Филин С.А. Информационная безопасность, 2006
.pdfнизадии защиты КТ необходимо:
для °Рг® ить порядок определения информации, содержащей
" Й аи сроков ее действия; оаботать систему допуска командированных сотрудников
^Р астных лиц к сведениям, составляющим КТ;
ИРаботать правила присвоения грифа документам и издели-
""^ содержащим такие сведения («конфиденциально», «ком и ч е с к а я тайна», «секрет организации» и др.), и порядок сня-
Мя его. Проставление специального грифа указывает на то, сведения являются собственностью организации; круг лиц и порядок их доступа к информации, со-
^ставляющей КТ;
обеспечить сохранность документов, дел, изданий, образцов
^и изделий с грифом ограничения доступа;
_ разработать меры контроля за работой с документами и из даниями, содержащими сведения, отнесенные к КТ, и ответ ственности за их разглашение;
—определить обязанности лиц, допущенных к сведениям, со
ставляющим КТ,
—выделить в деятельности организации возможные каналы утечки сведений, составляющих КТ, и принять меры к нейтра лизации таких каналов утечки информации;
—разработать принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составля ющими КТ;
—установить ответственность за разглашение сведений, утрату документов, содержащих КТ;
—установить порядок работы с документами, делами, издания ми, образцами и изделиями с грифом ограничения доступа.
Для обеспечения защиты КТ в организациях должен вводить ся определенный порядок работы с информацией и доступа к ней, включающий в себя комплекс правовых, административных, орга низационных, инженерно-технических, финансовых, социальных и иных мер, основывающихся на правовых нормах Российской
едеРации и организационно-распорядительных положениях ру- ^ водителя организации. Так, документы, дела и издания, образцы
*ебДСЛИЯ СгриФ°м ограничения доступа должны храниться в слуФах гЫХпоме1Цениях в надежно запираемых и опечатываемых шка-
уСл о Г аНИЛИ1Цах)- этом Должны быть созданы надлежащие ия, обеспечивающие их физическую сохранность.
^Жат^*1111516 для раб°ты Дела с грифом ограничения доступа под- в°зврату в канцелярию или секретарю в тот же день.
153
Отдельные дела с грифом ограничения доступа с разреще чальника канцелярии или начальника СБ могут находиться у 1**5*^ нителя в течение срока, необходимого для выполнения задан ИС11°^
условии ПОЛНОГО обеспечения ИХ сохранности И соблюдения ^ хранения. Пра*Кл
Передача документов, дел и изданий с грифом «КТ» друг*
трудникам, допущенным к этим документам, производится т^004 через канцелярию или представителя СБ. °ЛьКо
Запрещается изъятие из дел или перемещение документов с фом ограничения доступа из одного дела в другое без санкции ^
целярии или представителя СБ, осуществляющих их учет. Обо****
проведенных изъятиях или перемещениях делаются отметки вУЧ** ных документах, включая внутренние описи. ^ Запрещается выносить документы, дела и издания с грифом огп ничения доступа из служебных помещений для работы с ними нал
му, в гостиницах и т. д. °* В необходимых случаях директор, его заместители по направле ниям или руководители структурных подразделений могут разрешать исполнителям или сотрудникам канцелярии вынос из здания доку ментов с грифом ограничения доступа для их согласования, подписи
и т. п. в организациях, находящихся в пределах данного города. Лицам, командированным в другие города, запрещается иметь
при себе в пути следования документы, дела или издания с грифом ограничения доступа. Эти материалы должны быть направлены за ранее в адрес организации по месту командировки сотрудника, как правило, заказными или ценными почтовыми отправлениями, атак же курьерской службой.
При смене сотрудников, ответственных за учет и хранение доку ментов, дел и изданий с грифом «КТ», составляется по произволь ной форме акт приема-передачи этих документов, утверждаемый заместителями директора по направлениям или р у к о в о д и т ел я м и структурных подразделений.
