Правовое регулирование и обеспечение охраны коммерческой тайны в России

Среди вопросов дискуссионного характера специального внимания, по мнению диссертанта, заслуживает вопрос о самостоятельности института коммерческой тайны. В этой связи в работе выделяется наличие двух основных взаимоисключающих подходов при отнесении информации, составляющей коммерческую тайну, к объектам исключительных прав. Первый подход, наиболее последовательно представлен В.А.Дозорцевым, который исходит из отнесения прав на информацию, основанных на конфиденциальности, к системе исключительных прав, включающей не только традиционные результаты интеллектуальной деятельности, но и нетрадиционные, типа ноу-хау. Второй подход аргументирован и последовательно проводится в трудах И.А.Зенина и ряда других ученых. По мнению И.А. Зенина, на ноу-хау, в состав которой включается неохраняемая конфиденциальная научно-техническая, коммерческая, финансовая и иная информация, не существует исключительного права, а есть лишь фактическая монополия.

Признавая правомерность существования в науке различных подходов относительно включения конфиденциальности информации в систему исключительных прав, диссертант, исходя из работ ведущих специалистов, считает целесообразным выделение правовых отношений по поводу обращения КЗИ в самостоятельный институт коммерческой тайны. В этой связи в работе формулируются следующие положения:

1). Задача укрепления правовой базы регулирования КЗИ допускает использование различных решений. Вместе с тем отнесение института коммерческой тайны к системе исключительных прав не вполне обоснованно. Большинство ученых (И.Л. Бачило, Э.П. Гаврилов, И.А. Зенин, В.Н. Лопатин, А.П. Сергеев) считают, что институты гражданского права, опосредующие интеллектуальную собственность и ее результаты, закрепляют право на легальную монополию совершения различных действий по использованию и распоряжению результатами творчества, тогда как институт коммерческой тайны, наоборот, закрепляет право на КЗИ только при выполнении обладателем определенных условий неизвестности и охраноспособности такой информации, т.е. установлении фактической монополии. В противном случае лицо лишено возможности доказывать свое право на КЗИ.

2). Обращение КЗИ имеет определенные особенности. Предметом регулирования КЗИ являются многообразные отношения по поводу ее производства (получения), использования, хранения и передачи с соблюдением условия конфиденциальности. Часто регулирование этих отношений выходит за рамки гражданско-правовых. В этих случаях используются иные правовые средства установления и обеспечения режима коммерческой тайны.

3). Цель выделения сферы обращения КЗИ как самостоятельной области правового регулирования состоит в том, чтобы упорядочить законодательное, корпоративное и договорное регулирование в этой сфере на основе изучения правовой практики, для устранения имеющихся пробелов и согласовать применение правовых средств, с тем чтобы их использование соответствовало решению хозяйственных задач.

4). Институт коммерческой тайны выполняет важные функции в экономическом обороте: легализует право юридических лиц и индивидуальных предпринимателей на КЗИ; устанавливает правовой режим обращения КЗИ; позволяет на законном основании использовать такую информацию; защищает права на КЗИ с использованием норм гражданского, трудового, уголовного и иных отраслей права.

5). Решение проблем организационно-правового обеспечения деятельности по охране конфиденциальности информации требует создания развитой теоретической базы регулирования обращения КЗИ, которая сегодня фактически отсутствует. В диссертации разработаны предложения по совершенствованию практики правотворчества и реализации норм в этой сфере отношений.

Автором проанализированы тенденции реализации Закона о коммерческой тайне и сделан вывод о том, что формирование механизма прав организаций на КЗИ, и обеспечение их безопасности сопряжено на практике с определенными трудностями. В этой связи выделены проблемы совершенствования законодательства о коммерческой тайне и предложены пути их решения. Ряд проблем имеет общетеоретический характер и касается усиления частноправовых начал данного Закона. Их решение позволит выработать единый подход к механизмам правового регулирования и защиты КЗИ. Автор предлагает восполнить пробел, связанный с частноправовым подходом к определению понятия «коммерческая тайна», закрепить в Законе положение о том, что обладателем коммерческой тайны может быть только коммерческая организация и индивидуальные предприниматели, а не любые лица; отразить в Законе особенности правового статуса работников, контрагентов, государственных органов и их должностных лиц, которым не предоставлено право распоряжения КЗИ; скорректировать само понятие коммерческой тайны, сформулировать его как любую коммерчески значимую информацию, определяемую и защищаемую коммерческой организацией или индивидуальным предпринимателем на законном основании, используемую указанными лицами в предпринимательской деятельности с целью получения прибыли; ввести в Закон понятие «коммерчески значимая информация».

Теоретический и практический интерес представляют основанные на полученных в ходе проведенного исследования данных предложений о закреплении в Законе принципов разработки структуры и содержания перечня информации, составляющей коммерческую тайну; о правомерности правил допуска граждан к КЗИ, разрабатываемых организациями, связанных с получением добровольного согласия лица на проведение в отношении него проверочных мероприятий и закрепления в Законе оснований для отказа гражданину в допуске к коммерческой тайне; об определении обязанностей работодателя по оплате труда работников, выполняющих обязанности по защите КЗИ, определению критериев оценки ущерба, причиненного вследствие разглашения (утечки) КЗИ по вине работника; о взаимоотношении организаций с государственными и муниципальными органами власти по поводу предоставления им КЗИ; о предоставлении права истребования информации, содержащей коммерческую тайну, только государственным органам, выполняющим судебные, надзорные и контрольные функции по отношению к организациям на основании федерального закона.

