Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 694
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ля предприятия соответствующими правами. Примером такого случая может служить приказ Министра обороны Российской
Федерации 1999 г. № 170, в котором такие права предоставлены командирам воинских частей и руководителям организаций Мин
обороны России.
4 .3 . Методика определения состава
защищаемой информации
В предыдущих разделах гл. 4 было кратко рассмотрено содер
жание нормативно-правовых актов, на основе которых информа
ция может быть отнесена к защищаемой. С учетом выводов по предыдущим разделам рассмотрим методику формирования Пе
речня сведений, составляющих коммерческую тайну (далее —
Перечень).
1. При решении проблемы определения круга сведений, со
ставляющих коммерческую тайну, а также возможного распреде
ления их по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений, не
обходимо учитывать, что упущенные из внимания сведения могут привести к снижению эффективности всей системы защиты ком
мерческой тайны, а избыточные меры по ограничению доступа к информации осложнят работу и приведут к неоправданным эко
номическим издержкам. Правильное определение информации, составляющей КТ, должно способствовать прибыльности пред
приятия и не накладывать неоправданные ограничения на его де
ятельность.
2
.
Сведения, составляющие коммерческую тайну предприятия, отражаются в Перечне. При его разработке необходимо учиты
вать перечисленные в разделе 4.2.1 ограничения на отнесение све
дений к коммерческой тайне, а также материалы, открытые для ознакомления акционеров в соответствии с Федеральным зако
ном от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обще
ствах»:
«3. К информации (материалам), подлежащей предоставлению лицам, имеющим право на участие в общем собрании акционе
ров, при подготовке к проведению общего собрания акционеров общества, относятся годовая бухгалтерская отчетность, в том чис
ле заключение аудитора, заключение ревизионной комиссии (ре
визора) общества по результатам проверки годовой бухгалтерской отчетности, сведения о кандидате (кандидатах) в исполнительные органы общества, совет директоров (наблюдательный совет) об
щества, ревизионную комиссию (ревизоры) общества, счетную
Федерации 1999 г. № 170, в котором такие права предоставлены командирам воинских частей и руководителям организаций Мин
обороны России.
4 .3 . Методика определения состава
защищаемой информации
В предыдущих разделах гл. 4 было кратко рассмотрено содер
жание нормативно-правовых актов, на основе которых информа
ция может быть отнесена к защищаемой. С учетом выводов по предыдущим разделам рассмотрим методику формирования Пе
речня сведений, составляющих коммерческую тайну (далее —
Перечень).
1. При решении проблемы определения круга сведений, со
ставляющих коммерческую тайну, а также возможного распреде
ления их по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений, не
обходимо учитывать, что упущенные из внимания сведения могут привести к снижению эффективности всей системы защиты ком
мерческой тайны, а избыточные меры по ограничению доступа к информации осложнят работу и приведут к неоправданным эко
номическим издержкам. Правильное определение информации, составляющей КТ, должно способствовать прибыльности пред
приятия и не накладывать неоправданные ограничения на его де
ятельность.
2
.
Сведения, составляющие коммерческую тайну предприятия, отражаются в Перечне. При его разработке необходимо учиты
вать перечисленные в разделе 4.2.1 ограничения на отнесение све
дений к коммерческой тайне, а также материалы, открытые для ознакомления акционеров в соответствии с Федеральным зако
ном от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обще
ствах»:
«3. К информации (материалам), подлежащей предоставлению лицам, имеющим право на участие в общем собрании акционе
ров, при подготовке к проведению общего собрания акционеров общества, относятся годовая бухгалтерская отчетность, в том чис
ле заключение аудитора, заключение ревизионной комиссии (ре
визора) общества по результатам проверки годовой бухгалтерской отчетности, сведения о кандидате (кандидатах) в исполнительные органы общества, совет директоров (наблюдательный совет) об
щества, ревизионную комиссию (ревизоры) общества, счетную
комиссию общества, проект изменений и дополнений, вносимых в устав общества, или проект устава общества в новой редакции, проекты внутренних документов общества, проекты решений об
щего собрания акционеров, а также информация (материалы), предусмотренная уставом общества.