В состав нормативно-правовой базы организации по защите КТ
целесообразно включать следующие документы:
—перечень сведений, составляющих КТ,
—положение о порядке обеспечения безопасности КТ,
—должностные инструкции сотрудников, допущенных к рз те с КТ;
—памятку работнику о защите КТ;
—договорное обязательство при приеме на работу
—совокупность документов, подготавливаемых на случаи
можного увольнения работников, имеющих доступ к свеД ям, составляющим КТ.
154
вает опыт работы зарубежных стран, наиболее уязви
ма* гт°ка в охране коммерческих секретов является персонал орымзвеН°МПоэтому при подборе персонала на работу организацией ^низацИИя тшательная предварительная проверка кандидатов с по- [фО0оДИТС!д заключением с ними контрактов о сохранении коммерслеДУ1°ш11реТов. При приеме на работу в контракте в обязательном ческих се Сажаются: сроки действия контракта; условия его распоряДке . Обязательство о неразглашении сведений, составляющих тор*еНИ^ я работы; административная и уголовная ответственность ££ Ус^ ение уСЛовий договора. В основу договорного обязательства заНаР‘быть положены следующие общие принципы: обязательство
добровольно, в письменной форме всеми сотрудниками, ко- д а е Т С Я 6 у д у г соприкасаться со сведениями, составляющими КТ; в нем
Т°рЫны быть оговорены санкции за нарушение порядка работы с КТ ^разглашение. Это могут быть санкции, предусмотренные ст. 183 Уголовного кодекса РФ (УК РФ), вошедшие в перечень, составлен н ы й для организации.
Заключение контакта должно предусматривать получение у со трудников добровольного согласия на соблюдение требований, ре гл ам ен ти р ую щ и х режим безопасности и сохранения КТ. В контра стах специально оговаривается и то, что при увольнении сотрудник обязуется (письменно) не разглашать и не использовать во вред све дения, составляющие КТ, которые стали известны ему в процессе работы в организации в течение определенного срока, а также не сколько лет не поступать на работу в конкурирующую фирму.
Основой организации защиты информации, составляющей КТ, являются уровень культуры ведения научно-технических разрабо ток, технологическая культура, культура обращения с информацией, составляющей КТ, и производственной (служебной) дисциплины сотрудников [27].
Приорганизации работ по защите КТ ворганизации следует отрегламентировать: кого и как допускать к засекреченной информации, как обеспечивать сохранность сведений при работе с этой информа цией, как определять ответственность за разглашение закрытых даных и обеспечить контроль за их использованием с учетом специ фики Уголовного кодекса РФ, определяющего конкретные санкции
Разглашение сведений, составляющих КТ.
осуш°ПуСК Раб°™иков к работе с информацией, составляющей КТ,
ково еСТВЛЯется Руководит^ 6*1 организации, его заместителями и руДнтелями структурных подразделений,
ставл Приинятия решения о допуске работника к информации, соКрабЯЮ1цей КТ, необходимо прохождение им испытательного срока.
Тес допускаются сотрудники, прошедшие испытательный
155
срок. Обучение кандидатов перед допуском к работе предус^а введение в должность, обучение установленным правилам вьт ^ ния порученного дела, обеспечения безопасности и защиты и*0^ ' мации. Прежде чем получить допуск к информации, составл КТ, сотрудник должен изучить Положение об организации
коммерческой тайны в касающейся его части, и дать СБ инди^ИтЬ| альное письменное обязательство по сохранению тайны (прил^4 ние 3). Требования, которые обязаны выполнять лица, допуще °*е' к документам и сведениям, составляющим КТ, изложены впам^ (приложение 4). И ТОЛЬКО после изучения сотрудником требова
соответствующих документов по защите КТ организации, сдачи^ четов на знание изложенных в них требований, оформления т? в письменном виде обязательств по ее неразглашению он допуска ся к работе со сведениям, составляющим КТ. ^
Важнейшие обязанности работников, допущенных к работе со сведениями, составляющими КТ
—строго хранить КТ, ставшую им известной в связи с выполне
нием служебных обязанностей;
—принимать меры по пресечению действий других лиц, кото рые могут привести к утечке информации:
—немедленно сообщать непосредственному руководителю и со труднику СБ организации о фактах несанкционированного доступа к охраняемой информации, либо о создании предпо сылок к этому;
—не использовать секреты организации в личных целях;
—знакомиться только с теми закрытыми документами, к кото рым получен допуск в связи с выполнением служебных обя занностей;
—при подготовке документов, содержащих охраняемые сведе ния, ограничиваться минимально необходимым их составом;
—неукоснительно соблюдать порядок учета и хранения носите лей информации (печатные документы, магнитные носители,
образцы и т. д.).
