Разграничение информации на уровни доступа как элемент информационной безопасности предприятия

В настоящее  время проблема защиты деловой информации возникает все чаще и чаще. В наше время фирма, которая хочет занимать достойную позицию на рынке, вынуждена работать в условиях жесткой, как внутренней, так и внешней конкуренции.

Во многих компаниях  сформированы подразделения конкурентной разведки (а, в некоторых случаях, даже экономического или промышленного шпионажа), целью которых является получение конфиденциальной информации конкурирующих предприятий.

Для обеспечения  безопасности информации современного коммерческого предприятия уже  разработаны организационно-технические  меры, которые выполняются в зависимости от оснащенности организации средствами защиты и уровня понимания проблемы ее руководством и сотрудниками.  
Например, согласно результатам исследования, проведенного специалистами LogicaCMG, в ходе которого были опрошены представители 350 компаний, половина фирм не имеет четко сформулированной стратегии обеспечения информационной безопасности.  
71% компаний, участвовавших в опросе, полагаются на свои IT-департаменты в вопросах разработки и воплощения в жизнь политики информационной безопасности фирмы.

Вместе с тем  одним из первых встает вопрос, как  разделить информацию, циркулирующую  внутри предприятия и за его пределами и как выделить из этого объема информации ту, которая является наиболее важной и, как следствие, требует особых мер защиты. В результате появляется необходимость разделения информации на уровни доступа.

Нередко этот процесс  носит хаотичный, бессистемный и  нерациональный характер, вызванный  недостаточным пониманием важности данного процесса и некомпетентностью  лиц, занимающихся этими вопросами. В целях придания этому процессу единого алгоритма действий и четкой, последовательной системы необходимо разделить информацию на соответствующие уровни, исходя из ее содержания, ценности и важности.

Классификация информации по уровням доступа

С учетом перехода на европейские стандарты (например, ISO 17799) некоторые авторы рекомендуют применять следующую классификацию:

• открытая информация;
• конфиденциальная информация;
• строго конфиденциальная информация.

Однако в нашей  практике сложилась несколько иная классификация уровней доступа, которая представлена следующим образом:

• открытая информация (ОИ);
• для внутреннего (служебного) использования (ДВИ, ДСП);
• коммерческая тайна.

Необходимо отметить, что в некоторых источниках в  отношении коммерческой тайны применяются термин «секретная информация», что согласно пункту 3, статьи 11 «Закона о государственной тайне»( Nr. 245 от  27.11.2008) в отношении сведений, не отнесенных к государственной тайне, не допускается. 
При этом необходимо отметить, что право на отнесение информации к какому-либо уровню доступа и определение перечня и состава такой информации принадлежит ее обладателю.

Принципы разделения информации на уровни доступа

(Принципом называются основополагающие нормы или правила поведения.) 
Вся деятельность по защите информации основывается на определенных принципах, которыми строго руководствуются лица, принимающие участие в процессе защиты информации.  
Базовыми принципами разграничения информации в предприятии являются:

1. Законность — разделение информации осуществляется с соблюдением действующего законодательства и предусмотренных законом процедур. Субъект, осуществляющий разделение информации на уровни доступа, принимает локальный внутренний нормативный акт, регламентирующий данный процесс в рамках конкретного юридического лица. В соответствии с законом, существуют некоторые ограничения, запрещающие засекречивать определенную информацию.
2. Специализация — разделение информации на уровни доступа осуществляется с привлечением квалифицированных специалистов, которые обладают необходимыми навыками и знаниями в области защиты информации. Как правило, эти специалисты организационно входят в состав службы безопасности предприятия, отделов режима и защиты информации или иных подразделений. Также, в случае необходимости для процесса могут привлекаться и иные лица обладающие необходимыми знаниями
3. Комплексность — процесс разделения информации осуществляется в едином комплексе с применением всех имеющихся в наличии сил и средств и распространяется на все подразделения предприятия.
4. Постоянство — данный процесс осуществляется не как разовое мероприятие, а ведется непрерывно, так как циркуляция информации на предприятии не прерывается и постоянно происходит переоценка той или иной информации в зависимости от времени и сложившихся условий.
5. Централизация — организация и руководство процессом разделения информации на уровни доступа осуществляется из единого центра, обладающего соответствующими полномочиями, которому подчиняются все подразделения предприятия.

