logo
Информационная безопастность и защита информации / 1_Методологические основы обеспечения

П Рис. 1орядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации

Документ о порядке и методических указаниях по формированию Перечня должен разрабатываться в организации в виде отдельного положения, которое подписывается начальником службы безопасности (заместителем по режиму) или другим должностным лицом, в ведении которого находятся вопросы безопасности, а затем утверждается руководителем организации.

При введении в действие этого положения приказом отдельным пунктом в нем должны определяться должности или лица, которые наделяются полномочиями по отнесению сведений к составляющим служебную или коммерческую тайну в период формирования (разработки) Перечня и по их применению в последующем.

Положение по формированию Перечня должно обеспечивать единый подход к его созданию, обоснованность принимаемых решений о включении в него сведений за структурное подразделение в отдельности и за организацию в целом, а также проведение административного расследования в случае их несанкционированного распространения (разглашения, передачи, утечки, хищения) и наказание лиц, виновных в этом, согласно Уголовному или Гражданскому Кодексу Российской Федерации (в дальнейшем для краткости УК РФ и ГК РФ).

В Перечень должны включаться все сведения (данные, информация, документы и их носители), являющиеся собственностью организации. При этом в ходе подготовки Перечня должностные лица организации должны провести анализ всех сторон ее деятельности с целью определения конкретных сведений, разглашение которых может нанести ущерб ее собственнику и владельцу.

Сведения, составляющие служебную или коммерческую тайну о деятельности организации, по степени (характеру) важности должны разделяться на сведения конфиденциального и коммерческого характера (отметка «Конфиденциально» или «Из офиса не выносить» и т. д.), а также служебные сведения, имеющие гриф «Для служебного пользования» (сокращенно — ДСП).

При этом:

а) Под сведениями (и их носителями) понимаются:

• данные, полученные в результате обработки информации с помощью технических средств (оргтехники);

информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;

• документы (носители), образующиеся в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.

б) Сведения, включенные в Перечень, имеют ограничительный характер на использование (применение). Ограничения, вводимые на использование сведений, составляющих служебную или коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) ее подразделений, а также при их сотрудничестве с работниками других предприятий.

в) В совокупности под служебной или коммерческой тайной надо понимать сведения, не являющиеся государственными секретами, но которые связаны, прежде всего, с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам или интересам их владельцев.

г) Законодательной основой защиты служебной и коммерческой тайны является часть вторая ГК РФ.

Для работы по составлению Перечня должен привлекаться широкий круг экспертов и должностных лиц отделов, служб организации с тем, чтобы ни одно из возможных направлений ее деятельности не было упущено при его разработке.

Руководство работой по формированию Перечня, как правило, должно возлагаться на начальника службы безопасности (заместителя по режиму) организации.

Для непосредственного формирования Перечня в организации должна создаваться экспертная комиссия (далее сокращенно — ЭК), комплектуемая наиболее квалифицированными сотрудниками и специалистами из ее структурных подразделений. ЭК должна осуществлять анализ всех сторон деятельности организации в целом и подчиненных ему подразделений в отдельности, а также координировать вопросы, касающиеся их совместных действий по формированию Перечня, путем обобщения поступающих предложений.

Работа по формированию Перечня и определению сведений, составляющих служебную или коммерческую тайну, должна состоять из следующих этапов:

• составление предварительного перечня сведений, содержащих служебную или коммерческую тайну, для структурных подразделений (отделов, служб) организации;

• определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в Перечень;

• определение преимуществ открытого использования рассматриваемых сведений по сравнению с закрытым;

• определение затрат на защиту рассматриваемых сведений;

• принятие решения о включении сведений в окончательный вариант Перечня;

• составление обобщенного Перечня и рассмотрение его на заседании ЭК;

• оформление результатов работы по формированию Перечня.

Составление предварительного Перечня сведений.

Предварительный Перечень сведений, составляющих служебную или коммерческую тайну, формируется под руководством начальников структурных подразделений организации в соответствии с указаниями начальника службы безопасности (заместителя по режиму) и Положением о порядке и методических указаниях по его формированию.

При разработке предварительного Перечня в структурных подразделениях должны руководствоваться:

• Конституцией Российской Федерации, принятой 12 декабря 1993 года;

• Законом Российской Федерации «О государственной тайне» № 5485-1 от 21.07.93;

• Федеральным законом Российской Федерации «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95;

• Указом Президента Российской Федерации «Об утверждении Перечня сведений, отнесенных к государственной тайне» № 1203 от 30.11.95;

• Указом Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» № 188 от 06.03.97;

• Постановлением Правительства Российской Федерации «О Перечне сведений, которые не могут составлять коммерческую тайну» № 35 от 05.12.91;

• анализом характера возможного ущерба в случае несанкционированного распространения сведений конфиденциального характера;

• анализом преимуществ и недостатков для работы с открытым и закрытым (внутренним) применением таких сведений.

