Вимоги до роботи з конфіденційною інформацією установи
Витікання інформації за межі установи може завдати їй як репутаційної, так і матеріальної шкоди. Дані, які є доступними для вузького кола осіб у зв’язку з виконанням ними своїх посадових обов’язків, через їхню недбалість, підкуп чи протиправні дії третіх осіб нерідко потрапляють у руки зловмисників або шахраїв. Що таке конфіденційна інформація, як забезпечити її правомірне використання та захист?
Значення терміна
За даними експертів із безпеки, на сьогодні найбільш поширеним і небезпечним видом внутрішньої загрози стає витікання інформації. Нерідко джерелом такої загрози є недобросовісні працівники установи, які відповідно до своїх службових обов’язків мають доступ до конфіденційної інформації та використовують її в інтересах третіх осіб. Як свідчить судова практика, втрати підприємства в такому разі нерідко бувають значно більші, ніж від шахрайства чи крадіжок.
Сам термін «конфіденційний» походить від англійського confidence – довіра, необхідність запобігання втраті якої-небудь інформації. Іншими словами, конфіденційна інформація має бути відома або довірена вузькому колу осіб. Загальним для всіх видів конфіденційної інформації є той факт, що вільний доступ до неї обмежений згідно із приписами чинного законодавства або внутрішніх нормативних документів установи чи органу, які здійснюють управління нею.
Правове регулювання
Загальний підхід до роботи з конфіденційною інформацією визначає Закон від 02.10.92 р. № 2657-XII «Про інформацію» (далі – Закон № 2657). Відповідно до ст. 20 цього Закону за порядком доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом. Тобто будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом. Також ст. 21 Закону № 2657 визначає, що інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.
Водночас до інформації з обмеженим доступом не можуть бути віднесені такі відомості:
- про стан довкілля, якість харчових продуктів і предметів побуту;
- про аварії, катастрофи, небезпечні природні явища та інші надзвичайні ситуації, що сталися або можуть статися і загрожують безпеці людей;
- про стан здоров’я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти та культури населення;
- про факти порушення прав і свобод людини, включаючи інформацію, що міститься в архівних документах колишніх радянських органів державної безпеки, пов’язаних із політичними репресіями, Голодомором 1932–1933 років в Україні та іншими злочинами, вчиненими представниками комуністичного та/або націонал-соціалістичного (нацистського) тоталітарних режимів;
- про незаконні дії органів державної влади, органів місцевого самоврядування, їх посадових та службових осіб;
- щодо діяльності державних та комунальних унітарних підприємств, господарських товариств, у статутному капіталі яких більше 50 % акцій (часток) належать державі або територіальній громаді, а також господарських товариств, 50 % і більше акцій (часток) яких належать господарському товариству, частка держави або територіальної громади в якому становить 100 %, що підлягають обов’язковому оприлюдненню відповідно до закону;
- інші відомості, доступ до яких не може бути обмежено відповідно до законів та міжнародних договорів України, згода на обов’язковість яких надана Верховною Радою України.
Згідно з п. 2 ст. 21 Закону № 2657 конфіденційна інформація – це інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть. Конфіденційна інформація зазвичай міститься у вигляді будь-яких документів – традиційних паперових або електронних. Документи, що містять конфіденційну інформацію, прийнято називати конфіденційними, а процес виготовлення таких документів і організацію роботи з ними – конфіденційним діловодством. Усі ці джерела інформації можуть бути об’єктами неправомірних посягань, а тому підлягають відповідному захисту.
В установі, залежно від специфіки її діяльності, конфіденційна інформація може міститися в договорах, ділових листах, звітах, аналітичних матеріалах, базах даних клієнтів, споживачів, отримувачів соцдопомоги тощо. Крім того, конфіденційною інформацією вважаються і виписки з бухгалтерських, банківських рахунків, схеми, графіки, специфікації та інші документи. Правила роботи з інформацією конфіденційного характеру визначаються законами і деталізуються в локальних нормативних актах міністерств, відомств, підприємств (установ, організацій) усіх форм власності.
