальности КЗИ. Основные меры по охране конфиденциальности информации перечислены в ст. 10 Федерального закона "О коммерческой тайне" <7> (далее - Закон о коммерческой тайне). Однако в Законе ничего не сказано о силах, используемых организациями. Речь о создании в коммерческих организациях служб безопасности (СБ) на основании Закона РФ "О частной детективной и охранной деятельности" <8>. Важное место в их деятельности - это работа с кадрами, связанная с правильным подбором, расстановкой и воспитанием работников, участвующих в обеспечении конфиденциальности КЗИ <9>. Для решения этой задачи ведется проверка лиц, допускаемых к коммерческой тайне, реализуются другие меры по охране конфиденциальности информации.

<7> См.: Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ (действующая редакция, 2016). URL: http://www.consultant.ru/document/cons_doc_LAW_48699/.
<8> См.: Закон РФ от 11.03.1992 N 2487-1 "О частной детективной и охранной деятельности в Российской Федерации" (ред. от 03.07.2016). URL: http://www.consultant.ru/document/cons_doc_LAW_385/.
<9> Борисов М.А., Романов О.А. Основы организационно-правовой защиты информации: Учебное пособие. М.: Книжный дом "Либроком", 2012. С. 48 - 52.

С переходом страны к рыночной экономике все чаще применяются меры гражданско-правового характера для обеспечения безопасности организаций. Они включают деятельность по использованию правовых средств, которые предусмотрены гражданским законодательством <10>. Построение системы защиты КЗИ основывается на использовании правовых средств <11> как на уровне организации (внутренние), так и во взаимоотношениях с внешними организациями. В правовой регламентации обеспечения режима конфиденциальности первоочередными являются вопросы организации работы, связанной с сохранением изделий и документов, содержащих КЗИ, обеспечением защиты секретов при осуществлении научно-технических, торговых и иных связей. За нарушение требований конфиденциальности к нарушителям чаще применяются меры дисциплинарной и гражданско-правовой ответственности <12>.

<10> Северин В.А. Коммерческая тайна в России. 2-е изд. М.: Зерцало-М, 2009. С. 156 - 180.
<11> Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для бакалавриата и магистратуры / Под ред. Т.А. Поляковой, А.А. Стрельцова. М.: Юрайт, 2016. С. 87 - 100.
<12> Борисов М.А., Романов О.А. Основы организационно-правовой защиты информации: Учебное пособие. М.: Книжный дом "Либроком", 2012. С. 118 - 123.

В тесной связи с организационными и правовыми мерами находятся инженерно-технические меры, которые служат материальной основой режима конфиденциальности. По своему значению их можно подразделить на три группы. Во-первых, это оборудование техническими средствами различных мест проведения работ по разработке и обращению изделий и документов, содержащих КЗИ, которые должны исключать утечку сведений (например, экранизация помещений, безэховые камеры и т.д.).

Во-вторых, это оборудование техническими средствами защиты помещений, где проводятся конфиденциальные работы или хранятся документы (системы сигнализации и блокирования и т.д.). В-третьих, это оборудование инженерно-техническими средствами охраны периметра режимных территорий организации (пропускной режим).

Каждая группа мер предполагает необходимость оснащения при их реализации специальными приборами, аппаратурой и другими механизмами, предназначенными для использования в процессе обеспечения режима конфиденциальности. Например, при организации противодействия иностранным техническим разведкам и ведении промышленного шпионажа используется маскировка и легендирование работ по оборонной тематике, выполняемых по госзаказу.

Понятие обеспечения режима конфиденциальности включает и воспитательные меры, которые обращены к лицам, допущенным к работам и документам, составляющим КЗИ. Роль этих мер определяется тем, что лица, являясь осведомленными в секретах, представляют вероятный канал утечки сведений в случаях нарушения правил режима. Поэтому хорошо организованная индивидуально-воспитательная работа по повышению ответственности лиц, имеющих отношение к КЗИ в сочетании с другими мерами (беседы, инструктажи и т.д.) создает условия для сохранения секретов. Решению этой задачи способствует проведение общих воспитательных мер, направленных на укрепление дисциплины и порядка. Эффективным является общественное воздействие на работников, нарушающих трудовую дисциплину.

