Игорь Емышев
начальник отдела системных мер защиты информации Департамента безопасности ОАО «РЖД»
Тайны компании
К защите информации необходим системный подход
Современная рыночная экономика ориентирована на то, чтобы частные достижения субъекта экономической деятельности применялись только их обладателями или с согласия этих лиц, повышая тем самым конкурентоспособность и прибыль участников гражданского оборота. В научно-технической и производственной сферах это требует обеспечения правовой охраны и защиты информации, составляющей коммерческую тайну.
Баланс интересов
В качестве основных угроз в этой сфере для ОАО «РЖД» необходимо рассматривать действия, нарушающие конфиденциальность, доступность и целостность данных, циркулирующих в информационных и телекоммуникационных системах компании, а также конфиденциальность сведений, содержащихся в её документах и составляющих коммерческую тайну. При этом необходимо подчеркнуть, что все отношения, связанные с отнесением информации к коммерческой тайне, её передачей, а также охраной конфиденциальности, регулируются в России федеральным законом «О коммерческой тайне».
Для обеспечения охраны конфиденциальности информации и в соответствии с указанным выше законом в компании установлен режим коммерческой тайны. Он включает в себя разработку и введение в действие «Перечня информации, составляющей коммерческую тайну ОАО «РЖД» и «Инструкции о порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД».
В соответствии с требованиями данной инструкции:
• ограничен доступ к информации, составляющей коммерческую тайну. Это сделано путём установления порядка обращения с этой категорией информации и контроля за его соблюдением;
• организовано ведение конфиденциального делопроизводства носителей, содержащих информацию, составляющую коммерческую тайну. В том числе речь идёт о нанесении грифа «Коммерческая тайна», а также ведении учёта работников, получивших доступ к подобным материалам;
• организовано регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками ОАО «РЖД» на основании трудовых договоров и контрагентами на основании гражданско-правовых отношений.
При этом перечень информации, составляющей коммерческую тайну, разработан с учётом законов «О коммерческой тайне», «Об информации, информатизации и защите информации», «Об акционерных обществах», «О транспортной безопасности» и ряда других нормативных актов.
Инструкция о порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД», разработана с учётом законов «О коммерческой тайне», «Об информации, информатизации и защите информации», Гражданского кодекса РФ, Трудового кодекса РФ, нормативно-методических документов Гостехкомиссии России («Специальные требования и рекомендации по технической защите конфиденциальной информации») и практики защиты информации конфиденциального характера в МПС России.
Эта инструкция обязательна для исполнения руководством РЖД, работниками подразделений аппарата управления компании, её филиалов и структурных подразделений.
Иерархия защиты
Система информационной безопасности функционирует на двух уровнях. Первый из них общий, реализуемый руководством компании, а также всеми её структурными подразделениями и работниками в пределах их компетенции. Второй – специальный. Он реализуется Департаментом безопасности, региональными центрами безопасности и соответствующими подразделениями (работниками) филиалов и других структурных подразделений ОАО «РЖД».
Департамент безопасности – головное подразделение компании, осуществляющее разработку и реализацию единой политики обеспечения режима коммерческой тайны. В структуре департамента созданы отдел системных мер защиты информации и отдел технических мер защиты информации.
Основными задачами отдела системных мер защиты информации являются:
• организация защиты информации, составляющей коммерческую тайну ОАО «РЖД» и его контрагентов в подразделениях аппарата управления, филиалах и других структурных подразделениях компании;
• координация и методическое руководство деятельностью подразделений аппарата управления, региональных центров безопасности, филиалов и других структурных подразделений ОАО «РЖД» по защите информации, составляющей коммерческую тайну ОАО «РЖД» и его контрагентов;
• проведение контроля выполнения работниками компании требований нормативных документов по вопросам защиты информации, составляющей коммерческую тайну.
Работа на местах
В непосредственном ведении Департамента безопасности находятся региональные центры, которые обеспечивают в границах соответствующих им железных дорог реализацию единой политики в области обеспечения защиты информации, составляющей коммерческую тайну, контроль и методическое руководство по данным вопросам.