Открытая  информация является первым уровнем информации для открытого доступа. Ее главное предназначение — это передача третьим лицам с целью информирования их о деятельности предприятия. В отличии от информации для внутреннего (служебного) пользования и коммерческой тайны, доступ к которым строго ограничен определенным кругом лиц, доступ к открытой информации не ограничивается и даже, наоборот, в ряде случаев одной из целей ставится ознакомление с этой информацией максимального большого круга лиц.

К открытой информации относится:

• информация, которая в соответствии с действующим законодательством не может быть ограничена в доступе (согласно статье 5 «Закона о коммерческой тайне» и статье 6 «Закона о доступе к информации»);
• информация, предназначенная для передачи вовне, формируемая службами по связям с общественностью (PR);
• рекламные и информационные сообщения;
• информация, полученная из внешних, открытых источников;
• информация, находящаяся в открытом доступе на web-сайте компании.

Существует устойчивое мнение о том, что нет необходимости защищать открытую информацию. Однако данная точка зрения сомнительна и спорна. К открытой информации также должны применяться определенные меры защиты. В частности, необходимо тщательно контролировать, какая именно информация подлежит переводу в открытый доступ, чтобы исключить в результате ошибочных или некомпетентных действий ознакомления посторонних с информацией для служебного пользования или конфиденциальной информацией.

Помимо этого, также необходимые меры защиты принимаются в отношении открытой информации для того, чтобы исключить ее искажение или уничтожение, что может повлечь за собой нанесение как материального ущерба, так и ущерба деловой репутации предприятия.

Информация  для внутреннего  использования (служебного пользования — далее ДВИ или ДСП) является вторым уровнем доступа, в отношении которого, в отличии от открытой информации, применяются определенные ограничительные мероприятия. Как явствует из самого определения, к данной информации относится определенный набор сведений и данных, оборот с которыми осуществляется исключительно среди ряда сотрудников предприятия, взаимодействующих с этой информацией по служебной необходимости.  
Как правило, в отношении ДВИ применяются следующие требования:

• эта информация включена во внутренний оборот между службами, отделами и подразделениями и необходима для нормального их функционирования;
• является конечным результатом работы с информацией из открытых источников (аналитической записки, коммерческой сводки, прогнозной гипотезы);
• не относится к информации, являющейся государственной тайной;
• не относится к информации, являющейся коммерческой тайной;
• не относится к открытой информации;
• доступ к ней осуществляется с соблюдением определенных процедур и мер защиты.

То есть к ДВИ можно отнести всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет значительные негативные последствия для ее деятельности, хотя и может нанести определенный, в том числе существенный, материальный ущерб или ущерб для деловой репутации компании.

Коммерческая  тайна — третий, наивысший уровень доступа к информации, т.е. документированная информация, доступ к которой ограничивается в соответствии с законодательством республики Молдова, в частности Законом «О коммерческой тайне» от 06.07.1994г.

Под коммерческой тайной понимаются не  являющиеся  государственной тайной сведения,  связанные с производством,  технологией, управлением, финансовой и другой деятельностью хозяйствующего субъекта, разглашение (передача, утечка) которой может нанести ущерб его интересам.

Сведения, составляющие коммерческую тайну, являются собственностью субъекта  предпринимательства  либо находятся в его владении,  пользовании, распоряжении в пределах,  установленных им, в соответствии с законодательством.

Требования  к сведениям, составляющим коммерческую тайну:

Сведения, составляющие коммерческую тайну, должны соответствовать  следующим требованиям:

а) иметь действительную или потенциальную ценность для  субъекта  предпринимательства;

b) не являться общеизвестными или  общедоступными  согласно  законодательству;

с) обозначаться соответствующим образом с принятием  субъектами  предпринимательства надлежащих  мер  по  сохранению их конфиденциальности через систему классификации названных сведений,  разработку внутренних правил  их засекречивания, введение соответствующей маркировки документов и иных носителей информации, организацию секретного делопроизводства;

d) не составлять государственной тайны и не защищаться авторским и патентным правами;

е) не содержать  сведений о негативной деятельности физических и юридических лиц, способной  нанести ущерб интересам государства.

