4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 27
Текст из файла (страница 27)
При ведении открытой и конфиденциальной переписки существуют различные каналы возможной утечки КЗИ.
Выборочный опрос исполнителей конфиденциальных работ показал, что наиболее характерными каналами утечки КЗИ могут быть следующие:
• публикация материалов, содержащих КЗИ организации в открытой печати, оглашение ее в передачах по радио и на телевидении — 15%;
• отнесение информации к КЗИ и включение ее в открытые документы — 11%;
• переписка с другими организациями и ведение междугородных телефонных переговоров — 9%;
• подготовка и защита диссертационных материалов — 7%;
• осуществление государственной регистрации НИОКР — 6%;
• ведение конфиденциального делопроизводства — 6%;
• внедрение изобретений, открытий и результатов НИОКР — 4% и др.
Ниже дается характеристика нарушений режима конфиденциальности КЗИ на указанных каналах переписки.
Публикация материалов в открытой печати, оглашение в передачах по радио и на телевидении. Любая публикация требует, с одной стороны, включение в нее максимума полезных данных, а с другой — ограничение информации с учетом коммерческих интересов собственника. Публикации в организациях должны быть оформлены с соблюдением требований режима конфиденциальности КЗИ и норм авторского и патентного права.
Публикация материалов, раскрывающих деятельность организации, может осуществляться на двух уровнях: на уровне одной публикации (микрорегулирование) и на уровне потока тематических публикаций или отдельной выборки направления деятельности (макрорегулирование). В обоих случаях могут допускаться нарушения, которые обусловливают существование этого канала утечки КЗИ.
Уровень микрорегулирования включает авторский самоконтроль и экспертную комиссию организации. Авторский самоконтроль предполагает знание автором документов, в которых изложены режимные ограничения. Так, опрос работников ряда организаций показал, что 25% от числа опрошенных не ознакомлены с перечнями сведений, составляющих коммерческую тайну, 46 — ознакомлены в общих чертах и только 29% — ознакомлены в части, их касающейся. Такое положение дел, когда работники слабо представляют, какие сведения составляют КЗИ, может привести к раскрытию в открытых публикациях сведений конфиденциального характера.
Анализ работы экспертных комиссий по рассмотрению ими материалов для открытого опубликования показывает, что имеется ряд недостатков, связанных с проведением экспертизы, которые могут привести к утечке сведений конфиденциального характера. Экспертиза материала иногда поручается самому автору, который одновременно является членом экспертной комиссии, либо некомпетентному работнику, плохо знающему специфику организации и требования конфиденциальности КЗИ. Решение экспертной комиссии оформляется актом. Имеются нарушения процедуры оформления акта экспертизы. Отмечается формальный подход к заполнению акта экспертизы. Это проявляется в отсутствие ответов на поставленные вопросы. Комиссия иногда работает без секретаря, что сказывается на качестве организационной работы. Председатель экспертной комиссии, как правило, один из заместителей руководителя организации, в силу занятости не всегда должным образом контролирует работу членов комиссии. Изучение работы комиссий показывает, что в отдельных случаях автор или редактор рукописи одновременно выступает и экспертом. Представляется, что такой подход недопустим, так как названные лица заинтересованы в публикации рукописи.
Отнесение информации к КЗИ, включение ее в открытые документы порой происходит без учета требований, предъявляемых к установлению степени конфиденциальности, категорий (разрядов) сведений и определению степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Опрос исполнителей конфиденциальных работ показывает, что из числа опрошенных не ознакомлены с порядком отнесения информации к КЗИ — 34%; ознакомлены в общих чертах — 31; ознакомлены в части, их касающейся, — 35%.
Большинство опрошенных не знают или плохо знают установленный порядок определения сведений, относимых к КЗИ.
