На страже служебной тайны

Владимир Ульянов,
руководитель аналитического центра Perimetrix

До сих пор непонятно, что же такое есть служебная тайна. А не зная достоверно, что это такое, невозможно ее надежно и защитить. Попробуем разобраться, действительно ли это так, неужели служебные сведения не защищены и открыты для всех до тех пор, пока мы не уясним их сущность?

Что такое служебная тайна?

Споры о том, что же такое служебная тайна, не прекращаются ни в среде юриспруденции, ни среди специалистов по безопасности, ни, наверное, в кулуарах законодательных собраний. Проект закона о служебной тайне находится только на стадии разработки, и законодательно закрепленного понятия служебной тайны нет. Поэтому и все существующие варианты будут лишь домыслами. Тем не менее перечислим распространенные мнения о сущности категории "служебная тайна".

До сих пор словосочетание "служебная тайна" у многих людей ассоциируется с информацией ведомственного характера под грифом "секретно". Однако ныне действующий Закон "О государственной тайне" не предусматривает понятия служебной тайны в прежнем понимании. Теперь все сведения с грифом "секретно" составляют уже государственную тайну. А что же "служебная тайна"? Это понятие также встречается в различных правовых актах. В частности, статья 139 Гражданского кодекса РФ говорит о служебной тайне в сочетании с коммерческой тайной: "Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности". А в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6 марта 1997 г. № 188, к служебной тайне отнесены "служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами" (статья 3).

Исходя из всего вышесказанного, можно предположить, что служебная тайна - это аналог коммерческой тайны, только последнее определение применимо к коммерческим организациям, а первое относится к ведомственным структурам.

Угрозы служебной тайне

Отталкиваясь от принятого нами условного понятия служебной тайны, попытаемся выяснить, какие же угрозы существуют для данного вида информации и как от них защищаться.

Хакеры? Ну куда же без них! Хакеры или в целом внешние злоумышленники действительно могут взломать сеть организации и добраться до информации, составляющей служебную тайну.

Тем не менее гораздо более реалистичным представляется другой вариант. Как часто мы слышим в последнее время о хакерах? Достаточно часто. Однако кто же оказывается этими "хакерами" наделе? Подростки, которые залезли в Интернет под чужим аккаунтом, или юноши, наткнувшиеся в школьной сети на базу данных одноклассников. Опасность хакеров сегодня преувеличена. Особенно это касается американских СМИ, регулярно поднимающих истерию по поводу происков китайских и российских "сетевых злодеев".

Даже не сбрасывая хакеров со счета, служебная тайна в ведомственных организациях может и не храниться в локальной сети, откуда есть доступ в Интернет. Для повышения защищенности, скорее всего, будут использоваться несколько не связанных между собой сегментов. И получить доступ к секретной информации можно только изнутри самой организации. А в этом случае на сцену выходят уже инсайдеры. Разумеется, отлаженный режим в подобного рода организациях позволяет до некоторой степени снизить и угрозу компрометации данных изнутри. Персонал проходит регулярные инструктажи по работе со служебной тайной, сами сотрудники достаточно лояльны, доступ в Интернет ограничен. Однако помимо халатности не стоит исключать и злого умысла.

Защита служебной тайны

Можно сколько угодно упражняться в риторике, выясняя, какую же информацию следует отнести к служебной тайне, а какую, например, к коммерческой (с последней, к счастью, уже разобрались, - что такое коммерческая тайна, прописано в Федеральном законе Российской Федерации от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне"). Но разве это действительно важно?

Не в понятиях дело. Комплексная система защиты информации должна защищать не один определенный класс информации (например, персональные данные), а все корпоративные документы в целом. Да, безусловно, чтобы защита была наиболее эффективной, система должна знать, какая информация является конфиденциальной и кто к ней имеет доступ. Однако в данном случае правильнее будет говорить о классификации как таковой.

Когда в какой-либо организации начинается процесс полноценной классификации, выясняется, что сущность информации гораздо более многолика, чем набор привычных категорий "Коммерческая тайна", "Служебная тайна", "Государственная тайна". Не совсем подходят и понятия "публичная информация", "для внутреннего использования", "совершенно секретно". Оказывается, информация может делиться, например, по географическому или функциональному признаку. Таким образом, классифицированный набор данных будет иметь сразу несколько категорий, например "персональные данные" - "сведения о зарплате" - "Челябинская область". Если какую-то из этих категорий убрать, то описание содержания информационного массива будет уже искажено.