Лица, допущенные к работам, документам и сведениям , составля
ющим КТ, несут личную ответственность за соблюдение установлен
ного на объекте режима. В докум енты организации (устав, Д0Г0В°Р. контракты) вносятся необходимые дополнения, определяющие О
занности и ответственность юридических и физических ЛИЦ ПО оое печению сохранности КТ организации. не.
Документы, подготавливаемые на случай возможного У30^ ^ ния работников, имеющих доступ к сведениям, составляющим^ предназначены для предотвращения разглашения з а щ и щ а е м ы х
156
еют форму соглашения, анкеты, заявления либо иную. Ий0 рода документы имеют юридическое значение для воз- ПоД°бН° Гпазбирательства дела о разглашении КТ в суде. К их чис-
мо ^ °г°яТся, например: «Соглашение о частной информации лУ °тН°тениях»; «Соглашение, ограничивающее конкурирующую
иИз°бреость»; «соглашение о сохранении коммерческой тайны»;
деятеЛЬ |
поступающего касательно посторонней частной ин- |
«За*вле |
^заявление увольняющегося работника»; «Инструкция |
Ф°^ма1^ку в отношении собственной информации организации»; ргб°тН беседы при увольнении «Письмо уволившемуся работни-
^«П исьм о новому работодателю уволившегося работника».
расследования факта утраты документов, изданий с грифом
кммерческая тайна» либо разглашения сведений, содержащихся
ихматериалах, приказом руководителя организации назначается
Вмиссия. Заключение о результатах ее работы утверждается руково- Кителем. С учетом приобретенного опыта государственного регули рования можно выделить ведущие направления разработки регули
рования правового режима К Т
-защиту от несанкционированного доступа;
-защиту от неправомерного использования;
-ответственность за нарушение данных принципов.
Процедура контрактных соглашений положительно сказы вается на судебном решении вопросов в пользу организации. Ответственностьдля того, чьи действия были связаны с неправомер ным нарушением процедуры защиты КТ либо с причинением ущер ба, может наступать, если:
-КТ задокументирована на материальном носителе, а сам на рушитель был предупрежден.
-коммерческие секреты не относятся к сведениям обществен ного характера;
-на разработку, внедрение и производство предмета (продук ции), который составляет КТ, израсходованы определенные средства;
-сотрудник, допустивший разглашение сведений, составляю щих КТ, заблаговременно был предупрежден представителем
организации о порядке работы с ними и о неправомерности ^ Действий, связанных с разглашением КТ;
~~~ правонарушение режима КТ не связано с неосторожностью 2 пли халатностью.
ВисимРаЗГЛашение сведений> составляющих КТ, виновные, в за чтет 0сти от тяжести последствий, привлекаются к уголовной от-
Венности согласно ст. 183 УК РФ или наказываются в админи
157
стративном порядке, вплоть до увольнения с работы и взь причиненного ущерба. 1С1саЦ
Защита КТ организации осуществляется ее собственным ми. Контроль учета, размножения, хранения и использован СИЛа'
кументов, дел и изданий с грифом ограничения доступа возл ^ ^ на уполномоченных СБ. ага% Контроль за неразглашением сведений, содержащихся в
ментах, делах и изданиях, с грифом ограничения доступа, |
осуп^' |
|
ляется отделами СБ. |
’ |
^есгв> |
3 .7 . СИСТЕМА БЕЗОПАСНОСТИ ПРЕДПРИНИМАТЕЛЬСТВА И РОЛЬ СЛУЖБЫ БЕЗОПАСНОСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ КОМ М ЕРЧЕСКУЮ ТАЙНУ
С возникновением рыночной экономики сразу обозначил^
проблема обеспечения безопасности российского предпринимателе ства, оказавшегося совершенно не защищенным от криминальной среды. В силу объективных обстоятельств государственные силовые структуры не смогли эффективно противостоять бурно развиваю
щейся в России преступности, что привело к возникновению него сударственного сектора безопасности, взявшего на себя всю тяжесть обеспечения безопасности предпринимательства. Обеспечение без опасности — неотъемлемая составная часть деятельности коммерче ской организации.
