Содержание:

Введение

В данном курсовом проекте рассматривается перечень сведений, составляющих коммерческую тайну, его формирование и инструкция по обеспечению сохранности коммерческой тайны.

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности – информационная безопасность.

Необходимо помнить о том, что информацию очень сложно сохранить, не дать ей уйти за пределы организации. С появлением новых технологий (компьютеры и оргтехника) защитить информацию становится все труднее. Множество конкурентов не упустят малейшей возможности получить конфиденциальную информацию фирмы-конкурента и использовать ее в своих целях. Для того чтобы избежать утечки информации, составляющей тайну фирмы, создаются службы по контролю за документами конфиденциального характера, их передвижением и хранением в организации.

Безопасность ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

1. Перечень сведений составляющих коммерческую тайну.

На каждом предприятии в процессе производства и продвижения на рынке товаров и услуг постепенно образуется и накапливается коммерчески

ценная информация (КЦИ), которая по большому счету позволяет предприятию успешно работать и противостоять конкурентам. Условно КЦИ разделяют на производственные и деловые секреты (ноу-хау): знаю, какой товар надо делать, знаю, как его делать, знаю, как продавать этот товар, и т.п.

К производственным секретам относятся научно-технические секреты,

технологические секреты и секреты организации производства, к деловым –

все, что связано с оборотом товара, с его продвижением на рынке.

Часть этих секретов может осознаваться их авторами на стадии создания или внедрения в качестве особо ценных и защищаться на законных основаниях как объекты промышленной собственности (изобретения, полезныемодели, промышленные образцы и др.). Однако это только вершина айсберга всей ценной информации на предприятии, о защите которой следует позаботиться. Осознание необходимости ограничения доступа к ценной информации и её защиты приходит обычно не сразу, как правило, имеет место некоторый инкубационный период, индивидуальный для каждого предприятия.

Он зависит от множества факторов, прежде всего от объема накопленной ценной информации, ее роли в достижении целей предприятия, контролируемой предприятием доли рынка, уровня конкурентных отношений и т.д.

Этот период можно трактовать как время количественного накопления ценной информации до перехода количества в качество – осознания руководством фирмы того факта, что ценность информационного ресурса для фирмы становится не менее (а даже более) важной, чем ценность ресурсов материальных.

Закон о коммерческой тайне определяет, что:

• информация, составляющая коммерческую тайну, –научнотехническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;

• режим коммерческой тайны – правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности;

• режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в ч. 1 ст. 10 Закона о коммерческой тайне.

Таким образом, коммерчески ценная информация приобретает статус информации, составляющей коммерческую тайну, и защищается законом только после внедрения на предприятии режима коммерческой тайны. Первым мероприятием по внедрению режима коммерческой тайны является формирование перечня, предназначенного:

• для выделения защищаемой информации из общего потока документов и закрепления факта отнесения информации к составляющей коммерческую тайну предприятия;

• для установления грифа конфиденциальности сведений;

• для установления срока действия конфиденциальности по каждому пункту;

• для регламентации состава сотрудников, получивших доступ к работе с конкретной защищаемой информацией и носителям;

• для использования в качестве доказательства в суде при рассмотрении дел о разглашении коммерческой тайны.

Сведения, составляющие коммерческую тайну должны удовлетворять следующим критериям:

• являться собственностью предприятия (или совместной собственностью с другими лицами, что оформлено соответствующими договорами);

• иметь действительную или потенциальную коммерческую ценность;

• не являться общеизвестными и общедоступными;

• не являться открытыми, защищаемыми на законных основаниях;

• не относиться к составляющим государственную тайну;

• не иметь ограничений на отнесение сведений к коммерческой тайне, введенные на законном основании;

• не использовать открыто сведения, разглашение которых может нанести предприятию ущерб.

Кроме того, при принятии решения о включении сведений в перечень

рекомендуется учитывать следующие факторы:

• величину ущерба о разглашения информации;

• преимущества открытого использования информации; величину затрат на защиту информации.