В главе 2 «Использование правовых средств при обращении коммерчески значимой информации» рассматриваются понятие и характеристика регулятивной и операциональной сторон правовых средств, применяемых при обращении КЗИ, а также предложения об улучшении практики их использования коммерческими организациями.

При определении совокупности признаков, составляющих содержание понятия «правовые средства», используемого в сфере обращения КЗИ, автор исходил из концепции правовых средств, являющихся составной частью общего понятия категории «правовое регулирование», сформировавшейся в течение последних десятилетий в юридической науке (С.С. Алексеев, Б.И. Пугинский, А.В. Малько и др.). Понятие правовых средств, используемых организациями, их роль и место в механизме правового регулирования обращения КЗИ и охраны ее конфиденциальности раскрывается автором, как совокупность признаков:

1) позволяющих определить значимость правовых средств как универсальных правовых инструментов в реализации целей организации, обусловленных ее частными интересами, устанавливающих по усмотрению организаций их право на КЗИ в пределах, допускаемых законом, с учетом факторов и степени воздействия внешней среды; определяющих правоотношения организации с государством, контрагентами, конкурентами и работниками по поводу КЗИ;

2) определяющих требования к содержанию трудовых прав и обязанностей работодателей и работников и иных лиц в сфере обращения КЗИ и их реализацию с использованием мер юридической ответственности;

3) закрепляющих в гражданско-правовом договоре по инициативе и усмотрению сторон субъективные гражданские права и обязанности по поводу использования, передачи и охраны КЗИ и обеспечивающих их реализацию с использованием способов защиты гражданских прав на КЗИ;

4) характеризующих порядок установления режима обращения КЗИ и систему режимных мер, обеспечивающих участие юридической службы и службы безопасности, производственных подразделений в реализации таких мер и фиксирующих круг их полномочий; отражающих особенности защиты информации, переданной в связи с выполнением государственного заказа;

5) имеющих значение для выявления нарушений установленного режима коммерческой тайны с использованием методов контрольной и аналитической работы, понимания причин и обстоятельств, способствующих совершению правонарушений, осуществления предупредительной деятельности в целях обеспечения безопасности организации.

Первая группа признаков представляет информацию о выборе, моделировании и формировании на уровне конкретной организации механизма корпоративного регулирования КЗИ, представляющего собой систему правовых средств, включающую корпоративные акты, договор и иные средства, субъективные права и юридические обязанности и их реализацию. Она отражает степень закрепления в учредительных документах и иных корпоративных актах права организации на КЗИ и ее защиту; раскрывает взаимоотношения организации с учредителями (участниками) общества; показывает возможность использования по усмотрению организации позитивных обязываний, запретов, дозволений, содержащихся в нормах гражданского, трудового, административного и уголовного законодательства, исходя из закрепленных субъективных прав и обязанностей в сфере обращения КЗИ, не противоречащих интересам личности, общества и государства. Показывается необходимость разработки системы правовых средств, используемых в сфере обращения КЗИ, применительно к формирующемуся в рамках частного права институту коммерческой тайны, когда на практике организации пытаются достичь своих частных целей с помощью конкретных средств, установленных законодательством.

Вторая группа признаков показывает «внутреннюю» среду обращения КЗИ в организации при возникновении и прекращении трудовых правоотношений по поводу защиты КЗИ. Она раскрывает взаимные права и обязанности работника и работодателя в этой сфере деятельности; позволяет учитывать факторы, определяющие появление возможных каналов утечки КЗИ, обусловленные совершаемыми нарушениями в этой сфере и особенностями личности нарушителей. Знание этих факторов имеет непосредственное значение для выявления, предупреждения и пресечения правонарушений в рассматриваемой сфере деятельности организации.

Третья группа признаков характеризует «внешнюю» среду обращения КЗИ при взаимоотношении организации с контрагентами и иными лицами, органами государственной власти и местного самоуправления в рамках договорных и внедоговорных обязательств. Она позволяет свободно использовать не только правовые средства, определяемые законами и иными правовыми актами, но и знать те, которые порождаются усмотрением самих субъектов, прежде всего, в рамках договора. Эта группа признаков позволяет учитывать, что свобода принятия организацией решений в сфере обращения КЗИ ограничена в законе определенными пределами усмотрения; порядок действий при применении конкретных средств урегулирован нормами права. В случаях злоупотребления правом на КЗИ, использования недозволенных способов ее получения либо разглашения (утечки), пресечение неправомерных действий лиц осуществляется по усмотрению организации в рамках предоставленных законом возможностей.

Четвертая группа признаков базируется на наличии неразрывной связи между угрозами безопасности организации и объемом (направлениями) устанавливаемого по ее усмотрению режима конфиденциальности КЗИ в рамках, предусмотренных законом. Эту взаимосвязь важно учитывать при определении сведений, составляющих КЗИ, урегулировании порядка допуска и доступа граждан и юридических лиц к КЗИ, планировании режимных мер обеспечения технологических процессов производства товаров и сложившейся деловой практики их реализации; выполнении конфиденциальных работ, включая заказы для государственных нужд, и оказании услуг другим лицам по охране КЗИ в пределах, допускаемых законом.

Пятая группа признаков непосредственно связана с правовым обеспечением информационной безопасности организации, которое осуществляется путем выявления в ходе проведения контрольной и аналитической работы нарушений обращения КЗИ, установления возможных каналов утечки КЗИ, анализа причин и обстоятельств, ее обусловливающих, разработки и реализации предупредительных мер на различных этапах производства и продажи изделий, в местах наибольшего сосредоточения коммерческих секретов. Эта группа признаков раскрывает особенности технологии «связывания» и реализации субъективных прав и обязанностей между лицами внутри организации и при исполнении ими обязательств с контрагентами, касающихся сохранности КЗИ.

