Delist.ru

Правовое регулирование и обеспечение охраны коммерческой тайны в России (30.04.2007)

Автор: Северин Виталий Андреевич

При выборе структуры СБ учитывается специфика малых, средних и крупных организаций. Существующие различия объясняются лишь объемом хозяйственных связей и договоров, количественными параметрами, и, прежде всего, численностью работников, занятых реализацией мер по обеспечению безопасности.

Обосновывается вывод о существенном влиянии «фактора ущерба» и «фактора времени» на определение и изменение степени конфиденциальности КЗИ. Ущерб от разглашения (утечки) КЗИ чаще всего связан с имущественными потерями вследствие неправомерных, а иногда и правомерных, но без учета хозяйственной ситуации, действий либо бездействия субъектов. Это проявляется в срыве переговоров и заключении невыгодного договора; невыполнении обязательств и др. Оценка размеров ущерба производится расчетным и (или) экспертным путем. Важно учитывать ущерб от необоснованного засекречивания информации, который включает непосредственные затраты на засекречивание КЗИ и ущерб обществу от невозможности ее использования в экономике. Сопоставление возможного ущерба при разглашении (утечке) сведений, с одной стороны, и отрицательных последствий засекречивания — с другой, позволяет определить важность защиты информации, которая может быть определена по градации категорий ущерба. Предлагается различать три категории ущерба: коммерческая тайна (КТ) первой категории (ущерб), КТ второй категории (крупный ущерб), КТ третьей категории (тяжкие последствия в виде банкротства организации). Предельный размер ущерба определяется индивидуально каждой организацией. Повышение категории ущерба связано с уровнем охраны КЗИ и увеличением затрат. Фактор времени связан с коммерческим интересом к информации и обусловливает степень ее охраны.

Рассматривается процедура установления категорий сведений, составляющих коммерческую тайну, выраженных в обобщенном виде без привязки к конкретному образцу изделия, коммерческой сделке и т.п., которые включаются в Перечень сведений, составляющих коммерческую тайну (далее – Перечень). Первый этап предполагает составление списка сведений, использование которых позволит организации быть конкурентоспособной и стабильно получать прибыль. Второй этап состоит в оценке ущерба организации при разглашении (утечке) КЗИ в случаях открытого использования сведений. Третий этап посвящен проверке того, не являются ли включенные в Перечень сведения общеизвестными и общедоступными на законных основаниях. Четвертый этап связан с проверкой возможностей организации осуществлять меры по защите сведений, доступ к которым ограничен. Пятый этап заключается в проверке того, что рассматриваемые сведения не могут составлять коммерческую тайну. Законодательством предусмотрено, что сведения, содержащие государственную и иную тайну, учредительные и другие документы не могут составлять коммерческую тайну. Шестой этап состоит в проверке того, что относимые к коммерческой тайне сведения не касаются негативной деятельности организации, способной причинить ущерб личности, обществу и государству. Речь идет о сведениях, касающихся: злоупотреблений в коммерческих интересах, уклонения от выполнения договорных обязательств либо уплаты налогов, недобросовестной конкуренции и другие.

Разработана методика определения степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Предлагается учитывать критерии и признаки, лежащие в основе использования методики. Выделяются общий критерий, характеризующий ущерб при попадании сведений к конкурентам, и частные критерии, включающие характер сведений и их относимость к защищаемым сферам деятельности; важность сведений; возможность защиты сведений и материальные затраты на их защиту. Содержание частных критериев раскрывается отдельными признаками.

Характер сведений, составляющих КЗИ, зависит от выбора направлений деятельности организации и отражения их в Перечне. Критерий важности КЗИ, характеризуется актуальностью, новизной, объемом и степенью обобщенности сведений. Критерий защиты сведений раскрывается такими признаками, как: уязвимость КЗИ от конкурентной разведки, осведомленность и устремления конкурентов к защищаемой КЗИ, опасность разглашения (утечки) КЗИ со стороны работников. Выделенные критерии и признаки составляют основу методики, позволяющей обоснованно подходить к определению степени конфиденциальности КЗИ, что связано с определением границ устанавливаемого режима коммерческой тайны и содержанием мероприятий по обеспечению безопасности организации.

