Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 18
Текст из файла (страница 18)
В частности, в разработке перечня охраняемых сведений принимали участие генеральный (главный) конструктор темы или его заместитель, руководитель РСО, начальники отдела режима и аналитического подразделения. Перечень согласовывался с заказчиком, представителем министерства и утверждался руководителями предприятий заказчика и подрядчика.
Сегодня в процессе разработки перечня специалисты используют ранее разработанные перечни по аналогичным темам и применяют опыт в сфере защиты КЗИ. При этом учитывается главный критерий — это новизна создаваемого изделия. Эти данные могут быть получены путем сравнительного анализа отечественных и зарубежных разработок, которые определяют облик вновь создаваемого изделия.
Анализ работы предприятий по определению ими степени конфиденциальности сведений свидетельствует, что работники руководствуются не только Перечнем, но и используют личный опыт, метод аналогии, учитывают важность сведений, возможный ущерб, который может быть причинен организации, новизну изделия, стоимость работы и др.
Опрос работников организаций по поводу путей улучшения существующего порядка определения степени конфиденциальности
КЗИ показывает, что решение проблемы видится ими не только в конкретизации, расширении, сужении или отказе от Перечня или регулярности его пересмотра, но и в создании единой методики определения степени конфиденциальности КЗИ. В связи с этим, предлагается система критериев и признаков, которые в совокупности составляют методику определения степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Как представляется, ее содержание состоит, во-первых, из учета общего критерия, это ущерб коммерческой организации при попадании сведений в конкурирующую организацию. Во-вторых, из учета частных критериев, которые включают характер сведений и их относимость к защищаемым сферам деятельности организации; важность сведений; возможность защиты сведений и материальные затраты на их защиту. Содержание частных критериев может быть охарактеризовано отдельными признаками.
Характер сведений, составляющих КЗИ, зависит от направлений деятельности организации. Привязка направлении деятельности дается к Примерному перечню категорий сведений, составляющих коммерческую тайну организации (Приложение 2). Методически учитывается информация, циркулирующая в сфере управления, производства (технические и технологические сведения) и коммерческой деятельности (деловые сведения). Критерий важности сведений, составляющих КЗИ характеризуется актуальностью, новизной, объемом и степенью обобщенности сведений, эффективностью и др. Критерий защиты сведений с использованием соответствующих материальных затрат раскрывается при помощи изучения таких признаков, как уязвимость КЗИ от конкурентной разведки, осведомленность и устремления конкурентов к защищаемой КЗИ, опасность разглашения (утечки) КЗИ со стороны работников, осведомленных в таких сведениях.
Выделенные критерии и признаки позволяют предложить примерный вариант методики, использование которой позволит обоснованно подходить к процессу определения степени конфиденциальности КЗИ.
Рассмотрим характеристику отдельных выделенных критериев. Важнейшим общим критерием оценки является ущерб коммерческой организации при попадании сведений к конкуренту. Размер ущерба зависит от масштабов деятельности организации (крупное, среднее и малое предприятие). Размер ущерба может быть выражен такими понятиями, как «стратегический» (организация на грани банкротства) или «тактический» (потеря управляемости и доходности одного из подразделений) материальный вред. Показателем ущерба может быть характер имущественных потерь для организации вследствие разглашения (утечки) КЗИ. Например, распространение ложных сведений о деятельности организации, связанных якобы с выпуском некачественных товаров и т.п.
Важное практическое значение имеет учет вероятности и быстроты причинения конкурентом ущерба в случае получения им сведений, составляющих КЗИ. Оценка этих показателей необходима организации для установления соответствующего уровня режима коммерческой тайны и реализации, предупредительных мер. Эти меры могут быть связаны с изменением структуры управления и технологии изготовления изделия или отдельных его частей (узлов), выпуском более совершенных по своим техническим характеристикам товаров и др. Представляется, что эти показатели могут быть определены в количественном и качественном отношении. Это позволит организации предметно оценивать возможный ущерб от попадания КЗИ к конкурентам. Если вероятность нанесения ущерба условно принять в интервале от 0 до 1, то повышение этого значения до 1 будет означать необходимость определения наивысшего разряда конфиденциальности КЗИ. Вероятность (быстрота) причинения ущерба может исчисляться при этом днями, месяцами, годами. Соответственно оценка фактора быстроты причинения ущерба зависит от возможности принятия организацией адекватных мер противодействия усилиям конкурентов с целью уменьшения размера ущерба.
Характер сведений и их относимость к основным направлениям деятельности организации, определяется такими показателями, как актуальность, новизна и эффективность использования КЗИ в рыночной экономике. Можно уверенно сказать, что такие совокупные сведения, которые носят научно-технический, технологический и коммерческий характер, имеют значимость для организации. Показатель новизны работы организации в плане создания (модернизации) изделия определяется, исходя из существующих аналогов в России и других странах. Если имеются аналогичные изделия или ведутся сходные работы, то новизна в данном случае отсутствует. Актуальность КЗИ оценивается с учетом возможного теоретического и практического использования полученных сведений. Следует учитывать показатель, характеризующий эффективность использования технической, технологической и деловой информации. Если отмечается высокая эффективность использования полученных сведений, например, при заключении коммерческой сделки или модернизации элементов
конечного изделия, то следует относить такие сведения к КЗИ. Важно различать класс сведений по степени их обобщенности и объему. Речь идет о сведениях, содержащихся в отдельном элементе (узле) изделия или о работе (изделии) в целом. В данном случае степень конфиденциальности будет различной.
