Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 26
Текст из файла (страница 26)
Практически ежемесячно сверяются лицевые счета, поступающие из городской телефонной станции на оплату с перечнем телефонов, с которых разрешено ведение СМТП. В случаях, когда телефонный разговор велся с неразрешенного аппарата, проводится служебное расследование с целью установления лиц, нарушивших установленный в организации порядок.
В отдельных организациях используются технические устройства, ограничивающие выход на междугороднюю линию связи при наборе определенной цифры. Тем самым ограничивается доступ к телефонным аппаратам, не включенным в разрешенный перечень.
Отдельные организации используют аппаратуру внутреннего контроля за ведением СМТП, которая позволяет отключить телефонный аппарат, в случаях упоминания определенных сведений, составляющих коммерческую тайну. Аппаратура позволяет вести выборочный контроль за СМТП после произношения определенных терминов, например, раскрывающих цель, задачи НИОКР, тактико-технические характеристики изделий, результаты маркетинговых исследований, данные о коммерческих переговорах по заключению торговых договоров и другие сведения.
Фиксация результатов контроля СМТП осуществляется работниками СБ с использованием технических средств и ЭВМ.
В основу используемых методик контроля положен системный подход к оценке действительной информативности сведений, передаваемых по телефону. Выбор периодов контроля и их длительность обусловливаются особенностями оперативной обстановки сложившейся в организации в отдельных ее звеньях, а также периодами наиболее интенсивного обмена информацией с другими предприятиями. Это, как правило, начало и окончание НИР и ОКР, проведение натурных испытаний опытного образца изделия, коммерческая деятельность, связанная с ведением переговоров и заключением договоров по реализации товара.
Контролируемые телефонные переговоры фиксируются работниками СБ и систематизируются по направлениям деятельности организации и ее подразделений. Важным звеном этой работы является оценка сведений с точки зрения их информативности и отнесения к соответствующей категории (разряду) сведений, составляющих коммерческую тайну.
Обобщение результатов исследований по проблемам безопасности организаций показывает, что суммарный контроль, составляющий примерно 15-20% от общего числа СМТП за год является оптимальным для оценки действительной информативности сведений, передаваемых по телефонной линии связи.
В чем проявляются нарушения режима конфиденциальности КЗИ при ведении СМТП? Нарушения проявляются в употреблении слов и терминов, по которым можно определить:
• принадлежность перехваченной информации к важным работам (например, раскрывающие демаскирующие признаки предприятия, технические и технологические характеристики разрабатываемых новых изделий, место жительства, телефоны и фамилии руководителей организаций, главных конструкторов и др.);
• характер и направления работ, принцип действия разрабатываемых систем (при этом называются технические термины, общепринятые устройства, системы и т.д.).
Анализ этих сведений и привязка их к направлениям деятельности организации и ее контрагентов дает возможность конкурентам получить достоверные данные о ведущихся работах, сведения о которых составляют коммерческую тайну.
В отдельных организациях еще с советского периода сохранились телетайпы с использованием кабельных линий связи. При передаче информации нарушения режима КЗИ могут проявляться в том, что исполнители включают в текст телеграммы информацию конфиденциального характера. С одной стороны, нарушения допускают руководители подразделений, которые не осуществляют контроль за деятельностью работников при подготовке ими текста телеграммы и подписывают в нарушение режимных требований такие документы. С другой стороны, работник СБ халатно относится к исполнению своих служебных обязанностей, что проявляется в визировании документов, содержащих сведения конфиденциального характера.
Нарушения могут совершаться и работниками телетайпа. По их вине телеграммы могут отправляться без визы службы безопасности и подписи руководства организации и регистрации документа в канцелярии.
Специализированные организации активно используют средства радиосвязи. Особенно это характерно для авиапредприятий. Радиосвязь служит для управления полетами вертолетов и самолетов. Летным составом и диспетчерами используется типовая фразеология, принятая в гражданской авиации. Нарушения могут проявляться в невыполнении правил ведения радиосвязи между воздушными судами и диспетчерской службой, когда сторонами употребляются слова и фразы, раскрывающие сведения, составляющие коммерческую тайну авиакомпании. В организациях, где выполняются, например, летные испытания радиоэлектронных средств (РЭС), также используется открытая радиосвязь для ведения служебных переговоров. Нарушения могут проявляться в ведении радиопереговоров открытым текстом без использования кодовых таблиц, ограничивающих утечку охраняемой информации.
Вторая группа ВКУ КЗИ связана с перепиской по служебным вопросам, которая ведется в организациях с использованием открытого и конфиденциального делопроизводства. Документы с грифом «Коммерческая тайна» ведутся отдельным производством. Конфиденциальное делопроизводство ведется специальным подразделением СБ или уполномоченным работником, а открытая переписка — в канцелярии и подразделениях организаций. Соответствующие категории (разряды) конфиденциальности КЗИ устанавливаются отдельно для различных документов и изделий, имеющих гриф «Коммерческая тайна».
