Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 17
Текст из файла (страница 17)
Ассоциации и союзы организаций могут вырабатывать общие условия и правила отнесения сведений к информации, составляющей коммерческую тайну. Усилия заинтересованных организаций позволяют решить задачу формирования эффективного правового механизма, связанного с установлением степени конфиденциальности КЗИ, ее пересмотра, изменения и рассекречивания, что способствует определению перечня сведений, составляющих коммерческую тайну конкретной организации.
§ 2. Концептуальные аспекты установления категорий сведений, составляющих коммерческую тайну
Важное место в системе мер по охране конфиденциальности КЗИ занимает процедура установления на корпоративном уровне категорий сведений, составляющих коммерческую тайну, определение и изменение на их основе грифа «Коммерческая тайна» конкретных сведений, содержащихся в работах, документах и изделиях. В ФЗ «О коммерческой тайне» не упоминается и не раскрывается суть этих процедур, за исключением обязанности организации по составлению перечня информации, содержащей коммерческую тайну (подп. 1, п. 1, ст. 10 Закона). Реализация названной меры по составлению Перечня связана с обменом научно-технической и деловой информацией, с рациональным использованием организацией сил и средств, используемых для охраны конфиденциальности КЗИ.
Эта работа достаточно сложная. Она представляет собой первоначальный этап в системе мер по установлению режима коммерческой тайны в организации. Ее сущность состоит в выделении из общего массива разнообразной информации, категорий сведений, отражающих наиболее важные направления деятельности организации. Под категорией сведений понимается выраженная в обобщенном виде без привязки к конкретному образцу изделия, создаваемой техники, коммерческой сделке и т.п., не подлежащая разглашению информация, степень конфиденциальности которой устанавливается организацией в перечне сведений, составляющих коммерческую тайну.
На основании установленных и утвержденных организацией категорий сведений исполнитель и его руководитель определяют степень конфиденциальности конкретных сведений, содержащихся в работах, документах и изделиях. Естественно, что с изменением хозяйственной ситуации возникает необходимость в пересмотре степени конфиденциальности КЗИ, т.е. в повышении или снижении грифа «Коммерческая тайна*. Регулирование этих вопросов осуществляется на основании Перечня сведений, составляющих коммерческую тайну организации (далее — Перечень) и с учетом имеющегося опыта работы по защите КЗИ.
Анализ хозяйственной практики показывает, что в большинстве крупных организаций, где обращается КЗИ, составляется такой Перечень, который является руководством при определении категории важности информации. Составление Перечня требует кропотливого труда многих специалистов. Это объясняется тем, что если какие-либо сведения будут упущены из виду, то принимаемые меры охраны окажутся неэффективными. Вместе с тем неоправданное ограничение доступа к информации может осложнить работу организации и привести к материальным издержкам.
При составлении Перечня следует руководствоваться определенными критериями подхода. Во-первых, необходимо выделить те направления деятельности организации, которые приносят прибыль; во-вторых, исходя из рыночной конъюнктуры сбыта аналогичных товаров оценить уровень прибыльности по сравнению с другими предприятиями; в-третьих, определить рентабельность организации на перспективу с учетом производства конкретных товаров. Данные о превышении уровня получаемой прибыли по сравнению с выпуском аналогичных товаров на других предприятиях свидетельствуют о необходимости уточнения круга сведений, составляющих коммерческую тайну.
Методически процесс установления категорий сведений, составляющих КЗИ, можно разделить на ряд этапов.
Первый этап включает составление списка сведений, подлежащих рассмотрению. Анализ практики защиты коммерческой тайны на ряде предприятий позволяет выделить устойчивые элементы организации и управления предприятием, включающие сведения о производстве, управлении, планах, финансах, состоянии рынка, партнерах, переговорах, заключаемых и выполняемых договорах, ценах и научно-технических достижениях. Структура Перечня зависит от особенностей деятельности организации, стратегии развития, заключения контрактов, интереса конкурентов к КЗИ, установления факта утечки и изменения условий защиты КЗИ. Обзорный список сведений, которые могут быть отнесены организацией к КЗИ, дается в Приложении 1. Первоочередной характер носит выделение таких сведений, использование которых позволит организации быть конкурентоспособной и стабильно получать прибыль.
Второй этап состоит в оценке ущерба организации при разглашении {утенке) КЗИ. Важной является оценка наступления отрицательных последствий в виде ущерба в случаях открытого использования сведений, включенных в Перечень. В их числе могут быть:
• прекращение или снижение уровня деловых отношений с партнерами;
• срыв переговоров и выгодного контракта;
• невыполнение договорных обязательств;
• необходимость проведения маркетинговых исследований и разработки новой рыночной стратегии;
• отказ от ранее принятых решений, ставших неэффективными в результате утечки сведений;
• экономические санкции в отношении организации;
• возникновение сложных ситуаций в снабжении, производстве и сбыте продукции и др.