Осведомленность конкурентов и их устремления к получению технической, технологической и деловой КЗИ должны оцениваться с позиций степени их осведомленности и учетом вероятности такой осведомленности. Оценка этих показателей может быть получена путем изучения обстоятельств появления публикаций в СМИ, анализа выступлений участников на конференциях и симпозиумах, раскрывающих данные о тактико-технических характеристиках и конструктивных особенностях опытных образцов изделий, оригинальных методах управления, о ведущихся коммерческих переговорах по поводу инвестирования крупных проектов. Конкурирующей организацией могут быть получены сведения в результате утраты или хищения документов, изделий либо разглашения КЗИ путем попадания образцов изделий и технической документации (чертежи, и др.) с использованием методов промышленного шпионажа. Специалистами изучается не только возможная осведомленность конкурентов, но и их устремления к конкретным защищаемым сведениям.
При оценке названных выше частных критериев (характер сведений, важность сведений и возможность защиты сведений) и их признаков необходимо учитывать этапы работ, выполняемые организацией. Имеющиеся данные указывают на существующую зависимость степени конфиденциальности КЗИ от этапов работ. Если мы возьмем, например, начальный цикл работ, связанный с постановкой проблемы и ее теоретическим решением, что является характерным для НИОКР, то эта часть работы содержит наиболее ценную информацию, которая должна охраняться по высшему разряду. Такая же степень конфиденциальности сохраняется на этапах изготовления и испытаний опытного образца. Принятие заказчиком изделия и передача его в серийное производство, как представляется, несколько снижает степень конфиденциальности. Снятие изделия из производства в зависимости от возможности использования научно-технических решений при модернизации и изготовлении новых образцов требует решения вопроса об изменении степени конфиденциальности.
Сказанное выше позволяет произвести оценку степени конфиденциальности технической, технологической и деловой информации, имеющей коммерческую значимость.
Оценка степени конфиденциальности информации, циркулирующей в организации, производится (Оски) путем суммирования значения / — критерия (признака) в баллах и коэффициента значимости /-го признака (может быть использована шкала качественной оценки, выраженная в виде разрядов «низкий» (категория «В»), «средний», (категория «Б») и «высший» (категория «А»), означающая степень конфиденциальности информации с грифом «Коммерческая тайна».
п
Оски = ^3#,-Кзн,
м
где Оски — означает оценку, степени конфиденциальности информации; 3#/ — значение /-го признака (в баллах); Кзн — коэффициент значимости /-го признака (школа качественной оценки, по разрядам (категориям) коммерчески значимой информации), причем Формула 2; п — число критериев (признаков).
Во-первых, предлагаемая методика позволяет учитывать значение следующих критериев (признаков):
1. Первый критерий (Зн1) — характер и относимость технической, технологической и деловой информации в зависимости от доступа работников к защищаемым сферам деятельности организации, обобщенные и отраженные в Примерном перечне (Приложение 2), имеет следующую балльную оценку (значения).
Таблица 5.3.1
| п/п | Признаки относимое! и (характера) информации к защищаемым сферам деятельности организации | Баллы |
| 1 | Управление: подготовка и принятие решений по коммерческим, производственным и иным вопросам; планы, совещания, финансы, безопасность и др. | 10 |
| 2 | Научно-исследовательские и опытно-конструкторские работы, разработка технологий и др. | 8 |
| 3 | Производство: структура, производственные мощности, запасы сырья, комплектующих и т.д., изготовление изделий, применение технологий и др. | 6 |
| 4 | Коммерческая деятельность: рыночная стратегия организации, изучение рынка, партнеры, переговоры, контракты (договоры), цены, торги и др. | 5 |
| 5 | Иные признаки |
2. Второй критерий (Зн2) — степень важности технической, технологической и деловой информации, имеет следующие значения.
Таблица 5.3.2
| № п/п | Признаки важности сведений | Баллы |
| 1 | Актуальность сведений | 10 |
| 2 | Новизна сведений | 9 |
| 3 | Обобщенность сведений | 7 |
| 4 | Эффективность технического, технологического и коммерческого решения, оригинальность методов управления | 5 |
| 5 | Иные признаки |
3. Третий критерий (ЗнЗ) — степень возможности охраны и защиты сведений, составляющих КЗИ, имеет следующие значения.
Таблица 5.3.3
| п/п | Признаки возможности защиты сведений, составляющих КЗИ | Баллы |
| 1 | Уязвимость КЗИ от конкурентной разведки | 10 |
| 2 | Осведомленность конкурентов в КЗИ | 9 |
| 3 | Устремления конкурентов с целью получения КЗИ | 8 |
| 4 | Опасность разглашения (утечки) КЗИ работниками организации | 7 |
| 5 | Иные признаки |
Из табл. 5.3.1, 5.3.2 и 5.3.3 видно, в какой степени (в баллах), те или иные признаки, характеризующие критерии относ и мости (характера), важности и возможности защиты сведений, определяют их «весовую» значимость при принятии решения об отнесении информации к коммерческой тайне.
Во-вторых, методика позволяет вычислить коэффициент значимости (Кзн) перечисленных выше признаков. При этом следует учитывать, что
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
