4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 17

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 17)

На этапе научных исследований к защищенным сведениям имеет доступ ограниченное число исполнителей. Технические процессы, связанные с различного рода излучениями, практиче­ски отсутствуют. В таких условиях организовать защиту сведений можно с достаточной степенью надежности.

По мере перехода от НИР к ОКР и созданию опытных об­разцов, их испытаний, серийного производства и эксплуатации значительно увеличивается круг лиц, имеющих доступ к защи­щенным сведениям, и количество материальных носителей, содержащих такие сведения. Одновременно возрастают возмож­ности конкурентов по получению защищаемой информации с помощью технических средств разведки. Становится значительно сложнее защищать сведения с необходимой степенью надежности, а порой практически невозможно это сделать. Поэтому необхо­димо проводить корректировку степени конфиденциальности сведений для предотвращения ущерба организации от необос­нованного засекречивания информации. Такую корректировку целесообразно проводить и в том случае, когда на защиту КЗИ предполагается использовать значительные материальные и иные ресурсы, превышающие сумму возможного ущерба.

При принятии решения о рассекречивании информации сле­дует учитывать осведомленность конкурентов о ведущихся рабо­тах. Такие данные службы безопасности получают путем анализа материалов зарубежных публикаций, изучения докладов ученых и специалистов конкурирующих фирм на съездах, конференциях, симпозиумах и т.д., причем осведомленность в КЗИ одного кон­курента не означает отмену ее защиты по отношению к другим конкурирующим фирмам. Кроме того, необходимо учитывать решения Правительства РФ о продаже техники и технологии за рубеж, содержащих КЗИ. Организация в этом случае вынуждена рассекречивать передаваемые за рубеж изделия и технологии.

Вопрос о снятии грифа «Коммерческая тайна» с документов, изделий и работ полностью находится в ведении коммерческой организации. Вмешательство государства в этот процесс не до­пускается, кроме случаев, установленных законом.

Ассоциации и союзы организаций могут вырабатывать общие условия и правила отнесения сведений к информации, составляю­щей коммерческую тайну. Усилия заинтересованных организаций позволяют решить задачу формирования эффективного право­вого механизма, связанного с установлением степени конфиден­циальности КЗИ, ее пересмотра, изменения и рассекречивания, что способствует определению перечня сведений, составляющих коммерческую тайну конкретной организации.

§ 2. Концептуальные аспекты установления категорий сведений, составляющих коммерческую тайну

Важное место в системе мер по охране конфиденциальности КЗИ занимает процедура установления на корпоративном уровне категорий сведений, составляющих коммерческую тайну, опре­деление и изменение на их основе грифа «Коммерческая тайна» конкретных сведений, содержащихся в работах, документах и изделиях. В ФЗ «О коммерческой тайне» не упоминается и не раскрывается суть этих процедур, за исключением обязанности организации по составлению перечня информации, содержащей коммерческую тайну (подп. 1, п. 1, ст. 10 Закона). Реализация названной меры по составлению Перечня связана с обменом научно-технической и деловой информацией, с рациональным использованием организацией сил и средств, используемых для охраны конфиденциальности КЗИ.

Эта работа достаточно сложная. Она представляет собой перво­начальный этап в системе мер по установлению режима коммер­ческой тайны в организации. Ее сущность состоит в выделении из общего массива разнообразной информации, категорий све­дений, отражающих наиболее важные направления деятельности организации. Под категорией сведений понимается выраженная в обобщенном виде без привязки к конкретному образцу изделия, создаваемой техники, коммерческой сделке и т.п., не подлежащая разглашению информация, степень конфиденциальности которой устанавливается организацией в перечне сведений, составляющих коммерческую тайну.

На основании установленных и утвержденных организацией категорий сведений исполнитель и его руководитель определяют степень конфиденциальности конкретных сведений, содержа­щихся в работах, документах и изделиях. Естественно, что с изменением хозяйственной ситуации возникает необходимость в пересмотре степени конфиденциальности КЗИ, т.е. в повыше­нии или снижении грифа «Коммерческая тайна*. Регулирование этих вопросов осуществляется на основании Перечня сведений, составляющих коммерческую тайну организации (далее — Пере­чень) и с учетом имеющегося опыта работы по защите КЗИ.