Власник конфіденційної інформації має визначити її склад, відповідні способи та засоби захисту. Одночасно він має розробити заходи матеріального та морального стимулювання працівників, які дотримуються порядку захисту конфіденційної інформації, а також їх відповідальності за її розголошення.
Що підлягає захисту?
Згідно з абзацом другим ст. 1 Закону № 2657 під захистом інформації слід розуміти сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї. Тобто установою має бути утворена система захисту конфіденційної інформації, яка б унеможливила несанкціонований (незаконний) доступ до неї. Кожна установа, з урахуванням особливостей її діяльності, а відповідно, складу конфіденційної інформації, має розробити та затвердити переліки конкретних видів документів, які містять таку інформацію, положення про конфіденційну інформацію, інструкцію з роботи з документами, що містять конфіденційну інформацію, тощо.
Сам перелік та обсяг відомостей, які належать до конфіденційної інформації, строки конфіденційності, порядок захисту й доступу, а також правила її використання визначаються керівником установи. Для обмеження доступу до конфіденційної інформації керівник установи:
- видає спеціальний наказ про затвердження «Переліку відомостей, які становлять конфіденційну інформацію установи»;
- передбачає заходи щодо охорони таких відомостей;
- установлює коло осіб, які мають доступ до цієї інформації;
- установлює правила роботи з документами, які мають гриф «конфіденційна інформація».
Працівників установи слід ознайомити з наказом та додатками до нього під підпис.
Інструменти захисту
Захист конфіденційної інформації установи може забезпечуватися низкою управлінських інструментів, основними з яких є:
- установлення правил віднесення інформації до конфіденційної;
- розроблення та доведення до осіб, допущених до конфіденційної інформації, відповідних інструкцій щодо дотримання режиму конфіденційності;
- обмеження доступу до носіїв інформації, які вміщують конфіденційну інформацію;
- використання організаційних, технічних та інших засобів збереження (захисту) конфіденційної інформації;
- здійснення контролю за дотриманням установленого режиму збереження (захисту) конфіденційної інформації.
Водночас захист конфіденційної інформації передбачає:
- визначення конфіденційної інформації, строків її захисту за категоріями;
- систему допуску працівників установи, інших осіб до конфіденційної інформації;
- обов’язки осіб, допущених до конфіденційної інформації;
- визначення порядку роботи з паперовими та електронними документами, що містять конфіденційну інформацію;
- забезпечення збереження документів і справ (архівів), що містять конфіденційну інформацію;
- механізми організації та проведення контролю за забезпеченням установленого порядку під час роботи з конфіденційною інформацією;
- відповідальність за розголошення конфіденційної інформації та втрату документів, що містять конфіденційну інформацію.
Комплексність системи захисту досягається її формуванням із різних елементів – правових, організаційних та програмно-технічних. Співвідношення елементів та їх зміст забезпечують індивідуальність системи захисту конфіденційної інформації установи і гарантують її неповторність та складність подолання.
Що вважається розголошенням?
Під розголошенням конфіденційної інформації слід розуміти такі дії працівників установи:
- доведення конфіденційної інформації в усній, письмовій, електронній або іншій формі до відома осіб, які не уповноважені керівництвом установи на її володіння та використання. Зазначений факт може настати внаслідок умислу співробітника або з необережності, включаючи недбале ставлення до своїх посадових обов’язків;
- використання конфіденційної інформації у процесі виконання роботи для іншої установи або суб’єкта господарювання;
- використання конфіденційної інформації в науковій та педагогічній діяльності;
- використання конфіденційної інформації в особистих цілях, не пов’язаних із виконанням посадових обов’язків;
- використання конфіденційної інформації під час публічних виступів, інтерв’ю тощо;
- інші дії працівників установи, внаслідок яких конфіденційна інформація стала відома не уповноваженим на це особам.