Последнее требование на практике является трудновыполнимым ввиду того, что для оценки затрат на защиту надо сначала определиться с объектом

защиты, а именно с составом защищаемой информации и носителями, на которых эта информация расположена. Реально затраты могут быть оценены

только после структуризации перечня на носители критичной информации и

проведения анализа угроз, уязвимостей, рисков, то есть построения концепции защиты.

Примерный перечень сведений, которые могут составить коммерческую тайну, структурированный по направлениям деятельности предприятия:

• Производство:

Структура производства, производственные мощности, типы применяемого оборудования. Структура кадров. Запасы материалов, комплектующих и оборудования.

• Технология

Особенности используемых и разрабатываемых технологий. Специфика применения технологий. Модификация и модернизация известных технологий.

• Наука и техника

Цели, задачи, программы научных исследований. Ключевые идеи научных разработок. Технические характеристики создаваемых изделий. Параметры разрабатываемых технологических процессов. Данные об экспериментальном оборудовании, условиях экспериментов, полученных результатах.

Используемые материалы, особенности конструкторско-технологических и дизайнерских решений. Состояние парка ПЭВМ и программного обеспечения.

• Управление

Оригинальные методы управления организацией. Факты проведения, цели, тематика и принятые решения совещаний и заседаний органов управления организации. Результаты выполнения решений органов управления организации. Материалы внутренних и внешних ревизий и аудита, за исключением аудиторских заключений, прилагаемых к официальным отчетам.

• Планы

Планы расширения или свертывания производства различных видов услуг. Технико-экономические обоснования изменения видов деятельности.

Планы инвестиций, закупок и продаж.

• Финансы

Финансовые операции и состояние банковских счетов организации.

Доходы организации, пассивы и активы. Показатели рентабельности производства, прибыли, убытков по предприятию. Главная книга.

• Цены

Методы расчета и структура цен, себестоимость продукции и размеры скидок.

• Кадры и морально-психологический климат в коллективе

Личные дела. Штатное расписание. Политика стимулирования сотрудников и мотивации к эффективной работе. Моральные и деловые качества специалистов, наличие связей компрометирующего характера. Личные отношения ведущих специалистов как между собой, так и с руководителями предприятия, организаций-партнеров, государственных структур. Конфликты внутри коллектива, их конкретные участники. Наличие финансовых, моральных и иных проблем у специалистов предприятия. Наличие доходов у специалистов вне предприятия.

• Безопасность

Режим охраны, контрольно-пропускной режим, внутриобъектовый режим. Режим защиты коммерческой тайны. Технические средства охраны объекта. Планы работы, тематика и решения совещаний по вопросам безопасности. Состав, содержание и результаты специальных проверочных мероприятий. Результаты служебных расследований. Планы, тематика и результаты аналитических исследований по вопросам безопасности жизнедеятельности.

Досье специалистов, допущенных к работе с конфиденциальной информации

ей.

• Рынок

Оригинальные методы изучения рынка. Результаты изучения рынка, оценки состояния и перспектив развития. Рыночная стратегия организации,

методы продвижения товаров и услуг.

• Партнеры

Обобщенные сведения о контрагентах, поставщиках, компаньонах, кредиторах, посредниках и других партнерах, состоящих в деловых отношениях с организацией. Оценка уровня делового сотрудничества с партнерами.

• Клиенты

Обобщенные сведения о заказчиках, объемах поставок товаров и услуг по номенклатуре и объему.

• Конкуренты

Обобщенные сведения о реальных и потенциальных конкурентах. Оценка уровня конфронтации между конкурирующими предприятиями.

• Переговоры

Сведения о подготовке, проведении, содержании и результатах переговоров с партнерами и клиентами.

• Договоры, контракты

Существенные условия сделок: объемы, цены, количество и номенклатура товаров, сведения об исполнении контрактов, условия платежа, льготы, скидки и другие обязательства.