При всем многообразии рассмотренных мер обеспечения режима конфиденциальности <13> все они могут быть охарактеризованы как "режимные меры", под которыми следует понимать порядок, устанавливаемый организацией с помощью правовых средств, обеспечивающих сохранность секретов в деятельности организаций при обращении КЗИ, используемой при производстве и реализации товаров (работ, услуг).

<13> Борисов М.А., Романов О.А. Указ. соч. С. 20 - 22.

Разработка режимных мер определяется дозволениями, которые содержатся в Законе о коммерческой тайне, их назначением и целевой направленностью, степенью важности охраняемых секретов, обусловленных особенностями деятельности организаций. Содержание режимных мер зависит от устремлений конкурентов, методов их разведывательной деятельности и иных факторов, определяющих оперативную обстановку внутри организаций. В зависимости от этого режимные меры могут охватывать деятельность одного или нескольких направлений организации или ограничиваться обеспечением режима конфиденциальности конкретных работ, например научно-исследовательских и опытно-конструкторских работ <14>.

<14> Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для бакалавриата и магистратуры / Под ред. Т.А. Поляковой, А.А. Стрельцова. М.: Юрайт, 2016. С. 276 - 285.

В коммерческих структурах сложилась определенная система режимных мер, которая включает: 1) режимные меры, устанавливающие охрану конфиденциальности КЗИ до начала производства и реализации товаров, выполнения работ и оказания услуг; 2) режимные меры, обеспечивающие информационную безопасность организации в процессе обращения КЗИ при производстве и реализации товаров (работ, услуг).

В основе деления режимных мер лежит принцип защиты коммерческих секретов, определяющих необходимость первоначального установления режима, а затем обеспечения конфиденциальных работ. Поэтому первая группа режимных мер образует режим коммерческой тайны со всеми его элементами, о которых сказано в п. п. 1 и 2 ст. 10 Закона о коммерческой тайне. Эффективность этих мер определяется условиями, определенными в п. 5 ст. 10 Закона и широко используемыми на практике. Речь идет о признании мер по охране конфиденциальности информации разумно достаточными в том случае, если исключается доступ к КЗИ любых лиц без согласия ее обладателя, и обеспечивается возможность использования КЗИ. К этому нужно добавить, если установленный режим конфиденциальности обеспечивает сохранность коммерческих секретов, то это означает, что он отвечает своему назначению и сформирован с помощью правильно выбранных правовых средств конфиденциальности КЗИ. С другой стороны, если установленный режим конфиденциальности не гарантирует полную сохранность коммерческих секретов, не исключает их утечку (разглашение), то это означает, что такой режим конфиденциальности не выполняет своих функций и нуждается в дополнительных мерах.

Функционирование системы защиты информации оценивается с помощью мер второй группы. В этом же контексте следует рассматривать режимные меры данной группы как средство предотвращения ущерба организации, который может быть причинен в результате разглашения (утечки) секретов. Представляется, что режимные меры первой группы, с другой стороны, могут привести к определенному ограничению прав работников и иных лиц, допущенных к КЗИ, а также ограничить сферу взаимодействия с партнерами по поводу передачи им информации, что может отразиться на их сотрудничестве. Поэтому должна быть разработана обоснованная методика, применяемая при выборе режимных мер (по сферам использования, количеству и содержанию) в конкретной организации.

Что касается режимных мер второй группы, то их назначение сводится к выявлению, предупреждению и пресечению правонарушений, посягающих на безопасность организаций в процессе обращения информации. Эти режимные меры рассредоточены по точкам приложения тех или иных требований режима конфиденциальности при производстве и реализации товаров на конкретных участках обращения КЗИ. Например, к конфиденциальному делопроизводству предъявляются повышенные требования <15>, оно должно быть оснащено материально-техническими средствами (ЭВМ, оргтехника, сейфы и т.д.) и обеспечено служебными помещениями, отвечающими требованиям режима конфиденциальности.

<15> Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. М., 2001. С. 107 - 129.

Рассмотрим содержание названных групп режимных мер. Во-первых, это меры, устанавливающие охрану конфиденциальности до начала производства работ. Эта группа мер включает в себя следующие мероприятия:

<16> Борисов М.А., Романов О.А. Основы организационно-правовой защиты информации: Учебное пособие. М.: Книжный дом "Либроком", 2012. С. 40 - 47.<17> Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. М., 2001. С. 170 - 175.<18> Степанов Е.А., Корнеев И.К. Указ. соч. М., 2001. С. 183 - 202.

