Филин С.А. Информационная безопасность, 2006
.pdf—соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обраще ния финансовых ресурсов и материальных ценностей;
—организацию тщательного контроля на каналах возможной утечки информации;
—оперативное выявление причин тревожных ситуаций врежим ных зонах, пресечение их развития или ликвидацию во взаи модействии с силами охраны.
Система мер возврата утраченных материальных и финансовых ре сурсов должна предусмативать взаимодействие объектовых СБ и го сударственных органов охраны правопорядка и безопасности.
Исходя из задач, принципов организации и функционирования системы безопасности, основных угроз безопасности, целесообраз но выделить следующие основные направления деятельности по обе спечению безопасности:
—информационно-аналитические исследования и прогнозные оценки безопасности, в том числе экономической;
—безопасность персонала;
—сохранность и физическая защита материальных и финансо вых средств и объектов;
—безопасность информационных ресурсов.
Основные задачи направления информационно-аналитических ис следований и прогнозных оценок безопасности:
—добывание и анализ информации о мировом и национальном рынках и прогнозирование их развития;
—организация работ по выявлению конфиденциальной инфор мации, обоснованию уровня ее конфиденциальности и доку ментальному оформлению в виде перечней сведений, подле жащих защите;
—сбор экономической и научно-технической информации для обеспечения эффективности деловых сношений с зарубежны ми и отечественными партнерами, выявление несостоятель ных, ненадежных предпринимателей, а также лиц, связанных с криминальными структурами;
—учет официальных претензий правоохранительных и контро лирующих органов к возможным партнерам на финансовом рынке, фирмам, банкам и т. п.;
—изучение, анализ и оценка криминальной обстановки, в том числе состояния экономической преступности в денежнокредитной сфере по стране и в регионе;
—выявление и прогнозирование уязвимых мест в предпринима тельской деятельности;
173
—информационное обеспечение руководства в области безопас ности;
—координация деятельности подразделений СБ и обеспечение
взаимодействия со всеми структурными подразделениями в решении проблем безопасности.
Главной заботой о безопасности персонала является охрана лично сти от любых противопожарных посягательств на его жизнь, матери альные ценности и личную информацию.
Основные задачи направления сохранности и физической защиты продукции и объектов:
— установление режима охраны производственных объектов
и объектов жизнедеятельности;
—осуществление допускного и пропускного режимов;
—обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение современными инже нерно-техническими средствами охраны;
—организация физической защиты продукции в процессе ее внутриобъектовой транспортировки;
—осуществление контроля за сохранностью продукции на всех стадиях технологического процесса;
—организация личной безопасности определенной категории руководящего состава и ведущих специалистов из так называ емой группы повышенного риска;
—обеспечение взаимодействия всех структур, участвующих в обеспечении физической защиты.
Основные задачи направления безопасности информационных ре сурсов:
—организация и осуществление разрешительной системы до пуска исполнителей к работе с документами и сведениями ограниченного доступа;
—организация хранения и обращения с конфиденциальными документами (носителями информации);
—осуществление закрытой переписки и шифрованной связи;
—организация и координация работ по защите информации, обрабатываемой и передаваемой средствами и системами вы числительной техники и связи;
—обеспечение безопасности в процессе проведения конфиден циальных совещаний, переговоров;
—осуществление контроля за сохранностью конфиденциальных документов (носителей информации), за обеспечением защи ты информации, обрабатываемой и передаваемой средствами
исистемами вычислительной техники и связи.
174
Основные задачи СБ в работе с персоналом организации.
1.Набор персонала. Как правило, проводится из внутренних (пе ремещение и продвижение по службе своих сотрудников) и внешних (найм по объявлениям и по личным рекомендациям) источников. Основным требованием при этом должны стать объективная оценка не только поступающего на работу сотрудника, но и предлагаемой ему работы.