Изучение практики деятельности коммерческих организаций позволило диссертанту определить, какие правовые средства могут быть использованы в сфере обращения КЗИ, какие из них имеют доминирующий характер в технологической цепочке охраны конфиденциальности КЗИ и выработать на этой основе рекомендации правотворческого и правоприменительного характера.

По мере уменьшения масштабов государственного правового воздействия на экономику и увеличения степени самостоятельности организаций остро встал вопрос о корпоративном регулировании хозяйственной деятельности, связанной с обращением КЗИ. Исследование показало, что сегодня любая коммерческая организация, в зависимости от масштабов ее деятельности, имеет собственную систему корпоративного регулирования, включающей механизмы регулирования и защиты КЗИ.

Формирование механизмов корпоративного регулирования обращения КЗИ рассматривается в работе как сложный процесс учета факторов воздействия внешней среды на хозяйственную деятельность организации и выработки в этой связи адекватных мер противодействия угрозам. Существенное значение при этом имеет правильный выбор актов корпоративного права, использование которых позволит эффективно регулировать правоотношения, возникающие при обращении КЗИ, а также использовать регулятивные свойства обычаев, деловых обыкновений и прецедентов, выражающих содержание общедозволительного метода регулирования в этой сфере.

По мнению автора, механизм права организаций на КЗИ формируется на основе концепции общих дозволений и запретов (С.С. Алексеев), содержащихся в нормах действующего законодательства, и конкретных дозволений, запретов и позитивных обязываний, установленных Законом о коммерческой тайне, иными правовыми актами, регулирующими процесс обращения КЗИ. На основе исследования их соотношения, высказываются соображения об определении преимущественных способов правового регулирования, характерных для обращения КЗИ. Субъективное право организации на КЗИ образуют три возможных правомочия: право требования исполнения или соблюдения юридической обязанности от работников и других лиц, право на совершение собственных активных действий, имеющих юридическое значение, и право на защиту субъективных гражданских прав в связи с их нарушением. Названные правомочия в различных комбинациях в зависимости от области регулирования отдельных направлений и участков, где сосредоточены коммерческие секреты, находят свое выражение в конкретных по названию и назначению корпоративных актах.

В диссертации рассматриваются акты общего характера, регулирующие управленческие и финансовые вопросы, закрепляющие права и обязанности, определяющие поведение лиц при обращении КЗИ, специальные корпоративные акты, регламентирующие конкретные правила обращения КЗИ, в частности, перечень сведений, составляющих коммерческую тайну, условия обеспечения сохранности коммерческой тайны, порядок действия разрешительной системы и другие.

Установлено, что корпоративное регулирование сферы обращения КЗИ отражает общую концепцию воздействия норм корпоративного права на процесс управления организацией и ее имуществом и создает необходимые предпосылки для обеспечения охраны конфиденциальности информации в рамках трудовых и гражданско-правовых отношений. Оно выполняет регулятивную (устанавливает и уточняет взаимные субъективные права и юридические обязанности по поводу КЗИ), конкретизирующую (уточняет общие положения Закона о коммерческой тайне применительно к конкретной ситуации, сложившейся при обращении КЗИ), правовосполнительную (по необходимости и усмотрению организации осуществляет урегулирование отношений по поводу КЗИ, которые не охвачены нормами действующего законодательства) функции. Реализация названных функций позволяет организациям значительно расширить границы гражданско-правового регулирования и охраны КЗИ.

Специальное внимание в системе правовых средств, используемых организациями в сфере обращения КЗИ, в работе уделено нормам трудового права. Исследование позволило констатировать, что наличие норм в Трудовом кодексе (ТК РФ) не означает их обязательное и прямое действие при регулировании трудовых отношений по поводу использования и защиты КЗИ. Для этого в организациях формируется определенный механизм правового регулирования. Регламентация трудовых отношений по поводу КЗИ нормами трудового права в организации образует определенный порядок (В.Н. Смирнов), который является составной частью этого механизма. Такой порядок поддерживается не только правилами внутреннего трудового распорядка, но и иными корпоративными нормами.

Механизм приводится в действие благодаря закреплению в трудовом договоре конкретных субъективных прав и обязанностей работодателя и работника. Его функционирование обеспечивается в результате фактического поведения сторон, возникающего на отдельных участках производственной деятельности, где обращается КЗИ.

Вместе с тем отмечается, что закрепление диспозитивной нормы в ТК РФ (ч. 3 ст. 57), установившей возможность включения в трудовой договор условия о защите КЗИ, изменило прежнюю ситуацию, когда регулирование осуществлялось только на основании корпоративных актов. ТК РФ предусматривает основание для увольнения работника за разглашение коммерческой тайны, ставшей ему известной в связи с исполнением трудовых обязанностей (подп. «в» п. 6 ст. 81). Сложившийся корпоративный подход организаций по поводу использования и охраны КЗИ в рамках трудовых отношений получил свое законодательное закрепление, что соответствует принципам трудового права в условиях рыночной экономики и открывает новые возможности для защиты частных интересов.

Факультативный характер применения норм трудового права в рассматриваемой сфере определяет их роль в механизме правового регулирования обращения КЗИ и охраны ее конфиденциальности, которая, по мнению диссертанта, включает совокупность признаков: 1) определяющих сущность трудовых отношений в механизме корпоративного регулирования обращения и охраны КЗИ; 2) раскрывающих формы и методы использования правовых средств при проведении проверочных мероприятий в отношении принимаемых на работу лиц, допускаемых к КЗИ, а также в процессе их трудовой деятельности; 3) характеризующих содержание регулирования допуска и доступа лиц к КЗИ; 4) объясняющих особенности формирования условий по охране конфиденциальности КЗИ, включаемых в трудовой договор, и определения прав и обязанностей работодателя и работника при обращении КЗИ.

