 |
Регламентация состава конфиденциальных сведений и документов.
|
|
|
|
Процесс выявления и регламентации реального состава информации, представляющей ценность для предпринимателя, в том числе составляющей тайну фирмы, является основополагающей частью системы защиты информации.
Принимая во внимание, что система защиты ценной и конфиденциальной информации является дорогостоящей технологией, определение состава сведений, подлежащих защите, должно базироваться на принципе экономической целесообразности их защиты. Поэтому анализ информационных ресурсов фирмы осуществляется с учетом двух основных критериев: степени заинтересованности конкурентов в информации и степени ценности информации (стоимостной, правовой, деловой).
Для анализа необходимо иметь не только полный перечень реальных и потенциальных конкурентов, но и знать слабые и сильные стороны их деятельности, обладать информацией о состоянии дел у каждого конкурента, разрабатываемых новшествах, сотрудничестве со структурами промышленного шпионажа или криминальными структурами. На этой основе можно с полной уверенностью определить, какую информацию фирма не хотела бы раскрывать конкурентам. Необходимо также определить экономическую значимость новшества, рассчитать величину ущерба от его утраты и на этой основе сделать вывод о том является ли оно предметом коммерческой тайны и объектом защиты.
Следует учитывать, что вопрос о конфиденциальности информации возникает в случаях принятия фирмой новой стратегии развития, заключения выгодных контрактов, появления технического или технологического новшества, установления факта потенциальной или реальной угрозы этому новшеству со стороны конкурента. При определении размера ущерба от возможной утраты информации учитывается стоимость продукции, которая не будет произведена, потери от замораживания капитальных вложений, стоимость произведенных научно-исследовательских работ и другие убытки.
|
|
|
В процессе анализа выделяются главные элементы информации, отражающие фирменный секрет. Это дает возможность удешевить систему защиты и сделать ее максимально целенаправленной, динамичной и эффективной. Защита всего новшества, включая общеизвестные его составляющие, как правило, желаемого результата не даст за счет громоздкости системы защиты и трудности контроля больших объемов конфиденциальной информации. Массовость засекречивания ведет к росту штатной численности служб безопасности и в конечном счете к снижению эффективности защиты и утрате информации. Например, есть смысл защищать новую формулу в известном рецепте производимого продукта, новый алгоритм известных действий, новый прибор в производимом оборудовании и т.п.
Информация может быть отнесена к коммерческой (предпринимательской) тайне и стать конфиденциальной при соблюдении следующих условий:
– информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства, фальсификацию финансовой деятельности с целью неуплаты налогов и другие подобные факты;
– информация не должна быть общедоступной или общеизвестной;
– возникновение или получение информации предпринимателем должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;
– персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;
– предприниматель должен быть в состоянии выполнить реальные действия по защите этой информации, т.е. иметь, например, средства для закупки или разработки системы защиты информации.
В соответствии с постановлением Правительства РФ "О перечне сведений, которые не могут составлять коммерческую тайну" таковыми являются:
|
|
|
– учредительные документы (решение о создании предприятия или договор учредителей) и устав;
– документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
– сведения но установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
– документы о платежеспособности;
– сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
– документы об уплате налогов и обязательных платежей;
– сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
– сведения об участии должностных лиц предприятия в кооперативных, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
В отличие от государственной тайны перечень сведений, составляющих коммерческую тайну, государством централизованно не регламентируется и определяется индивидуально каждой фирмой. Одновременно фирма устанавливает необходимый уровень конфиденциальности этих сведений, степень требуемой их защиты, длительность защиты, ее стоимость и технологию защиты. Состав ценной и конфиденциальной информации, подлежащей защите, определяется собственником или владельцем этих сведений и фиксируется в специальном перечне. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.
Перечень конфиденциальных сведений фирмы представляет собой классифицированный список типовой и конкретной ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В нем закрепляется факт отнесения сведений к защищаемой информации и определяется период (срок) конфиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список должностей сотрудников фирмы, которым дано право использовать эти сведения в работе. В перечень включаются действительно ценные сведения ("изюминки") о каждой работе фирмы.
|
|
|
Перечень является постоянным рабочим материалом для руководства фирмы, служб безопасности и конфиденциальной документации. Поэтому он должен регулярно обновляться и корректироваться. Ограничение доступа к информации, относящейся к новой продукции, но не обладающей ценностью, применяться не должно.
Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. Закрепление информации за конкретными должностями позволяет снизить вероятность раскрытия секрета сотрудниками и предотвратить возможность включения ими в документы избыточной конфиденциальной информации.
Перечень необходим также для выделения конфиденциальных документов из общего документопотока, соответствующего их маркирования (грифования) и автономной обработки, использования и хранения. При рассмотрении в судах дел о краже сотрудниками информации и понесенных фирмой в связи с этим убытках перечень используется в качестве доказательства отнесения этих сведений к разряду конфиденциальных.
Ведение перечня заключается в регулярной его корректировке и обновлении, отражающих новые перспективные разработки фирмы, переход на выпуск нового вида продукции, изменение тематики работы, направлений деятельности, конъюнктуры рынка и т.п. В процессе ведения в перечень включается конфиденциальная информация, отражающая реальные новшества, разработки и изобретения. С этой целью руководители структурных подразделений фирмы или направлений ее деятельности должны регулярно составлять реестры новой индивидуальной конфиденциальной информации и информации, потерявшей свою конфиденциальность. Реестры предоставляются в комиссию для внесения изменений в перечень.
|
|
|
Перевод сведений, включенных в перечень, из категории конфиденциальных в категорию открытых, т.е. исключение сведений из перечня осуществляется указанной выше комиссией по представлению руководства фирмы, структурных подразделений и службы безопасности.
На основании перечня конфиденциальных сведений служба безопасности или служба конфиденциальной документации фирмы составляет и ведет классифицированный перечень ценных и конфиденциальных документов фирмы, подлежащих защите с указанием обозначаемого на них грифа ограничения доступа и состава сотрудников, допущенных к этим документам. Перечень составляется в рамках структурных подразделений или направлений деятельности фирмы и регламентирует два аспекта работы сотрудников фирмы с конфиденциальными документами: а) состав издаваемых подразделением документов и документов, направляемых в подразделение для работы, б) состав конфиденциальных сведений, которые могут быть включены в каждый указанный в перечне документ. Утверждается перечень первым руководителем фирмы.
В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране от многообразия угроз. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
В перечень должно войти положение о том, что сохранение коммерческой тайны партнеров является неотъемлемой частью деятельности фирмы. Открытая публикация сведений, полученных па договорной или доверительной основе или являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров. При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, исполнении условий договора.
Следовательно, в целях определения состава защищаемых сведений и документов каждая фирма должна составлять и регулярно обновлять соответствующие перечни, без которых система защиты информации фирмы не может функционировать. Важно, что эти перечни носят индивидуальный характер для каждой фирмы и отражают реальную информацию о направлениях ее деятельности, требования собственника информации по ограничению доступа персонала к информации, составляющей интеллектуальную собственность фирмы.
|
|
|
