Филин С.А. Информационная безопасность, 2006

низадии защиты КТ необходимо:

для °Рг® ить порядок определения информации, содержащей

" Й аи сроков ее действия; оаботать систему допуска командированных сотрудников

^Р астных лиц к сведениям, составляющим КТ;

ИРаботать правила присвоения грифа документам и издели-

""^ содержащим такие сведения («конфиденциально», «ком­ и ч е с к а я тайна», «секрет организации» и др.), и порядок сня-

Мя его. Проставление специального грифа указывает на то, сведения являются собственностью организации; круг лиц и порядок их доступа к информации, со-

^ставляющей КТ;

обеспечить сохранность документов, дел, изданий, образцов

^и изделий с грифом ограничения доступа;

_ разработать меры контроля за работой с документами и из­ даниями, содержащими сведения, отнесенные к КТ, и ответ­ ственности за их разглашение;

—определить обязанности лиц, допущенных к сведениям, со­

ставляющим КТ,

—выделить в деятельности организации возможные каналы утечки сведений, составляющих КТ, и принять меры к нейтра­ лизации таких каналов утечки информации;

—разработать принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составля­ ющими КТ;

—установить ответственность за разглашение сведений, утрату документов, содержащих КТ;

—установить порядок работы с документами, делами, издания­ ми, образцами и изделиями с грифом ограничения доступа.

Для обеспечения защиты КТ в организациях должен вводить­ ся определенный порядок работы с информацией и доступа к ней, включающий в себя комплекс правовых, административных, орга­ низационных, инженерно-технических, финансовых, социальных и иных мер, основывающихся на правовых нормах Российской

едеРации и организационно-распорядительных положениях ру- ^ водителя организации. Так, документы, дела и издания, образцы

*ебДСЛИЯ СгриФ°м ограничения доступа должны храниться в слуФах гЫХпоме1Цениях в надежно запираемых и опечатываемых шка-

уСл о Г аНИЛИ1Цах)- этом Должны быть созданы надлежащие ия, обеспечивающие их физическую сохранность.

^Жат^*1111516 для раб°ты Дела с грифом ограничения доступа под- в°зврату в канцелярию или секретарю в тот же день.

153

Отдельные дела с грифом ограничения доступа с разреще чальника канцелярии или начальника СБ могут находиться у 1**5*^ нителя в течение срока, необходимого для выполнения задан ИС11°^

условии ПОЛНОГО обеспечения ИХ сохранности И соблюдения ^ хранения. Пра*Кл

Передача документов, дел и изданий с грифом «КТ» друг*

трудникам, допущенным к этим документам, производится т^004 через канцелярию или представителя СБ. °ЛьКо

Запрещается изъятие из дел или перемещение документов с фом ограничения доступа из одного дела в другое без санкции ^

целярии или представителя СБ, осуществляющих их учет. Обо****

проведенных изъятиях или перемещениях делаются отметки вУЧ** ных документах, включая внутренние описи. ^ Запрещается выносить документы, дела и издания с грифом огп ничения доступа из служебных помещений для работы с ними нал

му, в гостиницах и т. д. °* В необходимых случаях директор, его заместители по направле­ ниям или руководители структурных подразделений могут разрешать исполнителям или сотрудникам канцелярии вынос из здания доку­ ментов с грифом ограничения доступа для их согласования, подписи

и т. п. в организациях, находящихся в пределах данного города. Лицам, командированным в другие города, запрещается иметь

при себе в пути следования документы, дела или издания с грифом ограничения доступа. Эти материалы должны быть направлены за­ ранее в адрес организации по месту командировки сотрудника, как правило, заказными или ценными почтовыми отправлениями, атак­ же курьерской службой.

При смене сотрудников, ответственных за учет и хранение доку­ ментов, дел и изданий с грифом «КТ», составляется по произволь­ ной форме акт приема-передачи этих документов, утверждаемый заместителями директора по направлениям или р у к о в о д и т ел я м и структурных подразделений.