Исходя из конституционных принципов уважения прав и свобод человека и гражданина, неприкосновенности частной жизни, в работе обоснованы положения, позволяющие судить о законности действий администрации при проведении проверочных мероприятий в отношении лиц, поступающих на работу, и в процессе их трудовой деятельности; о правильности выбора правовых средств, используемых для сбора и проверки данных на таких лиц; о содержании правовых актов, устанавливающих порядок допуска и доступа лиц к КЗИ; о правомерности отказа гражданину в приеме на работу; о процедуре согласования условий по охране конфиденциальности информации в трудовом договоре и определения прав и обязанностей работодателя и работника. Одновременно вносятся предложения об улучшении практики использования правовых средств для решения указанных задач.

Отмечается, что ТК РФ, Законом о коммерческой тайне и иными правовыми актами не установлены процедуры проверки лиц, допускаемых к КЗИ. Каждая организация устанавливает свои правила, которые не всегда соответствуют закону. Анализ содержания проверочных мероприятий по допуску лиц к КЗИ показывает, что многие из них связаны с вторжением в личную жизнь граждан и поэтому требуют их письменного согласия, и внесения дополнений в законодательство. В диссертации даны рекомендации по формированию содержания таких условий, соблюдение которых необходимо для обеспечения неразглашения коммерческой тайны.

Существенное значение для характеристики правовых средств, как показало предпринятое исследование, имеет определение роли и места гражданско-правовых средств в механизме правового регулирования обращения КЗИ и охраны ее конфиденциальности. В этой связи были установлены их признаки: 1) раскрывающие этапы договорного регулирования отношений в информационной сфере по поводу производства, получения, использования, передачи информации и охраны ее конфиденциальности в процессе обращения; 2) определяющие основные черты формирования структуры и инфраструктуры информационного рынка в России, включая различные виды коммерческой информации; 3) дифференцирующие договоры на обращение КЗИ по группам в зависимости от специфики регулируемых ими отношений.

Исследуемая сфера обращения КЗИ является частью общей информационной сферы хозяйствующих субъектов, где обращается открытая и закрытая информация по поводу которой, в различные исторические периоды нашей страны существовали те или иные договорные отношения, в том числе охраны конфиденциальности информации. Выделены основные три этапа договорного регулирования отношений в информационной сфере.

Первый этап (с 60-х гг. XX в.) характеризуется созданием и освоением в производстве новой техники и технологии. Объектом договорных отношений была продукция научных организаций. В договорной практике, начиная с 80-х годов, широко использовались типовые договоры на создание (передачу) научно-технической продукции, что позволяло предприятиям конструировать различные виды договоров на выполнение подрядных работ (услуг) в этой области. Основными видами были договоры на создание научно-технической продукции, на проведение научно-исследовательских и опытно-конструкторских (технологических) работ, на передачу (тиражирование) научно-технической продукции. Второй этап (с 80-х гг.) договорного регулирования был связан с широким внедрением в различные отрасли народного хозяйства электронно-вычислительной техники и программных средств. А.Е. Шерстобитов предложил научно обоснованную типизацию гражданско-правовых договоров в сфере информатики, включающей договоры на разработку и передачу программных средств, на оказание научно-технических услуг пользователям программных средств, на выполнение информационно-вычислительных работ (услуг), которые до сих пор используются в коммерческой практике. Третий этап (с 90-х гг.) связан с обособлением нового вида общественных отношений - информационных (Е.А. Суханов) и освоением экономикой информационного ресурса как товара (И.Л. Бачило)

В русле задач исследования была разработана классификация договоров в сфере обращения КЗИ на основе общей классификации, принятой в гражданском праве (Е.А.Суханов, А.П. Сергеев, Ю.К. Толстой), выделения договоров в предпринимательском (Е.П. Губин) и коммерческом праве (Б.И. Пугинский), в зависимости от целевого назначения информации в гражданском (торговом) обороте. Установлено, что в большинстве случаев информационные отношения регулируются с помощью договоров на оказание информационных услуг, реже с помощью договоров подряда на выполнение работ. Договор на выполнение НИОКР практически не претерпел существенных изменений с советского периода относительно соблюдения требований конфиденциальности. Договор купли-продажи информационных продуктов, за исключением купли-продажи технических систем накопления и обработки информации на ЭВМ, информационных технологий, практически не используется. Причина кроется в несовершенстве законодательства, регулирующего информационные отношения, непонимании участниками рынка сущности информации и недооценке ее коммерческой значимости.

Анализ структуры информационного рынка позволил сформулировать дифференцированный подход к выделению договоров в сфере обращения КЗИ, в основе которого лежат критерии их отграничения от общегражданских, предпринимательских и торговых договоров, а также сходства с договорами, регулирующих информационные отношения, формирующиеся под влиянием определенных факторов, в качестве которых в работе названы следующие основания классификации:

1) Связь договоров в сфере обращения КЗИ с классификациями договоров, принятыми в частном праве.

2) Отношение договоров, регулирующие сферу обращения КЗИ, как части и целого процесса договорного регулирования информационной сферы коммерческих организаций.

3) Идентичность подходов к типизации договоров, которые предложены наукой частного права, выработаны практикой регулирования информационных отношений и обращения КЗИ.

4) Связь этапов цикла производства и реализации товаров с этапами использования КЗИ, обусловливающая степень необходимости соблюдения условий охраны ее конфиденциальности.