Перечень дополнительной информации (материалов), обяза
тельной для предоставления лицам, имеющим право на участие в общем собрании акционеров, при подготовке к проведению об
щего собрания акционеров, может быть установлен федеральным органом исполнительной власти по рынку ценных бумаг.
Информация (материалы), предусмотренная настоящей стать
ей, в течение 20 дней, а в случае проведения общего собрания акционеров, повестка дня которого содержит вопрос о реоргани
зации общества, в течение 30 дней до проведения общего собра
ния акционеров должна быть доступна лицам, имеющим право на участие в общем собрании акционеров, для ознакомления в поме
щении исполнительного органа общества и иных местах, адреса которых указаны в сообщении о проведении общего собрания акционеров. Указанная информация (материалы) должна быть доступна лицам, принимающим участие в общем собрании акци
онеров, во время его проведения.
Общество обязано по требованию лица, имеющего право на участие в общем собрании акционеров, предоставить ему копии указанных документов. Плата, взимаемая обществом за предо
ставление данных копий, не может превышать затраты на их из
готовление». (Статья 52. Информация о проведении общего со
брания акционеров).
3.
Практика показывает, что подготовка Перечня путем орга
низации работы экспертной комиссии в порядке, применяемом при формировании развернутого перечня сведений, подлежащих засекречиванию, является наиболее оптимальным алгоритмом.
В целях реализации такого алгоритма приказом руководителя пред
приятия создается экспертная комиссия из наиболее квалифици
рованных и компетентных специалистов структурных подразде
лений предприятия, допускаемых к КТ, и представителей службы защиты информации. Такие специалисты должны знать деятель
ность предприятия в целом и особенности работы подразделе
ний, от которых они назначены.
Экспертная комиссия осуществляет анализ всех сторон уп
равленческой, производственно-технической, научно-исследова
тельской, опытно-конструкторской и другой деятельности пред
приятия и подчиненных ему организаций с целью выявления сведений, относящихся к КТ и подлежащих включению в Пере
чень.
Организационное и методическое руководство по разработке
Перечня возлагается на заместителя руководителя предприятия
щего собрания акционеров, а также информация (материалы), предусмотренная уставом общества.
Перечень дополнительной информации (материалов), обяза
тельной для предоставления лицам, имеющим право на участие в общем собрании акционеров, при подготовке к проведению об
щего собрания акционеров, может быть установлен федеральным органом исполнительной власти по рынку ценных бумаг.
Информация (материалы), предусмотренная настоящей стать
ей, в течение 20 дней, а в случае проведения общего собрания акционеров, повестка дня которого содержит вопрос о реоргани
зации общества, в течение 30 дней до проведения общего собра
ния акционеров должна быть доступна лицам, имеющим право на участие в общем собрании акционеров, для ознакомления в поме
щении исполнительного органа общества и иных местах, адреса которых указаны в сообщении о проведении общего собрания акционеров. Указанная информация (материалы) должна быть доступна лицам, принимающим участие в общем собрании акци
онеров, во время его проведения.
Общество обязано по требованию лица, имеющего право на участие в общем собрании акционеров, предоставить ему копии указанных документов. Плата, взимаемая обществом за предо
ставление данных копий, не может превышать затраты на их из
готовление». (Статья 52. Информация о проведении общего со
брания акционеров).
3.
Практика показывает, что подготовка Перечня путем орга
низации работы экспертной комиссии в порядке, применяемом при формировании развернутого перечня сведений, подлежащих засекречиванию, является наиболее оптимальным алгоритмом.
В целях реализации такого алгоритма приказом руководителя пред
приятия создается экспертная комиссия из наиболее квалифици
рованных и компетентных специалистов структурных подразде
лений предприятия, допускаемых к КТ, и представителей службы защиты информации. Такие специалисты должны знать деятель
ность предприятия в целом и особенности работы подразделе
ний, от которых они назначены.