Во-вторых, это меры, обеспечивающие информационную безопасность организаций в процессе обращения КЗИ. Речь о таких мероприятиях, как разработка и внедрение методики выявления нарушений в информационной сфере, проведение контроля за состоянием режима конфиденциальности информации и воспитательно-профилактической работы, организация предупреждения нарушений режима в информационной сфере на основе данных аналитических исследований. Отдельно можно выделить вопросы моделирования возможных каналов утечки КЗИ и ликвидации слабых мест в охране секретов в процессе производства и реализации товаров.

Пресечение незаконных действий конкурентов в сфере обращения КЗИ отличается сложностью выявления и оценки признаков состава преступления, предусмотренного ст. 183 УК РФ, и судебного доказывания данной категории дел <19>. Имеется специфика проведения служебных расследований по фактам разглашения коммерческих секретов и утраты документов, содержащих такие секреты <20>. Принятие решений о передаче материалов в следственные органы, обращение с иском в арбитражный суд по возмещению убытков, причиненных разглашением КЗИ, зависит от руководителя организации.

<19> Гладких В.И., Сбирунов П.Н. Особенности квалификации незаконного получения и разглашения сведений, составляющих коммерческую, налоговую или банковскую тайну // Юрист. 2012. N 5. С. 38 - 41.
<20> Борисов М.А., Романов О.А. Основы организационно-правовой защиты информации: Учебное пособие. М.: Книжный дом "Либроком", 2012. С. 104 - 107, 246 - 248; Введение в информационную безопасность: Учебное пособие для вузов / А.А. Малюк, В.С. Горбатов, В.И. Королев и др.; под ред. В.С. Горбатова. М.: Горячая линия - Телеком, 2011.

Что касается основных направлений обеспечения режима конфиденциальности, то речь идет о целенаправленной деятельности по защите КЗИ, обусловленной задачами организации <21>. В этом смысле можно говорить об избирательном характере установления режима конфиденциальности в любой организации. Обеспечение режима конфиденциальности имеет особенности с учетом отраслевой специфики и направлений деятельности организаций. Такой подход в обеспечении безопасности информации характерен и для предприятий Украины <22>. Допустим, на промышленном предприятии, где используется при изготовлении оборонной продукции излучающая аппаратура и химические продукты, в качестве одного из основных направлений режима будет противодействие иностранным техническим разведкам и меры по маскировке работ на объекте. По мере укрупнения целей и задач режима конфиденциальности (организациям, видам их работ и научных разработок и т.д.) можно выделить типичные направления работы по обеспечению режима конфиденциальности.

<21> Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для бакалавриата и магистратуры / Под ред. Т.А. Поляковой, А.А. Стрельцова. М.: Юрайт, 2016. С. 256 - 267, 237 - 246.
<22> Нашинец-Наумова А.Ю. Информационно-правовые аспекты обеспечения безопасности предприятия // Информационное право. 2015. N 4.

Во-первых, это установление порядка оформления и переоформления допуска лиц к коммерческим секретам. На практике получил название разрешительной системы и конкретизируется к условиям деятельности организации. Прямых норм закона в части требований подбора лиц, которые могут быть допущены к коммерческим секретам, не существует. Субъективный подход, касающийся допуска граждан к КЗИ, порой ущемляет их права и гарантии <23>. Во-вторых, это установление и совершенствование порядка ведения конфиденциального делопроизводства. Работа в этом направлении зависит от степени конфиденциальности находящихся в обращении документов с грифом "Коммерческая тайна" и ежегодный их документооборот <24>. В-третьих, организация защиты конфиденциальной информации в период создания и использования информационных систем. Особенности технологии вычислительных и автоматизированных систем не позволяют организовывать надежное перекрытие возможных каналов утечки информации. Поэтому защита КЗИ осуществляется с помощью программных, технических и других мер. В-четвертых, организация внутриобъектового и пропускного режимов на предприятиях, поддержание надежной охраны режимных объектов и изделий в процессе их изготовления и транспортировки. Особенность этого направления в том, что режим конфиденциальности обеспечивается во взаимодействии с органами МВД <25>. В-пятых, установление порядка обращения с коммерческими секретами в процессе осуществления международных экономических, торговых, научно-технических и иных связей, а также связей с внутренними контрагентами. За последние годы в мире произошли существенные изменения и попытки воздействия на Россию <26> в процессе осуществления международных контактов. В этой связи важно уточнить в нормативно-правовых актах место и роль режима конфиденциальности при решении задач экспорта-импорта товаров, что должно учитываться при заключении контрактов. К сожалению, в Законе о коммерческой тайне отсутствуют какие-либо положения, регулирующие вопросы сохранения коммерческих секретов при взаимоотношениях с иностранными фирмами. Организациями должны быть приняты собственные меры по совершенствованию режима конфиденциальности с учетом современных угроз <27>.