5) Субъектный состав договорных отношений по поводу КЗИ представлен коммерческими организациями и индивидуальными предпринимателями, которые устанавливают или приобретают по договору на нее фактическую монополию.

6) Определенный контингент работников, участвующих в заключении договоров и исполнении обязательств при обращении КЗИ.

По мнению автора, договорные отношения, осложненные элементом соблюдения условия конфиденциальности, отражают специфику их регулирования при обращении КЗИ. Причем условие конфиденциальности по усмотрению сторон в различной степени сопровождает договорный процесс производства и реализации товаров (работ, услуг), в зависимости от целей использования КЗИ. В диссертации обосновывается вывод о формирующихся видах договорных отношений в сфере обращения КЗИ, обусловленных действием названных выше факторов. Первая группа договоров, предметом которых является получение КЗИ технического, технологического и коммерческого характера. Таковы договоры на выполнение научно-исследовательских, опытно-конструкторских и технологических работ, на проведение маркетинговых исследований. Вторая группа - это договоры на передачу информационных продуктов, содержащих КЗИ. Это договоры на передачу секрета производства (ноу-хау) и коммерческой информации. Третью группу составляют договоры на оказание информационных услуг с использованием КЗИ. Четвертая группа договоров носит комплексный характер. Системообразующим в ней является договор коммерческой концессии, связанный с предоставлением пользователю возможности использования КЗИ путем передачи ему документации и осуществления информационного обслуживания.

В диссертации представлена разработанная на основании материалов исследования методика формирования договорных условий о конфиденциальности информации. Формирование условий договора в сфере обращения КЗИ требует учета отношений по передаче информации (А.Е. Шерстобитов). Заключению любого договора предшествуют преддоговорные контакты сторон, причем часто с оформлением соглашения о неразглашении конфиденциальной информации. На этапе оформления договора стороны вырабатывают общие критерии обеспечения конфиденциальности информации, которые определяют содержание совместного заключения о наличии условий обеспечения конфиденциальности, плана мероприятий. Названные и другие документы, выработанные практикой, могут быть использованы по усмотрению сторон для обеспечения конфиденциальности любой группы договоров в сфере обращения КЗИ. Содержание этих документов зависит от предмета конкретного договора. На этапе исполнения обязательств разрабатываются совместные методические документы о проверке соблюдения условий конфиденциальности.

В главе значительное место занимают рекомендации по разработке и исполнению условий конфиденциальности на этапах выполнения НИОКР и маркетинговых исследований, передачи информации в рамках оказываемых услуг. При этом особое внимание уделяется необходимости учета «фактора рассеивания» информации о создаваемом образце продукции, подробная характеристика которого освещается в работе.

В главе 3 «Организационное обеспечение деятельности по охране конфиденциальности информации» раскрываются угрозы интересам коммерческой организации и основные параметры построения системы ее безопасности, обобщается опыт защиты секретной информации в советский период, исследуется порядок осуществления организацией права на установление режима коммерческой тайны, рассматривается разработанная автором методика определения степени конфиденциальности КЗИ и система мер по установлению режима коммерческой тайны.

В силу того, что доктрина информационной безопасности РФ не выделяет угрозы интересам организаций и меры по их предупреждению, организации самостоятельно полностью формируют собственную систему безопасности, включающую ее организационное, правовое и методическое обеспечение. Учитывая теоретическое и в еще большей степени практическое значение проблемы, автором сформулированы цели, принципы и условия создания системы безопасности организации. Показано, что общие угрозы национальным интересам России, действующие в информационной сфере, оказывают дестабилизирующее влияние на безопасность организаций. Внешние угрозы могут проявляться в результате правотворческой и правоприменительной деятельности государственных органов и органов местного самоуправления, недостаточно учитывающих интересы организаций, особенности взаимодействия с контрагентами. На уровне хозяйственных связей действуют конкретные угрозы, возникающие вследствие нарушений работниками режима КЗИ и контрагентами своих обязательств на каналах возможной ее утечки. Внутренние угрозы напрямую связаны с «человеческим фактором» и представляют наибольшую опасность для организаций.

Существенное значение для понимания угроз имеет учет дестабилизирующих факторов (А.И. Алексенцев), что проявляется в первую очередь в нарушении делового ритма хозяйственной деятельности, а также в ряде иных негативных явлений и процессов. Установлены типичные дестабилизирующие факторы, анализ которых, позволяет выявлять возможные угрозы безопасности и осуществлять адекватные меры противодействия. Учитывая связь дестабилизирующих факторов с угрозами в работе, предлагается решение широкого круга задач обеспечения защиты КЗИ, в частности, предложен алгоритм разработки системы сбора и анализа данных об источниках угроз на ранних стадиях их возникновения, обоснованы параметры предлагаемой системы и контуры комплексно-целевой программы автоматизации функций установления режима коммерческой тайны (сбор и анализ информации для включения в перечень сведений, составляющих коммерческую тайну, создание разрешительной системы); обозначены предпосылки достижения основного результата автоматизации функций, связанных с обеспечением режима обращения КЗИ (выявление и оценка угроз, возможных каналов утечки КЗИ); моделирования мер по предупреждению угроз, позволяющего в автоматизированном режиме осуществлять выдачу рекомендаций субъектам по использованию правовых средств. Предлагаемая система может выполнять функции справочно-информационного обслуживания и управления системой защиты КЗИ.

