Методика выявления сведений, представляющих интеллектуальную собственность, и организаций, заинтересованных в них

7.1

Методика выявления сведений, представляющих интеллектуальную собственность

Содержание

2.Формирование списка организаций и частных лиц, которые могут быть

7.2

Методика выявления сведений, представляющих интеллектуальную собственность

Введение

Практика показывает, что формирование списка сведений, которые необходимо защищать от злоумышлен ников, задача не простая, а для некоторых организаций просто непосильная. Причин такому положению дел достаточно много. Главная из них заключается в отсутствии формализованного подхода к решению этой за дачи или неумении им пользоваться.

Еще одной задачей, которая зачастую просто остается в тени, является составление перечня организаций и част ных лиц, которых могут заинтересовать сведения, охраняемые на предприятии.

Всвязи с этим ниже предлагается некоторый алгоритмизированный подход к решению этих двух задач.

1.Формирование списка сведений, подлежащих защите

Организация работ по составлению списка сведений должна быть строго регламентирована соответствую щими инструкциями, утвержденными руководством организации. Практика показывает, что далеко не каж дая организация способна обоснованно разработать такой список. Базовым показателем, по которому осу ществляется отнесение сведений к коммерческой тайне, является величина ущерба в случае потери соответ ствующей информации. Если его величина превышает допустимую с точки зрения экспертов предприятия, информация относится к сведениям, составляющим коммерческую тайну.

Документ о порядке и методике формирования Перечня должен разрабатываться в организации в виде от дельного Положения, которое подписывается начальником службы безопасности (заместителем по режиму) или другим должностным лицом, в ведении которого находятся вопросы безопасности, а затем утверждается руководителем организации. Положение о порядке и методике формирования Перечня сведений, составля ющих служебную или коммерческую тайну организации, должно определять состав и организацию работы экспертной комиссии, порядок рассмотрения предложений о включении сведений в Перечень, методики про ведения экспертизы и обработки ее результатов, ответственность должностных лиц за поддержание Перечня в актуальном состоянии.

При введении в действие Положения отдельным пунктом приказа должны быть определены должностные лица, которые наделяются полномочиями по отнесению сведений к составляющим служебную или коммерческую тайну в период формирования (разработки) Перечня и по их применению в последующем.

Положение по формированию Перечня должно обеспечивать единый подход к его созданию, обоснованность принимаемых решений о включении в него сведений для структурного подразделения в отдельности и органи зации в целом, а также проведение административного расследования в случае их несанкционированного рас пространения (разглашения, передачи, утечки, хищения) и наказание лиц, виновных в этом, согласно Уголовно му или Гражданскому Кодексу Российской Федерации.

В Перечень могут включаться сведения, являющиеся собственностью организации. При этом центральным зве ном при подготовке Перечня является оценка ущерба собственнику или владельцу информации. Величина ущерба, относительно которого информация включается в Перечень, определяется собственником или вла дельцем сведений.

Сведения, составляющие служебную или коммерческую тайну о деятельности организации, в соответствии со степенью важности могут иметь гриф «Строго конфиденциально», «Конфиденциально», «Из офиса не вы носить», «Для служебного пользования».

Сведения, включенные в Перечень, имеют ограничительный характер на использование. Ограничения, вво димые на использование сведений, составляющих служебную или коммерческую тайну, направлены на за щиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) ее подразделений, а также при их сотрудниче стве с работниками других предприятий. Поэтому каждому грифу должны соответствовать определенные мероприятия по защите информации.

Под служебной или коммерческой тайной надо понимать сведения, не являющиеся государственными секре тами, но которые связаны, прежде всего, с производственной, управленческой, финансовой или другой эко номической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам или интересам их владельцев.

Под сведениями (и их носителями) понимаются:

•данные, полученные в результате обработки информации с помощью технических средств (оргтехники);

•информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками органи зации для работы в служебных целях;

•документы (носители), образующиеся в результате мыслительной деятельности сотрудников организа ции, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нор мального функционирования организации.

7.3

Методика выявления сведений, представляющих интеллектуальную собственность

Для формирования Перечня в организации создается экспертная комиссия, комплектуемая наиболее квали фицированными специалистами и должностными лицами отделов и служб структурных подразделений. Ру ководство работой по формированию Перечня, как правило, должно возлагаться на начальника службы бе зопасности организации. Экспертная комиссия осуществляет анализ всех сторон деятельности организации подчиненных ей подразделений, готовит исходные материалы для проведения экспертизы, осуществляет ко ординацию всего процесса составления Перечня.