При ведении открытой и конфиденциальной переписки существуют различные каналы возможной утечки КЗИ.
Выборочный опрос исполнителей конфиденциальных работ показал, что наиболее характерными каналами утечки КЗИ могут быть следующие:
• публикация материалов, содержащих КЗИ организации в открытой печати, оглашение ее в передачах по радио и на телевидении — 15%;
• отнесение информации к КЗИ и включение ее в открытые документы — 11%;
• переписка с другими организациями и ведение междугородных телефонных переговоров — 9%;
• подготовка и защита диссертационных материалов — 7%;
• осуществление государственной регистрации НИОКР — 6%;
• ведение конфиденциального делопроизводства — 6%;
• внедрение изобретений, открытий и результатов НИОКР — 4% и др.
Ниже дается характеристика нарушений режима конфиденциальности КЗИ на указанных каналах переписки.
Публикация материалов в открытой печати, оглашение в передачах по радио и на телевидении. Любая публикация требует, с одной стороны, включение в нее максимума полезных данных, а с другой — ограничение информации с учетом коммерческих интересов собственника. Публикации в организациях должны быть оформлены с соблюдением требований режима конфиденциальности КЗИ и норм авторского и патентного права.
Публикация материалов, раскрывающих деятельность организации, может осуществляться на двух уровнях: на уровне одной публикации (микрорегулирование) и на уровне потока тематических публикаций или отдельной выборки направления деятельности (макрорегулирование). В обоих случаях могут допускаться нарушения, которые обусловливают существование этого канала утечки КЗИ.
Уровень микрорегулирования включает авторский самоконтроль и экспертную комиссию организации. Авторский самоконтроль предполагает знание автором документов, в которых изложены режимные ограничения. Так, опрос работников ряда организаций показал, что 25% от числа опрошенных не ознакомлены с перечнями сведений, составляющих коммерческую тайну, 46 — ознакомлены в общих чертах и только 29% — ознакомлены в части, их касающейся. Такое положение дел, когда работники слабо представляют, какие сведения составляют КЗИ, может привести к раскрытию в открытых публикациях сведений конфиденциального характера.
Анализ работы экспертных комиссий по рассмотрению ими материалов для открытого опубликования показывает, что имеется ряд недостатков, связанных с проведением экспертизы, которые могут привести к утечке сведений конфиденциального характера. Экспертиза материала иногда поручается самому автору, который одновременно является членом экспертной комиссии, либо некомпетентному работнику, плохо знающему специфику организации и требования конфиденциальности КЗИ. Решение экспертной комиссии оформляется актом. Имеются нарушения процедуры оформления акта экспертизы. Отмечается формальный подход к заполнению акта экспертизы. Это проявляется в отсутствие ответов на поставленные вопросы. Комиссия иногда работает без секретаря, что сказывается на качестве организационной работы. Председатель экспертной комиссии, как правило, один из заместителей руководителя организации, в силу занятости не всегда должным образом контролирует работу членов комиссии. Изучение работы комиссий показывает, что в отдельных случаях автор или редактор рукописи одновременно выступает и экспертом. Представляется, что такой подход недопустим, так как названные лица заинтересованы в публикации рукописи.
Отнесение информации к КЗИ, включение ее в открытые документы порой происходит без учета требований, предъявляемых к установлению степени конфиденциальности, категорий (разрядов) сведений и определению степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Опрос исполнителей конфиденциальных работ показывает, что из числа опрошенных не ознакомлены с порядком отнесения информации к КЗИ — 34%; ознакомлены в общих чертах — 31; ознакомлены в части, их касающейся, — 35%.
Большинство опрошенных не знают или плохо знают установленный порядок определения сведений, относимых к КЗИ.
При определении конфиденциальности сведений, содержащихся в работах, документах и изделиях, опрошенные работники ряда организаций заявили, что в 41% случаев они руководствуются возможным ущербом, который может быть причинен организации при попадании сведений к конкурентам, в 31% случаев — личным опытом, в 15% случаев — перечнем сведений, составляющих коммерческую тайну, в 14% случаев — новизной изделия (работы), в 2% — вредом, который может наступить вследствие излишнего отнесения информации к коммерческой тайне.
Таким образом, критерии (признаки), которыми руководствуются работники при определении степени конфиденциальности сведений, сформулированы недостаточно четко и в корпоративных актах организации, как правило, не закреплены. Поэтому на практике встречается различное выделение критериев и их толкование, что отрицательно сказывается на защите коммерческих секретов и может привести к возможной утечке КЗИ.