После окончательного формирования предварительного Перечня о деятельности структурного подразделения он за подписью его руководителя (начальника) представляется в ЭК организации.

Рассмотрению ЭК организации должны подлежать все сведения о деятельности структурного подразделения, собственником которых оно является, при этом каждое такое сведение должно оцениваться по следующим критериям:

• степень важности неразглашения сведений (информации) о порядке получения прибыли в борьбе с конкурентом, в том числе сведений о технико-экономических характеристиках изделия (продукции);

• показатели выигрыша во времени при создании конкурентоспособного изделия (продукции) или предоставлении наукоёмких услуг и работ;

• временные показатели развития технологии, ведущие к сокращению сроков между проведением исследований и их практическим применением (изготовлением);

• получение организацией монополии на информацию о передовой технологии, являющейся ее собственностью;

• вероятность использования информации конкурентом в случае ее рекламирования или опубликования;

• вероятность установления связи между временем закрытия информации и до момента проведения работ по изготовлению конкурентоспособных изделий (продукции);

• другие вопросы производственной и финансовой безопасности.

Рассмотренные и обсужденные на ЭК сведения, переносимые из предварительного в обобщенный вариант Перечня за организацию в целом, должны иметь четкую, конкретную и одностороннюю формулировку, исключающую неоднозначность их понимания (толкования).

Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в обобщенный Перечень.

На данном этапе ЭК должна определить виды возможного ущерба, которые могут быть нанесены интересам деятельности организации в случае несанкционированного распространения (разглашения, передачи, утечки, хищения и т. д.) рассматриваемых сведений. При этом вся служебная деятельность работников (сотрудников) должна быть организована в строгом соответствии с требованиями руководящих документов по вопросам режима, безопасности и конфиденциальности, то есть необходимо создание административных условий, гарантирующих защиту охраняемых сведений, отнесенных к служебной или коммерческой тайне.

Возможный ущерб должен оцениваться с использованием качественных или количественных показателей, влияющих на состояние защиты охраняемых сведений и исключающих возможность нанесения организации морального, материального, производственного, финансового и другого ущерба. Эти показатели должны оцениваться путем реального определения размеров ущерба, который может наступить в результате несанкционированного распространения сведений, включаемых в окончательный вариант Перечня.

Количественные (стоимостные) показатели возможного ущерба должны определяться уровнем снижения эффективности в какой-либо области деятельности организации, в основном производственной или финансовой, а качественные — степенью возможности срыва в получении определенных прибылей или при возникновении других моральных факторов.

В то же время при качественной или количественной оценке ущерба, который может понести организация при разглашении этих сведений, должны учитываться потери, возникающие не только в настоящее время, но и в будущем, а также возможность нанесения ущерба ее посредникам.

При невозможности оценить ущерб в стоимостном выражении допускается оценка только с помощью качественных показателей или факторов.

Качественный или количественный анализ оценки ущерба в конечном итоге должен позволить ЭК организации определить конкретные сведения (информацию или ее составную часть), которые необходимо защищать от посягательств недобросовестных конкурентов.

Из оценки ущерба исключаются следующие сведения:

• сведения, охраняемые службой режима с помощью государственной системы мер по защите государственных секретов;

• сведения, являющиеся общедоступными на законных основаниях, в том числе в соответствии с Постановлением Правительства Российской Федерации № 35 от 05.12.91:

- учредительные документы (решение о создании предприятия или договор учредителей) и Устав;

- документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);

- сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;

- документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

- документы об уплате налогов и обязательных платежах;

- сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательств Российской Федерации и размерах причиненного при этом ущерба;

- сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах и других организациях, занимающихся предпринимательской деятельностью;

• сведения и материалы научно-технического характера после их публикации в открытой печати;

• сведения статистического характера, передаваемые в соответствующие государственные органы и общественные организации без установления условий конфиденциальности их использования.