Работа по формированию Перечня и определению сведений, составляющих служебную или коммерческую тайну, состоит из следующих этапов:

•составление предварительного перечня сведений, содержащих служебную или коммерческую тайну, для структурных подразделений (отделов, служб) организации;

•определение возможного ущерба, наступающего в результате несанкционированного распростране ния сведений, включаемых в Перечень;

•определение преимуществ открытого использования рассматриваемых сведений по сравнению с зак рытым;

•определение затрат на защиту рассматриваемых сведений;

•принятие решения о включении сведений в окончательный вариант Перечня;

•составление обобщенного Перечня и рассмотрение его на заседании ЭК;

•оформление результатов работы по формированию Перечня.

Составление предварительного Перечня сведений. Предварительный Перечень сведений, составляющих служебную или коммерческую тайну, формируется под руководством начальников структурных подразделе ний организации в соответствии с указаниями начальника службы безопасности и Положением о порядке и методических указаниях по его формированию.

При разработке предварительного Перечня необходимо руководствоваться:

•Конституцией Российской Федерации, принятой 12 декабря 1993 года;

•Законом Российской Федерации «О государственной тайне» от 21.07.93;

•Федеральным законом Российской Федерации «Об информации, информатизации и защите информа ции» от 20.02.95;

•Указом Президента Российской Федерации «Об утверждении Перечня сведений, отнесенных к государ ственной тайне» № 1203 от 30.11.95;

•Указом Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального ха рактера» № 188 от 06.03.97;

•Постановлением Правительства Российской Федерации «О Перечне сведений, которые не могут состав лять коммерческую тайну» № 35 от 05.12.91.

В соответствии с Указом Президента РФ № 188 от 6 марта 1997 г. к сведениям конфиденциального характера относятся:

•Сведения об актах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифици ровать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

•Сведения, составляющие тайну следствия и судопроизводства.

•Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

•Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатс кая тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

•Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Граж данским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

•Сведения о сущности изобретения, полезной модели или промышленного образца до официальной пуб ликации информации о них.

Необходимо обратить внимание на требования по обращению с персональными данными. Как следует из Указа № 188 и закона «Об информации...» персональные данные сотрудников предприятия составляют отдель" ную категорию конфиденциальной информации и не могут включаться в режим защиты непосредственно коммерческой тайны. В приведенных документах в отношении персональных данных выделяется ряд специ альных требований:

•не допускаются сбор, хранение, использование и распространение информации о частной жизни, а рав но информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных перегово ров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основа нии судебного решения;

•персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод;

•юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации;

7.4

Методика выявления сведений, представляющих интеллектуальную собственность

•подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных.

Закон о персональных данных находится в стадии формирования, и это следует иметь в виду, формируя систему защиты конфиденциальной информации.

В Перечень не могут быть включены сведения, составляющие государственную тайну (здесь никакая экспер тиза не нужна), а также сведения, определенные Постановлением Правительства Российской Федерации «О Перечне сведений, которые не могут составлять коммерческую тайну» № 35 от 05.12.91г.:

•учредительные документы и устав предприятия;

•документы, дающие право заниматься предпринимательской деятельностью;

•сведения по установленным формам отчетности о финансово хозяйственной деятельности и иные све дения, необходимые для проверки правильности исчисления и уплаты налогов;

•документы о платежеспособности;

•сведения о численности и составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

•документы об уплате налогов и обязательных платежах;

•годовые отчеты фондов об использовании имущества;

•сведения, подлежащие раскрытию эмитентом ценных бумаг, профессиональным участником рынка цен ных бумаг и владельцем ценных бумаг в соответствии с законодательством Российской Федерации о ценных бумагах;

•информация, связанная с соблюдением экологического и антимонопольного законодательства, обес печением безопасных условий труда, реализацией продукции, причиняющей вред здоровью населе ния, другими нарушениями федерального и местного законодательства, а также содержащая данные о размерах причиненных при этом убытков;

•сведения о деятельности благотворительных организаций и иных некоммерческих организаций, не свя занной с предпринимательской деятельностью;

•данные о наличии свободных рабочих мест;

•информация о хранении, использовании или перемещении материалов и использовании технологий, представляющих опасность для жизни и здоровья граждан или окружающей среды;

•сведения о реализации государственной программы приватизации и условиях приватизации конкрет ных объектов;

•сведения о размерах имущества и вложенных средствах при приватизации;

•информация о ликвидации юридического лица и о порядке и сроке заявлений требований его кредито рами;

•информация, для которой определены ограничения по установлению режима коммерческой тайны в со ответствии с законодательными и подзаконными актами.

Остальные сведения могут быть отнесены к коммерческой тайне в соответствии с ее определением, данным в нормативных документах это информация, имеющая действительную или потенциальную коммерческую цен ность в силу ее неизвестности третьим лицам; к ней нет свободного доступа на законном основании; владелец принимает меры к охране ее конфиденциальности.