Экспертная комиссия осуществляет анализ всех сторон уп
равленческой, производственно-технической, научно-исследова
тельской, опытно-конструкторской и другой деятельности пред
приятия и подчиненных ему организаций с целью выявления сведений, относящихся к КТ и подлежащих включению в Пере
чень.
Организационное и методическое руководство по разработке
Перечня возлагается на заместителя руководителя предприятия
по безопасности. Численный состав определяется исходя из мас
штабов предприятия, при этом в состав комиссии обязательно включаются:
• специалист по организации работы предприятия в целом и ее особенностям;
• специалист по особенностям рынка в данном секторе эконо
мики;
• специалист по финансовым вопросам;
• специалист, обладающий сведениями о выпускаемой продук
ции, технологическом цикле ее проектирования и производства, о прохождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции);
• специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров.
штабов предприятия, при этом в состав комиссии обязательно включаются:
• специалист по организации работы предприятия в целом и ее особенностям;
• специалист по особенностям рынка в данном секторе эконо
мики;
• специалист по финансовым вопросам;
• специалист, обладающий сведениями о выпускаемой продук
ции, технологическом цикле ее проектирования и производства, о прохождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции);
• специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров.
1 ... 5 6 7 8 9 10 11 12 ... 41
4
.
В ходе работы комиссии эксперты знакомятся только с теми конкретными сведениями, к которым они допускаются в соответ
ствии с должностными обязанностями. Такой подход позволяет предотвратить необоснованное распространение коммерческой тайны уже на этапе формирования Перечня.
5. Задачи экспертной комиссии:
• выделить виды деятельности предприятия, приносящие при
быль;
• оценить степень прибыльности данного вида деятельности по сравнению с другими предприятиями;
• определить вероятную перспективу рентабельности этой дея
тельности.
Если экономические показатели деятельности предприятия в данной области выше или в перспективе могут быть выше, чем у других предприятий, осуществляющих аналогичную деятельность, то, возможно, предприятие располагает коммерческой тайной в этой области, и необходимо продолжить анализ соответствующих сведений с целью определить, что именно в данном виде деятель
ности позволяет получать прибыль.
Это могут быть, например, ноу-хау, изобретения, открытия, формулы, рецептуры, методы организации производства, про
граммное обеспечение, конструкторская документация, черте
жи, схемы, записи, технологические процессы, сведения о мате
риалах, из которых изготовлены отдельные детали, условиях и оборудовании, на котором они проводились, сведения о заклю
ченных или планируемых контрактах, клиентские базы, резуль
таты маркетинговых исследований, структура цен, уровень при
были и т.д.
6. Работа по формированию Перечня может состоять из следу
ющих этапов:
. составление предварительного Перечня, подлежащего рассмот
рению экспертной комиссией;
• определение возможного ущерба, наступающего в результате распространения сведений, составляющих КТ;
• определение преимуществ открытого использования рассмат
риваемых сведений;
• определение затрат на защиту рассматриваемых сведений;
• принятие решения о включении сведений в Перечень;
• оформление результатов работы.
6.1. Составление предварительного Перечня.
Рассмотрению экспертной комиссией подлежат все сведения,
относящиеся к деятельности предприятия.
Каждое сведение, включаемое в предварительный Перечень, должно иметь четкую и конкретную формулировку, исключаю
щую неоднозначность ее понимания.
При разработке (формировании) Перечня необходимо учесть следующие положения:
• Перечень разрабатывается (формируется) в виде единого до
кумента, охватывающего все категории сведений, подпадающих под критерии определения КТ;
• Перечень утверждается приказом руководителя предприя
тия;
• наличие в Перечне «Общих положений», включающих поня
тийный аппарат, правила пользования Перечнем, раскрытие ис
пользуемых сокращений и терминов и т.д.;
• целесообразно включение в проект Перечня сроков действия ограничений на распространение сведений.
6.2. Определение возможного ущерба, наступающего в резуль
тате несанкционированного распространения КТ.