Анализ хозяйственной практики показывает, что в большин­стве крупных организаций, где обращается КЗИ, составляется такой Перечень, который является руководством при определении категории важности информации. Составление Перечня требу­ет кропотливого труда многих специалистов. Это объясняется тем, что если какие-либо сведения будут упущены из виду, то принимаемые меры охраны окажутся неэффективными. Вместе с тем неоправданное ограничение доступа к информации может осложнить работу организации и привести к материальным из­держкам.

При составлении Перечня следует руководствоваться опреде­ленными критериями подхода. Во-первых, необходимо выделить те направления деятельности организации, которые приносят прибыль; во-вторых, исходя из рыночной конъюнктуры сбыта аналогичных товаров оценить уровень прибыльности по срав­нению с другими предприятиями; в-третьих, определить рен­табельность организации на перспективу с учетом производства конкретных товаров. Данные о превышении уровня получаемой прибыли по сравнению с выпуском аналогичных товаров на дру­гих предприятиях свидетельствуют о необходимости уточнения круга сведений, составляющих коммерческую тайну.

Методически процесс установления категорий сведений, со­ставляющих КЗИ, можно разделить на ряд этапов.

Первый этап включает составление списка сведений, подлежа­щих рассмотрению. Анализ практики защиты коммерческой тайны на ряде предприятий позволяет выделить устойчивые элементы организации и управления предприятием, включающие сведения о производстве, управлении, планах, финансах, состоянии рынка, партнерах, переговорах, заключаемых и выполняемых договорах, ценах и научно-технических достижениях. Структура Перечня зависит от особенностей деятельности организации, стратегии развития, заключения контрактов, интереса конкурентов к КЗИ, установления факта утечки и изменения условий защиты КЗИ. Обзорный список сведений, которые могут быть отнесены организацией к КЗИ, дается в Приложении 1. Первоочередной ха­рактер носит выделение таких сведений, использование которых позволит организации быть конкурентоспособной и стабильно получать прибыль.

Второй этап состоит в оценке ущерба организации при раз­глашении {утенке) КЗИ. Важной является оценка наступления отрицательных последствий в виде ущерба в случаях открытого использования сведений, включенных в Перечень. В их числе могут быть:

• прекращение или снижение уровня деловых отношений с партнерами;

• срыв переговоров и выгодного контракта;

• невыполнение договорных обязательств;

• необходимость проведения маркетинговых исследований и разработки новой рыночной стратегии;

• отказ от ранее принятых решений, ставших неэффективными в результате утечки сведений;

• экономические санкции в отношении организации;

• возникновение сложных ситуаций в снабжении, производстве и сбыте продукции и др.

Для определения ущерба в стоимостном выражении использу­ются показатели, применяемые в планово-экономическом и фи­нансовом подразделениях. Показателями ущерба могут быть:

• потери вследствие прекращения финансовых инвестиций;

• экономический эффект от внедрения предприятием-конку­рентом результатов НИОКР и полученного при этом преиму­щества;

• стоимость оборудования и технологий, незаконно использо­ванных конкурентом в производстве аналогичных товаров, и др.

Сложность расчетов не исключает возможности проведения оценки ущерба экспертным путем.

Третий этап должен быть посвящен проверке сведений, вклю­ченных в Перечень, не являются ли они общеизвестными и общедо­ступными на законных основаниях. Оценка сведений по данному критерию заключается в поиске и установлении законных ис­точников информации. В частности, сведения статистического характера не могут составлять коммерческую тайну, сведения о деловых партнерах содержатся в справочной литературе, сведения научно-технического характера после их открытого опубликова­ния не являются коммерческой тайной.

Четвертый этап посвящен проверке возможностей организа­ции осуществлять меры по защите сведений, доступ к которым ограничен. Ограничения на доступ к информации связаны с от­рицательными последствиями для организаций. Во-первых, это затраты на защиту информации, а во-вторых, потери других предприятий, связанные с не использованием информации, доступ к которой ограничен.