При этом в отдельных филиалах (Дирекция тяги, Центральная дирекция инфраструктуры, Росжелдорснаб, Главный вычислительный центр) созданы собственные подразделения по обеспечению безопасности, которые работают во взаимодействии с Департаментом безопасности ОАО «РЖД».
Сотрудничество по вопросам защиты информации с дочерними обществами осуществляется на основании заключаемых соглашений об охране информации, составляющей коммерческую тайну, а с контрагентами ОАО «РЖД» – договоров на проведение работ. В настоящее время сложилась хорошая практика взаимодействия Департамента безопасности с Правовым департаментом и Департаментом технической политики по вопросам рассмотрения разделов об охране конфиденциальности договоров на проведение работ. В договорах указываются условия охраны конфиденциальности информации, обязанность контрагента по возмещению убытков при разглашении сведений, составляющих коммерческую тайну, вопреки условиям договора. Эта деятельность осуществляется с учётом разработанных Департаментом безопасности и проверенных практикой типовых соглашений об охране информации, составляющей коммерческую тайну, и типовых разделов об охране конфиденциальности договоров с контрагентами. Департаментом безопасности разработан и введён в действие ряд локальных актов ОАО «РЖД» по отдельным направлениям защиты информации конфиденциального характера. К таким документам в первую очередь относятся Регламент охраны конфиденциальности информации при проведении совещаний в ОАО «РЖД» и заседаний его Совета директоров, а также Порядок предоставления доступа к информационным системам компании.
При организации охраны информации, составляющей коммерческую тайну, в рамках трудовых отношений нужно учитывать, что в соответствии с пунктом 43 постановления пленума Верховного суда РФ от 17 марта 2004 года № 2 «О применении судами РФ Трудового кодекса РФ» в случае оспаривания работником увольнения по подпункту «в» пункта 6 части первой ст.181 Трудового кодекса РФ работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, относятся к коммерческой тайне. Причём нужно доказать, что эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязался не разглашать их. Кроме того, необходимо учитывать требование ст.11 закона «О коммерческой тайне», в соответствии с которой работодатель обязан создать необходимые условия для соблюдения установленного режима коммерческой тайны.
Проверка на местности
Важным направлением является осуществление контроля за соблюдением требований по обеспечению режима коммерческой тайны и информационной безопасности.
Департаментом безопасности и региональными центрами безопасности проводятся проверки организации и обеспечения режима коммерческой тайны в подразделениях аппарата управления, филиалах и других структурных подразделениях ОАО «РЖД».
Подобного рода проверки осуществляются также в дочерних обществах компании (в случае передачи им документов, содержащих информацию, составляющую коммерческую тайну, обладателем которой является ОАО «РЖД»).
Проведённые в последнее время проверки показали определённые недостатки в организации и обеспечении режима коммерческой тайны и информационной безопасности на ряде объектов. Как правило, причины этого кроются в отсутствии должного внимания со стороны отдельных руководителей и работников к вопросам защиты информации, а также недостаточном знании ими соответствующих федеральных законов и нормативных документов ОАО «РЖД».
После проведения проверки разрабатывается план устранения выявленных недостатков и нарушений, выполнение которого берут на контроль Департамент безопасности и региональные центры безопасности. При необходимости к нарушителям применяются меры дисциплинарного наказания. В случае выявления утраты документов с грифом «Коммерческая тайна» или разглашения конфиденциальной информации проводится служебное расследование.
Важное место в организации и обеспечении режима коммерческой тайны в ОАО «РЖД» занимают вопросы повышения уровня квалификации специалистов подразделений, непосредственно организующих работу с информацией, а также сотрудников, ведущих конфиденциальное делопроизводство документов с грифом «Коммерческая тайна». Организуются и проводятся консультативные совещания, сетевые школы и обучение по всем указанным выше вопросам, связанным с защитой информации.
Мода на проекты
Александр Козлов, директор Департамента проектного управления ООО «Аэроэкспресс», доцент, к.э.н.,
От ручного управления к программно ориентированному
Рубрики: Корпоративное управление
Новый взгляд
Николай Верховский, исполнительный директор Центра цифровой трансформации, директор проектной работы Московской школы управления «Сколково» ,
В чём принципы архитектуры цифровой компании
Рубрики: Корпоративное управление