2016 Ответы на экзаменационные вопросы (Шатков) (1185603), страница 36
Текст из файла (страница 36)
В организациях установлен определенный порядок ведения СМТП. В частности, еще с советских времен существует практика определения номеров телефонов, разрешенных для ведения СМТП. Ведутся списки лиц, допущенных к ведению переговоров. Администрацией установлены правила и определен порядок ведения СМТП. Разработаны и периодически пересматриваются корпоративные акты, регулирующие ведение СМТП. Уточняются перечни несекретных технических терминов, характеристик слов, фраз и других косвенных признаков, раскрывающих охраняемую в организации информацию.
Ежегодно, обычно в начале года, в организации происходит уточнение списков лиц, допущенных к ведению СМТП.
В отдельных организациях имеются специально оборудованные места (кабины) для ведения СМТП, что упрощает контроль за ведением переговоров. Если отсутствуют специальные кабины, то в подразделениях, обычно у руководителей отделов и секторов, устанавливаются телефоны, с которых разрешено ведение СМТП. Контроль за соблюдением требований режима конфиденциальности , за доступом к ведению СМТП работников организации, ведением журналов учета СМТП возлагается на руководителей подразделений.
Практически ежемесячно сверяются лицевые счета, поступающие из городской телефонной станции на оплату с перечнем телефонов, с которых разрешено ведение СМТП. В случаях, когда телефонный разговор велся с неразрешенного аппарата, проводится служебное расследование с целью установления лиц, нарушивших установленный в организации порядок.
В отдельных организациях используются технические устройства, ограничивающие выход на междугороднюю линию связи при наборе определенной цифры. Тем самым ограничивается доступ к телефонным аппаратам, не включенным в разрешенный перечень.
Отдельные организации используют аппаратуру внутреннего контроля за ведением СМТП, которая позволяет отключить телефонный аппарат, в случаях упоминания определенных сведений, составляющих коммерческую тайну. Аппаратура позволяет вести выборочный контроль за СМТП после произношения определенных терминов, например, раскрывающих цель, задачи НИОКР, тактико-технические характеристики изделий, результаты маркетинговых исследований, данные о коммерческих переговорах по заключению торговых договоров и другие сведения.
Фиксация результатов контроля СМТП осуществляется работниками СБ с использованием технических средств и ЭВМ.
В основу используемых методик контроля положен системный подход к оценке действительной информативности сведений, передаваемых по телефону. Выбор периодов контроля и их длительность обусловливаются особенностями оперативной обстановки сложившейся в организации в отдельных ее звеньях, а также периодами наиболее интенсивного обмена информацией с другими предприятиями. Это, как правило, начало и окончание НИР и ОКР, проведение натурных испытаний опытного образца изделия, коммерческая деятельность, связанная с ведением переговоров и заключением договоров по реализации товара.
Контролируемые телефонные переговоры фиксируются работниками СБ и систематизируются по направлениям деятельности организации и ее подразделений. Важным звеном этой работы является оценка сведений с точки зрения их информативности и отнесения к соответствующей категории (разряду) сведений, составляющих коммерческую тайну. Обобщение результатов исследований по проблемам безопасности организаций показывает, что суммарный контроль, составляющий примерно 15-20% от общего числа СМТП за год является оптимальным для оценки действительной информативности сведений, передаваемых по телефонной линии связи.
В чем проявляются нарушения режима конфиденциальности КЗИ при ведении СМТП? Нарушения проявляются в употреблении слов и терминов, по которым можно определить:
• принадлежность перехваченной информации к важным работам (например, раскрывающие демаскирующие признаки предприятия, технические и технологические характеристики разрабатываемых новых изделий, место жительства, телефоны и фамилии руководителей организаций, главных конструкторов и др.);
• характер и направления работ, принцип действия разрабатываемых систем (при этом называются технические термины, общепринятые устройства, системы и т.д.).