В состав нормативно-правовой базы организации по защите КТ

целесообразно включать следующие документы:

—перечень сведений, составляющих КТ,

—положение о порядке обеспечения безопасности КТ,

—должностные инструкции сотрудников, допущенных к рз те с КТ;

—памятку работнику о защите КТ;

—договорное обязательство при приеме на работу

—совокупность документов, подготавливаемых на случаи

можного увольнения работников, имеющих доступ к свеД ям, составляющим КТ.

154

вает опыт работы зарубежных стран, наиболее уязви­

ма* гт°ка в охране коммерческих секретов является персонал орымзвеН°МПоэтому при подборе персонала на работу организацией ^низацИИя тшательная предварительная проверка кандидатов с по- [фО0оДИТС!д заключением с ними контрактов о сохранении коммерслеДУ1°ш11реТов. При приеме на работу в контракте в обязательном ческих се Сажаются: сроки действия контракта; условия его распоряДке . Обязательство о неразглашении сведений, составляющих тор*еНИ^ я работы; административная и уголовная ответственность ££ Ус^ ение уСЛовий договора. В основу договорного обязательства заНаР‘быть положены следующие общие принципы: обязательство

добровольно, в письменной форме всеми сотрудниками, ко- д а е Т С Я 6 у д у г соприкасаться со сведениями, составляющими КТ; в нем

Т°рЫны быть оговорены санкции за нарушение порядка работы с КТ ^разглашение. Это могут быть санкции, предусмотренные ст. 183 Уголовного кодекса РФ (УК РФ), вошедшие в перечень, составлен­ н ы й для организации.

Заключение контакта должно предусматривать получение у со­ трудников добровольного согласия на соблюдение требований, ре­ гл ам ен ти р ую щ и х режим безопасности и сохранения КТ. В контра­ стах специально оговаривается и то, что при увольнении сотрудник обязуется (письменно) не разглашать и не использовать во вред све­ дения, составляющие КТ, которые стали известны ему в процессе работы в организации в течение определенного срока, а также не­ сколько лет не поступать на работу в конкурирующую фирму.

Основой организации защиты информации, составляющей КТ, являются уровень культуры ведения научно-технических разрабо­ ток, технологическая культура, культура обращения с информацией, составляющей КТ, и производственной (служебной) дисциплины сотрудников [27].

Приорганизации работ по защите КТ ворганизации следует отрегламентировать: кого и как допускать к засекреченной информации, как обеспечивать сохранность сведений при работе с этой информа­ цией, как определять ответственность за разглашение закрытых даных и обеспечить контроль за их использованием с учетом специ­ фики Уголовного кодекса РФ, определяющего конкретные санкции

Разглашение сведений, составляющих КТ.

осуш°ПуСК Раб°™иков к работе с информацией, составляющей КТ,

ково еСТВЛЯется Руководит^ 6*1 организации, его заместителями и руДнтелями структурных подразделений,

ставл Приинятия решения о допуске работника к информации, соКрабЯЮ1цей КТ, необходимо прохождение им испытательного срока.

Тес допускаются сотрудники, прошедшие испытательный

155

срок. Обучение кандидатов перед допуском к работе предус^а введение в должность, обучение установленным правилам вьт ^ ния порученного дела, обеспечения безопасности и защиты и*0^ ' мации. Прежде чем получить допуск к информации, составл КТ, сотрудник должен изучить Положение об организации

коммерческой тайны в касающейся его части, и дать СБ инди^ИтЬ| альное письменное обязательство по сохранению тайны (прил^4 ние 3). Требования, которые обязаны выполнять лица, допуще °*е' к документам и сведениям, составляющим КТ, изложены впам^ (приложение 4). И ТОЛЬКО после изучения сотрудником требова

соответствующих документов по защите КТ организации, сдачи^ четов на знание изложенных в них требований, оформления т? в письменном виде обязательств по ее неразглашению он допуска ся к работе со сведениям, составляющим КТ. ^

Важнейшие обязанности работников, допущенных к работе со сведениями, составляющими КТ

—строго хранить КТ, ставшую им известной в связи с выполне­

нием служебных обязанностей;

—принимать меры по пресечению действий других лиц, кото­ рые могут привести к утечке информации:

—немедленно сообщать непосредственному руководителю и со­ труднику СБ организации о фактах несанкционированного доступа к охраняемой информации, либо о создании предпо­ сылок к этому;

—не использовать секреты организации в личных целях;

—знакомиться только с теми закрытыми документами, к кото­ рым получен допуск в связи с выполнением служебных обя­ занностей;

—при подготовке документов, содержащих охраняемые сведе­ ния, ограничиваться минимально необходимым их составом;

—неукоснительно соблюдать порядок учета и хранения носите­ лей информации (печатные документы, магнитные носители,

образцы и т. д.).

