Для начала необходимо выяснить, что же включает в себя понятие "информационной безопасности предприятия", и только после этого углубляться в правовые аспекты системы ее защиты.
Итак, информационная безопасность предприятия – это целенаправленная деятельность органов предприятия и их должностных лиц с использованием разрешенных методов и средств для достижения состояния защищенности информационной среды предприятия и обеспечения его нормального функционирования и развития.
Состояние защищенности информационной среды предприятия достигается путем нейтрализации существующих для предприятия угроз в данной сфере.
В частности, их можно классифицировать следующим образом:
- внутренние угрозы: работники предприятия;
- внешние угрозы: конкуренты;
- смешанные угрозы: заказчики (внешняя угроза) и исполнитель – работник фирмы (внутренняя угроза).
При этом, как показывает практика, подавляющее большинство правонарушений в сфере информационной безопасности осуществляются именно работниками предприятия.
Если взять за основу приведенную выше классификацию, можно сгруппировать элементы правового обеспечения системы информационной безопасности на предприятии.
Внутренние угрозы: работники предприятия
Для того чтобы свести к минимуму возможность угроз для информационного пространства предприятия со стороны его работников, необходимо детально расписать данный вопрос в трудовых договорах и локальных актах предприятия, указав при этом об ответственности за любого рода нарушения этих положений.
Что же касается нормативно-правового обоснования, то оно может быть следующим:
Статья 21 КЗоТ определяет трудовой договор как соглашение между работником и собственником предприятия, учреждения, организации или уполномоченным им органом либо физическим лицом, по которому работник обязуется выполнять работу, определенную настоящим соглашением, подчиняясь внутреннему трудовому распорядку, а собственник предприятия, учреждения, организации или уполномоченный им орган либо физическое лицо обязуется выплачивать работнику заработную плату и обеспечивать условия труда, необходимые для выполнения работы, предусмотренные законодательством о труде, коллективным договором и соглашением сторон.
Статья 20 Закона "Об информации" разделяет открытую информацию и информацию с ограниченным доступом, а согласно статье 21 к информации с ограниченным доступом относятся конфиденциальная, тайная и служебная информация.
Конфиденциальной является информация о физическом лице, а также информация, доступ к которой ограничен физическим или юридическим лицом, кроме субъектов властных полномочий. Конфиденциальная информация может распространяться по желанию (согласию) соответствующего лица в определенном ним порядке согласно предусмотренным ним условиям, а также в других случаях, определенных законом.
Таким образом, предприятие, предоставив той или иной информации статус конфиденциальной, может устанавливать собственные правила ее распространения. Ссылки на эти "правила" распространения конфиденциальной информации предприятия, среди прочего, могут быть расписаны и в трудовом договоре с работниками предприятия.
Однако злоупотреблять данной возможностью не следует, поскольку Закон "Об информации" предусматривает случаи, когда те или иные ведомости не могут быть отнесены к информации с ограниченным доступом, а следовательно, и к коммерческой информации.
Внешние угрозы: конкуренты
Что касается внешних угроз для информационной безопасности на предприятии, то в данном случае уместно упомянуть о возможности оформления интеллектуальной собственности предприятия относительно установленных законодательством объектов (ст. 420 Гражданского кодекса). После регистрации права интеллектуальной собственности в случае любых нарушений в данной сфере предприятие может воспользоваться правом судебной защиты с использованием способов, предусмотренных ст. 16 Гражданского кодекса (например, признание права, прекращение действия, нарушающего право, возмещение убытков и другие способы возмещения имущественного вреда, возмещение морального (неимущественного) вреда).
Смешанные угрозы: заказчики (внешняя угроза) и исполнитель – работник фирмы (внутренняя угроза)
И наконец, что касается третьей категории угроз – смешанных угроз для информационной безопасности на предприятии, то здесь следует сделать акцент на существовании в законодательстве Украины такого понятия, как "свобода договора", предусматривающего возможность предприятия, как стороны договора, определить условия такого договора по собственному усмотрению (ст. 627 Гражданского кодекса). При этом следует соблюдать требования Гражданского кодекса, других актов гражданского законодательства, обычаи делового оборота, требования разумности и справедливости, однако все они не запрещают указать предприятию на определенные нюансы распространения информации, которой такое предприятие правомерно владеет.
Возможными являются, например, следующие варианты:
- Все использованные Стороной 2 материалы при предоставлении услуг по этому Договору, а также результаты услуг, которые передаются Стороне 1, являются интеллектуальной собственностью Стороны 2.
- Стороны подтверждают, что в связи с осуществлением настоящего Договора Сторона 1 будет иметь доступ к информации, составляющей коммерческую тайну для Стороны 2. Сторона 1 не имеет права передавать конфиденциальную информацию, полученную от Стороны 2, без ее согласия, использовать ее в собственных интересах или в интересах других лиц вопреки интересам Стороны 2, как при осуществлении Стороной 1 своей деятельности в интересах Стороны 2, так и после прекращения отношений по этому Договору. Стороны подтверждают, что любая информация, которая стала известной Стороне 1 в результате заключения и выполнения этого Договора, является конфиденциальной.
ВЫВОД:
Таким образом, краткий анализ системы информационной безопасности на предприятии в общем и ее правового обеспечения в частности позволяет сделать вывод о необходимости комплексной работы в данной сфере. Особенно это касается правового обеспечения, поскольку одновременное комплексное использование минимальных правовых мер защиты (соответствующие положения трудовых договоров, договоров с контрагентами, своевременная регистрация интеллектуальной собственности предприятия, локальное нормотворчество) может стать хорошим фундаментом для обеспечения надежной системы информационной безопасности на вашем предприятии.