Меры, устанавливающие режим коммерческой тайны, составляют одно из обязательных условий достижения необходимого уровня защищенности коммерческой тайны. Их содержание и объем определяются организацией исходя из правомочия на собственные действия (В.Н. Лопатин, А.П. Сергеев), которые реализуются по усмотрению субъектов в виде мероприятий. Понятие «мера» применительно к режиму коммерческой тайны означает способ воздействия на участников обращения КЗИ путем определения границ (пределов) дозволительного и разрешительного порядка ее использования и охраны конфиденциальности. Под мероприятием по защите информации понимается совокупность действий по разработке и практическому применению методов и технологии защиты информации, имеющих целью решение отдельных задач по установлению и обеспечению режима коммерческой тайны.

Установлено, что в любой организации, где обращается КЗИ, действует своя система режимных мер. Она состоит из двух основных групп мер, устанавливающих режим коммерческой тайны до начала производства и реализации товаров (работ, услуг), и мер, обеспечивающих установленный режим конфиденциальности КЗИ в процессе ее обращения. Первая группа мер, по сути, образует режим КЗИ, и включает мероприятия подготовительного характера: изучение хозяйственной ситуации, определение перечня сведений, составляющих коммерческую тайну, закрепление корпоративных требований к лицам, допускаемым к КЗИ, установление порядка учета, хранения и обращения конфиденциальных документов и изделий, разработка мер по противодействию конкурентной деятельности, оформление трудовых и гражданско-правовых отношений по поводу защиты КЗИ. Вторая группа мер включает мероприятия обеспечительного характера по мониторингу угроз и возможных каналов утечки КЗИ, установлению причин нарушений при обращении такой информации и обстоятельств, им способствующих, предупреждению правонарушений путем проведения контроля за выполнением требований установленного режима и аналитических исследований.

Структура, состав и содержание мер, направленных на установление режима коммерческой тайны, обусловлены объемом охраняемой КЗИ и уровнем противодействия угрозам, а также наличием ресурсов, используемых для обеспечения безопасности, что определяет выбор мер и их комплексное применение.

Глава 4 «Правовое обеспечение деятельности по охране конфиденциальности информации» посвящена характеристике нарушений режима коммерческой тайны и их связи с возможными каналами утечки информации, причин и обстоятельств, им способствующих, и мер по их предупреждению в сфере обращения КЗИ.

Исходной системой базовых положений для определения понятия «правовое обеспечение деятельности по охране конфиденциальности информации» является концепция правового режима ноу-хау, сформулированная И.А. Зениным, и получившая развитие в работах В.В. Погуляева, З.Ф. Гайнуллиной, М.С. Зельцер и др. авторов. Под правовым обеспечением частных интересов организаций в сфере обращения КЗИ диссертантом понимается комплекс правовых средств, предусмотренных нормами гражданского, трудового, уголовного и иных отраслей права, способствующих ограждению имущественной сферы обладателя коммерческой тайны от третьих лиц, включая контрагентов и работников, с которыми установлены договорные отношения. При этом подчеркивается, что его эффективность зависит от методологического аппарата изучения особенностей нарушений режима КЗИ, причин и обстоятельств, им способствующих, и мер по их предупреждению с использованием выводов правовых наук, изучающих публично-правовую сферу.