Состояние защищенности — это умение и способность организа ции надежно противостоять любым попыткам криминальны х струк тур или недобросовестных конкурентов нанести ущерб ее законным
интересам.
Объекты безопасности:
—персонал (руководство, ответственные исполнители, сотруд ники);
—финансовые средства, материальные ценности, новейшие технологии;
—информационные ресурсы (информация с о г р а н и ч е н н ы м Д стулом, составляющая КТ, иная конфиденциальная инфор ция, предоставленная в виде документов и массивов незз»
симо от формы и вида их представления).
Субъекты правоотношений при решении проблемы безопаснос1*•
—государство (Российская Федерация) как собственник ре т сов, создаваемых, приобретаемых и накапливаемы х за
158
тв государственных бюджетов, а также информационных средс отнесенных к категории государственной тайны; ребяческие и физические лица, в том числе партнеры и кли-
^юР^ п0 финансовым отношениям, задействованные в проеНТЫ функционирования коммерческой организации как
це^тои страны, так и во внешнефинансовых связях (органы ВНу д а р с т в е н н о й власти, исполнительные органы, организа- Г и привлекаемые для оказания услуг по безопасности, об- Цлуживающий персонал, клиенты и др.); лужбы безопасности коммерческих организаций и частные
^ охранно-детективные структуры.
яаяцель системы безопасности организации — обеспечение ее Живого функционирования и предотвращение угроз ее безопасуСТ° и зашита законных интересов организации от противоправных Н°°ягательств, охрана жизни и здоровья персонала, недопущение п°шения финансовы х и материально-технических средств, уничто жения имущества и ценностей, разглашения, утечки и несанкцио
нированного доступа к служебной информации, нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации.
Другиецели:
-формирование целостного представления о системе безопас ности организации и взаимоувязка различных элементов этой системы, определение путей реализации мероприятий, обес печивающих необходимый уровень надежной защищенности объектов;
-повышение имиджа организации и роста прибыли за счет обе спечения высокого качества предоставляемых услуг и гаран
тий безопасности имущественных прав и интересов.
Общиезадачи системы безопасности организации:
-прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам организации; при чин и условий, способствующих нанесению финансового, ма териального и морального ущерба, нарушению его норматив ного функционирования и развития;
отнесение информации к категории ограниченного доступа (го сударственной, служебной и коммерческой тайнам, иной кон фиденциальной информации, подлежащей защите от неправо мерного использования), а других ресурсов — к различным
^ Уровням уязвимости (опасности), подлежащих сохранению;
~~~создание механизма и условий оперативного реагирования На Угрозы безопасности и проявления негативных тенденций вФункционировании организации;
159
—эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженернотехнических мер и средств обеспечения безопасности;
—создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действи ями физических и юридических лиц, ослабление негативного
влияния последствий нарушения безопасности организации.
Организация и функционирование системы безопасности организа ции должны соответствовать следующим принципам:
1. Комплексность. Комплексность предполагает:
—обеспечение безопасности персонала, материальных и финан совых ресурсов от возможных угроз всеми доступными закон ными средствами, методами и мероприятиями;
—обеспечение безопасности информационных ресурсов в тече ние всего жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех ре жимах функционирования;
—способность системы к развитию и совершенствованию в со ответствии с изменениями условий функционирования орга
низации. Комплексность достигается:
—обеспечением соответствующего режима и охраны коммерче ской организации;
—организацией специального делопроизводства с ориентацией на защиту коммерческих секретов;
—мероприятиями по подбору и расстановке кадров;
—широким использованием технических средств безопасности
изащиты информации;
—развернутой информационно-аналитической и детективной деятельностью.