Для определения ущерба в стоимостном выражении используются показатели, применяемые в планово-экономическом и финансовом подразделениях. Показателями ущерба могут быть:
• потери вследствие прекращения финансовых инвестиций;
• экономический эффект от внедрения предприятием-конкурентом результатов НИОКР и полученного при этом преимущества;
• стоимость оборудования и технологий, незаконно использованных конкурентом в производстве аналогичных товаров, и др.
Сложность расчетов не исключает возможности проведения оценки ущерба экспертным путем.
Третий этап должен быть посвящен проверке сведений, включенных в Перечень, не являются ли они общеизвестными и общедоступными на законных основаниях. Оценка сведений по данному критерию заключается в поиске и установлении законных источников информации. В частности, сведения статистического характера не могут составлять коммерческую тайну, сведения о деловых партнерах содержатся в справочной литературе, сведения научно-технического характера после их открытого опубликования не являются коммерческой тайной.
Четвертый этап посвящен проверке возможностей организации осуществлять меры по защите сведений, доступ к которым ограничен. Ограничения на доступ к информации связаны с отрицательными последствиями для организаций. Во-первых, это затраты на защиту информации, а во-вторых, потери других предприятий, связанные с не использованием информации, доступ к которой ограничен.
Для обеспечения защиты выделенных сведений организации:
• закрепляют функцию защиты коммерческой тайны за конкретными подразделениями и работниками;
• проводят необходимые организационные, инженерно-технические и иные работы;
• устанавливают режимы охраны технологии, материалов, порядок работы с документами и др.
При оценке затрат необходимо установить:
• категории и численность лиц, допускаемых к КЗИ;
• затраты на заработную плату, стоимость оборудования, технических средств и материалов, необходимых для организации охраны конфиденциальности КЗИ;
• затраты, связанные с оборудованием контрольно-пропускных пунктов, систем охраны и сигнализации, обеспечением безопасности связи;
• затраты на подготовку и переподготовку кадров в сфере информационной безопасности и др.
Ограничение на доступ к КЗИ является вынужденной мерой. Поэтому сопоставление данных об отрицательных последствиях засекречивания сведений с ущербом при их открытом использовании, анализ возможностей финансирования организацией защитных мер позволит определить экономическую целесообразность отнесения сведений к коммерческой тайне.
Пятый этап заключается в проверке того, что рассматриваемые сведения не могут составлять коммерческую тайну. Законодатель-ством предусмотрено, что сведения, содержащие государственную, служебную и иную тайну, учредительные документы, годовые отчеты, бухгалтерские балансы, документы, связанные с уплатой налогов, и иные не могут составлять коммерческую тайну.
Шестой этап состоит в проверке того, что относимые к коммерческой тайне сведения не касаются негативной деятельности организации, способной причинить ущерб личности, обществу и государству. Речь идет о сведениях, касающихся загрязнения окружающей среды, нарушения законов, сокрытия информации якобы подрывающей имидж организации, злоупотреблений в коммерческих интересах, уклонения от выполнения договорных обязательств либо уплаты налогов, недобросовестной конкуренции и др.
Таким образом, категории сведений, включаемых в Перечень, должны удовлетворять следующим критериям оценки: открытое использование выделенных сведений связано с ущербом для организации; сведения не являются общеизвестными или общедоступными на законных основаниях; организации имеет возможности осуществлять надлежащие меры по охране их конфиденциальности, руководствуясь соображениями экономической выгоды; выделенные сведения нуждаются в охране и защите, так как не являются государственной тайной, не защищены авторским и патентным правом, к ним нет ограничений на отнесение их к коммерческой тайне; сокрытие этих сведений не может причинить ущерба личности, обществу и государству.
Примерный Перечень категорий сведений, составляющих коммерческую тайну организации, дается в Приложении 2.
§ 3. Методика определения степени конфиденциальности сведений, содержащихся в работах, документах и изделиях
Разработка и утверждение Перечня создают нормативную основу для руководства по определению степени конфиденциальности конкретных сведений, содержащихся в работах, документах и изделиях. Степень конфиденциальности конкретных сведений определяется непосредственно исполнителем работ на основании соответствующих категорий сведений, предусмотренных в Перечне, и лицом, которому направлен документ на работник организации, непосредственно отэеделяющий степень
от того, насколько верно определена степень конфиденциальности сведений и присвоена категория важности с указанием грифа «Коммерческая тайна», зависит уровень установления режима их охраны, порядок работы с документами и изделиями, их учет, хранение, обращение и уничтожение, а также зашита в суде прав обладателя КЗИ в случае ее разглашения (утечки).