Анализ этих сведений и привязка их к направлениям деятельности организации и ее контрагентов дает возможность конкурентам получить достоверные данные о ведущихся работах, сведения о которых составляют коммерческую тайну.
В отдельных организациях еще с советского периода сохранились телетайпы с использованием кабельных линий связи. При передаче информации нарушения режима КЗИ могут проявляться в том, что исполнители включают в текст телеграммы информацию конфиденциального характера. С одной стороны, нарушения допускают руководители подразделений, которые не осуществляют контроль за деятельностью работников при подготовке ими текста телеграммы и подписывают в нарушение режимных требований такие документы. С другой стороны, работник СБ халатно относится к исполнению своих служебных обязанностей, что проявляется в визировании документов, содержащих сведения конфиденциального характера.
Нарушения могут совершаться и работниками телетайпа. По их вине телеграммы могут отправляться без визы службы безопасности и подписи руководства организации и регистрации документа в канцелярии.
Специализированные организации активно используют средства радиосвязи. Особенно это характерно для авиапредприятий. Радиосвязь служит для управления полетами вертолетов и самолетов. Летным составом и диспетчерами используется типовая фразеология, принятая в гражданской авиации. Нарушения могут проявляться в невыполнении правил ведения радиосвязи между воздушными судами и диспетчерской службой, когда сторонами употребляются слова и фразы, раскрывающие сведения, составляющие коммерческую тайну авиакомпании. В организациях, где выполняются, например, летные испытания радиоэлектронных средств (РЭС), также используется открытая радиосвязь для ведения служебных переговоров. Нарушения могут проявляться в ведении радиопереговоров открытым текстом без использования кодовых таблиц, ограничивающих утечку охраняемой информации.
Вторая группа ВКУ КЗИ связана с перепиской по служебным вопросам, которая ведется в организациях с использованием открытого и конфиденциального делопроизводства. Документы с грифом «Коммерческая тайна» ведутся отдельным производством. Конфиденциальное делопроизводство ведется специальным подразделением СБ или уполномоченным работником, а открытая переписка — в канцелярии и подразделениях организаций. Соответствующие категории (разряды) конфиденциальности КЗИ устанавливаются отдельно для различных документов и изделий, имеющих гриф «Коммерческая тайна».
При ведении открытой и конфиденциальной переписки существуют различные каналы возможной утечки КЗИ.
Выборочный опрос исполнителей конфиденциальных работ показал, что наиболее характерными каналами утечки КЗИ могут быть следующие:
• публикация материалов, содержащих КЗИ организации в открытой печати, оглашение ее в передачах по радио и на телевидении — 15%;
• отнесение информации к КЗИ и включение ее в открытые документы — 11%;
• переписка с другими организациями и ведение междугородных телефонных переговоров — 9%;
• подготовка и защита диссертационных материалов — 7%;
• осуществление государственной регистрации НИОКР — 6%;
• ведение конфиденциального делопроизводства — 6%;
• внедрение изобретений, открытий и результатов НИОКР — 4% и др.
Ниже дается характеристика нарушений режима конфиденциальности КЗИ на указанных каналах переписки.
Публикация материалов в открытой печати, оглашение в передачах по радио и на телевидении.
Любая публикация требует, с одной стороны, включение в нее максимума полезных данных, а с другой — ограничение информации с учетом коммерческих интересов собственника. Публикации в организациях должны быть оформлены с соблюдением требований режима конфиденциальности КЗИ и норм авторского и патентного права.
Публикация материалов, раскрывающих деятельность организации, может осуществляться на двух уровнях: на уровне одной публикации (микрорегулирование) и на уровне потока тематических публикаций или отдельной выборки направления деятельности (макрорегулирование). В обоих случаях могут допускаться нарушения, которые обусловливают существование этого канала утечки КЗИ.