При оценке количественных и качественных показателей ущерба от несанкционированного распространения сведений, составляющих служебную или коммерческую тайну, должны учитываться следующие отрицательные последствия:

• разрыв отношений с деловыми партнерами и клиентами;

• снижение уровня сотрудничества с деловыми партнерами по различным вопросам взаимодействия (производственные, финансовые, коммерческие и т. д.);

• срыв или невыполнение договорных обязательств, контрактов;

• создание трудностей в снабжении, производстве и сбыте изделий (продукции) или услуг, работ;

• экономические санкции против организации;

• необходимость перепланирования затрат на проведение дополнительных маркетинговых исследований для разработки новой рыночной стратегии;

• потеря приоритета в научных исследованиях;

• престижные и другие моральные факторы, связанные с потерей лидерства в своей области деятельности.

Определение преимуществ открытого использования рассматриваемых сведений по сравнению с закрытым.

На этом этапе ЭК должна установить, сформировать и оценить все положительные и отрицательные факторы, указывающие на возможность открытого использования рассматриваемых сведений по сравнению с закрытым (внутренним применением).

Факторы, указывающие на необходимость и преимущество открытого использования сведений, должны определяться путем:

• получения финансовых и других экономических обоснований в оценке получения прибыли от широкого и открытого использования служебной, производственной или коммерческой информации;

• изучения финансовых затрат на внедрение мероприятий, направленных на обеспечение безопасности в деятельности организации, рассчитываемых согласно пункту 8.4 настоящего раздела.

В целях объективного и обоснованного определения преимущества открытого использования сведений, а также возможности не включения их в Перечень решение по ним должно приниматься ЭК единогласно, причем решающим голосом в принятии того или иного предложения является голос эксперта подразделения, интересы которого затрагивают эти сведения.

Определение затрат на защиту сведений, включаемых в Перечень.

На этом этапе ЭК должна оценить практическую возможность защиты рассматриваемых сведений и определить материальные, трудовые и финансовые затраты, необходимые для организации и осуществления мероприятий по обеспечению соответствующих норм режима, безопасности при обращении с ними (и их носителями), а также мер по технической защите информации, в которой содержатся охраняемые сведения.

При определении затрат на защиту рассматриваемых сведений должны учитываться расчеты на финансирование следующих организационно-технических мер:

• создание и оборудование в организации дополнительно к существующим рабочих мест, связанных с производством новой продукции, изделия или технологии, сведения о которых подлежат защите;

• увеличение штатной численности службы безопасности, содержание этого штата и их технической оснащенности, исходя из необходимости и возможности;

• организация дополнительной проверки и допуск к документам и работам конфиденциального характера необходимого числа работников (сотрудников);

• организация дополнительной охраны материалов, сырья и т. д., содержащихся в охраняемых изделиях (продукции), в нерабочее время, при транспортировке и хранении;

• других мероприятий в зависимости от объемов работы по обеспечению требуемого режима и безопасности.

Затраты на защиту сведений, составляющих служебную или коммерческую тайну, должны учитываться при определении ущерба, наносимого в результате их несанкционированного распространения.

Исходя из условий дислокации, особенностей производственной деятельности организации, целесообразно на этапе определения затрат на защиту конфиденциальных сведений рассмотреть все возможные способы и методы, которые могут быть применены злоумышленниками для получения или уничтожения защищаемой информации.

Принятие решения о включении сведений в окончательный вариант Перечня.

На этом этапе ЭК организации должна произвести окончательное формирование варианта обобщенного Перечня и согласовать его с заместителями руководителя организации и начальниками структурных подразделений.

В обобщенный вариант Перечня должны включаться все сведения служебного, коммерческого и конфиденциального характера, для которых величина морального и материального ущерба от несанкционированного распространения выше суммарного показателя от его открытого использования и затрат на защиту.

После окончательного формирования, согласования варианта обобщенного Перечня сведений, составляющих служебную или коммерческую тайну за организацию, он должен быть вынесен на обсуждение расширенного заседания ЭК.

Оформление результатов работы по формированию Перечня.

Результаты работы ЭК должны оформляться в виде окончательного варианта обобщенного Перечня, подписанного начальником службы безопасности (заместителем по режиму) и представляемого председателем ЭК на утверждение руководителю организации. К окончательному варианту обобщенного Перечня могут прилагаться рабочие материалы с обоснованием необходимости включения в него тех или иных сведений. Такие материалы должны подписываться всеми членами ЭК.

Сведения, отнесенные к служебной или коммерческой тайне, должны включаться в обобщенный Перечень с указанием грифа конфиденциальности и сроков их засекречивания. Вместо указания срока засекречивания могут приводиться обстоятельства или события (в графе 4 «Примечание — особые отметки» Перечня), при наступлении которых возникает необходимость изменения грифа конфиденциальности или полного открытия сведения, включенного в Перечень.