В Законе о коммерческой тайне не упоминается обязанность испатггнтеля по определению ковфидешгаа.тьности сведений с учетам анализа новизны информации н степени осведомленности в ней конкурентов. Анализ практики определения степени конфнленниальности конкретных сведении показывает, что работники, кроме Перечня, в своей практической деятельности учитывают и шше факторы. В их число входят следующие факторы:
1) наличие уязитп к мест в разработке изделия, знание кото-рых потенциальным конкурентом может сутпественно ослабить эффективность их использования и продажи;
2) тактике-технические характеристики изделия, обеспечивающие преимущества по сравнению с аналогичными изделиями конкурентов;
3} уникальные характеристики изделии, присущие только данному- классу изделий:
4) состав элементов системы, обеспечивающий изделию высокие эксплуатационные характеристики и технические возможности;
5) уникальность проекта модернизации или создания нового авеса изделий или необычность применения технологических
процессов.
Перечень названных факторов не является исчерпывающим. Их наличие определяется спецификой деятельности организации н учитывается работниками при определении степени конфиденциальности КЗИ.
Изучение опыта работы организаций по определению степени конфиденциальности информации позволяет говорить о необходимости введения системы разрядов в зависимости от важности КЗИ. Сведения, разглашение которых может оказать отрицательное воздействие на финансовое состояние организации и даже поставить под угрозу сам факт ее существования, должны относиться к наивысшему разряду конфиленциальности КЗИ (третья категория ущерба* Иным сведениям, отнесенным к коммерческой тайне, устанавливается средний и низший разряды конфиденциальности (соответственно вторая и третья категории ущерба). Технически процедура установления разрядов в зависимости от степени конфиденииальностя состоит в том, что рядом с грифом «Коммерческая тайна» проставляется разряд (высший, средний, низший), который соответствует размеру возможного ушерба.
Установленньш в Перечне разряд указывает на важность охраны сведений. Однако в Перечне сведений, составляющая коммерческую тайну, как правило, не выделяется КЗИ по степени ее вхжфндеттатьности и не устанавливаются разряды в зависимости от возможного ущерба при се разглашении. Более того, на практике до сих пор не выработано единого понимания категорий сведений, включаемых в Перечень.
Это приводит к неоднозначной опенке степени конфиденциальности одних и тех же сведений. В отдельных случаях отмечается снижение степени конфнлетгаальшмли защищаемых сведении янн потное их рассекречивание. Часто в силу действия «перестраховочного» фактора происходит завышение степени конфиденциальности КЗИ. Такая практика порождает ненужное отвлечение сих м средств на защиту менее важных сведений и увеличивает объем работ по обеспечению безопасности организации.
Изучение практики определения степени конфндещгиаль-ности сведений свидетельствует о несколько приниженной роли представителей организации-заказчика в этом процессе. Она сводится в основном к согласованию документов, включая и те, которые содержат коммерческую тайну. Например, действия заказчика ограничиваются выдачей подрядчику перечня охраняемых сведений, на основании которого исполнитель работ определяет степень их конфндешхнальности. Однако сведения, указанные в Перечне, не всегда отражают перспективы развития начтен и техники, особенности коммерческого оборота. Важно, чтобы представители заказчика практически принимали участие в определении степени конфидешгмальности конкретных работ, документов и изделий и вносили изменения в требования технического задания и условия договора. Совместная работа представителей подрядчика и заказчика по определению степени конфиденциатьности КЗИ позволит, с одной стороны, в полной мере учитывать изменение хозяйственной ситуации и вносить коррективы в процесс обеспечения охраны параметров создаваемого изделия, с другой стороны, согласовывать коммерческие интересы по использованию (продаже) новых технологий.
В процессе засекречивания КЗИ важно не только правильно определить степень конфиденциальности сведений, содержащихся в новой работе, но и определиться с необходимостью применения дополнительных мер защиты.
Основным документом, которым обязан руководствоваться подрядчик, является техническое задание (ТЗ), разрабатываемое заказчиком. Руководствуясь нормами ФЗ «О техническом регулировании» 1, ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения», ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» и др., подрядчик может использовать любые правовые конструкции, определяющие требования по обеспечению скрытности и секретности разработок, испытаний, производства и эксплуатации изделий и разработке перечня охраняемых характеристик (параметров) создаваемого конкретного изделия. Весьма полезным в этом плане является советский опыт обеспечения режима секретности, который может быть вполне использован в работе коммерческих организаций.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