Отдельные элементы советской системы защиты секретов обнаруживают тесную связь с сегодняшней практикой защиты информации, прежде всего крупных коммерческих организаций. В советский период действовал хорошо отлаженный механизм обеспечения режима секретности и охраны государственной тайны, в рамках которого осуществлялась защита сведений технического и технологического характера, что позволяло обеспечить на ранней стадии предотвращение разглашения (утечки) охраняемой информации. Обеспечение режима секретности (ОРС) проводимых работ представляло специфическую область государственного управления, имело многоуровневый характер и осуществлялось в процессе решения хозяйственных задач, и не сводилось только к деятельности режимно-секретных органов (РСО). Субъекты, в зависимости от возложенных на них функций, осуществляли планирование мероприятий по ОРС и контроль за их выполнением. Деятельность субъектов была объединена внутренним единством и обусловлена хозяйственной деятельностью предприятий.

Важная роль в обеспечении охраны государственных секретов была отведена министерствам и ведомствам, которые в рамках отраслевой компетенции объединяли усилия подчиненных им предприятий, создавали необходимые финансовые, трудовые и производственные условия для сохранения секретов и вносили элементы стабильности в обеспечение правопорядка в этой сфере. В работе отмечается, что основными направлениями их деятельности являлись: подбор, расстановка и обучение кадров, планирование режимных мероприятий; разработка показателей отчетности о защите секретов; осуществление мер по повышению ответственности за ОРС. Такой подход объясняется действием единого административно-правового режима, установленного в сфере защиты государственных секретов на всей территории страны.

Показано значение деятельности местных органов власти и правоохранительных органов, администрации предприятий и общественных организаций по сохранению государственных секретов. Обосновывается особая роль руководителей предприятий и структурных подразделений, непосредственно занимающихся организацией защиты секретов в процессе производства и реализации продукции, подбором и расстановкой кадров, осуществлением контроля и воспитательно-профилактической работой, применением системы стимулирования, что является характерным для современных коммерческих структур.

Права организации на установление режима коммерческой тайны обусловлены их фактической монополией на КЗИ и осуществляются по инициативе обладателя с использованием собственных сил и средств. Реализация этого права связана с созданием организационных структур, профессионально обеспечивающих безопасность организации. Управление процессом осуществляется на основе сочетания административных методов руководства, учета фактора самоуправления трудовых коллективов, взаимного согласования их интересов и установления отношений с контрагентами по защите КЗИ. Система безопасности организаций строится в основном по линейному принципу с наличием вертикальных и горизонтальных связей. Структурными звеньями этой системы являются: совет директоров и правление общества или генеральный директор и его заместитель по вопросам безопасности; совет безопасности общества, постоянно действующая техническая комиссия; служба безопасности (СБ); подразделения, которые наделены соответствующими правомочиями в этой сфере.

В работе раскрывается структура и функции СБ, осуществляющей координацию звеньев, обеспечивающих безопасность организации, содержание деятельности подразделений конфиденциального делопроизводства, режима, анализа, специальной связи и охраны по защите КЗИ, и рекомендации по ее совершенствованию. Подчеркивается необходимость юридических, организационных и материальных гарантий, позволяющих оперативно вести работу по выявлению, предупреждению и пресечению неправомерных посягательств на объекты защиты частных интересов, связанных с использованием КЗИ.

Оптимальный выбор организационной структуры безопасности коммерческой организации обусловлен особенностями управления процессом установления режима коммерческой тайны и его обеспечения на малом, среднем и крупном предприятии. Определение оптимальных параметров СБ (ее структуры, задач и функций) зависит от направлений деятельности и участков, где обращается КЗИ, и тех угроз, которые представляют опасность для организации. На основании данных об угрозах автор считает, что реализация мероприятий по обеспечению безопасности не может быть возложена лишь на одну СБ. Достижение эффективности результатов этой работы возможно только при взаимодействии СБ со всеми подразделениями и участии работников организации.

Типовых методик, позволяющих определить наиболее приемлемую структуру СБ для организаций, не существует. В каждом случае она индивидуальна. Практически этот вопрос решается применительно к отдельной организации с учетом ее направлений деятельности. Объем обстоятельств, имеющих общий характер, влияющих на определение организационной структуры СБ, сравнительно невелик. К ним главным образом относятся особенности хозяйственной деятельности организации, виды и характер проявления угроз безопасности ее интересам, специфика причинного комплекса лежащих в основе свойственных конкретной организации правонарушений в информационной сфере. Существенным для решения указанных задач является учет требуемой совокупности мероприятий, связанных с использованием различных правовых средств. И, наконец, ресурсный потенциал организации, определяющий возможности выполнения мероприятий по обеспечению безопасности.

При выборе структуры СБ учитывается специфика малых, средних и крупных организаций. Существующие различия объясняются лишь объемом хозяйственных связей и договоров, количественными параметрами, и, прежде всего, численностью работников, занятых реализацией мер по обеспечению безопасности.

Обосновывается вывод о существенном влиянии «фактора ущерба» и «фактора времени» на определение и изменение степени конфиденциальности КЗИ. Ущерб от разглашения (утечки) КЗИ чаще всего связан с имущественными потерями вследствие неправомерных, а иногда и правомерных, но без учета хозяйственной ситуации, действий либо бездействия субъектов. Это проявляется в срыве переговоров и заключении невыгодного договора; невыполнении обязательств и др. Оценка размеров ущерба производится расчетным и (или) экспертным путем. Важно учитывать ущерб от необоснованного засекречивания информации, который включает непосредственные затраты на засекречивание КЗИ и ущерб обществу от невозможности ее использования в экономике. Сопоставление возможного ущерба при разглашении (утечке) сведений, с одной стороны, и отрицательных последствий засекречивания -- с другой, позволяет определить важность защиты информации, которая может быть определена по градации категорий ущерба. Предлагается различать три категории ущерба: коммерческая тайна (КТ) первой категории (ущерб), КТ второй категории (крупный ущерб), КТ третьей категории (тяжкие последствия в виде банкротства организации). Предельный размер ущерба определяется индивидуально каждой организацией. Повышение категории ущерба связано с уровнем охраны КЗИ и увеличением затрат. Фактор времени связан с коммерческим интересом к информации и обусловливает степень ее охраны.