Автором излагаются соображения, которые определяют основные характеристики методологического механизма правового обеспечения. Для получения характеристики нарушений режима КЗИ в работе в качестве исходных были использованы теоретические положения, разработанные В.Б. Ястребовым, которые уточнены диссертантом применительно к задачам исследования и рассматриваются, как совокупность признаков: 1) раскрывающих распространенность, структуру нарушений режима КЗИ, в которой наряду с традиционными структурными элементами представлено распределение нарушений и особенности их проявления на каналах возможной утечки информации; 2) характеризующих сферы профессиональной деятельности работников – исполнителей конфиденциальных документов и работ, в которых наблюдаются проявления нарушений режима КЗИ, показывающих среду, в которой могут быть совершены такие нарушения; 3) отражающих личностные особенности лиц, допускающих нарушения режима КЗИ; 4) имеющих значение для понимания причин нарушений режима КЗИ и осуществления предупредительной деятельности.

Касаясь причин и условий нарушений режима КЗИ, которые выражаются в невыполнении или ненадлежащем выполнении работниками служебных обязанностей и условий договорных обязательств партнерами, автор исследует роль деятельности администрации организаций по обеспечению знания ситуации и оказанию влияния на нее, практику реагирования на нарушения режима КЗИ.

Предпринятое исследование позволило разработать классификацию возможных каналов утечки информации в зависимости от проявления типичных, а также иных часто повторяемых, нарушений, совершаемых работниками организаций, контрагентами и иными лицами при обращении КЗИ. Поскольку функционирование канала утечки в рамках информационных потоков происходит в силу неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа и получения конкурентной разведкой с учетом сложившихся хозяйственных связей, в ходе изучения работы охранных служб было уделено специальное внимание определению возможностей хозяйствующих субъектов противостоять связанным с указанными факторами нарушениям режима КЗИ, использованию данных их распространенности в превентивных целях. Отдельно проанализированы нарушения хозяйственной деятельности, связанные с использованием коммуникационных технических систем, демаскирующих признаки объекта, по которым определяется использование охраняемой информации и степень ее защиты. Особое внимание уделено анализу процессов, ведущих к возможной утечке КЗИ, образующейся вследствие действия «человеческого фактора».

На основе анализа факторов, влияющих на совершение нарушений режима КЗИ, ведущих к утечке такой информации, были выделены четыре группы проблем: 1) сложности, наблюдающиеся при решении задач по защите коммерческих секретов, требующие оперативного реагирования со стороны администрации и служб безопасности на изменения в хозяйственной практике работы организаций; 2) противоречия между требованиями, предъявляемыми к подбору и расстановке кадров в подразделениях, работники которых подлежат оформлению на допуск к КЗИ, включая работников службы безопасности, и состоянием современной практики их выполнения; 3) несоответствия между содержанием функций отдельных категорий работников служб безопасности и объективными возможностями их выполнения; 4) недостатки в системе реализации ответственности за невыполнение или ненадлежащее выполнение служебных обязанностей и обязательств, связанных с защитой КЗИ.

Указанными обстоятельствами не исчерпывается совокупность явлений, способствующих утечке информации. Однако они дают представление о тех процессах, которые тесно связаны с нарушениями режима КЗИ. В дальнейшем их характеристика дополнена анализом обстоятельств, выступающих в качестве самостоятельного звена в системе причин нарушений режима КЗИ.

Установлено, что в реальной действительности обстоятельства, в которых находят отражение общие и конкретные причины нарушений режима КЗИ, однотипны по своему содержанию. В зависимости от среды, в которой они себя проявляют, в работе были выделены три группы обстоятельств.

Группа обстоятельств организационно-управленческого характера. Их понятием объединяются конкретные недостатки в управлении процессом обеспечения режима КЗИ, обусловливающие отсутствие должного порядка и дисциплины в трудовых коллективах, связанных с сохранением коммерческих секретов. Это несовершенство структуры управления режимным обеспечением работ; недостатки в подборе, расстановке и обучении работников, допущенных к КЗИ; неудовлетворительная постановка учета и отчетности; отсутствие регулярных проверок документов и работ, содержащих КЗИ; неудовлетворительный контроль за обеспечением установленного режима; недостатки корпоративного планирования и финансирования работ при обращении КЗИ, включая стимулирование работников.