Лица, допущенные к работам, документам и сведениям , составля­

ющим КТ, несут личную ответственность за соблюдение установлен

ного на объекте режима. В докум енты организации (устав, Д0Г0В°Р. контракты) вносятся необходимые дополнения, определяющие О

занности и ответственность юридических и физических ЛИЦ ПО оое печению сохранности КТ организации. не.

Документы, подготавливаемые на случай возможного У30^ ^ ния работников, имеющих доступ к сведениям, составляющим^ предназначены для предотвращения разглашения з а щ и щ а е м ы х

156

еют форму соглашения, анкеты, заявления либо иную. Ий0 рода документы имеют юридическое значение для воз- ПоД°бН° Гпазбирательства дела о разглашении КТ в суде. К их чис-

мо ^ °г°яТся, например: «Соглашение о частной информации лУ °тН°тениях»; «Соглашение, ограничивающее конкурирующую

иИз°бреость»; «соглашение о сохранении коммерческой тайны»;

Ф°^ма1^ку в отношении собственной информации организации»; ргб°тН беседы при увольнении «Письмо уволившемуся работни-

^«П исьм о новому работодателю уволившегося работника».

расследования факта утраты документов, изданий с грифом

кммерческая тайна» либо разглашения сведений, содержащихся

ихматериалах, приказом руководителя организации назначается

Вмиссия. Заключение о результатах ее работы утверждается руково- Кителем. С учетом приобретенного опыта государственного регули­ рования можно выделить ведущие направления разработки регули­

рования правового режима К Т

-защиту от несанкционированного доступа;

-защиту от неправомерного использования;

-ответственность за нарушение данных принципов.

Процедура контрактных соглашений положительно сказы­ вается на судебном решении вопросов в пользу организации. Ответственностьдля того, чьи действия были связаны с неправомер­ ным нарушением процедуры защиты КТ либо с причинением ущер­ ба, может наступать, если:

-КТ задокументирована на материальном носителе, а сам на­ рушитель был предупрежден.

-коммерческие секреты не относятся к сведениям обществен­ ного характера;

-на разработку, внедрение и производство предмета (продук­ ции), который составляет КТ, израсходованы определенные средства;

-сотрудник, допустивший разглашение сведений, составляю­ щих КТ, заблаговременно был предупрежден представителем