Комплексность реализуется совокупностью правовых, организа ционных и инженерно-технических мероприятий.
2.Своевременность. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования эко номической обстановки, угроз безопасности организации, а также разработку эффективных мер предупреждения посягательств на за конные интересы.
3.Непрерывность. Считается, что злоумышленники постоянно ищут возможность обойти защитные меры, прибегая для этого к ле гальным и нелегальным методам.
4.Активность. Защищать интересы организации необходимо с до
статочной степенью настойчивости, широко используя маневр сила
160
ми и средствами обеспечения безопасности и нестандартные меры защиты.
5. Законность. Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области предпринимательской деятельности, информатизации
изащиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами госу дарственного управления в пределах их компетенции, с применени ем всех дозволенных методов обнаружения и пресечения правона рушений.
6.Обоснованность. Используемые возможности и средства защи ты должны быть реализованы на современном уровне развития нау ки и техники, обоснованы с точки зрения заданного уровня безопас ности и соответствовать установленным требованиям и нормам.
7.Экономичность. Речь идет об экономической целесообразности
исопоставимости возможного ущерба и затрат на обеспечение без опасности (критерий «эффективность — стоимость»). Во всех слу чаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов угроз.
8.Специализация. Предполагается привлечение к разработке
ивнедрению мер и средств защиты специализированных органи заций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы
игосударственную лицензию на право оказания услуг в этой облас ти. Эксплуатация технических средств и реализация мер безопас ности должны осуществляться профессионально подготовленными специалистами СБ и функциональных и обслуживающих подразде лений организации.
9.Взаимодействие и координация. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответ ствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достиже ния поставленных целей, а также сотрудничества с заинтересован ными объединениями и взаимодействия с органами государственно го управления и правоохранительными органами.
10.Совершенствование. Предусматривает совершенствование мер
исредств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах раз ведки и промышленного шпионажа, нормативно-технических тре бований, достигнутого отечественного и зарубежного опыта.
11.Централизация управления. Предполагает самостоятельное
функционирование системы безопасности по единым правовым,
161
организационным, функциональным и методологическим принци пам и централизованным управлением деятельностью системы без опасности.
Правовые основы безопасности коммерческой организации опре деляют соответствующие положения Конституции Российской Федерации, законы «О безопасности», «О коммерческой деятельнос ти» и другие нормативные акты.
Правовая защита персонала, материальных и экономических интересов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов РФ, зако нов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.
Защиту имущественных и иных материальных интересов и дело вой репутации призваны обеспечивать также гражданское, граждан ско-процессуальное и арбитражное и арбитражно-процессуальное законодательство. Это законодательные акты «О защите информаци онно-телекоммуникационных систем и баз данных от утечки конфи денциальной информации по техническим каналам» [33]; «О мерах по соблюдению законности в области разработки, производства, ре ализации и эксплуатации шифровальных средств, атакже предостав лении услуг в области шифрования информации» [34]; «О создании Государственной технической комиссии при Президенте Российской Федерации» [35] и Положение о государственном лицензировании деятельности в области защиты информации [36].
Существующие правовые условия обеспечения безопасности в ос новном позволяют государственным и иным правоохранительным
иохранным структурам организовать противодействие противо правным посягательствам на предпринимательскую деятельность в различных сферах.
Успешное и эффективное решение задач обеспечения безопас ности конкретного предприятия достигается формированием сис темы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудни ков организации и СБ. Требования по правовому обеспечению без опасности предусматриваются во всех структурно-функциональных правовых документах начиная с Устава коммерческой организации
изаканчивая основными обязанностями сотрудника.
СБ в организации — неотъемлемая часть хозяйственной и иной предпринимательской деятельности в странах с развитой рыночной экономикой. СБ коммерческой организации — организационная основа обеспечения безопасности предпринимательской деятельности.
162