Группа обстоятельств воспитательного характера связана с недостатками формирования у работников чувства «фирменного патриотизма» и уважения частных интересов собственника; отсутствием дифференцированного индивидуального подхода к воспитанию работников и должного материального стимулирования. Группа обстоятельств правового характера объединяет недостатки правового регулирования и использования правовых средств при обращении КЗИ на корпоративном уровне.

Объяснение причин нарушений режима КЗИ не ограничивается только названными обстоятельствами. Рассмотрение этой проблемы осуществлено и на индивидуальном уровне, имея в виду, что причинами таких нарушений может быть рассогласование поведения человека с социальной средой (В.Н. Кудрявцев). Анализируется поведение работника, имеющего доступ к КЗИ, которое противоречит интересам собственника.

Характеристика правонарушителей режима КЗИ представляет собой определенную совокупность признаков, свойств, связей, отношений, характеризующих лицо, выполняющее конфиденциальные работы, виновно нарушающее режимные требования, влияющих на его антикорпоративное поведение, выражающееся в невыполнении или ненадлежащем выполнении трудовых обязанностей. Первичная «клеточка» нарушения режима КЗИ, являясь частью социальных отклонений, имеющих место в обществе, – поступок работника, нарушающего нормы при обращении такой информации.

Вместе с тем они могут рассматриваться в качестве информационной модели конкретного типа личности правонарушителя, то есть абстрактного описания комплекса его особенностей, которые имеют значение для понимания причин этого вида правонарушений, организации и проведения предупредительной работы. Опираясь на них, администрация в состоянии существенно расширить свои возможности по выбору эффективных мер предупреждения нарушений требований защиты КЗИ.

Предупреждение правонарушений в сфере обращения КЗИ должно являться в современных условиях главным направлением обеспечения экономической безопасности корпоративных образований, однако пока еще такого свойства не обрело. Между тем формируемая в России стратегия инновационного прорыва, предпринимаемые усилия по вхождению России во Всемирную торговую организацию, требуют безотлагательного кардинального изменения положения дел в этой области.

При разработке понятия «предупреждение правонарушений в сфере обращения КЗИ», представленного в диссертации, были учтены, во-первых, общепринятые в науке понятия юридического конфликта и предупреждения социальных отклонений, с учетом развитых организационных форм общей и специальной профилактики; во-вторых, органическая включенность предупреждения правонарушений в этой сфере в деятельность организации, требующая его рассмотрения с учетом взаимосвязи с поведением работников на корпоративном и индивидуальном уровне.

Автор поддерживает и развивает в диссертации позицию В.П. Казимирчука, считавшего, что «предупреждение определенного конфликта заключается в воздействии на его элементы: объект, субъектов, мотивы их поведения, используемые силы и средства до возникновения противоборства», и разделяет взгляды М.Н. Марченко, признающего, что «при капитализме, к которому мы возвращаемся, главное противоречие, давно уже установленное экономистами и философами, – между общественным характером труда и частным присвоением его результатов» является фундаментальной причиной правонарушений, в том числе и связанных с использованием КЗИ. Профилактика юридических конфликтов, возникающих в организациях, по объему шире, чем предупреждение правонарушений при обращении КЗИ.

В диссертации предметно показано, что предупреждение правонарушений при обращении КЗИ охватывает профилактику проступков в этой сфере, которая направлена на предотвращение нарушений норм корпоративного и трудового права и договорных обязательств, регулирующих процесс передачи, использования и охраны КЗИ внутри организации и при взаимоотношении с контрагентами. Предметом профилактики преступлений является предупреждение преступных проявлений, предусмотренных ст. 183, 272–274 УК РФ, выявление и устранение причин, их порождающих, и обстоятельств, им способствующих. Профилактика проступков и преступлений в сфере обращения КЗИ осуществляется комплексно в рамках коммерческой организации и относится к области корпоративного управления, имеет иерархический характер и осуществляется в процессе решения общих задач производственной деятельности, и специализированных задач, решаемых службой безопасности и юридическим отделом.