Для обеспечения защиты выделенных сведений организа­ции:

• закрепляют функцию защиты коммерческой тайны за конк­ретными подразделениями и работниками;

• проводят необходимые организационные, инженерно-техни­ческие и иные работы;

• устанавливают режимы охраны технологии, материалов, по­рядок работы с документами и др.

При оценке затрат необходимо установить:

• категории и численность лиц, допускаемых к КЗИ;

• затраты на заработную плату, стоимость оборудования, техни­ческих средств и материалов, необходимых для организации охраны конфиденциальности КЗИ;

• затраты, связанные с оборудованием контрольно-пропускных пунктов, систем охраны и сигнализации, обеспечением безо­пасности связи;

• затраты на подготовку и переподготовку кадров в сфере ин­формационной безопасности и др.

Ограничение на доступ к КЗИ является вынужденной мерой. Поэтому сопоставление данных об отрицательных последствиях засекречивания сведений с ущербом при их открытом исполь­зовании, анализ возможностей финансирования организацией защитных мер позволит определить экономическую целесооб­разность отнесения сведений к коммерческой тайне.

Пятый этап заключается в проверке того, что рассматриваемые сведения не могут составлять коммерческую тайну. Законодатель-ством предусмотрено, что сведения, содержащие государствен­ную, служебную и иную тайну, учредительные документы, годовые отчеты, бухгалтерские балансы, документы, связанные с уплатой налогов, и иные не могут составлять коммерческую тайну.

Шестой этап состоит в проверке того, что относимые к ком­мерческой тайне сведения не касаются негативной деятельности организации, способной причинить ущерб личности, обществу и государству. Речь идет о сведениях, касающихся загрязнения окружающей среды, нарушения законов, сокрытия информа­ции якобы подрывающей имидж организации, злоупотреблений в коммерческих интересах, уклонения от выполнения договорных обязательств либо уплаты налогов, недобросовестной конкурен­ции и др.

Таким образом, категории сведений, включаемых в Перечень, должны удовлетворять следующим критериям оценки: откры­тое использование выделенных сведений связано с ущербом для организации; сведения не являются общеизвестными или общедоступными на законных основаниях; организации име­ет возможности осуществлять надлежащие меры по охране их конфиденциальности, руководствуясь соображениями эконо­мической выгоды; выделенные сведения нуждаются в охране и защите, так как не являются государственной тайной, не защи­щены авторским и патентным правом, к ним нет ограничений на отнесение их к коммерческой тайне; сокрытие этих сведений не может причинить ущерба личности, обществу и государству.

Примерный Перечень категорий сведений, составляющих ком­мерческую тайну организации, дается в Приложении 2.

§ 3. Методика определения степени конфиденциальности сведений, содержащихся в работах, документах и изделиях

Разработка и утверждение Перечня создают нормативную основу для руководства по определению степени конфиденци­альности конкретных сведений, содержащихся в работах, доку­ментах и изделиях. Степень конфиденциальности конкретных сведений определяется непосредственно исполнителем работ на основании соответствующих категорий сведений, предусмот­ренных в Перечне, и лицом, которому направлен документ на работник организации, непосредственно отэеделяющий степень

от того, насколько верно определена степень конфиденциально­сти сведений и присвоена категория важности с указанием грифа «Коммерческая тайна», зависит уровень установления режима их охраны, порядок работы с документами и изделиями, их учет, хранение, обращение и уничтожение, а также зашита в суде прав обладателя КЗИ в случае ее разглашения (утечки).

В Законе о коммерческой тайне не упоминается обязанность испатггнтеля по определению ковфидешгаа.тьности сведений с учетам анализа новизны информации н степени осведомлен­ности в ней конкурентов. Анализ практики определения степени конфнленниальности конкретных сведении показывает, что работ­ники, кроме Перечня, в своей практической деятельности учиты­вают и шше факторы. В их число входят следующие факторы:

Характеристики

Список файлов книги