<23> Полякова Т.В. Проблемы правового обеспечения доступа к информации // Бизнес и безопасность в России. 2004. N 38.
<24> Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. М., 2001. С. 112 - 167.
<25> Борисов М.А., Романов О.А. Основы организационно-правовой защиты информации: Учебное пособие. М.: Книжный дом "Либроком", 2012. С. 65 - 69.
<26> Доктрина информационной безопасности Российской Федерации: утв. Указом Президента РФ N 646 от 5 декабря 2016 г. URL: http://www.scrf.gov.ru/documents/6/5.html.
<27> Введение в информационную безопасность: Учебное пособие для вузов / А.А. Малюк, В.С. Горбатов, В.И. Королев и др.; под ред. В.С. Горбатова. М.: Горячая линия - Телеком, 2011. С. 39 - 45.

Совершенствование системы защиты коммерчески значимой информации следует рассматривать прежде всего в условиях перехода страны к инновационной экономике. Учитывая это обстоятельство, можно сформулировать ряд требований, предъявляемых к системе защиты КЗИ <28>. Во-первых, система должна стремиться в своем развитии к обеспечению минимального ущерба. Это подразумевает надежную защиту КЗИ от ее разглашения и утечки к конкурентам, с одной стороны, и реализацию мер, предусматривающих защиту научно-технической информации от необоснованного засекречивания, с другой стороны. Причинение экономического ущерба другим организациям и целым отраслям производства по своим размерам в последнем случае может быть значительно выше, чем при утечке КЗИ. Во-вторых, система защиты КЗИ должна быть экономически обоснованной. Допустимый ущерб от утечки закрытой или необоснованно засекреченной информации должен быть меньше материальных затрат, направляемых на создание и эксплуатацию системы защиты конфиденциальной информации. В-третьих, при построении системы режимных мер следует учитывать, что конкурентная разведка обеспечивает аналитической информацией свою фирму об "угрозах", исходящих от конкурентов, и возможностях использования научно-технических достижений при создании и модернизации конкурентоспособных товаров. В-четвертых, система должна быть гибкой, динамичной, т.е. своевременно учитывать влияние политических и экономических изменений в мире на развитие экономики нашей страны.

<28> Горбатов В.С. Указ. соч. С. 256 - 261.

Литература

  1. Борисов М.А., Романов О.А. Основы организационно-правовой защиты информации: Учебное пособие. М.: Книжный дом "Либроком", 2012.
  2. Введение в информационную безопасность: Учебное пособие для вузов / А.А. Малюк, В.С. Горбатов, В.И. Королев и др.; под ред. В.С. Горбатова. М.: Горячая линия - Телеком, 2011.
  3. Гладких В.И., Сбирунов П.Н. Особенности квалификации незаконного получения и разглашения сведений, составляющих коммерческую, налоговую или банковскую тайну // Юрист. 2012. N 5.
  4. Нашинец-Наумова А.Ю. Информационно-правовые аспекты обеспечения безопасности предприятия // Информационное право. 2015. N 4.
  5. Организационно-правовое обеспечение информационной безопасности: Учебное пособие / А.А. Стрельцов, В.С. Горбатов, Т.А. Кондратьева и др.; под общ. ред. А.А. Стрельцова. М.: Издательский центр "Академия", 2008.
  6. Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для бакалавриата и магистратуры / Под ред. Т.А. Поляковой, А.А. Стрельцова. М.: Юрайт, 2016.
  7. Полякова Т.В. Проблемы правового обеспечения доступа к информации // Бизнес и безопасность в России. 2004. N 38.
  8. Северин В.А. Коммерческая тайна в России. 2-е изд. М.: Зерцало-М, 2009.
  9. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. М., 2001.
  10. Шаваев А.Г. Безопасность корпораций. Криминологические, уголовно-правовые и организационные проблемы. М., 1998.