организации о порядке работы с ними и о неправомерности ^ Действий, связанных с разглашением КТ;

~~~ правонарушение режима КТ не связано с неосторожностью 2 пли халатностью.

ВисимРаЗГЛашение сведений> составляющих КТ, виновные, в за­ чтет 0сти от тяжести последствий, привлекаются к уголовной от-

Венности согласно ст. 183 УК РФ или наказываются в админи­

157

стративном порядке, вплоть до увольнения с работы и взь причиненного ущерба. 1С1саЦ

Защита КТ организации осуществляется ее собственным ми. Контроль учета, размножения, хранения и использован СИЛа'

кументов, дел и изданий с грифом ограничения доступа возл ^ ^ на уполномоченных СБ. ага% Контроль за неразглашением сведений, содержащихся в

3 .7 . СИСТЕМА БЕЗОПАСНОСТИ ПРЕДПРИНИМАТЕЛЬСТВА И РОЛЬ СЛУЖБЫ БЕЗОПАСНОСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ КОМ М ЕРЧЕСКУЮ ТАЙНУ

С возникновением рыночной экономики сразу обозначил^

проблема обеспечения безопасности российского предпринимателе ства, оказавшегося совершенно не защищенным от криминальной среды. В силу объективных обстоятельств государственные силовые структуры не смогли эффективно противостоять бурно развиваю­

щейся в России преступности, что привело к возникновению него­ сударственного сектора безопасности, взявшего на себя всю тяжесть обеспечения безопасности предпринимательства. Обеспечение без­ опасности — неотъемлемая составная часть деятельности коммерче­ ской организации.

Состояние защищенности — это умение и способность организа­ ции надежно противостоять любым попыткам криминальны х струк­ тур или недобросовестных конкурентов нанести ущерб ее законным

интересам.

Объекты безопасности:

—персонал (руководство, ответственные исполнители, сотруд­ ники);

—финансовые средства, материальные ценности, новейшие технологии;

—информационные ресурсы (информация с о г р а н и ч е н н ы м Д стулом, составляющая КТ, иная конфиденциальная инфор ция, предоставленная в виде документов и массивов незз»

симо от формы и вида их представления).

Субъекты правоотношений при решении проблемы безопаснос1*•

—государство (Российская Федерация) как собственник ре т сов, создаваемых, приобретаемых и накапливаемы х за

158

тв государственных бюджетов, а также информационных средс отнесенных к категории государственной тайны; ребяческие и физические лица, в том числе партнеры и кли-

^юР^ п0 финансовым отношениям, задействованные в проеНТЫ функционирования коммерческой организации как

це^тои страны, так и во внешнефинансовых связях (органы ВНу д а р с т в е н н о й власти, исполнительные органы, организа- Г и привлекаемые для оказания услуг по безопасности, об- Цлуживающий персонал, клиенты и др.); лужбы безопасности коммерческих организаций и частные

^ охранно-детективные структуры.

яаяцель системы безопасности организации — обеспечение ее Живого функционирования и предотвращение угроз ее безопасуСТ° и зашита законных интересов организации от противоправных Н°°ягательств, охрана жизни и здоровья персонала, недопущение п°шения финансовы х и материально-технических средств, уничто­ жения имущества и ценностей, разглашения, утечки и несанкцио­

нированного доступа к служебной информации, нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации.

Другиецели:

-формирование целостного представления о системе безопас­ ности организации и взаимоувязка различных элементов этой системы, определение путей реализации мероприятий, обес­ печивающих необходимый уровень надежной защищенности объектов;

-повышение имиджа организации и роста прибыли за счет обе­ спечения высокого качества предоставляемых услуг и гаран­

тий безопасности имущественных прав и интересов.

Общиезадачи системы безопасности организации:

-прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам организации; при­ чин и условий, способствующих нанесению финансового, ма­ териального и морального ущерба, нарушению его норматив­ ного функционирования и развития;

отнесение информации к категории ограниченного доступа (го­ сударственной, служебной и коммерческой тайнам, иной кон­ фиденциальной информации, подлежащей защите от неправо­ мерного использования), а других ресурсов — к различным

^ Уровням уязвимости (опасности), подлежащих сохранению;

~~~создание механизма и условий оперативного реагирования На Угрозы безопасности и проявления негативных тенденций вФункционировании организации;

159

—эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженернотехнических мер и средств обеспечения безопасности;

—создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действи­ ями физических и юридических лиц, ослабление негативного

влияния последствий нарушения безопасности организации.

Организация и функционирование системы безопасности организа­ ции должны соответствовать следующим принципам:

1. Комплексность. Комплексность предполагает:

—обеспечение безопасности персонала, материальных и финан­ совых ресурсов от возможных угроз всеми доступными закон­ ными средствами, методами и мероприятиями;

—обеспечение безопасности информационных ресурсов в тече­ ние всего жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех ре­ жимах функционирования;

—способность системы к развитию и совершенствованию в со­ ответствии с изменениями условий функционирования орга­

низации. Комплексность достигается:

—обеспечением соответствующего режима и охраны коммерче­ ской организации;

—организацией специального делопроизводства с ориентацией на защиту коммерческих секретов;

—мероприятиями по подбору и расстановке кадров;

—широким использованием технических средств безопасности

изащиты информации;

—развернутой информационно-аналитической и детективной деятельностью.