КОММЕНТАРИЙ ЭКСПЕРТА Анастасия Шилина, ведущий юрист компании "ИнфоТехноПроект" Вопрос соотношения служебной, коммерческой, государственной тайны с точки зрения обеспечения защищенности информации, отнесенной к одной из перечисленных категорий тайн, является на сегодняшний день одним из самых острых. Еще более актуальным он стал после выделения понятия "персональные данные" из перечня сведений конфиденциального характера и установления особого порядка защиты таких данных. В этой связи стоит обратить внимание на то, что Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера" не дает определения "служебная тайна", а фраза о том, что к конфиденциальной информации относятся "сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК России и федеральными законами", является общей и не исключает возможности взаимопроникновения информации служебной и, к примеру, коммерческой. Кроме того, статья 139 ГК России, где говорится о связи служебной и коммерческой тайн, согласно № 231-ФЗ от 18.12.2006 г. "О введении в действие части четвертой ГК РФ" в настоящее время является недействующей. В то же время понятие коммерческой тайны напрямую связано с защитой именно той информации компании, которая обеспечивает увеличение ее доходов, а также получение коммерческой выгоды. Таким образом, можно сказать, что служебная тайна не связана напрямую с коммерческой деятельностью компании, и ограничение доступа к ней устанавливается в соответствии с законодательством органами государственной власти. Все рассуждения о защите информации, являющейся служебной тайной, без нормативного закрепления такого понятия являются очень условными. Другими словами, они могут с таким же успехом быть отнесены к обеспечению безопасности любого вида конфиденциальной информации. "Многоликость" классификации информации и ее "неоднородность", о которой говорится в статье "На службе служебной тайны", немного преувеличена. Любая организация в своей деятельности руководствуется двумя принципами: соблюдение требований законодательства и выполнение поставленных перед собой целей деятельности. Этими же принципами нужно руководствоваться при обеспечении защиты любой информации, с которой работает компания. В отличие от установления режима государственной и служебной тайны режим конфиденциальности коммерческой тайны устанавливается обладателем сведений, составляющих коммерческую тайну, который и предпринимает правовые, организационные, технические и иные меры по охране ее конфиденциальности. Мы считаем, что без определения перечня сведений, составляющих служебную тайну, закрепленного на законодательном уровне, говорить о специальном виде защиты именно такого вида тайны еще рано, можно лишь рассуждать об обеспечении режима конфиденциальности сведений, представляющих государственную либо коммерческую тайну, либо об обеспечении защиты персональных данных, которые могут быть частью каждого из вышеназванных видов тайн.

Подводя итоги

Приведенный выше пример демонстрирует неоднородность информации в корпоративной среде. Формальных требований к защите служебной тайны нет, поскольку не существует такого юридического понятия. Как защищать служебную тайну и что вообще подразумевать подданным понятием, - вопрос остается открытым.

Аналогично остается невыясненным: а может ли частная компания обладать "служебной тайной", или "служебная тайна" -прерогатива государственных ведомств?

"Сложности в защите конфиденциальных данных (служебной ли тайны, коммерческой или персональных данных) сегодня заключаются не столько в технической плоскости (как защитить), сколько в организационной, - уверен Дмитрий Скомаровский, партнер консалтингового бюро "Практика Безопасности". -Для того чтобы информация была надежно защищена, важно всего один раз написать политику информационной безопасности и внедрить процесс мониторинга ее соблюдения и актуализации".

Тем не менее озаботиться охраной данных нужно уже сейчас. Если дожидаться, пока будет утвержден федеральный закон о служебной тайне, пока выйдут подзаконные акты, устанавливающие способы защиты информации, секретов может "утечь" очень много.

Коммерческим организациям нецелесообразно сегодня различать категории служебной и коммерческой тайн. Делить информацию стоит по ее фактической смысловой нагрузке. У государства же есть прекрасная альтернатива - засекретить все служебные сведения как государственную тайну с соответствующим ограничением доступа.