• Торги, аукционы

Сведения о подготовке к участию в торгах и аукционах. Результаты приобретений или продаж, прибыли, убытков по предприятию.

Если предприятие работает с зарубежными партнерами, то соответствующие сведения также должны быть отражены в перечне.

Сведения, которые не могут составлять коммерческую тайну, приведены в ст. 5 Закона о коммерческой тайне. К ним относятся документы, подтверждающие факт внесения в государственные реестры записей о лицах,

осуществляющих предпринимательскую деятельность, и документы, дающие

право на осуществление предпринимательской деятельности; сведения о составе имущества государственного или муниципального предприятия (учреждения) и об использовании ими средств соответствующих бюджетов; о загрязнении окружающей среды, состоянии противопожарной безопасности,

санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на безопасность жизнедеятельности; о численности и составе работников, системе оплаты труда, об условиях труда, показателях производственного травматизма и профессиональной заболеваемости, о наличии свободных рабочих мест; о задолженности работодателей по выплате заработной платы и по иным социальным выплатам; о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений; об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности; другие сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Можно выделить следующие этапы формирования перечня:

Этап 1.

Разработка приказа (плана) по организации работы по формированию перечня: кто, что и в какие сроки должен делать, кто контролирует исполнение работ. На этом этапе прежде всего должен быть решен вопрос об

ответственном исполнителе работ, отвечающем за организацию и методическое обеспечение работ. Это должен быть специалист, имеющий опыт работы или профессиональное образование в области защиты информации. Если такового нет, лучший выход заключить договор со специализированной организацией.

Этап 2.

Формирование и утверждение списка лиц (рабочей группы), наделяемых полномочиями по отнесению сведений к составляющим коммерческую тайну. Задача рабочей группы – формирование предложений в проект перечня (предварительный перечень).

Этап 3.

Формирование и утверждение экспертной комиссии. Основные функции экспертной комиссии: анализ предварительного и формирование окончательного перечня, периодическое его обновление, а впоследствии –

экспертиза документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих коммерческую тайну.

Этап 4.

Разработка положения о порядке формирования перечня. Положение

является методическим руководством для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии. Цель положения – обеспечение единого методического подхода при создании перечня.

Этап 5.

Рассылка положения руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний и предложений.

Этап 6.

Согласование и утверждение положения.

Этап 7.

Рассылка положения исполнителям и проведение обучения (инструктажа) членов рабочей группы и экспертной комиссии.

Этап 8.

Подготовка рабочей группой предложений в пределах своей компетенции в предварительный перечень.

Этап 9.

Формирование ответственным исполнителем по предложениям членов рабочей группы предварительного перечня.

Этап 10.

Анализ экспертной комиссией предварительного перечня в соответствии с положением и формирование проекта окончательного варианта.

Этап 11.

Согласование перечня с руководителями структурных подразделений и утверждение руководителем предприятия.

Этап 12.

Приказ о введении перечня в действие и доведение его до сотрудников.

Наиболее ответственным этапом является разработка положения о формировании перечня. Насколько хорошо будет проработана в методическом плане процедура отнесения сведений к составляющим коммерческую тайну, настолько качественным будет и результат, а перечень является фундаментом системы защиты информации. Предлагается следующая структура положения:

Вводная часть. В ней указывается цель и задачи положения и приводится перечень основных законодательных и распорядительных документов, используемых при разработке положения.

Термины и определения. Сотрудники предприятия, которые будут привлекаться к работе по составлению предварительного и окончательного

перечней, как правило, имеют весьма смутное представление об основах защиты информации и профессиональной терминологии. Поэтому в этом разделе в сжатой и доступной форме должны быть приведены понятия коммерчески ценной информации, коммерческой тайны, режима коммерческой тайны и т.д. Для удобства последующего изложения материала можно привести и принятые сокращения наиболее часто применяемых терминов.

Общие требования к составлению перечня. В разделе описываются требования и критерии отнесения сведений к составляющим коммерческую

тайну, в приложениях к нему необходимо привести примерный перечень сведений, которые могут составить коммерческую тайну и перечень сведений, которые не могут составлять коммерческую тайну на основании Закона о коммерческой тайне.