Структурно система предупреждения правонарушений используется в большинстве организаций при обращении КЗИ и включает: определение субъектов профилактики и наделение их полномочиями; установление содержания объектов профилактики; реализация мероприятий и применение мер ответственности к виновным; оценка эффективности профилактики и разработка дополнительных мер по совершенствованию системы предупреждения.

С учетом правового статуса субъектов профилактики в работе рассматривается деятельность: 1) государственных органов и органов местного самоуправления, решения которых носят обязательный характер для организаций (общесоциальный уровень предупреждения); 2) правоохранительных органов (специальное предупреждение); 3) юридических лиц, реализуемая учредителями (акционерами), администрацией (общий неспециализированный уровень предупреждения); 4) службы безопасности (специализированный корпоративный уровень предупреждения). Деятельность субъектов профилактики объединена внутренним единством и обусловлена условиями рыночной экономики.

Объектами профилактики в сфере обращения КЗИ являются процессы, происходящие в социальной среде, рассматриваемые в диссертации, как обстоятельства организационно-управленческого, воспитательного и правового характера, обусловливающие возникновение правонарушений и способствующие их совершению, а также отдельные работники, осведомленные в коммерческой тайне, допускающие нарушения, вследствие недобросовестного выполнения своих обязанностей.

Определение содержания профилактики связано с разработкой мер предупреждения нарушений в этой сфере. Охватываемые данной системой меры являются достаточно многочисленными, они различаются по целям, уровням применения, масштабам, степени правового урегулирования, характеру осуществления. Система мер предупреждения правонарушений в организациях, где циркулирует КЗИ, являясь частью общей системы предупреждения правонарушений, совершаемых в трудовых коллективах, состоит из общесоциальных и специальных мер, осуществляемых на уровне общества (отраслей экономики), социальных групп (коммерческих организаций) и индивидуума (работника, имеющего доступ к КЗИ).

К общесоциальным мерам предупреждения относятся меры, направленные на укрепление стабильности трудового коллектива; уменьшение текучести кадров среди работников, осведомленных в КЗИ; профилактики правонарушений с использованием правовых средств; изучение общественного мнения трудового коллектива и его правильное формирование с учетом частных и личных интересов.

Общие меры предупреждения оказывают непосредственное воздействие на устранение ошибок и недостатков, допускаемых при разрешении противоречий в сфере сохранности коммерческих секретов, на искоренение негативных явлений из жизни общества в связи с переходом к рыночной экономике, способствующих проявлению нарушений режима КЗИ. Специальные меры предупреждения правонарушений в сфере обращения КЗИ непосредственно направлены на устранение порождающих их причин и условий. Эти меры реализуются правоохранительными органами и службами безопасности организаций. Раскрывается значение индивидуальной профилактики, направленной на устранение деформированных потребностей, интересов, ценностных ориентаций работников, имеющих доступ к КЗИ.

Рассматриваются меры организационно-управленческого, воспитательного и правового характера, которые дают достаточно полное представление о содержании профилактики в сфере обращения КЗИ. Действие мер организационно-управленческого характера направлено на наведение должного порядка, повышение уровня трудовой и договорной дисциплины при обращении КЗИ. Отмечается необходимость предупреждения нарушений в хозяйственной деятельности и корпоративном управлении, имеющих связь с правонарушениями в сфере обращения КЗИ.

Реализация мер воспитательного характера в рамках предупреждения правонарушений в сфере обращения КЗИ предусматривает повышение уровня правовых знаний и правовой культуры работников, имеющих доступ к КЗИ. Решение этой проблемы заключается в использовании таких форм воспитания, которые бы отвечали условиям развития российского капитализма (С.М. Меньшиков) с учетом мотивации труда работников, осуществляемой с применением административных, экономических и социально-психологических методов (С.А. Шапиро), составляющих основу воспитательно-профилактической работы по воздействию на нарушения в сфере обращения КЗИ.