2.Отбор кандидатов. К основным группам качеств для сравнения
кандидатов относятся: профессиональные, образовательные, орга низационные и личные. Основное требование при отборе — тща тельное изучение деловых, моральных и этических данных каждого кандидата. В процессе анализа сведений о кандидате следует пользо ваться услугами органов внутренних дел, оказываемых ими в соот ветствии с приказом МВД РФ № 319 от 1994 г. В соответствии с этим приказом органы внутренних дел должны оказывать платные услуги о наличии (отсутствии) судимости кандидата и сведения о лицах, на ходящихся в розыске.
Всвязи с тем, что все документы и издания с грифом «Ком мерческая тайна» рассматриваются как материалы ограниченного распространения, они подлежат специальному учету, к ним приме няется разрешительная система допуска. Организация делопроиз водства материалов с грифом «Коммерческая тайна» на объекте так же осуществляется СБ. Порядок оформления, учета и доступа к ним определяется специальной инструкцией (приложение5).
Впостиндустриальном (информационном) обществе информа ционная безопасность становится во главу угла не только информа ционной составляющей бизнеса, но и бизнеса в целом. Инновации
вэтой области направлены на комплексный подход, охватывающий все аспекты проблемы безопасности.
Система комплексной безопасности предпринимательства — это об ласть многоаспектной теоретической и практической деятельности государства и предпринимателей по обеспечению экономической и социальной стабильности функционирования в негосударствен ном секторе экономики.
Система комплексной безопасности предпринимательства основы вается на следующих основных принципах:
—объектами комплексной безопасности предпринимательства являются: персонал, материальные и финансовые средства
иинформационные ресурсы организации;
175
—комплексная безопасность основывается на правовом, орга низационном и инженерно-техническом обеспечении;
—комплексная безопасность достигается: охраной, режимом, кадровой деятельностью, специальным документооборотом и защитой коммерческой тайны, инженерно-техническими мерами безопасности и информационно-аналитической дея
тельностью.
Например, в предусмотренных законом случаях предпринима тельской структуре следует предусмотреть возможность обращения в государственные контролирующие и правоохранительные органы к организации защиты КТ. В этих случаях значительное место в рабо те СБ занимает взаимодействие с правоохранительными органами.
Например, КТ, имеющая особо важное значение не только для организации, но и для государства, может быть взята под защиту правоохранительными органами, особенно если к ней проявляют интерес иностранные спецслужбы.
Участие правоохранительных органов в деятельности по охране КТ может иметь следующие формы:
—оказание методической и практической помощи администра ции фирм в организации работы по охране КТ,
—оценка по просьбе соответствующих руководителей фирм со стояния сохранности КТ,
—накопление, анализ, обобщение и распространение передово го опыта, учет имеющихся недостатков и упущений в органи зации работы на данном участке и внесение соответствующих рекомендаций по их устранению;
—заключение соглашения об обмене информацией по вопросам безопасности; предоставление на договорной основе опреде ленной информации по интересующим вопросам при заклю чении крупных сделок с новыми партнерами, выделение в их числе представителей преступных сообществ, обанкротив шихся фирм;
—постановка офиса на сигнализацию в местном отделении ми лиции;
—организация поста охраны;
—оказание взаимной помощи в экстремальных ситуациях;
—проведение регулярных совещаний с представителями СБ дру гих организаций, частных детективных и охранных агентств (такого рода соглашения заключаются на двусторонней или многосторонней основе) и т. д.
Вдеятельности СБ должны учитываться особенности предпри нимательства, свойственные охраняемой структуре, стадии сущест вования конкретного бизнеса. Руководитель организации, определяя
176
характер СБ, должен исходить из особенностей сферы и масштабов деятельности организации, объектов, подлежащих защите, учитывать возможности материально-технического и финансового обеспечения мероприятий по безопасности. Все подразделения СБ в полном объ еме создаются лишь крупнейшими экономическими субъектами.
Небольшие организации ограничиваются группами внутренней безопасности, состоящими из охранников и персонала, занимаю щегося настройкой и ремонтом технических средств защиты. А для защиты от криминальной конкуренции, например, малый бизнес
вРоссии, который не в состоянии финансировать собственные СБ, использует услуги детективных и охранных бюро и/или технические средства. На основной же персонал организации при этом возлага ются соответствующие дополнительные функции.