На этом этапе определяются виды возможного ущерба, кото
рый может быть нанесен интересам предприятия в случае несанк
ционированного распространения (разглашения, передачи, утеч
ки и т.п.) рассматриваемых сведений. Возможный ущерб оцени
вается с использованием количественных или качественных по
казателей. При этом количественные показатели ущерба могут ха
рактеризовать снижение эффективности действий какой-либо си
стемы, обеспечивающей одну из сфер деятельности предприятия, а качественные показатели ущерба определяют срыв выполнения данной системой возложенных на нее функций.
6.3. В целях обеспечения полноты и объективности определе
ния преимуществ открытого использования сведений дается их стоимостная оценка с использованием показателей, получаемых расчетным или экспертным путем.
6.4. Определение затрат на защиту сведений.
На этом этапе оценивается принципиальная возможность за
щиты рассматриваемых сведений и определяются затраты (мате
риальные, трудовые, финансовые), необходимые для организации и осуществления мероприятий по обеспечению соответствующе -
го режима КТ при обращении с ними и выполнению технических мер по защите информации.
При определении затрат на защиту рассматриваемых сведений учитываются затраты на проведение следующих мероприятий:
включение в структуру предприятия необходимого числа со
трудников структурных подразделений, обеспечивающих защиту
КТ (отдел режима КТ, подразделений по защите информации и противодействию техническим разведкам и др.), содержание шта
та этих подразделений и их техническое оснащение;
• подготовка и переподготовка кадров структурных подразде
лений по защите КТ;
• использование технических средств связи, обеспечивающих защиту КТ;
• проведение необходимых научно-технических работ по опре
делению оптимальных методов и средств защиты информации;
• организация противодействия техническим разведкам;
• использование средств защиты информации;
• проведение проверочных мероприятий службой безопасно
сти предприятия при допуске работников к КТ и организация разграничения доступа к КТ;
• организация охраны материалов, содержащих КТ;
• организация пропускного режима на территории (в помеще
ния), где проводятся работы с КТ, оборудование систем охраны и сигнализации;
• осуществление других мероприятий в зависимости от объема работ по обеспечению требуемого режима КТ.
6.5. Принятие решения о включении сведений в Перечень.
На этом этапе осуществляется сопоставление величины воз
можного ущерба от несанкционированного распространения каж
дого рассматриваемого сведения, относимого к КТ с преимуще
ствами (упущенной выгодой) от его открытого использования и затратами на защиту.
Сведение подлежит включению в Перечень, если величина ущерба от его несанкционированного распространения превыша
ет суммарную величину преимущества (упущенной выгоды) от открытого использования и затрат на защиту.
6.6. Оформление результатов работы.
Результаты работы экспертной комиссии оформляются в виде проекта Перечня, представляемого на утверждение руководителю предприятия.
При этом необходимо учитывать, что:
• при перечислении сведений через союз «и» либо через запя
тую с союзом «и» перед последней категорией сведений — сведе
ния относятся к КТ в совокупности;
• при перечислении сведений через запятую, союзы «или» и
«либо» сведения относятся к КТ в отдельности;
При определении затрат на защиту рассматриваемых сведений учитываются затраты на проведение следующих мероприятий:
включение в структуру предприятия необходимого числа со
трудников структурных подразделений, обеспечивающих защиту
КТ (отдел режима КТ, подразделений по защите информации и противодействию техническим разведкам и др.), содержание шта
та этих подразделений и их техническое оснащение;
• подготовка и переподготовка кадров структурных подразде
лений по защите КТ;
• использование технических средств связи, обеспечивающих защиту КТ;
• проведение необходимых научно-технических работ по опре
делению оптимальных методов и средств защиты информации;
• организация противодействия техническим разведкам;
• использование средств защиты информации;
• проведение проверочных мероприятий службой безопасно
сти предприятия при допуске работников к КТ и организация разграничения доступа к КТ;
• организация охраны материалов, содержащих КТ;
• организация пропускного режима на территории (в помеще
ния), где проводятся работы с КТ, оборудование систем охраны и сигнализации;
• осуществление других мероприятий в зависимости от объема работ по обеспечению требуемого режима КТ.