Комплексность реализуется совокупностью правовых, организа­ ционных и инженерно-технических мероприятий.

2.Своевременность. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования эко­ номической обстановки, угроз безопасности организации, а также разработку эффективных мер предупреждения посягательств на за­ конные интересы.

3.Непрерывность. Считается, что злоумышленники постоянно ищут возможность обойти защитные меры, прибегая для этого к ле­ гальным и нелегальным методам.

4.Активность. Защищать интересы организации необходимо с до­

статочной степенью настойчивости, широко используя маневр сила­

160

ми и средствами обеспечения безопасности и нестандартные меры защиты.

5. Законность. Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области предпринимательской деятельности, информатизации

изащиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами госу­ дарственного управления в пределах их компетенции, с применени­ ем всех дозволенных методов обнаружения и пресечения правона­ рушений.

6.Обоснованность. Используемые возможности и средства защи­ ты должны быть реализованы на современном уровне развития нау­ ки и техники, обоснованы с точки зрения заданного уровня безопас­ ности и соответствовать установленным требованиям и нормам.

7.Экономичность. Речь идет об экономической целесообразности

исопоставимости возможного ущерба и затрат на обеспечение без­ опасности (критерий «эффективность — стоимость»). Во всех слу­ чаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов угроз.

8.Специализация. Предполагается привлечение к разработке

ивнедрению мер и средств защиты специализированных органи­ заций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы

игосударственную лицензию на право оказания услуг в этой облас­ ти. Эксплуатация технических средств и реализация мер безопас­ ности должны осуществляться профессионально подготовленными специалистами СБ и функциональных и обслуживающих подразде­ лений организации.

9.Взаимодействие и координация. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответ­ ствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достиже­ ния поставленных целей, а также сотрудничества с заинтересован­ ными объединениями и взаимодействия с органами государственно­ го управления и правоохранительными органами.

10.Совершенствование. Предусматривает совершенствование мер

исредств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах раз­ ведки и промышленного шпионажа, нормативно-технических тре­ бований, достигнутого отечественного и зарубежного опыта.

11.Централизация управления. Предполагает самостоятельное

функционирование системы безопасности по единым правовым,

161

организационным, функциональным и методологическим принци­ пам и централизованным управлением деятельностью системы без­ опасности.

Правовые основы безопасности коммерческой организации опре­ деляют соответствующие положения Конституции Российской Федерации, законы «О безопасности», «О коммерческой деятельнос­ ти» и другие нормативные акты.

Правовая защита персонала, материальных и экономических интересов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов РФ, зако­ нов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.

Защиту имущественных и иных материальных интересов и дело­ вой репутации призваны обеспечивать также гражданское, граждан­ ско-процессуальное и арбитражное и арбитражно-процессуальное законодательство. Это законодательные акты «О защите информаци­ онно-телекоммуникационных систем и баз данных от утечки конфи­ денциальной информации по техническим каналам» [33]; «О мерах по соблюдению законности в области разработки, производства, ре­ ализации и эксплуатации шифровальных средств, атакже предостав­ лении услуг в области шифрования информации» [34]; «О создании Государственной технической комиссии при Президенте Российской Федерации» [35] и Положение о государственном лицензировании деятельности в области защиты информации [36].

Существующие правовые условия обеспечения безопасности в ос­ новном позволяют государственным и иным правоохранительным

иохранным структурам организовать противодействие противо­ правным посягательствам на предпринимательскую деятельность в различных сферах.

Успешное и эффективное решение задач обеспечения безопас­ ности конкретного предприятия достигается формированием сис­ темы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудни­ ков организации и СБ. Требования по правовому обеспечению без­ опасности предусматриваются во всех структурно-функциональных правовых документах начиная с Устава коммерческой организации

изаканчивая основными обязанностями сотрудника.

СБ в организации — неотъемлемая часть хозяйственной и иной предпринимательской деятельности в странах с развитой рыночной экономикой. СБ коммерческой организации — организационная основа обеспечения безопасности предпринимательской деятельности.

162