Определение и нормативное закрепление состава защищаемой информации.
На каждом предприятии постепенно накапливается КЦИ, которая позволяет предприятию успешно работать и противостоять конкурентам. Условно КЦИ разделяют на производственные секреты (научно-технические, технологические, секреты организации производства)и деловые секреты (всё, что связано с оборотом товара, его продвижением на рынке). Вначале главенствуют технические и технологические секреты, по мере тиражирования всё большее значение приобретают деловые секреты.
Коммерчески ценная информация приобретает статус информации, составляющей коммерческую тайну и защищается законом после внедрения на предприятии режима коммерческой тайны.
Первым мероприятием по внедрению режима коммерческой тайны является формирование перечня, предназначенного:
- для выделения защищаемой информации из общего потока документов и закрепления факта отнесения информации КТ;
- для установления грифа конфиденциальности сведений;
- для установления срока действия конфиденциальности по каждому пункту;
- для регламентации состава сотрудников, получивших доступ к работе с конкретной защищаемой информацией и носителям;
- для использования в качестве доказательства в суде при рассмотрении дел о разглашении коммерческой тайны.
Требования к сведениям, относящихся к КТ: 1) являться собственностью предприятия; 2) иметь действительную или потенциальную коммерческую ценность; 3) не являться общеизвестными и общедоступными; 4) не являться открытыми, защищаемыми на законных основаниях; 5) не относиться к составляющим государственную тайну; 6) не иметь ограничений на отнесение сведений к коммерческой тайне, введенные на законном основании; 7) не использовать открыто сведения, разглашение которых может нанести предприятию ущерб.
Кроме того, при принятии решения о включении сведений в перечень рекомендуется учитывать следующие факторы: - величину ущерба о разглашения информации;- преимущества открытого использования информации; - величину затрат на защиту информации.
Этапы формирования перечня:
1.Разработка приказа (плана) по организации работы по формированию перечня: кто, что и в какие сроки должен делать, кто контролирует исполнение работ. На этом этапе должен быть решен вопрос об ответственном исполнителе работ, отвечающем за организацию и методическое обеспечение работ.
2.Формирование и утверждение списка лиц (рабочей группы), наделяемых полномочиями по отнесению сведений к составляющим КТ. Задача рабочей группы – формирование предложений в проект перечня.
3.Формирование и утверждение экспертной комиссии. Функции экспертной комиссии: анализ предварительного и формирование окончательного перечня, периодическое его обновление, а впоследствии –экспертиза документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих КТ.
4.Разработка положения о порядке формирования перечня. Положение является методическим руководством для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии. Цель положения – обеспечение единого методического подхода при создании перечня.
5. Рассылка положения руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний и предложений.
6. Согласование и утверждение положения.
7. Рассылка положения исполнителям и проведение обучения (инструктажа) членов рабочей группы и экспертной комиссии.
8. Подготовка рабочей группой предложений в пределах своей компетенции в предварительный перечень.
9. Формирование ответственным исполнителем по предложениям членов рабочей группы предварительного перечня.
10. Анализ экспертной комиссией предварительного перечня в соответствии с положением и формирование проекта окончательного варианта.
11. Согласование перечня с руководителями структурных подразделений и утверждение руководителем предприятия.
12. Приказ о введении перечня в действие и доведение его до сотрудников.
Наиболее ответственным этапом является разработка положения о формировании перечня.
Определение объектов защиты при организации КСЗИ на предприятии.
В качестве теоретических объектов защиты информации рассматриваются:
Документы;
Промышленные образцы, технологии, программные продукты, технические средства обработки информации;
Люди (персонал;
Отходы производства;
Публикации.
С практической стороны указанные объекты (носители) защиты информации дифференцируются:
По их предназначению;
По степени их важности (категориям).
По предназначению выделяют 3 основных вида объектов защита КСЗИ:
Выделенные помещения (защищаемые помещения);
Объекты технических средств передачи информации;
Объекты ЭВТ.
При этом следует выделять специфические условия размещения объектов КСЗИ:
Особые условия. Такими условиями называют те условия, при которых указанные объекты защиты располагаются за пределами России или на удалении менее 100 метров от зданий посольств, консульств, представительств иностранных фирм и т.д.
Обычные условия. Все другие варианты размещения объектов защиты.
В зависимости от сочетания уровней конфиденциальности информации и характера условий размещений определяют категории объектов КСЗИ
Категорирование объектов проводится внутренней комиссией, назначаемой руководителем предприятия и завершается составлением акта категорирования на каждый объект и закрепляется приказом. Каждый рассмотренный объект защищается по типовым рубежам (6-уровневая модель).
С позиции физической защиты все указанные объекты КСЗИ по критерию стоимости материальных ценностей (информации) имеют так называемую, «категорию важности» объектов:
Стоимость (ценность) информации |
Категория важности объекта |
>= 10 000 руб |
Простой объект |
>= 100 000 руб |
Важный объект |
>= 1 000 000 руб |
Особо важный |
>= 10 000 000 руб |
Особо важный с повышенной значимостью |
Взаимосвязь рассмотренных категорий важности и защиты объектов (информации), а также с потребным количеством рубежей защиты представлена следующей таблицей:
Категория важности |
Категория защиты |
Количество рубежей защиты |
Простой объект (П) |
4 |
1 |
Важный объект (В) |
3 |
2 |
Особо важный объект (ОВ) |
2 |
3 |
Особо важный, повышенной значимости (ОВЗ) |
1 |
>= 4 |