6.5. Принятие решения о включении сведений в Перечень.
На этом этапе осуществляется сопоставление величины воз
можного ущерба от несанкционированного распространения каж
дого рассматриваемого сведения, относимого к КТ с преимуще
ствами (упущенной выгодой) от его открытого использования и затратами на защиту.
Сведение подлежит включению в Перечень, если величина ущерба от его несанкционированного распространения превыша
ет суммарную величину преимущества (упущенной выгоды) от открытого использования и затрат на защиту.
6.6. Оформление результатов работы.
Результаты работы экспертной комиссии оформляются в виде проекта Перечня, представляемого на утверждение руководителю предприятия.
При этом необходимо учитывать, что:
• при перечислении сведений через союз «и» либо через запя
тую с союзом «и» перед последней категорией сведений — сведе
ния относятся к КТ в совокупности;
• при перечислении сведений через запятую, союзы «или» и
«либо» сведения относятся к КТ в отдельности;
• при перечислении сведений слова «а также» предшествуют сведениям, которые отличны от предыдущих.
К проекту Перечня прилагаются рабочие материалы эксперт
ной комиссии по обоснованию включения сведений в Перечень.
4.4. Порядок внедрения Перечня сведений,
составляющих КТ, внесение в него изменений
и дополнений
В соответствии со ст. 4 Федерального закона «О коммерческой тайне» [46] «Право на отнесение информации к информации, со
ставляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой ин
формации...».
Таким образом, исходя из положений закона и формы соб
ственности предприятия, Перечень утверждается и вводится в дей
ствие собственником предприятия (частным предпринимателем, собранием акционеров и т.п.). Перечень доводится до сотрудни
ков предприятия в полном объеме либо в виде выписки. Руково
дитель предприятия организует проведение систематической ра
боты по анализу и обобщению практики применения Перечня.
По мере необходимости Перечень должен пересматриваться, изменяться и дополняться. В нем может указываться срок, на ко
торый те или иные сведения отнесены к коммерческой тайне.
Пересмотр Перечня производится при выявлении новых объек
тов защиты или в связи с наступлением обстоятельств, при кото
рых дальнейшая защита КТ нецелесообразна (появление нового образца, утечка информации и т.п.), в порядке, предусмотренном для формирования Перечня.
Г л а в а 5
Определение объектов защиты
5 .1 . Значение носителей защищаемой
информации как объектов защиты
В предыдущей главе мы ответили на вопрос «Что защищать?» исходя из представлений о содержании информации, относимой к категории защищаемой.
Учитывая, что «информация — это сведения о лицах, пред
метах, фактах, событиях, явлениях и процессах независимо от фор
мы их представления», в настоящей главе под объектами защиты информации мы будем рассматривать материальные объекты, которые могут служить источником защищаемой информации
(рис. 5.1).
Носители информации — материальные объекты, в том числе, физические поля, в которых сведения находят свое отображение в виде символов, образов, сигналов, технических решений и про
цессов*
К носителям информации могут быть отнесены:
• люди (особенности человека как носителя информации рас
смотрены в разд. 5.4);
• материальные тела — документы, изделия, материалы и т.п.;
• машинные носители информации — магнитные, полупро
водниковые, оптические и др.
• поля — акустические, электрические, магнитные и электро
магнитные (в диапазоне видимого и инфракрасного света, в ра
диодиапазоне);
• элементарные частицы.
Носители информации как объект правовых отношений.
В зави
симости от вида тайны носители информации как объекты право
вых отношений должны быть соответствующим образом обозна
чены. Так, в соответствии со ст. 8 Закона РФ «О государственной тайне» для обозначения носителей сведений, составляющих госу
дарственную тайну, применяются грифы секретности — «особой
*
Термин приведен применительно к определению сведений, составляющих государственную тайну.