При определении конфиденциальности сведений, содержащихся в работах, документах и изделиях, опрошенные работники ряда организаций заявили, что в 41% случаев они руководствуются возможным ущербом, который может быть причинен организации при попадании сведений к конкурентам, в 31% случаев — личным опытом, в 15% случаев — перечнем сведений, составляющих коммерческую тайну, в 14% случаев — новизной изделия (работы), в 2% — вредом, который может наступить вследствие излишнего отнесения информации к коммерческой тайне.
Таким образом, критерии (признаки), которыми руководствуются работники при определении степени конфиденциальности сведений, сформулированы недостаточно четко и в корпоративных актах организации, как правило, не закреплены. Поэтому на практике встречается различное выделение критериев и их толкование, что отрицательно сказывается на защите коммерческих секретов и может привести к возможной утечке КЗИ.
Значительная часть работников-исполнителей не полностью удовлетворена имеющейся нормативной базой, регулирующей охрану коммерческой тайны. На вопрос: достаточно ли для определения степени конфиденциальности сведении, содержащихся в документах, руководствоваться нормами отдельных законов и подзаконных актов; 35% опрошенных ответили положительно; 40 — отрицательно; 25% — только частично согласились с этим. Нужно отметить, что опрос проводился до принятия Закона о коммерческой тайне (2004 г.), хотя с введением названного Закона ситуация в этом плане мало чем изменилась. В Законе отсутствует механизм определения степени конфиденциальности информации, что порождает на практике различные подходы к решению этого вопроса с использованием корпоративных норм.
Что касается знания работниками-исполнителями основополагающих положений корпоративных актов, используемых ими для установления степени конфиденциальности сведений, содержащихся в работах, документах и изделиях, то опрошенные ответили следующим образом: с перечнем сведений, составляющих коммерческую тайну организации, ознакомлены всесторонне — 29%; не ознакомлены — 22; ознакомлены в общих чертах — 36%; остальные не смогли ответить на вопрос.
Отсюда видно, что почти половина работников-исполнителей конфвденлиальных работ не знают или плохо знают корпоративные документы, регламентирующие вопросы определения степени конфиденциальности сведении, составляющих КЗИ.
В целом опрошенные работники ряда организаций заявили, что в 11% случаев нарушения, допускаемые в сфере отнесения информации к сведениям, составляющим коммерческую тайну, могут обусловливать утечку КЗИ.
Выборочный опрос показывает, что в 9% случаев возможным каналом утечки КЗИ может быть переписка с представителями иностранных фирм, ведение с ними международных и междугородных телефонных переговоров исполнителями конфиденциальных работ, если они ведутся с нарушением установленных требований режима КЗИ. Не секрет, что на Западе достаточно хорошо развита система ведения промышленного шпионажа. Поэтому отечественным коммерсантам, имеющим контакты с инофирмами, следует опасаться за свои секреты, если они действительно имеют коммерческую значимость. В российском законодательстве нет каких-либо запретов относительно обмена информацией с иностранными партнерами. Наоборот, государство поощряет контакты с иностранными инвесторами и не запрещает в этой связи обмениваться информацией отечествеиным коммерсантам. Поэтому7 решение о предоставлении информации, включая и КЗИ, принимает акционер (собственник) и руководитель организации. В данном случае на договорной основе следует позаботиться о том, чтобы КЗИ не стала достоянием третьих лиц.
Одним из возможных каналов утечки конфиденциальности сведений может стать подготовка и защита диссертационных материалов с использованием КЗИ, раскрывающей деятельность организации. На это обстоятельство указали около 7% опрошенных лиц. Утечка охраняемой информации может произойти в случаях, когда не выполняются требования нормативных правовых актов, в частности, Положения «О порядке защиты и рассмотрения диссертаций, с грифом «Для служебного пользования», утвержденного Высшей аттестационной комиссией России. В частности, нарушения могут проявляться при использовании в диссертации результатов НИР и ОКР, которые по условиям договора между сторонами не подлежат открытому опубликованию; в ознакомлении посторонних лиц с результатами диссертационного исследования конфиденциального характера; в приеме специализированным советом вуза (НИИ) к защите диссертации с грифом «Для служебного пользования» и рассмотрение ее председателем и членами совета, не имеющих допуска к такого рода документам: направление в ведущую организацию и официальным оппонентам диссертаций с грифом «Для служебного пользования» и их ознакомление с нарушением требований действующего законодательства об охране коммерческой тайны. Указанные и другие нарушения могут привести к ознакомлению посторонних лиц с конфиденциальными сведениями, стать каналом утечки КЗИ.
