Структура и шкала ценности информации
Классификация информационных ресурсов
Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Степень ценности информации и необходимая надежность ее защиты находятся в прямой зависимости.
Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партне- рами и посредниками и т. д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.
Следует учитывать, что документ может быть не только управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях. В соответствии с этим обычно выделяются два вида интеллектуально ценной информации:
техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и т. п.;
деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы и т. п.
По принадлежности к виду собственности информационные ресурсы могут быть государственными или негосударственными, находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных организаций.
Защите подлежит любая официальная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Таким образом, наличие права собственности на информацию как результат интеллектуальной деятельности определяет правовую целесообразность защиты информационных ресурсов. Существует также экономическая целесообразность защиты информационных ресурсов, основанная на потребительских свойствах информации, прежде всего на ее стоимости.
В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами информационные ресурсы могут быть открытыми, то есть общедоступными (используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми в выступлениях и т. п.), и ограниченного доступа и использования, то есть содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению.
Запрещается относить к информации ограниченного доступа:
законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
документы, содержащие информацию о деятельности органов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии и потребностях населения, за исключением сведений, относящихся к государственной тайне;
документы, накапливаемые в открытых фондах библио- тек и архивов, информационных системах органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей определенный вид тайны.
Для информационных ресурсов ограниченного доступа вид тайны является определяющим основанием их классификации. Тайна - это нечто неизвестное, неведомое, неразгаданное, еще не познанное, нечто скрываемое от других, известное не всем. Выделяются две глобальные предметные сферы тайны:
тайны природы, то есть объективные тайны: тайна Вселенной, тайны рождения и смерти и множество других тайн;
тайны людей, то есть субъективные тайны: тайны личности, тайны производства, тайны искусства и т. п.
В понятие тайны включается не только документированная информация, а также базы данных, продукция, изделия, технологии, излучения, физические поля. Многообразие форм и субъектов собственности закрепляет за собственником право считать ту или иную ценную информацию тайной.
Состав видов тайны в современном российском законодательстве постоянно расширяется. В настоящее время основными видами тайны являются: государственная, служебная, профессиональная, коммерческая и личная. Каждый из этих видов имеет несколько подвидов.
Государственная тайна - защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Основы защиты государственной тайны регламентируются законом РФ от 21.07.1993 № 5485–1 «О государственной тайне».
Другие виды тайны являются негосударственными. Отнесение информации к информации ограниченного доступа осуществляется в порядке, установленном законодательством РФ, в соответствии с Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 г. № 188.
Служебная тайна содержит информацию ограниченного распространения, к которой относятся несекретные сведения, касающиеся деятельности организации, ограничения на распространение которых диктуются служебной необходимостью.
К служебной информации относятся сведения, не подлежащие опубликованию в средствах массовой информации, использованию в открытых документах, оглашению на конференциях, переговорах и выставках, например черновики и варианты готовящихся документов, служебные инструкции, тактика ведения переговоров, персональные данные работников и т.д. Разновидностями служебной тайны можно назвать судебно-следственную тайну, тайну государственных банков, производственную тайну (до ее патентования) в некоммерческой сфере и др.
Профессиональная тайна - инструмент защиты персональных данных о гражданах и личной тайны граждан. Имеется в виду, что эти сведения переданы их собственником или находятся в распоряжении той или иной организации и необходимы ей для выполнения профессиональной деятельности: врачебная тайна, тайна страхования, тайна завещания, тайна голосования, тайна предприятий связи, тайна налоговых органов и др. Профессиональная тайна может быть также тайной мастерства, тайной профессионального умения, например тайна творчества, тайна рационализатора и др.
Коммерческая тайна - сведения, имеющие действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, когда к ним нет свободного доступа на законном основании и обладатель этих сведений принимает меры к охране их конфиденциальности. Учитывая, что коммерческая тайна как таковая отражает в значительной степени торговые секреты, иногда в рамках этого же определения используется термин «предпринимательская тайна». В зарубежной практике обычно используются термины, разделяющие предпринимательскую тайну на две части - производственную и коммерческую. Коммерческая тайна рассматривается как обязательное условие добросовестной конкуренции предприятий на рынке товаров или услуг. В России коммерческая тайна охватывает негосударственную сферу или коммерческие направления производственной деятельности и включает производственную, финансовую, научную и другие подвиды тайны. В рамках этого вида тайны выделяется коммерческая тайна банка (банковская тайна), тайна фирмы. К коммерческой тайне относятся секреты предприятий, с которыми сотрудничает фирма, секреты клиентов, покупателей, поставщиков и т. п.