Согласно части 4 статьи 5 «Закона о коммерческой тайне» к объектам коммерческой тайны не могут относиться:

а) учредительные  документы, а также документы, дающие право на занятие предпринимательской деятельностью и отдельными видами хозяйственной деятельности, подлежащей лицензированию;

b) сведения по утвержденным формам статистической отчетности, а также отчетности о финансово-экономической деятельности и иные данные, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;

c) документы об уплате налогов и других платежей в национальный публичный бюджет;

d) документы, удостоверяющие платежеспособность;

е) сведения о  численности, составе работающих, их заработной плате и  условиях труда, а также о наличии свободных рабочих мест;

f) сведения о загрязнении окружающей среды, нарушении антимонопольного  законодательства, несоблюдении правил охраны труда, реализации продукции, причиняющей вред здоровью потребителей, а также о других нарушениях законодательства и размерах причиненного при этом ущерба.

Часть 5 статьи 5 Закона устанавливает, что к объектам коммерческой тайны государственных и муниципальных  предприятий до и в процессе их приватизации не относятся данные:

а) о размерах имущества предприятия и его  денежных средствах;

b) о вложении средств в доходные активы (ценные бумаги) других предприятий, в облигации и займы, в уставные фонды совместных предприятий;

с) о кредитных, торговых и иных обязательствах предприятия, вытекающих  из законодательства и заключенных им договоров;

d) о договорах с негосударственными предприятиями. 
Одним из критериев отнесения информации к коммерческой тайне является тот факт, что при ее разглашении может быть нанесен следующий ущерб:

• нанесение прямого экономического ущерба компании;
• возникновение у компании убытков в виде упущенной выгоды;
• снижение экономической, технической эффективности деятельности компании, в том числе и внешнеэкономической деятельности;
• нанесение ущерба имиджу компании и дискредитация ее как добросовестного, надежного партнера по внешнеэкономической и иной деятельности;
• косвенный ущерб в виде нанесения ущерба престижу и репутации партнеров компании, с которыми заключается или осуществлялась коммерческая сделка.

В качестве примера  можно привести данные исследования "Внутренние ИТ-угрозы в России", в ходе которого было опрошено 1450 российских организаций.  
В России, как и за рубежом, в числе наиболее плачевных последствий утечки фигурируют

- удар по репутации и потеря клиентов (79,2%),

- прямые финансовые убытки (46%),

- падение конкурентоспособности (25,2%).

При этом юридические  издержки составляют лишь 10%.

В целях предотвращения подобного ущерба на предприятии создается система доступа к информации, составляющей коммерческую тайну. Согласно статье 11 Закона доступ к коммерческой тайне имеют работники,  круг которых определен субъектом предпринимательства.

Государственные органы в пределах установленной им законодательством компетенции имеют право на основании письменного заявления, подписанного уполномоченным лицом, запрашивать и получать бесплатно сведения, составляющие коммерческую тайну. Так, например,  в части 6 статьи 4 Закона закреплено — не являются коммерческой тайной для налоговых и других государственных контролирующих органов документы и сведения хозяйствующих субъектов и финансовых учреждений об операциях по банковским счетам, в том числе относящиеся к расчетам по взаимным финансовым обязательствам, а также документы, подтверждающие произведенные операции.

Для того, чтобы окончательно определиться, какая именно информация на предприятии составляет коммерческую тайну, подведем итог.

К коммерческой тайне может относиться научно-техническая, технологическая, производственная информация, в том числе секреты производства (ноу-хау), финансово-экономическая и иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и к охране конфиденциальности которой обладатель коммерческой тайны принял следующие меры:

• определил перечень информации, составляющей коммерческую тайну;
• разработал и принял соответствующее положение по предприятию, регламентирующее режим коммерческой тайны;
• ограничил свободный доступ к конфиденциальной информации путем установления порядка обращения с этой информацией и контроля его соблюдения;
• произвел инструктаж работников по процедуре защиты коммерческой тайны;
• внес необходимые положения в индивидуальный трудовой договор и в договоры с партнерами и контрагентами;
• нанес на материальные носители информации, составляющей коммерческую тайну, и (или) сопроводительные документы гриф «Коммерческая тайна».