Рассматривается процедура установления категорий сведений, составляющих коммерческую тайну, выраженных в обобщенном виде без привязки к конкретному образцу изделия, коммерческой сделке и т.п., которые включаются в Перечень сведений, составляющих коммерческую тайну (далее - Перечень). Первый этап предполагает составление списка сведений, использование которых позволит организации быть конкурентоспособной и стабильно получать прибыль. Второй этап состоит в оценке ущерба организации при разглашении (утечке) КЗИ в случаях открытого использования сведений. Третий этап посвящен проверке того, не являются ли включенные в Перечень сведения общеизвестными и общедоступными на законных основаниях. Четвертый этап связан с проверкой возможностей организации осуществлять меры по защите сведений, доступ к которым ограничен. Пятый этап заключается в проверке того, что рассматриваемые сведения не могут составлять коммерческую тайну. Законодательством предусмотрено, что сведения, содержащие государственную и иную тайну, учредительные и другие документы не могут составлять коммерческую тайну. Шестой этап состоит в проверке того, что относимые к коммерческой тайне сведения не касаются негативной деятельности организации, способной причинить ущерб личности, обществу и государству. Речь идет о сведениях, касающихся: злоупотреблений в коммерческих интересах, уклонения от выполнения договорных обязательств либо уплаты налогов, недобросовестной конкуренции и другие.

Разработана методика определения степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Предлагается учитывать критерии и признаки, лежащие в основе использования методики. Выделяются общий критерий, характеризующий ущерб при попадании сведений к конкурентам, и частные критерии, включающие характер сведений и их относимость к защищаемым сферам деятельности; важность сведений; возможность защиты сведений и материальные затраты на их защиту. Содержание частных критериев раскрывается отдельными признаками.

Характер сведений, составляющих КЗИ, зависит от выбора направлений деятельности организации и отражения их в Перечне. Критерий важности КЗИ, характеризуется актуальностью, новизной, объемом и степенью обобщенности сведений. Критерий защиты сведений раскрывается такими признаками, как: уязвимость КЗИ от конкурентной разведки, осведомленность и устремления конкурентов к защищаемой КЗИ, опасность разглашения (утечки) КЗИ со стороны работников. Выделенные критерии и признаки составляют основу методики, позволяющей обоснованно подходить к определению степени конфиденциальности КЗИ, что связано с определением границ устанавливаемого режима коммерческой тайны и содержанием мероприятий по обеспечению безопасности организации.

Меры, устанавливающие режим коммерческой тайны, составляют одно из обязательных условий достижения необходимого уровня защищенности коммерческой тайны. Их содержание и объем определяются организацией исходя из правомочия на собственные действия (В.Н. Лопатин, А.П. Сергеев), которые реализуются по усмотрению субъектов в виде мероприятий. Понятие «мера» применительно к режиму коммерческой тайны означает способ воздействия на участников обращения КЗИ путем определения границ (пределов) дозволительного и разрешительного порядка ее использования и охраны конфиденциальности. Под мероприятием по защите информации понимается совокупность действий по разработке и практическому применению методов и технологии защиты информации, имеющих целью решение отдельных задач по установлению и обеспечению режима коммерческой тайны.

Установлено, что в любой организации, где обращается КЗИ, действует своя система режимных мер. Она состоит из двух основных групп мер, устанавливающих режим коммерческой тайны до начала производства и реализации товаров (работ, услуг), и мер, обеспечивающих установленный режим конфиденциальности КЗИ в процессе ее обращения. Первая группа мер, по сути, образует режим КЗИ, и включает мероприятия подготовительного характера: изучение хозяйственной ситуации, определение перечня сведений, составляющих коммерческую тайну, закрепление корпоративных требований к лицам, допускаемым к КЗИ, установление порядка учета, хранения и обращения конфиденциальных документов и изделий, разработка мер по противодействию конкурентной деятельности, оформление трудовых и гражданско-правовых отношений по поводу защиты КЗИ. Вторая группа мер включает мероприятия обеспечительного характера по мониторингу угроз и возможных каналов утечки КЗИ, установлению причин нарушений при обращении такой информации и обстоятельств, им способствующих, предупреждению правонарушений путем проведения контроля за выполнением требований установленного режима и аналитических исследований.

Структура, состав и содержание мер, направленных на установление режима коммерческой тайны, обусловлены объемом охраняемой КЗИ и уровнем противодействия угрозам, а также наличием ресурсов, используемых для обеспечения безопасности, что определяет выбор мер и их комплексное применение.

Глава 4 «Правовое обеспечение деятельности по охране конфиденциальности информации» посвящена характеристике нарушений режима коммерческой тайны и их связи с возможными каналами утечки информации, причин и обстоятельств, им способствующих, и мер по их предупреждению в сфере обращения КЗИ.