Личная тайна граждан определена в Конституции Российской Федерации, где указано, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Не допускается сбор, хранение, использование и распространение информации о частной жизни граждан без их согласия. Семейную тайну можно считать разновидностью личной тайны. Она представляет собой тайну нескольких лиц, связанных родством, например: имущественное положение, взгляды и убеждения, отношения в семье, тайна факта усыновления.
Процесс выявления и регламентации реального состава информации ограниченного доступа важен для эффективной работы системы защиты информации.
Например, информация ограниченного доступа формируется в следующих направлениях деятельности предприятия:
прогнозирование и планирование деятельности (расширение или свертывание производства, программы развития, планы инвестиций);
управление предприятием (сведения о подготовке и принятии решений, применяемые методы управления);
финансовая деятельность (баланс, сведения о состоянии счетов и уровне доходности, информация о получении кредитов);
торговая деятельность (информация о рыночной стратегии, об эффективности коммерческой деятельности);
производственная деятельность (производственные мощности, тип используемого оборудования, запасы сырья и готовой продукции);
переговоры и совещания по направлениям деятельности предприятия (информация о подготовке и результатах проведения переговоров);
формирование ценовой политики на продукцию и услуги (информация о структуре цен, методах расчета, размерах скидок);
формирование состава партнеров, поставщиков и потребителей;
изучение состава конкурентов;
участие в торгах и аукционах;
научная и исследовательская деятельность по созданию новой техники и технологий;
использование новых технологий;
подбор и управление персоналом;
организация безопасности предприятия.
При определении состава информации ограниченного до- ступа следует выделять ключевые элементы информации, являющиеся основными носителями секрета. Информация может быть отнесена к коммерческой тайне при соблюдении следующих условий:
информация не должна отражать негативные стороны деятельности предприятия;
информация не должна быть общедоступной или общеизвестной;
возникновение или получение информации должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала предприятия;
персонал должен знать о ценности такой информации и обучен правилам работы с ней;
должны быть выполнены реальные действия по защите этой информации (наличие системы защиты, нормативно-методического и технического обеспечения этой системы).
В соответствии с постановлением Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. к конфиденциальной информации нельзя относить:
учредительные документы, уставы предпринимательских структур;
документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
документы о платежеспособности;
сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
документы об уплате налогов и обязательных платежей;
сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
сведения об участии должностных лиц предприятия в кооперативных, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Состав ценной конфиденциальной информации, подлежащей защите, определяется ее собственником или владельцем.
Предприятия однотипного профиля могут руководствоваться примерным составом защищаемых сведений.
При определении ценности информации следует определить возможный ущерб от реализации угроз безопасности. Определяя ущерб, важно оценить его в стоимостном выражении: стоимость продукции, которая не будет произведена или реализована, затраты на научные исследования и т. п.
В практической деятельности состав защищаемых сведений фиксируется в специальном Перечне конфиденциальных сведений. Определяется также перечень документов, не содержащих конфиденциальные сведения, но представляющих ценность для предприятия и подлежащих охране (например, устав, контракт и т. п.). (Перечень ценных и конфиденциальных документов).
Таким образом, ценная информация включается в документы, входящие в состав информационных ресурсов ограниченного доступа к ним персонала. В соответствии с тем, к какому виду тайны относятся ресурсы, документы делятся на секретные и несекретные. Обязательным признаком секретного документа является наличие в нем сведений, составляющих государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне или содержащие персональные данные, называются конфиденциальными.
Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите.
К документам ограниченного доступа относятся:
в государственных структурах: документы, проекты документов и сопутствующие материалы, относимые к служебной инфомации ограниченного распространения (документы «для служебного пользования»), содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;
в предпринимательских структурах - документы, содержащие сведения, которые собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне мастерства;
независимо от принадлежности - документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. п.
Называть документы ограниченного доступа секретными или ставить на них гриф секретности не допускается.
Ограничение доступа к документам имеет значительный разброс по срокам ограничения свободного доступа к ним персонала (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф снимается. Оставшиеся конфиденциальными исполненные документы, сохраняющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел.
Период ограничения доступа к документам может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах. Период ограничения доступа определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятельности фирмы. Например, производственные, научно-исследовательские фирмы обладают более ценными документами, чем торговые, посреднические и др.
Документы долговременного периода ограничения доступа (программы и планы развития бизнеса, технологическая документация ноу-хау, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя.
Документы кратковременного периода ограничения доступа, имеющие оперативное значение для деятельности фирмы, обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.
Режим ограничения доступа к персональным данным снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.