Уровень микрорегулирования включает авторский самоконтроль и экспертную комиссию организации. Авторский самоконтроль предполагает знание автором документов, в которых изложены режимные ограничения. Так, опрос работников ряда организаций показал, что 25% от числа опрошенных не ознакомлены с перечнями сведений, составляющих коммерческую тайну, 46 — ознакомлены в общих чертах и только 29% — ознакомлены в части, их касающейся. Такое положение дел, когда работники слабо представляют, какие сведения составляют КЗИ, может привести к раскрытию в открытых публикациях сведений конфиденциального характера.
Анализ работы экспертных комиссий по рассмотрению ими материалов для открытого опубликования показывает, что имеется ряд недостатков, связанных с проведением экспертизы, которые могут привести к утечке сведений конфиденциального характера. Экспертиза материала иногда поручается самому автору, который одновременно является членом экспертной комиссии, либо некомпетентному работнику, плохо знающему специфику организации и требования конфиденциальности КЗИ. Решение экспертной комиссии оформляется актом. Имеются нарушения процедуры оформления акта экспертизы. Отмечается формальный подход к заполнению акта экспертизы. Это проявляется в отсутствие ответов на поставленные вопросы. Комиссия иногда работает без секретаря, что сказывается на качестве организационной работы. Председатель экспертной комиссии, как правило, один из заместителей руководителя организации, в силу занятости не всегда должным образом контролирует работу членов комиссии. Изучение работы комиссий показывает, что в отдельных случаях автор или редактор рукописи одновременно выступает и экспертом. Представляется, что такой подход недопустим, так как названные лица заинтересованы в публикации рукописи.
Отнесение информации к КЗИ, включение ее в открытые документы порой происходит без учета требований, предъявляемых к установлению степени конфиденциальности, категорий (разрядов) сведений и определению степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Опрос исполнителей конфиденциальных работ показывает, что из числа опрошенных не ознакомлены с порядком отнесения информации к КЗИ — 34%; ознакомлены в общих чертах — 31%; ознакомлены в части, их касающейся, — 35%.
Большинство опрошенных не знают или плохо знают установленный порядок определения сведений, относимых к КЗИ. При определении конфиденциальности сведений, содержащихся в работах, документах и изделиях, опрошенные работники ряда организаций заявили, что в 41% случаев они руководствуются возможным ущербом, который может быть причинен организации при попадании сведений к конкурентам, в 31% случаев — личным опытом, в 15% случаев — перечнем сведений, составляющих коммерческую тайну, в 14% случаев — новизной изделия (работы), в 2% — вредом, который может наступить вследствие излишнего отнесения информации к коммерческой тайне.
Таким образом, критерии (признаки), которыми руководствуются работники при определении степени конфиденциальности сведений, сформулированы недостаточно четко и в корпоративных актах организации, как правило, не закреплены. Поэтому на практике встречается различное выделение критериев и их толкование, что отрицательно сказывается на защите коммерческих секретов и может привести к возможной утечке КЗИ.
Значительная часть работников-исполнителей не полностью удовлетворена имеющейся нормативной базой, регулирующей охрану коммерческой тайны. На вопрос: достаточно ли для определения степени конфиденциальности сведении, содержащихся в документах, руководствоваться нормами отдельных законов и подзаконных актов; 35% опрошенных ответили положительно; 40 — отрицательно; 25% — только частично согласились с этим. Нужно отметить, что опрос проводился до принятия Закона о коммерческой тайне (2004 г.), хотя с введением названного Закона ситуация в этом плане мало чем изменилась. В Законе отсутствует механизм определения степени конфиденциальности информации, что порождает на практике различные подходы к решению этого вопроса с использованием корпоративных норм. Что касается знания работниками-исполнителями основополагающих положений корпоративных актов, используемых ими для установления степени конфиденциальности сведений, содержащихся в работах, документах и изделиях, то опрошенные ответили следующим образом: с перечнем сведений, составляющих коммерческую тайну организации, ознакомлены всесторонне — 29%; не ознакомлены — 22; ознакомлены в общих чертах — 36%; остальные не смогли ответить на вопрос.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