Опрос исполнителей, выполняющих конфиденциальные работы показывает, что нарушение установленных правил государственной регистрации НИОКР может стать одной из причин утечки КЗИ. Об этом, в частности, заявили около 6% опрошенных лиц. Государственная регистрация и учет НИОКР осуществляется в соответствии с требованиями законов и подзаконных актов. Особое значение для регулирования этой работы имеют государственные стандарты и стандарты организаций, которые являются обязательными дня руководителей и ответственных исполнителей НИОКР. Работники отделов научно-технической информации (ОНТИ) организаций являются ответственными лицами, отвечающими за своевременное представление регистрационных, информационных карт (РК, ИК) и отчетной научно-технической документации в федеральные исполнительные органы государственной власти. Нарушения режима КЗИ могут проявляться, во-первых, в подготовке и оформлении РК и ИК отчетной научно-технической документации (ОНТД) на НИОКР, содержащих КЗИ, лицами, не допущенными к этой работе; во-вторых, в неправильном оформлении РК, ИК и ОНТД вследствие незнания исполнителями соответствующих нормативно-технических документов или недобросовестного отношения к выполнению данной работы; в-третьих, во внесении исполнителями конфиденциальных сведений в аннотации, рефераты и другие графы РК и ИК на открытые части работ, выделяемых из НИОКР с грифом «Коммерческая тайна» и охраняемых в режиме сведений «Для служебного пользования».
Ведение конфиденциального делопроизводства с нарушением требований, установленных в организации, может стать одним из серьезных каналов утечки КЗИ. Конфиденциальное делопроизводство представляет собой вид деятельности, включающий вопросы обеспечения режима конфиденциальности при документировании и различных письменных материалов (документов) в процессе производства и управления организацией. Как показывает проведенный выборочный опрос работников-исполнителей конфиденциальных работ, около 6% из числа опрошенных лиц отмечают это обстоятельство как возможный канал утечки КЗИ. Нарушения режима КЗИ при ведении конфиденциального делопроизводства выражаются в невыполнении или ненадлежащем выполнении работниками специальных отделов служебных обязанностей, установленных должностной инструкцией. Это может привести к утечке КЗИ в процессе создания и хранения документов, содержащих такую информацию. Серьезными последствиями для организаций могут быть нарушения, связанные с физической сохранностью документов и дезорганизацией порядка докумен-тационного обеспечения деятельности организаций.
Нужно отметить, что процесс создания документа, в частности, составление черновиков, печатание, проверка отпечатанного текста, визирование, согласование и утверждение документа, а также организации документов (учет, поиск, хранение, обращение, пользование, отправка, уничтожение и другие операции) достаточно четко регламентированы соответствующими нормативными правовыми актами и корпоративными документами.
Анализ исследования приемов и методов охраны конфиденциальных сведений, применяемых в конфиденциальном делопроизводстве в ряде организаций, которые выборочно были изучены автором, позволяет выделить основные функции конфиденциального делопроизводства. Невыполнение или ненадлежащее выполнение работниками своих обязанностей в рамках выделенных нами функций (направлений) может привести к утечке охраняемой информации. Допускаемые при этом нарушения обычно составляют:
• отсутствие должного контроля со стороны руководства за созданием, оформлением документов;
• нарушения, допускаемые работниками специальных подразделений, которые связаны с надлежащим учетом и хранением
документов;
« нерегулярное проведение проверок наличия документов на рабочих местах исполнителей и в местах их хранения;
• несвоевременное составление номенклатуры дел и неправильное оформление первичных документов;
• нарушение порядка размножения и копирования документов;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