Исходной системой базовых положений для определения понятия «правовое обеспечение деятельности по охране конфиденциальности информации» является концепция правового режима ноу-хау, сформулированная И.А. Зениным, и получившая развитие в работах В.В. Погуляева, З.Ф. Гайнуллиной, М.С. Зельцер и др. авторов. Под правовым обеспечением частных интересов организаций в сфере обращения КЗИ диссертантом понимается комплекс правовых средств, предусмотренных нормами гражданского, трудового, уголовного и иных отраслей права, способствующих ограждению имущественной сферы обладателя коммерческой тайны от третьих лиц, включая контрагентов и работников, с которыми установлены договорные отношения. При этом подчеркивается, что его эффективность зависит от методологического аппарата изучения особенностей нарушений режима КЗИ, причин и обстоятельств, им способствующих, и мер по их предупреждению с использованием выводов правовых наук, изучающих публично-правовую сферу.

Автором излагаются соображения, которые определяют основные характеристики методологического механизма правового обеспечения. Для получения характеристики нарушений режима КЗИ в работе в качестве исходных были использованы теоретические положения, разработанные В.Б. Ястребовым, которые уточнены диссертантом применительно к задачам исследования и рассматриваются, как совокупность признаков: 1) раскрывающих распространенность, структуру нарушений режима КЗИ, в которой наряду с традиционными структурными элементами представлено распределение нарушений и особенности их проявления на каналах возможной утечки информации; 2) характеризующих сферы профессиональной деятельности работников - исполнителей конфиденциальных документов и работ, в которых наблюдаются проявления нарушений режима КЗИ, показывающих среду, в которой могут быть совершены такие нарушения; 3) отражающих личностные особенности лиц, допускающих нарушения режима КЗИ; 4) имеющих значение для понимания причин нарушений режима КЗИ и осуществления предупредительной деятельности.

Касаясь причин и условий нарушений режима КЗИ, которые выражаются в невыполнении или ненадлежащем выполнении работниками служебных обязанностей и условий договорных обязательств партнерами, автор исследует роль деятельности администрации организаций по обеспечению знания ситуации и оказанию влияния на нее, практику реагирования на нарушения режима КЗИ.

Предпринятое исследование позволило разработать классификацию возможных каналов утечки информации в зависимости от проявления типичных, а также иных часто повторяемых, нарушений, совершаемых работниками организаций, контрагентами и иными лицами при обращении КЗИ. Поскольку функционирование канала утечки в рамках информационных потоков происходит в силу неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа и получения конкурентной разведкой с учетом сложившихся хозяйственных связей, в ходе изучения работы охранных служб было уделено специальное внимание определению возможностей хозяйствующих субъектов противостоять связанным с указанными факторами нарушениям режима КЗИ, использованию данных их распространенности в превентивных целях. Отдельно проанализированы нарушения хозяйственной деятельности, связанные с использованием коммуникационных технических систем, демаскирующих признаки объекта, по которым определяется использование охраняемой информации и степень ее защиты. Особое внимание уделено анализу процессов, ведущих к возможной утечке КЗИ, образующейся вследствие действия «человеческого фактора».

На основе анализа факторов, влияющих на совершение нарушений режима КЗИ, ведущих к утечке такой информации, были выделены четыре группы проблем: 1) сложности, наблюдающиеся при решении задач по защите коммерческих секретов, требующие оперативного реагирования со стороны администрации и служб безопасности на изменения в хозяйственной практике работы организаций; 2) противоречия между требованиями, предъявляемыми к подбору и расстановке кадров в подразделениях, работники которых подлежат оформлению на допуск к КЗИ, включая работников службы безопасности, и состоянием современной практики их выполнения; 3) несоответствия между содержанием функций отдельных категорий работников служб безопасности и объективными возможностями их выполнения; 4) недостатки в системе реализации ответственности за невыполнение или ненадлежащее выполнение служебных обязанностей и обязательств, связанных с защитой КЗИ.

Указанными обстоятельствами не исчерпывается совокупность явлений, способствующих утечке информации. Однако они дают представление о тех процессах, которые тесно связаны с нарушениями режима КЗИ. В дальнейшем их характеристика дополнена анализом обстоятельств, выступающих в качестве самостоятельного звена в системе причин нарушений режима КЗИ.

Установлено, что в реальной действительности обстоятельства, в которых находят отражение общие и конкретные причины нарушений режима КЗИ, однотипны по своему содержанию. В зависимости от среды, в которой они себя проявляют, в работе были выделены три группы обстоятельств.

Группа обстоятельств организационно-управленческого характера. Их понятием объединяются конкретные недостатки в управлении процессом обеспечения режима КЗИ, обусловливающие отсутствие должного порядка и дисциплины в трудовых коллективах, связанных с сохранением коммерческих секретов. Это несовершенство структуры управления режимным обеспечением работ; недостатки в подборе, расстановке и обучении работников, допущенных к КЗИ; неудовлетворительная постановка учета и отчетности; отсутствие регулярных проверок документов и работ, содержащих КЗИ; неудовлетворительный контроль за обеспечением установленного режима; недостатки корпоративного планирования и финансирования работ при обращении КЗИ, включая стимулирование работников.

Группа обстоятельств воспитательного характера связана с недостатками формирования у работников чувства «фирменного патриотизма» и уважения частных интересов собственника; отсутствием дифференцированного индивидуального подхода к воспитанию работников и должного материального стимулирования. Группа обстоятельств правового характера объединяет недостатки правового регулирования и использования правовых средств при обращении КЗИ на корпоративном уровне.

Объяснение причин нарушений режима КЗИ не ограничивается только названными обстоятельствами. Рассмотрение этой проблемы осуществлено и на индивидуальном уровне, имея в виду, что причинами таких нарушений может быть рассогласование поведения человека с социальной средой (В.Н. Кудрявцев). Анализируется поведение работника, имеющего доступ к КЗИ, которое противоречит интересам собственника.