Что такое служебная тайна?
Споры о том, что же такое служебная тайна, не прекращаются ни в среде юриспруденции, ни среди специалистов по безопасности, ни, наверное, в кулуарах законодательных собраний. Проект закона о служебной тайне находится только на стадии разработки, и законодательно закрепленного понятия служебной тайны нет. Поэтому и все существующие варианты будут лишь домыслами. Тем не менее, перечислим распространенные мнения о сущности категории «служебная тайна».
До сих пор словосочетание «служебная тайна» у многих людей ассоциируется с информацией ведомственного характера под грифом «секретно». Однако ныне действующий Закон «О государственной тайне» не предусматривает понятия служебной тайны в прежнем понимании. Теперь все сведения с грифом «секретно» составляют уже государственную тайну. А что же «служебная тайна»? Это понятие также встречается в различных правовых актах. В частности, статья 139 Гражданского кодекса РФ говорит о служебной тайне в сочетании с коммерческой тайной: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности». А в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6 марта 1997 года № 188. К служебной тайне отнесены «служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с гражданским кодексом Российской федерации и федеральными законами» (статья 3).
Исходя из всего вышесказанного, можно предположить, что служебная тайна – это аналог коммерческой тайны, только последнее определение применимо к коммерческим организациям, а первое относится к ведомственным структурам.
Угрозы служебной тайне
Отталкиваясь от принятого нами условного понятия служебной тайны, попытаемся выяснить, какие же угрозы существуют для данного вида информации и как от них защищаться.
Хакеры? Ну, куда же без них! Хакеры или в целом внешние злоумышленники действительно могут взломать сеть организации и добраться до информации, составляющей служебную тайну.
Тем не менее, гораздо более реалистичным представляется другой вариант. Как часто мы слышим в последнее время о хакерах? Достаточно часто. Однако кто же оказывается этими «хакерами» на деле? Подростки, которые залезли в Интернет под чужим именем, или юноши, наткнувшиеся в школьной сети на базу данных одноклассников. Опасность хакеров сегодня преувеличена. Особенно это касается американских СМИ, регулярно поднимающих истерию по поводу происков китайских и российских «сетевых злодеев».
Даже не сбрасывая хакеров со счета, служебная тайна в ведомственных организациях может и не храниться в локальной сети, откуда есть доступ в Интернет. Для повышения защищенности, скорее всего, будут использоваться несколько не связанных между собой сегментов. И получить доступ к секретной информации можно только изнутри самой организации. А в этом случае на сцену выходят уже инсайдеры. Разумеется, отлаженный режим, в подобного рода организациях, позволяет до некоторой степени снизить и угрозу компрометации данных изнутри. Персонал проходит регулярные инструктажи по работе со служебной тайной, сами сотрудники достаточно лояльны, доступ в Интернет ограничен. Однако помимо халатности не стоит исключать и злого умысла.
Защита служебной тайны
Можно сколько угодно упражняться в риторике, выясняя, какую же информацию следует отнести к служебной тайне, а какую, например, к коммерческой. С последней, к счастью, уже разобрались, - что такое коммерческая тайна, прописано в Федеральном законе Российской Федерации от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»). Но разве это действительно важно?
Не в понятиях дело. Комплексная система защиты информации должна защищать не один определенный класс информации (например, персональные данные), а все корпоративные документы в целом. Да, безусловно, чтобы защита была наиболее эффективной, система должна знать, какая информация является конфиденциальной и кто к ней имеет доступ. Однако в данном случае правильнее будет говорить о классификации как таковой.
Когда в какой либо организации начинается процесс полноценной классификации, выясняется, что сущность информации гораздо более многолика, чем набор привычных категорий «Коммерческая тайна», «Служебная тайна», «Государственная тайна». Не совсем подходят и понятия «публичная информация», «для внутреннего использования», «совершенно секретно». Оказывается, информация может делиться, например, по географическому или функциональному признаку. Таким образом, классифицированный набор данных будет иметь сразу несколько категорий, например, «персональные данные» - «сведения о зарплате» - «Челябинская область». Если какую-то из этих категорий убрать, то описание содержания информационного массива будет уже искажено.
Подводя итоги
Приведенный выше пример демонстрирует неоднородность информации в корпоративной среде. Формальных требований к защите служебной тайны нет, поскольку не существует такого юридического понятия. Как защитить служебную тайну и что вообще подразумевать под данным понятием, - вопрос остается открытым.
Аналогично остается невыясненным: а может ли частная компания обладать «служебной тайной», или «служебная тайна» - прерогатива государственных ведомств?
Тем не менее, озаботиться охраной данных нужно уже сейчас. Если дожидаться, пока будет утвержден федеральный закон о служебной тайне, пока выйдут подзаконные акты, устанавливающие способы защиты информации, секретов может «утечь» очень много.
Коммерческим организациям нецелесообразно сегодня различать категории служебной и коммерческой тайн. Делить информацию стоит по ее фактической смысловой нагрузке. У государства же есть прекрасная альтернатива – засекретить все служебные сведения как государственную тайну с соответствующим ограничением доступа.
Специалисты уверяют, что сложности в защите конфиденциальных данных (служебной ли тайны, коммерческой или персональных данных) сегодня заключаются, не столько в технической плоскости (как защитить), сколько - в организационной. Для того чтобы информация была надежно защищена, важно всего один раз написать политику информационной безопасности и внедрить процесс мониторинга ее соблюдения и актуализации.