Решение об открытии (рассекречивании) такого сведения принимается руководителем организации или ЭК. При этом необходимо учитывать, что одинаковый гриф конфиденциальности и сроки засекречивания должны устанавливаться:

• на все сведения в совокупности при указании их в Перечне через союз «и»;

• на все категории сведений в совокупности или в отдельности при указании их в Перечне через запятую и союзы «или», «либо», «а также».

Результаты расширенного заседания ЭК должны протоколироваться секретарем комиссии, а протокол — утверждаться руководителем организации.

Перечень вводится в действие приказом руководителя организации в виде приложения к нему.

Сотрудники организации, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим служебную или коммерческую тайну, должны под расписку ознакомиться с этим приказом или приложением к нему. Порядок такого ознакомления возлагается на начальника службы безопасности (заместителя по режиму) организации. В заинтересованные организации, учреждения, а также подчиненные структурные подразделения высылаются выписки или копии этих сведений в части, их касающейся.

В Перечень могут быть включены сведения служебного, коммерческого или конфиденциального характера сторонних организаций. Степень конфиденциальности таких сведений должна устанавливаться по согласованию между организацией, разрабатывающей такой Перечень, и собственником таких сведений.

Контроль за обеспечением защиты служебной или коммерческой тайны и правильностью пользования Перечнем в практической деятельности должен возлагаться на начальника службы безопасности (заместителя по режиму) организации. Вопросы организации такого контроля, как правило, должны отражаться в годовом плане мероприятий по защите служебной или коммерческой тайны.

В последующем Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объеме сведения, информацию, данные или работают с документами «ДСП» и их носителями. Все лица, принимаемые на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении служебной или коммерческой тайны. Памятка должна разрабатываться службой безопасности с учетом специфики организации.

Гриф конфиденциальности самого Перечня устанавливается руководителем организации при его утверждении.

Сотрудник, получивший доступ к служебным, коммерческим или конфиденциальным сведениям и документам, должен подписать индивидуальное письменное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации им дается подписка о неразглашении закрытых сведений Перечня.

Пересмотр Перечня сведений, составляющих служебную или коммерческую тайну, а также внесение в него изменений и дополнений должны осуществляться по мере необходимости в том же порядке, что и его формирование.

Заместители руководителя, начальники структурных подразделений организации обязаны проводить систематическую работу по анализу и обобщению практики применения Перечня и в установленном порядке осуществлять его корректировку.

Работа в организации должна быть спланирована таким образом, чтобы любому сотруднику было категорически запрещено сообщать кому бы то ни было сведения конфиденциального характера, если это не вызвано служебной необходимостью.

С целью более качественного сокрытия производственной деятельности и особенно передовой технологии по изготовлению ноу-хау, в организации могут разрабатываться проекты по легенде прикрытия такого производства.

Легендирование должно направляться на практическое проведение организационных, технических, режимных мер и в целом перестройку безопасности так, чтобы у его сотрудников, клиентов, посредников и конкурентов сложилось устойчивое мнение о придуманной деятельности взамен реально существующей. Это должно позволить организации выиграть время на разработку, испытание и производство ноу-хау.

Проект создания легенды прикрытия и мероприятий по формированию Перечня сведений, составляющих служебную или коммерческую тайну, требует существенных финансовых затрат и привлечения к их реализации специалистов высокой квалификации. Однако как показывает опыт мировых компаний в этом вопросе, затраты должны окупиться через 1,5–2 года со значительным получением прибыли в будущем.

Следует заметить, что в ходе планирования и создания совместных предприятий со стороны российских организаций обязательно должны предусматриваться меры защиты сведений, отнесенных к ее служебной или коммерческой тайне. Их необходимо отразить в двусторонних договорах или соглашениях, отвечающих требованиям Стокгольмской конвенции.

Примерный перечень сведений, составляющих служебную или коммерческую тайну организации

Сведения о структуре и масштабах производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, комплектующих и готовой продукции.

Сведения о применяемых оригинальных методах управления организацией. Сведения о подготовке, принятии и исполнении отдельных решений руководства организации по коммерческим, организационным, научно-техническим и иным вопросам.

Сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономических обоснованиях. Также сведения о планах инвестиций, закупок и продаж.

Сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации.

Сведения о кругообороте средств организации, финансовых операциях, состоянии банковских счетов организации и проводимых операциях, об уровне доходов организации, о состоянии кредита организации (пассивы и активы). Главная книга организации.