Зниження впливу людського фактора
Як свідчить практика, попри наявність в установі організаційних заходів щодо захисту конфіденційної інформації, ознайомлення значної кількості працівників із нею підвищує ризик її витікання. Через це правильна організація роботи персоналу з такими документами є дуже важливою. Основні принципи та правила управління персоналом з урахуванням вимог інформаційної безпеки визначено в міжнародному стандарті ISO 17799. Суть їх полягає в необхідності виконання певних вимог під час наймання та звільнення працівників, забезпеченні обізнаності із правилами роботи та застосуванні запобіжних заходів до порушників. Дотримання цих заходів дає змогу істотно знизити вплив людського фактора, уникнути характерних помилок і здебільшого запобігти витіканню інформації та її неналежному використанню.
Між тим, традиційні засоби захисту від витікання конфіденційної інформації не завжди є ефективними. Тому установа має застосовувати сукупність заходів, спрямованих саме на роботу з персоналом. Одним із таких популярних нині заходів є побудова так званого «соціального міжмережевого екрана».
Як уже зазначалося, установа має розробити відповідні інструкції щодо захисту конфіденційної інформації. Ці документи визначатимуть правила та критерії для розбивки інформаційних ресурсів на окремі категорії, виходячи зі ступеня їх конфіденційності, правила маркування й обігу конфіденційної інформації, надання доступу до неї. Також розроблюються і впроваджуються відповідні процедури та механізми контролю. Додатково до них доцільно використовувати спеціалізовані сервіси керування правами доступу до електронних документів, що дозволяють у разі поширення інформації визначати обмеження щодо її використання. Наприклад, автор документа може обмежити «час життя» документа, а також можливість для певних користувачів відкривати, змінювати, копіювати в буфер обміну, друкувати або пересилати документ.
Варто зазначити, що застосування соціального міжмережевого екрана дає змогу успішно боротися з найбільш численним видом загроз – ненавмисним розголошенням конфіденційної інформації. Проте для боротьби зі зловмисниками його явно недостатньо, а тому паралельно слід задіяти різноманітні програмно-технічні механізми захисту.
Технічний захист
Для більш надійного збереження конфіденційна інформація має перебувати переважно в електронному вигляді і бути захищена електронними засобами захисту. Практика показує, що в нинішніх умовах крадіжки (витікання) інформації відбуваються і по електронних каналах зв’язку або за допомогою різних носіїв інформації. Виходячи із цього, головні зусилля в боротьбі з витіканням конфіденційної інформації потрібно зосередити саме на цьому напрямі. Зокрема, насамперед слід налагодити чітку систему контролю та аудиту за використанням у роботі працівників тих чи інших документів. Для цього використовуються спеціальні установки програмного забезпечення для обмеження доступу груп користувачів до окремих частин корпоративної мережі і до документів.
Для різних працівників установи підприємства мають бутий різні стандарти політики інформаційної безпеки, які відповідають їхнім посадам і функціональним обов’язкам.
Сучасні технології уможливлюють розроблення та впровадження різноманітних багатоступінчастих засобів контролю доступу і запобігання витіканню інформації. Для обмеження доступу до інформації та протоколювання фактів здійснення несанкціонованого доступу використовують стандартні сервіси безпеки.
Для запобігання несанкціонованому копіюванню конфіденційної інформації на зовнішні носії використовується спеціалізоване програмне забезпечення, призначене для контролю зовнішніх комунікаційних портів комп’ютера (типу USB тощо). Користувачам присвоюються права доступу до контрольованих пристроїв за аналогією з правами доступу до файлів.
Це лише кілька найбільш популярних і використовуваних на практиці систем боротьби із втратою конфіденційної інформації установи. Насправді їх, звісно ж, набагато більше, і вибирати треба самій установі виходячи з її фінансових можливостей, цінності інформації та ступеня загрози.
Насамкінець слід наголосити, що ст. 27 Закону № 2657 визначає, що порушення законодавства про інформацію тягне за собою дисциплінарну, цивільно-правову, адміністративну або кримінальну відповідальність згідно із законами України.
Джерело: "Баланс-Бюджет" № 51, який виходить з друку 14.12.20 р.