Меры правового характера занимают особое место в числе других мер предупреждения. Первоочередными из них являются совершенствование регулирования деятельности по предупреждению утечки КЗИ и улучшение практики применения норм, регулирующих обращение такой информации. В работе содержатся рекомендации по воздействию с помощью норм права на различные факторы неблагоприятного развития хозяйственной ситуации, негативно отражающихся на состоянии безопасности организации, закреплению прав и обязанностей субъектов профилактики, совершенствованию практики внедрения систем материального и морального стимулирования.

В главе 5 «Научно-методическое обеспечение деятельности по охране конфиденциальности информации» исследуются система и методы контроля, организация и методика аналитических исследований в сфере обращения КЗИ. Обосновывается вывод о том, что осуществление контроля за соблюдением режима коммерческой тайны и проведение аналитических исследований в сфере обращения КЗИ, выступают необходимым направлением деятельности по выявлению и предупреждению правонарушений, связанных с разглашением (утечкой) информации, и требуют применения научных методов для получения знания о процессах, происходящих в этой сфере.

Контроль в сфере обращения КЗИ связан с функцией управления в хозяйственной деятельности (В.Г. Афанасьев, А.П. Алехин, Е.А. Кочерин). Определена система теоретических положений, позволившая раскрыть специфику организации контроля, его техники на корпоративном уровне управления при обращении КЗИ, с учетом сложившихся новых управленческих технологий, включающих контроль в число важнейших средств достижения целей коммерческой организации (Е.П. Губин, М.Г. Ионцев). В числе особенностей названы, во-первых, объективная необходимость контроля, обусловленного факторами развития производства. Во-вторых, контроль осуществляется по указанию собственника, который наделяет органы управления и отдельных лиц полномочиями по реализации контроля над трудовым процессом, включая сферу обращения КЗИ. В-третьих, контроль как неотъемлемая часть деятельности, связан с принятием решений по обеспечению безопасности организации.

Такой подход позволил избежать методологической ошибки, когда контроль связывается только с деятельностью службы безопасности и рассматривается лишь как средство обнаружения недостатков в данной сфере. Исследуются возможности контроля, как средства активного побуждения к дозволительным действиям лиц, вовлеченных в сферу обращения КЗИ; как инструмента получения данных о состоянии производственных процессов и совершения коммерческих сделок, связанных с использованием КЗИ и ее охраной.

В работе на системной основе рассматриваются объект и субъект контроля, внутренний и внешний контроль, линейный, функциональный и операционный типы контроля, определяются цели, задачи и функции контроля. Результаты исследования позволили выявить характерные недостатки контроля, в частности, нарушения принципа системного и комплексного подхода к проведению контроля в сфере обращения КЗИ, отсутствие ориентированности на учет изменений хозяйственной ситуации и направленность не на предупреждение, а на фиксацию допущенных нарушений.

В ходе исследования установлено, что в организациях применяются различные виды и формы контроля, выбор которых зависит от целей, определяемых собственником. Распространенными являются: плановые, разовые, внезапные, сплошные, выборочные, целевые и комплексные проверки, особенности которых нужно учитывать при создании систем контроля с использованием сил и средств, обеспечивающих реализацию контрольной функции. Проанализированы стадии контроля, связанные с фиксацией состояния контролируемого объекта в данный период времени, проверкой его соответствия требованиям корпоративных норм и реализацией полученных данных для корректирующего воздействия на объект контроля.

На основании полученных исследовательских данных сделан вывод, что проектируемая система контроля в организациях должна быть уникальной, поскольку создается для конкретного объекта контроля, и должна включать разработку распорядительно-методических документов, используемых в ходе контроля на различных уровнях управления, определение сфер и направлений контроля, закрепление правомочий субъектов, осуществляющих контроль в сфере обращения КЗИ.

загрузка...