Сведения о применяемых организацией оригинальных методах изучения рынка (маркетинга). Сведения о результатах изучения рынка, содержащие оценки состояния и перспектив развития рыночной коньюктуры. Сведения о рыночной стратегии организации, о применяемых организацией оригинальных методах осуществления продаж, об эффективности служебной или коммерческой деятельности организации.

Обобщенные сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, потребителях, покупателях, компаньонах, спонсорах, посредниках, клиентах и других партнерах, состоящих в деловых отношениях с организацией.

Обобщенные сведения о внутренних и зарубежных предприятиях как потенциальных конкурентах в деятельности организации, оценке качества деловых отношений с конкурирующими предприятиями в различных сферах деловой активности.

Сведения о подготовке, проведении и результатах переговоров с деловыми партнерами организации.

Сведения об условиях конфиденциальности, из которых можно установить порядок соглашения и другие обязательства организации с партнерами (клиентами, контрагентами).

Сведения о методах расчета, структуре, уровне реальных цен на продукцию и размеры скидок.

Сведения о подготовке к участию в торгах и аукционах, результатах приобретения или продажи на них товаров.

Сведения о целях, задачах, программах перспективных научных исследований. Ключевые идеи научных разработок, точные значения конструкционных характеристик, создаваемых изделий и оптимальных параметров разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т. д.). Аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи, данные об условиях экспериментов и оборудовании, на котором они проводились. Сведения о материалах, из которых изготовлены отдельные детали, об особенностях конструкторско-технологического, художественно-технического решения изделия, дающие положительный экономический эффект.

Сведения о методах защиты от подделки товарных и фирменных знаков, о состоянии парка ПЭВМ и программного обеспечения.

Сведения об особенностях используемых и разрабатываемых технологий и специфике их применения, об условиях их производства и транспортировке продукции.

Сведения о порядке и состоянии организации защиты служебной или коммерческой тайны, о порядке и состоянии организации охраны, системы сигнализации, пропускном режиме.

Сведения, составляющие служебную или коммерческую тайну организаций, предприятий-партнеров и передаваемые ими в пользование на доверительной основе.

Работа по защите служебной или коммерческой тайны должна быть соответствующим образом спланирована. Вниманию читателей предлагается вариант такого плана.

ПЛАН МЕРОПРИЯТИЙ ПО ЗАЩИТЕ СЛУЖЕБНОЙ ИЛИ КОММЕРЧЕСКОЙ ТАЙНЫ ОРГАНИЗАЦИИ НА 200_ г. (вариант)

1. Цели плана по защите служебной или коммерческой тайны.

Ими могут быть:

• предотвращение несанкционированного распространения служебных, коммерческих или конфиденциальных секретов;

• предотвращение разглашения служебных или коммерческих секретов сотрудниками и другими носителями таких секретов, а также исключение утечки по техническим каналам.

2. Анализ сведений, составляющих служебную или коммерческую тайну:

• определить, какие сведения организации могут быть отнесены к служебной или коммерческой тайне;

• установить места их разработки, накопления и хранения;

• выявить потенциальные каналы утечки таких сведений;

• оценить возможности по перекрытию этих каналов;

• проанализировать соотношение затрат и доходов по использованию различных технологий, обеспечивающих защиту служебной или коммерческой тайны;

• назначить сотрудников, ответственных за каждый участок системы обеспечения безопасности.

3. Обеспечить реализацию деятельности системы безопасности по следующим направлениям:

• контроль сооружений и оборудования организации, обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений организации и т. д.;

• разработка памятки о сохранении служебной или коммерческой тайны, определение порядка ознакомления с ней, а также с Перечнем сведений, составляющих такие тайны;

• работа с персоналом организации, в том числе проведение бесед при приеме на работу, инструктаж вновь принятых на работу по правилам и процедурам защиты служебной или коммерческой тайны

в организации, получение от них обязательств (контрактов) о неразглашении, обучение сотрудников правилам сохранения служебных и коммерческих секретов, стимулирование соблюдения конфиденциальности, беседы с увольняющимися и получение от них подписок;

• организация работы с конфиденциальными документами, установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами и их публикациями, контроль и учет технических носителей конфиденциальных сведений, засекречивание, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов;

• работа с конфиденциальной информацией, циркулирующей в технических средствах и системах обеспечения производственной и трудовой деятельности (создание системы защиты технических каналов защиты утечки информации);

• работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за работой пользователей на ПЭВМ);

• защита служебной или коммерческой тайны в организационно-правовых вопросах и особенно в процессе заключения контрактов и договоров с коллективом, сотрудниками, смежниками, поставщиками и т. д.