Порядок формирования предварительного перечня. Здесь описывается процедура формирования предварительного перечня членами рабочей группы (или первой команды экспертов). Отметим следующее: в простейшем случае можно ограничиться указанием, что члены рабочей группы отбирают сведения в предварительный перечень в пределах своей компетенции, руководствуясь примерным перечнем сведений и здравым смыслом. Однако методически более правильным является подход, когда экспертам предлагают не просто выбрать какие-то пункты из примерного перечня или предложить свои пункты, но и оценить их по критериям, приведенным выше. Для этого необходимо разработать опросный лист. Наиболее сложным моментом при отборе сведений в перечень является оценка ущерба от разглашения. Количественные оценки ущерба в денежном выражении можно получить лишь в некоторых простейших случаях (например, ущерб от хищения компьютера). В большинстве случаев приходится применять вербальные шкалы ущербов, например, следующую:

- низкий ущерб (индекс «Н») – разглашение информации приводит к негативным последствиям, выражающимся в одном или нескольких условиях: небольшой стоимости прямых финансовых потерь; задержке в работе некоторых служб либо дезорганизации деятельности на некоторый период; необходимости восстановления информационных ресурсов;

- средний ущерб (индекс «С») – разглашение информации приводит к

заметным негативным последствиям, выражающимся в одном или нескольких условиях: ощутимой стоимости прямых финансовых потерь; задержке в работе некоторых служб либо дезорганизации деятельности на значительный период; потере репутации, что может привести к снижению заказов и негативной реакции деловых партнеров;

- высокий ущерб (индекс «В») - разглашение информации оказывает сильные негативные последствия, выражающиеся в одном или нескольких условиях: высокой стоимости прямых финансовых потерь; перехвате основного рынка сбыта, дезорганизации деятельности на длительный период; потере репутации, приведшей к существенному снижению деловой активности.

Опросные листы рассылаются всем членам рабочей группы и заполняются ими индивидуально. В этом случае предварительный отбор будет выполнен более тщательно и обоснованно. К тому же анализ опросных листов покажет и возможные колебания в мнениях членов рабочей группы, что поможет далее в работе экспертной комиссии. Анализ предложений рабочей группы и формирование предварительного перечня целесообразно возложить на ответственного исполнителя. Последний направляет предварительный перечень и опросные листы членов рабочей группы председателю экспертной комиссии. Предварительный перечень является исходной заготовкой для аналитической работы, которую проводит экспертная комиссия.

Порядок формирования окончательного перечня. Раздел должен содержать описание процедуры работы экспертной комиссии. Эксперты проводят повторный анализ каждого пункта предварительного перечня на соответствие заданным критериям. Для этого, как и в предыдущем случае, рекомендуется разработать опросный лист для членов экспертной комиссии

Каждый из членов экспертной комиссии независимо от других должен высказать свое мнение по каждому из пунктов предварительного перечня, подтвердить или привести свои оценки уровня ущерба, дать предложения по срокам засекречивания. Кроме того, экспертная комиссия должна коллегиально решить вопрос об уровнях конфиденциальности, реквизитах грифов конфиденциальности и форме представления окончательного перечня. Уровень грифа конфиденциальности следует определять на основании оценки ущерба: чем больше ущерб, тем выше должен быть гриф конфиденциальности. Решения экспертной комиссии оформляются протоколами и вместе с проектом перечня направляются на утверждение руководителю предприятия. Если по каким-либо пунктам мнения экспертов не совпадают, то это должно быть отражено в протоколе. Руководитель предприятия утверждает перечень либо возвращает его экспертной комиссии на доработку.

Порядок и сроки пересмотра перечня. В разделе регламентируются

сроки и основания для пересмотра перечня.

Представленные рекомендации могут служить основой для проведения работ по формированию Перечня сведений, составляющих коммерческую тайну, на предприятиях.