Режим коммерческой тайны считается установленным  после принятия обладателем коммерческой тайны указанных мер.

При этом одна и  та же информация, правомерно полученная или самостоятельно созданная разными  лицами, может одновременно составлять коммерческую тайну каждого такого лица.

Субъекты  доступа к информации.

В соответствии со статьей 4 Закона о защите коммерческой тайны к субъектам коммерческой тайны относятся физические и  юридические лица Республики Молдова, а также других государств. Рассматривая вопрос о разграничении информации на уровни доступа необходимо отдельно остановиться на круге лиц, из числа сотрудников предприятия, которые имеют доступ к данной информации. Традиционно принято разделять персонал на следующие уровни:

Руководители — должностные лица, осуществляющие управление и контроль деятельности предприятия, учреждения или организации, либо за отдельными его подразделениями, службами, либо за определенные направления деятельности. В свою очередь руководители подразделяются на: 
- высшее руководство (учредитель, мажоритарные акционеры предприятия, президент или директор предприятия и его заместители, заместитель (советник) директора по безопасности);

- руководители среднего звена (начальники служб, руководители направлений, начальники отделов);  
- руководители низшего звена (старшие смены, бригадиры, старшие специалисты и т.п.).

Специалисты — работники, непосредственно выполняющие конкретные функции, не занимающие руководящие должности и не имеющие в своем подчинении других сотрудников (инженеры, технологи, экономисты, аналитики, бухгалтеры, продавцы и т.п.)

Вспомогательный и обслуживающий  персонал — к ним относятся работники предприятия, выполняющие различные хозяйственные, организационные и технические функции (водители, грузчики, уборщицы, курьеры и т.п.).

Соответственно  руководители высшего звена, как  правило, имеют, максимальные уровни доступа  к информации. Руководители среднего и низшего звена получают доступ к коммерческой тайне в случае необходимости, если связано с необходимостью выполнения определенных функций. Естественно, что во всех случаях неукоснительно выполняются все необходимые меры защиты.  
Специалисты, как правило, имеют доступ к информации для внутреннего использования. В некоторых случаях, когда этого требуют выполняемые ими функции, они могут быть ознакомлены с информацией, составляющей коммерческую тайну. При этом в обязательном порядке строго соблюдаются необходимые меры защиты, и специалисты проходят специальный инструктаж. 
Вспомогательный персонал, как правило, обладает самым низким уровнем доступа. Ознакомление с информацией для внутреннего пользования осуществляется только в случае необходимости в ходе выполнения служебных обязанностей. Доступ к коммерческой тайне является нецелесообразным и крайне нежелательным и осуществляется только в исключительных случаях.  
Вопрос о предоставлении доступа к той или иной информации решается не только с учетом занимаемой должности и функциональной необходимости. Одним из важнейших критериев при определение уровня доступа являются личные качества субъекта. В случае, если они вызывают справедливые подозрения, либо это лицо было ранее замечено в нарушении режимных мер защиты информации, таковое лицо может быть ограничено либо лишено подобного доступа. В случае же крайней необходимости, когда ознакомление продиктовано служебной надобностью, в отношении подобного лица применяются усиленные меры контроля и защиты информации.  

Выводы
Мы рассмотрели основы и приемы, которыми необходимо руководствоваться при категорировании производственной информации, соблюдая положения ныне действующего законодательства РМ в данной области. Вместе с тем многочисленные пробелы в нормативно-правовой базе, а также отсутствие специалистов и практики в данной сфере формируют ситуацию, в которой большинство предприятий оказывается не готовыми к данному процессу. Их информация, фактически, находится без должной защиты. В связи с этим практическое внедрение подобной системы на предприятии позволит значительно повысить уровень защиты информации предприятия.