После формирования предварительного Перечня он за подписью его руководителя (начальника) представ ляется на рассмотрение экспертной комиссии организации. При этом каждое сведение должно рассматри ваться по следующим аспектам:

•степень важности неразглашения сведений (информации) о порядке получения прибыли в борьбе с кон курентом, в том числе сведений о технико экономических характеристиках изделия (продукции);

•показатели выигрыша во времени при создании конкурентоспособного изделия (продукции) или предос тавлении наукоемких услуг и работ;

•временные показатели развития технологии, ведущие к сокращению сроков между проведением иссле дований и их практическим применением (изготовлением);

•получение организацией монополии на информацию о передовой технологии, являющейся ее собствен ностью;

•вероятность использования информации конкурентом в случае ее рекламирования или опубликования;

•вероятность установления связи между временем закрытия информации и до момента проведения ра бот по изготовлению конкурентоспособных изделий (продукции);

•другие вопросы производственной и финансовой безопасности.

Рассмотренные и обсужденные экспертной комиссией сведения переносятся из предварительного в обоб щенный вариант Перечня для организации в целом. Они должны иметь четкую, конкретную и односторон нюю формулировку, исключающую неоднозначность их толкования.

Определение возможного ущерба, наступающего в результате несанкционированного распространения све дений, включаемых в обобщенный Перечень, осуществляется с использованием качественных или количе ственных показателей. Количественные, как правило, стоимостные показатели возможного ущерба, должны определяться уровнем снижения эффективности в какой либо области деятельности организации, а каче

7.5

Методика выявления сведений, представляющих интеллектуальную собственность

ственные — степенью возможности срыва в получении определенных прибылей или при возникновении моральных издержек. При оценке ущерба, который может понести организация при разглашении конфиден циальных сведений, должны учитываться потери, возникающие не только в настоящее время, но и в будущем, а также возможность нанесения ущерба ее посредникам. Современным взглядам на методы оценки ущерба посвящен отдельный параграф.

В конечном итоге качественный или количественный анализ оценки ущерба должен позволить определить конкретные сведения, которые необходимо защищать от посягательств недобросовестных конкурентов.

Определение преимуществ открытого использования рассматриваемых сведений по сравнению с зак рытым (внутренним применением) осуществляется на основе анализа оценок в получении прибыли от широ кого и открытого использования служебной, производственной или коммерческой информации.

Решение вопроса об открытом использовании сведений достаточно ответственен, поэтому представляется це лесообразным решать его подавляющим большинством голосов или единогласно.

Определение затрат на защиту сведений, включаемых в Перечень. На этом этапе оценивается практичес кая возможность защиты рассматриваемых сведений и определяются материальные, трудовые и финансовые затраты, необходимые для организации и осуществления мероприятий по обеспечению соответствующих норм режима безопасности.

Подобная оценка затрат должна быть непосредственно связана с возможными способами и методами, кото рые могут быть применены злоумышленниками для получения или уничтожения защищаемой информации.

Принятие решения о включении сведений в окончательный вариант Перечня. На этом этапе произво дится окончательное формирование варианта обобщенного Перечня, который согласовывается с руковод ством организации и начальниками структурных подразделений.

В обобщенный вариант Перечня должны включаться сведения конфиденциального характера, для которых величина морального и материального ущерба от несанкционированного распространения выше определен ной руководством величины. Это может быть, например, ущерб от открытого использования сведений, кото рый превышает суммарную величину возможного ущерба от НСД и затрат на защиту информации.

После окончательного формирования, согласования варианта обобщенного Перечня сведений, составляющих слу жебную или коммерческую тайну для организации, он должен быть вынесен на обсуждение расширенного засе дания ЭК.

Оформление результатов работы по формированию Перечня. Результаты работы экспертной комис сии оформляются в виде окончательного варианта обобщенного Перечня, подписанного начальником службы безопасности и представляемого на утверждение руководителю организации. К окончательно му варианту обобщенного Перечня могут прилагаться рабочие материалы с обоснованием необходимос ти включения в него тех или иных сведений. Такие материалы должны подписываться всеми членами ко миссии.

Сведения, отнесенные к служебной или коммерческой тайне, должны включаться в обобщенный Перечень с указанием грифа конфиденциальности и сроков их засекречивания. Вместо указания срока засекречивания могут приводиться обстоятельства или события (в графе 4 «Примечание — особые отметки» Перечня), при наступлении которых возникает необходимость изменения грифа конфиденциальности или полного откры тия сведения, включенного в Перечень.