Мероприятия по обеспечению безопасности можно проводить
вразовом порядке или периодически. В этом случае необходимо об ращаться в правоохранительные органы, частные специализирован ные охранные организации, оказывающие услуги в области сыска, охраны, установки и ремонта технических средств, информацион ного бизнеса, а также в союзы предпринимателей. В частности, мож но ограничиться оборудованием помещений охранной и противопо жарной сигнализацией.
При наличии потребности в проверке физических и юридиче ских лиц можно использовать специализированные организации, оказывающие информационные услуги. К проектированию системы защиты, опирающейся в основном на технические средства, целесо образно привлечь специализированные консультативные фирмы.
В случае обращения руководства организации по вопросам без опасности к негосударственным организациям, специализиру ющимся в области сыска, охраны, предоставления технических средств защиты следует иметь в виду следующее. Сотрудничество с такими организациями требует больших финансовых затрат. Кроме того, неизбежен доступ к информации организации, иногда весьма конфиденциальной, что может привести к ее утечке. Практика по казывает, что руководство организаций ориентируется, как правило, на создание собственных СБ.
3 .8 . ОБЕСПЕЧЕНИЕ РЕЖ ИМ А КОНФИДЕНЦИАЛЬНОСТИ
При нормальном развитии отношений между партнерами на ступает момент, когда необходим обмен информацией, считаю щейся КТ. Подобному обмену должно предшествовать заключение
177
договора о конфиденциальности, который предполагает передачу определенной информации и включает обязательства сторон по со хранению ее в тайне.
В принятом в 1987 г. Положении о договорах на создание (переда чу) научно-технической продукции впервые в отечественном зако нодательстве появилось понятие «конфиденциальность». Включение в Договор на создание (передачу) научно-технической продукции условия соблюдения конфиденциальности означало, что в составе этой продукции, как материальной ценности, содержится инфор мация, представляющая для сторон договора самостоятельную цен ность как нематериальное благо. Закон устанавливает три условия, при одновременном выполнении которых информация составляет служебную или КТ [53]:
—она должна иметь действительную или потенциальную ком мерческую ценность;
—быть неизвестной третьим лицам (должен отсутствовать сво бодный доступ к ней на законном основании);
—владелец должен принимать меры по охране такой информа
ции.
Анализируя этот документ, следует отметить, что договорен ность сторон о неразглашении информации обеспечивает лишь от носительную охрану такой информации: организация-исполнитель обязывает не разглашать эту информацию только своего партнера по договору — организацию-заказчика. Однако за пределами дого вора, т. е. с того момента, когда информация становится доступной неопределенному кругу лиц, правовая охрана информации отсут ствует, а ее свободное использование всеми третьими лицами не по рождает никаких обязательств перед организацией-исполнителем.
Если обладатель такой информации рассказал о ней журналисту, а тот опубликовал полученные сведения либо если в продажу вы пущены изделия, изучение которых позволяет получить соответ ствующую информацию, то КТ перестала существовать с момента публикации или продажи. Меры по охране конфиденциальности включают ограничение круга лиц, имеющих доступ к информации, и их обязательство сохранять информацию в тайне.
При недобросовестном разглашении КТ вопреки воле ее перво начального обладателя и несмотря на принятые им меры, он может потребовать возмещения убытков. Закон возлагает возмещение при чиненных убытков на лиц, получивших незаконными методами кон фиденциальную информацию, а также на работников, разгласивших ее вопреки трудовому договору или контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору. Однако,
178
если разглашение сделано работником публично, третьи лица полу чают информацию, переставшей быть конфиденциальной, законно.
Поэтому передача информации коммерческого характера сто ронним организациям, не связанным с организацией служебными контрактами, должна обязательно регулироваться договорными от ношениями, предусматривающими обязательства и ответственность пользователей, включая возмещение материальных затрат на предо ставление информации и компенсацию за нарушение договорных обязательств.
