Сертификат на тайну
С момента вступления в силу федерального закона «О коммерческой тайне» № 98-ФЗ от 16 августа
Законом установлено понятие коммерческой тайны, перечень сведений, которые могут быть к ней отнесены, и порядок обращения с этой информацией.
Право владельца особо ценной информации на ее защиту признано юридически, однако, механизм его реализации пока не проработан полностью, и большинство руководителей компаний зачастую не имеют ни малейшего представления о том, как применить данные законодательством права на практике.
Очертить и заминировать
Для обеспечения сохранности сведений, содержащих коммерческую тайну, необходим комплекс организационно-правовых и технических средств, именно комплекс, потому что выстраивать систему защиты на локальных, не связанных между собой блоках не имеет смысла – эффективность ее работы будет равна нулю. Система контроля доступа на входе или оборудованный спецтехникой кабинет начальника – все это меры с точки зрения безопасности правильные, но проблему обеспечения сохранности важных для организации сведений они не решают.
Руководство компании должно в первую очередь осознать необходимость и важность защиты сведений, содержащих коммерческую тайну, и затем определить, какую именно информацию в компании следует отнести к этому разряду.
Согласно закону, к коммерческой тайне может быть отнесена научно-техническая, технологическая, производственная, финансово-экономическая или иная информация
(в т.ч. составляющая секреты производства), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Иными словами, необходимо очертить поле коммерческой тайны и, фигурально выражаясь, «заминировать» его, поставив на всю содержащуюся в нем информацию соответствующий гриф. Поскольку без такой метки данные не могут быть отнесены к коммерческой тайне на законных основаниях, следовательно, в случае их утраты что-либо доказать и, тем более, возместить ущерб будет невозможно.
В статье четвертой закона о коммерческой тайне есть формулировка: «Информация, самостоятельно полученная лицом при осуществлении исследований, систематических наблюдений или иной деятельности, считается полученной законным способом, несмотря на то, что содержание такой информации может совпадать с содержанием коммерческой тайны, обладателем которой является другое лицо».
Это означает, что если информация находится, к примеру, в компьютере и не имеет специальной защиты, то ее изъятие и копирование кем-либо не может рассматриваться как противоправный поступок, подпадающий под действие закона о коммерческой тайне.
После определения перечня сведений, относящихся к коммерческой тайне, необходимо принять организационные меры: ограничить круг пользователей этой информацией, довести нововведения до сведения сотрудников и документально удостоверить, определить степень ответственности и прочее.
Далее следует проведение комплекса мероприятий по технической защите информации.
Необходимо проанализировать ситуацию, выявить возможные каналы утечки информации и после этого приступать к формированию системы технической защиты, которая может включать в себя: аппаратуру выявления технических средств утечки информации, технические средства защиты информации пассивного и активного типа, технические средства контроля эффективности системы защиты, системы управления и сопряжения технических средств выявления и защиты, функционирующие в едином комплексе.
Проблемы сертификации
Чтобы иметь возможность юридически установить факт наличия такой системы, оборудование для защиты коммерческой тайны должно быть сертифицировано.
Однако в этой области на сегодняшний день существует ряд серьезных проблем.
Вопросами сертификации оборудования для защиты коммерческой тайны (как, впрочем, и государственной) занимается целый ряд ведомств. Процесс получения сертификата растягивается на длительный срок и требует значительных финансовых затрат. Далеко не каждая компания может себе это позволить.
В этой связи рациональным выглядит предложение о создании единой государственной системы сертификации технических средств защиты информации (ТСЗИ) на основе единой межведомственной нормативно-методической базы, согласованной с сопрягаемыми ведомствами. Такая база позволит объединить все лучшее от разных ведомств и сгладить имеющиеся недостатки.
Обычный срок действия сертификата - три года, после чего затяжной процесс получения нового документа повторяется. По сути, такой бюрократический круговорот не выгоден ни одной стороне: у потребителей он вызывает очередные проблемы, в том числе, финансовые, а органы сертификации вынуждает заниматься рутинными формальностями в ущерб научно-методической работе.
Поэтому целесообразнее было бы выдавать сертификат на срок годности продукции с сохранением приоритета срока действия нормативно-методической базы. Это более удобно и не противоречит положениям Госстандарта.
По истечении трех лет подтверждение сертификатов и продление срока их действия может оперативно осуществляться по результатам оценки защищенности информации в ходе ежегодно проводимых инструментальных инспекций. Результаты последних, на сегодняшний день, не учитываются в процедуре выдачи сертификата и существуют параллельно, в качестве дополнительного проверочного звена общей системы.
Не нужно крайних мер
Все чаще звучащие в последнее время требования об отмене сертификации ТСЗИ не имеют под собой достаточных оснований. Да, необходимость получения сертификатов сужает рынок технических средств защиты информации, оставляя тех игроков, которые располагают не только широкой линейкой оборудования, но и достаточным количеством времени для его сертификации и финансовых средств. Однако, с другой стороны, наличие сертификата защищает потребителя от некачественной продукции, предоставляя гарантию того, что оборудование четко выполняет свои функции. Это
более важно, чем расширение границ отрасли.
Требования к охране государственной и коммерческой тайны различны, стало быть, и подходы к сертификации не должны быть одинаковыми. Процедуру сертификации оборудования для защиты коммерческой тайны необходимо сделать более доступной.
Безусловно, существующий порядок получения сертификатов в значительной мере тормозит развитие рынка ТСЗИ, но это не означает, что необходимы крайние меры. Реформа системы сертификации назрела, она действительно необходима и выгодна как производителям технических средств защиты информации, так и государственным ведомствам, занимающимся вопросами сертификации.
Введение единого государственного сертификата, вне зависимости от ведомственного органа по сертификации, позволит использовать в интересах любого ведомства лучшие разработки ТСЗИ и одновременно сократит издержки, а значит, уменьшит цену оборудования, что, в конечном итоге, выгодно непосредственным потребителям.