Решение об открытии (рассекречивании) такого сведения принимается руководителем организации по пред ставлению председателя экспертной комиссии и руководителя службы безопасности.

Результаты расширенного заседания ЭК должны протоколироваться секретарем комиссии, а протокол — ут верждаться руководителем организации.

Перечень вводится в действие приказом руководителя организации в виде приложения к нему.

Сотрудники организации, допускаемые по роду своей работы или функциональным обязанностям к сведени ям, составляющим служебную или коммерческую тайну, должны под расписку ознакомиться с этим приказом или приложением к нему. Порядок такого ознакомления возлагается на начальника службы безопасности организации. В подчиненные структурные подразделения высылаются выписки или копии этих сведений.

В Перечень могут быть включены сведения конфиденциального характера сторонних организаций. Степень конфиденциальности таких сведений должна устанавливаться по согласованию между организацией, разра батывающей такой Перечень, и собственником таких сведений.

Контроль за обеспечением защиты служебной или коммерческой тайны и правильностью пользования Пе речнем в практической деятельности должен возлагаться на начальника службы безопасности организации.

7.6

Методика выявления сведений, представляющих интеллектуальную собственность

Вопросы организации такого контроля, как правило, должны отражаться в годовом плане мероприятий по защите служебной или коммерческой тайны.

В последующем Перечень в части, касающейся сотрудников, должен доводиться не реже 1 раза в год до всех сотрудников организации Все лица, принимаемые на работу в организацию, должны пройти инструктаж и озна комиться с памяткой о сохранении служебной или коммерческой тайны. Памятка должна разрабатываться служ бой безопасности с учетом специфики организации.

Гриф конфиденциальности самого Перечня устанавливается руководителем организации при его утвержде нии.

Сотрудник, получивший доступ к служебным, коммерческим или конфиденциальным сведениям и докумен там, должен подписать индивидуальное письменное обязательство об их неразглашении. Обязательство со ставляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации им дается подписка о неразглашении закрытых сведений Перечня.

Пересмотр Перечня сведений, составляющих служебную или коммерческую тайну, а также внесение в него из менений и дополнений должны осуществляться по мере необходимости в том же порядке, что и его формиро вание.

Работа в организации должна быть спланирована таким образом, чтобы любому сотруднику было категори чески запрещено сообщать кому бы то ни было сведения конфиденциального характера, если это не вызвано служебной необходимостью.

С целью более качественного сокрытия производственной деятельности и особенно передовой техно логии по изготовлению ноу хау, в организации могут разрабатываться проекты по легенде прикрытия такого производства.

Легендирование должно направляться на практическое проведение организационных, технических, режимных мер и в целом перестройку безопасности так, чтобы у его сотрудников, клиентов, посредников и конкурентов сложилось устойчивое мнение о придуманной деятельности взамен реально существующей. Это должно позво лить организации выиграть время на разработку, испытание и производство ноу хау.

Проект создания легенды прикрытия и мероприятий по формированию Перечня сведений, составляющих слу жебную или коммерческую тайну, требует существенных финансовых затрат и привлечения к их реализации спе циалистов высокой квалификации. Однако, как показывает опыт мировых компаний в этом вопросе, затраты должны окупиться через 1,5–2 года со значительным получением прибыли в будущем.

Следует заметить, что в ходе планирования и создания совместных предприятий со стороны российских орга низаций обязательно должны предусматриваться меры защиты сведений, отнесенных к ее служебной или ком мерческой тайне. Их необходимо отразить в двусторонних договорах или соглашениях, отвечающих требо ваниям Стокгольмской конвенции.

Примерный перечень сведений, составляющих служебную или коммерческую тайну организации

Сведения об организации производства:

•структура и масштабы производства, производственные мощности, тип и размещение оборудова ния, запасы сырья, материалов, комплектующих и готовой продукции;

•методы управления, а также сведения о подготовке, принятии и исполнении отдельных решений руко водством организации;

•планы инвестиций, закупок и продаж, расширения или свертывания производства различных видов про дукции и их технико экономические обоснования;

Сведения о финансовой политике:

•кругооборот средств организации, финансовые операции, состояние банковских счетов организации и проводимых операций, уровень доходов организации;

•состояние кредита организации (пассивы и активы); методы расчета, структура, уровень реальных цен на продукцию и размеры скидок.

•Сведения о рынке продукции и услуг:

•методы и результаты изучения рынка, оценки состояния и перспектив развития рыночной конъюнктуры, рыночная стратегия организации,

•методы осуществления продаж, эффективность служебной или коммерческой деятельности органи зации,

•подготовка к участию в торгах и аукционах, результаты приобретения или продажи на них товаров.

7.7