Договор о конфиденциальности возлагает на сторону, получа ющую информацию, обязанность поддерживать режим конфиден циальности; сообщать ее только тем сотрудникам, которым она необходима для работы, ради выполнения которой она передается. Необходимо предварительно связывать этих сотрудников обязатель ством неразглашения. Если предполагается копирование информа ции, договор зачастую предусматривает обязательство снабжать все копии соответствующим грифом. Рекомендуется включить в дого вор о конфиденциальности запись об отсутствии прав получателя информации на какое-либо ее использование, помимо предусмот ренного договором. Договор может включать взаимную передачу информации, составляющей КТ сторон, и тогда соответствующие обязательства будут обоюдными.
Договор о конфиденциальности часто предусматривает переда чу информации (в том числе заключенной в образцах продукции, приборах, базе данных, программе) на определенный срок. В этом случае для предотвращения несанкционированного распростране ния информации, составляющей КТ и ставшей известной партне ру, целесообразно в договоре предусмотреть запись, что контрагент обязуется сохранять всю предоставленную ему в связи с исполнени ем договора конфиденциальную информацию в тайне, а все доку менты, содержащие сведения закрытого характера, и иные носители информации возвратить первоначальному обладателю в обусловлен ные сроки, либо предусматривается их уничтожение, если возврат экономически неоправдан.
Договор, как правило, должен заключаться на длительный пери од времени, а в случае необходимости может носить и бессрочный характер исходя из перспектив делового сотрудничества и коммер ческих интересов, т. е. обязательства конфиденциальности сохра няются и после истечения оговоренного срока. В то же время не справедливо требовать от партнера жесткие ограничения в работе с полученной информацией, когда она станет доступна третьим
179
лицам. Поэтому в договор включают положение о прекращении конфиденциальности в отношении информации, разглашенной ее первоначальным владельцем, ставшей общеизвестной в результате его действий или из независимых источников. Сведения о сущности изобретения, полезной модели или промышленного образца до офи циальной публикации являются конфиденциальными.
Договор может быть как самостоятельным, так и частью (в ка честве условий) другого договора. Поскольку он направлен на пре дотвращение фактов разглашения конфиденциальной информа ции, то должен широко использоваться организациями в процессе осуществления делового сотрудничества в коммерческой, торговой
ипроизводственной деятельности.
Вдоговоре целесообразно оговаривать размеры штрафов, взи маемых за разглашение передаваемой информации. Имеет смысл оговаривать также условие и пределы пользования информацией (примерный вариант соглашения о конфиденциальности приведен в приложении 6).
Практическая деятельность подсказывает, что источником кон фиденциальной информации являются люди, документы и публи кации. От того, как организована работа с людьми и документами, зависит информационная безопасность предприятия (фирмы). Поэтому в настоящее время коммерческие (особенно банковские17)
ипроизводственные структуры активно применяют комплекс ор ганизационно-технических мероприятий, направленных на ис ключение свободного доступа к конфиденциальной информации
иусиление мер по ее охране. К числу таких мероприятий относится обязательное издание руководителем организации приказа о при нятии инструкции по работе с конфиденциальной информацией: Инструкции о порядке учета, обращения и хранения документов
идел, содержащих конфиденциальные сведения с указанием: списка лиц или конкретного лица, ответственного за сохранность информа
17 Закон РФ «О банках и банковской деятельности» [12] предусматривает проведение банками открытой политики по отношению к клиентам и одновре менно поддерживает банки в вопросах защиты профессиональной тайны. Кли ент может получать от банка «информацию об условиях совершения сделок, сведения о финансовом состоянии банка, включая ежемесячные балансы». Возможности клиентов в доступе к актуальной информации по финансовому состоянию банка велики, так как Интернет может стать для российских банков хорошим средством для решения задач открытия информации; определенные шаги в этом направлении уже сделаны.
180
ции; обеспечения соответствующих мер безопасности при обработке информации на ПК; проверки репутации персонала, допущенного
кработе с соответствующей информацией; внесения в трудовые со глашения и контракты положений, предусматривающих штрафные санкции за нарушение правил работы с конфиденциальной инфор мацией и т. п. (примерный вариант приказа и Инструкции о порядке учета, обращения и хранения документов и дел, содержащих кон фиденциальные сведения и Перечень конфиденциальных сведений
кней приведены в приложении 7). Разработка инструкции и Переченя конфиденциальных сведений к ней, как правило, возлагается на отдел по защите информации. Если такой отдел отсутствует, эти
документы разрабатываются службой безопасности предприятия с привлечением отдела по работе с персоналом.