Значительная часть работников-исполнителей не полностью удовлетворена имеющейся нормативной базой, регулирующей охрану коммерческой тайны. На вопрос: достаточно ли для определения степени конфиденциальности сведении, содержащихся в документах, руководствоваться нормами отдельных законов и подзаконных актов; 35% опрошенных ответили положительно; 40 — отрицательно; 25% — только частично согласились с этим. Нужно отметить, что опрос проводился до принятия Закона о коммерческой тайне (2004 г.), хотя с введением названного Закона ситуация в этом плане мало чем изменилась. В Законе отсутствует механизм определения степени конфиденциальности информации, что порождает на практике различные подходы к решению этого вопроса с использованием корпоративных норм.
Что касается знания работниками-исполнителями основополагающих положений корпоративных актов, используемых ими для установления степени конфиденциальности сведений, содержащихся в работах, документах и изделиях, то опрошенные ответили следующим образом: с перечнем сведений, составляющих коммерческую тайну организации, ознакомлены всесторонне — 29%; не ознакомлены — 22; ознакомлены в общих чертах — 36%; остальные не смогли ответить на вопрос.
Отсюда видно, что почти половина работников-исполнителей конфвденлиальных работ не знают или плохо знают корпоративные документы, регламентирующие вопросы определения степени конфиденциальности сведении, составляющих КЗИ.
В целом опрошенные работники ряда организаций заявили, что в 11% случаев нарушения, допускаемые в сфере отнесения информации к сведениям, составляющим коммерческую тайну, могут обусловливать утечку КЗИ.
Выборочный опрос показывает, что в 9% случаев возможным каналом утечки КЗИ может быть переписка с представителями иностранных фирм, ведение с ними международных и междугородных телефонных переговоров исполнителями конфиденциальных работ, если они ведутся с нарушением установленных требований режима КЗИ. Не секрет, что на Западе достаточно хорошо развита система ведения промышленного шпионажа. Поэтому отечественным коммерсантам, имеющим контакты с инофирмами, следует опасаться за свои секреты, если они действительно имеют коммерческую значимость. В российском законодательстве нет каких-либо запретов относительно обмена информацией с иностранными партнерами. Наоборот, государство поощряет контакты с иностранными инвесторами и не запрещает в этой связи обмениваться информацией отечествеиным коммерсантам. Поэтому7 решение о предоставлении информации, включая и КЗИ, принимает акционер (собственник) и руководитель организации. В данном случае на договорной основе следует позаботиться о том, чтобы КЗИ не стала достоянием третьих лиц.
Одним из возможных каналов утечки конфиденциальности сведений может стать подготовка и защита диссертационных материалов с использованием КЗИ, раскрывающей деятельность организации. На это обстоятельство указали около 7% опрошенных лиц. Утечка охраняемой информации может произойти в случаях, когда не выполняются требования нормативных правовых актов, в частности, Положения «О порядке защиты и рассмотрения диссертаций, с грифом «Для служебного пользования», утвержденного Высшей аттестационной комиссией России. В частности, нарушения могут проявляться при использовании в диссертации результатов НИР и ОКР, которые по условиям договора между сторонами не подлежат открытому опубликованию; в ознакомлении посторонних лиц с результатами диссертационного исследования конфиденциального характера; в приеме специализированным советом вуза (НИИ) к защите диссертации с грифом «Для служебного пользования» и рассмотрение ее председателем и членами совета, не имеющих допуска к такого рода документам: направление в ведущую организацию и официальным оппонентам диссертаций с грифом «Для служебного пользования» и их ознакомление с нарушением требований действующего законодательства об охране коммерческой тайны. Указанные и другие нарушения могут привести к ознакомлению посторонних лиц с конфиденциальными сведениями, стать каналом утечки КЗИ.
Опрос исполнителей, выполняющих конфиденциальные работы показывает, что нарушение установленных правил государственной регистрации НИОКР может стать одной из причин утечки КЗИ. Об этом, в частности, заявили около 6% опрошенных лиц. Государственная регистрация и учет НИОКР осуществляется в соответствии с требованиями законов и подзаконных актов. Особое значение для регулирования этой работы имеют государственные стандарты и стандарты организаций, которые являются обязательными дня руководителей и ответственных исполнителей НИОКР. Работники отделов научно-технической информации (ОНТИ) организаций являются ответственными лицами, отвечающими за своевременное представление регистрационных, информационных карт (РК, ИК) и отчетной научно-технической документации в федеральные исполнительные органы государственной власти. Нарушения режима КЗИ могут проявляться, во-первых, в подготовке и оформлении РК и ИК отчетной научно-технической документации (ОНТД) на НИОКР, содержащих КЗИ, лицами, не допущенными к этой работе; во-вторых, в неправильном оформлении РК, ИК и ОНТД вследствие незнания исполнителями соответствующих нормативно-технических документов или недобросовестного отношения к выполнению данной работы; в-третьих, во внесении исполнителями конфиденциальных сведений в аннотации, рефераты и другие графы РК и ИК на открытые части работ, выделяемых из НИОКР с грифом «Коммерческая тайна» и охраняемых в режиме сведений «Для служебного пользования».
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