Обеспечение защиты конфиденциальной информации ее соб ственником должно предусматривать также:
а) наличие соглашений с работниками по неразглашению кон фиденциальной информации работодателя;
б) наличие положений в контрактах (договорах) заказчиков с ис полнителями, консультантами и другими лицами, предусма тривающих защиту конфиденциальной информации;
в) наличие у собственника инструкций, обеспечивающих режим по работе с конфиденциальной информацией.
Данные нормы одобрены Межведомственной комиссией по во просам правовой охраны и использования объектов промышлен ной собственности и направлены в министерства и ведомства. Соглашения подобного типа в подавляющем большинстве экономи чески развитых стран являются эффективным инструментом защи ты конфиденциальной информации.
В Российской Федерации обязательства работников по нераз глашению конфиденциальной информации могут быть оформлены либо в виде отдельных документов с любыми, не противоречащими законодательству условиями соглашения, либо в трудовом договоре в соответствии со ст. 57 Трудового кодекса РФ (ТК РФ).
Аналогичные меры должны реализовываться в государственных организациях и организациях иных форм собственности для обес печения сохранности имеющихся и разрабатываемых в них ноу-хау в рамках обеспечения общей экономической безопасности иннова ционного предприятия.
Режим защиты конфиденциальной информации в соответствии с действующим законодательством устанавливается законным обла дателем (собственником, владельцем) информационных ресурсов.
181
3.9. ОРГАНИЗАЦИЯ ЗАЩИТЫ ТЕХНОЛОГИЧЕСКОЙ ИНФОРМАЦИИ НАУЧНО-ТЕХНИЧЕСКОГО ХАРАКТЕРА В ВИДЕ НОУ-ХАУ
Усиление роли ноу-хау в условиях рынка связано с тем, что мно гие организации вместо патентования принадлежащих им изобре тений прибегают к использованию этой формы охраны. В условиях рыночной экономики обмен научно-техническими достижениями, осуществляемый на коммерческой основе, на практике создает не мало проблем, в том числе вследствие неумения выявлять ноу-хау, определять их технико-экономическую и коммерческую значимость, сохранять в тайне. Поэтому особое значение приобретает организа ция и соблюдение условий, обеспечивающих конфиденциальность сведений, составляющих секреты производства — ноу-хау; сохране ние в секрете ноу-хау — один из основных факторов коммерческой реализации научно-технического достижения.
Термин «ноу-хау» впервые введен в 1916 г. на одном из судебных процессов в США. В качестве разновидностей ноу-хау (знаю как) выступают show how (покажу как), know why (знаю почему), tradesecret (деловой секрет) и «торговый секрет»18. Воспринимаемые в ка
18 Термин «торговый секрет» в широком смысле включает секретные тех нические знания (ноу-хау), а также информацию нетехнического характера, например, списки заказчиков, деловые связи и др. Такая неизвестная неопре деленному кругу лиц информация, обладающая действительной или потен циальной ценностью, может использоваться владельцем в бизнесе. Предмет торгового секрета должен оставаться в тайне. На некоторых фирмах сохране ние торговых секретов считается настолько важным, что уже на стадии найма служащий обязуется не разглашать служебную информацию. Меры предосто рожности, предпринимаемые владельцем для сохранении торгового секрета, обычно следующие:
—уведомление служащих о статусе торгового секрета, объектом которого является предмет или условие работы;
—ограничение доступа посетителей;
—сохранение внутренней тайны путем разделения процесса работы на этапы, выполняемые различными отделами, использование преду предительных и предостерегающих знаков, использование кодирован ных наименований;
—хранение секретных документов в сейфе;
—ограничение доступа к информации, введенной в компьютер, хранение магнитных лент, блок-схем, символов, расшифровок кодов «под зам ком» и т. п.
Информация, являющаяся торговым секретом, подлежит правовой защи те, если:
— приняты надлежащие меры для хранения ее в тайне;
182