Третий шаг к защите коммерческой тайны

Данная статья является логическим продолжением публикаций «Первый шаг к защите коммерческой тайны» и «Второй шаг к защите коммерческой тайны».

Сегодня мы поговорим о такой мере по охране конфиденциальности информации как ограничение доступа к коммерческой тайне. Ограничение доступа достигается путем установления:

  1. порядка обращения с информацией, составляющей коммерческую тайну;
  2. контроля над соблюдением этого порядка.

Порядок обращения устанавливается, как правило, путем разработки и внедрения в деятельность предприятия соответствующих руководящих документов. Такие документы могут называться «Положение», «Инструкция», «Руководство» и т.п.

Порядок обращения с информацией устанавливает ограничения, которые накладываются на деятельность (действия) работников в сферах деятельности предприятия, где циркулирует коммерческая тайна.

Руководящие документы разрабатываются по различным направлениям ограничений. Таким как, например, ограничение доступа (Инструкция о порядке доступа), ограничение автоматизированной обработки информации (Правила обработки информации, составляющей коммерческую тайну, на средствах автоматизации) и т.п.

Ограничения могут выражаться не только в форме запретов на действия или бездействия (например, запрет копирования информации на неучтенные носители информации, запрет на передачу незакодированных сообщений по электронным средствам связи, и пр.), но и в форме условий. Например: обработка информации с применением средств автоматизации разрешена, только в случае, если монитор расположен таким образом, что другие работники не видят отображаемую информацию; доступ к определенным сведениям защищен паролями, и пр.

Порядок обращения затрагивает различные сферы деятельности организации и касается:

  • организации совещаний, на которых обсуждаются коммерческие вопросы (подготовка помещения, участников, материалов, определение порядка ведения протокола, очередности рассмотрения вопросов вынесенных на обсуждение, а также круга лиц привлекаемых к обсуждению каждого вопроса);
  • учета документов на различных носителях информации (бумажных, электронных – съемных и машинных);
  • условий хранения носителей информации, составляющей коммерческую тайну (помещения, сейфы, ключи);
  • требований к обработке коммерческой информации с использованием средств вычислительной техники (системы разграничения доступа, антивирусная защита);
  • организации работ по защите информации при ее обработке на средствах вычислительной техники (СВТ) и вхождении в сторонние информационные системы, в том числе «Интернет»;
  • приема - передачи носителей информации между должностными лицами (отпуск, болезнь, смена руководителя организации);
  • организации и ведения специального делопроизводства (учет журнальный, карточный, автоматизированный);
  • передачи и предоставления информации, составляющей коммерческую тайну (способы, объемы, условия);
  • организации проведения служебных расследований (создание комиссии, фиксация установленных фактов, способы и средства добывания информации, результаты работы комиссии).

Порядок обращения с информацией, составляющей коммерческую тайну, включает в себя также организационно-распорядительные мероприятия, в том числе:

  • назначение ответственных лиц за обеспечение безопасности информации, составляющей коммерческую тайну;
  • утверждение должностных обязанностей работников и органов по организации защиты (охране) коммерческой тайны;
  • определение обязанностей, ответственности за разглашение и ограничений, накладываемых на сотрудников, допущенных к коммерческой тайне;
  • инвентаризацию и регистрацию информационных ресурсов, содержащих коммерческую тайну;
  • учет лиц, получивших доступ к коммерческой тайне;
  • организацию делопроизводства по конфиденциальной информации;
  • выявление, учет систем и средств информатизации, предназначенных (использующихся) для передачи, хранения, обработки и распространения конфиденциальной информации;
  • систему разграничения доступа персонала к СВТ и информационным ресурсам;
  • частные инструкции, регламентирующие порядок создания, учета, хранения и уничтожения документированной информации ограниченного распространения организации, а также порядок предотвращения несанкционированного доступа и защиты информации, обрабатываемой на СВТ;
  • обеспечение технической защиты конфиденциальной информации (аттестация по требованиям безопасности информации средств и систем информатизации организациями-лицензиатами ФСТЭК России, использование сертифицированных технических средств обработки, передачи и хранения информации, а также средств и программно-аппаратных комплексов защиты информации, включая криптографические средства и т.д.).

При установлении порядка обращения с информацией очень важно установить порядок обмена ею как внутри организации, так и с контрагентами. Важно знать, что документированная информация, в том числе и заключающая в себе коммерческую тайну, сформированная в процессе деятельности предприятия за счет собственных средств, а также приобретенная в собственность установленными законодательством Российской Федерации способами, является собственностью предприятия, и включается в состав его имущества в соответствии с гражданским законодательством Российской Федерации. Передача указанной выше информации иным пользователям, если иное не установлено законодательством, должна регулироваться договорными отношениями, предусматривающими обязательства и ответственность сторон, перечень конфиденциальных сведений, оплату предоставленной информации и компенсацию за нарушение договорных обязательств. Таким образом, в рамках порядка обращения с информацией, необходимо разработать договоры, включающие положения о конфиденциальности по информации, составляющей коммерческую тайну предприятия.

В настоящий момент большинство предприятий используют автоматизированную обработку информации на СВТ. Поэтому желательно разработать также частную Инструкцию по защите коммерческой информации, обрабатываемой на СВТ, и предотвращению несанкционированного доступа к ней, в которой отражаются особенности использования оргтехники для обработки информации. Данная инструкция должна определять:

  • систему доступа сотрудников к информационным ресурсам и сведениям, составляющим коммерческую тайну;
  • порядок разграничения доступа к работе на СВТ и регистрации пользователей; порядок изменения состава и конфигурации технических и программных средств;
  • обязанности пользователей по подготовке и изданию конфиденциальных документов при работе на СВТ;
  • обязанности должностных лиц по поддержанию работоспособности СВТ и средств защиты информации;
  • порядок взаимодействия с информационными сетями общего пользования (Интернет) и пользования электронной почтой;
  • порядок работы с базами данных, содержащими конфиденциальную информацию;
  • порядок антивирусного обеспечения;
  • организацию и технологию делопроизводства конфиденциальных документов;
  • порядок контроля выполнения мероприятий по обеспечению защиты информации, обрабатываемой на СВТ;
  • ответственность за разглашение коммерческой тайны.

Наличие в организации установленного порядка обращения с информацией становится заметно по признакам защищенности в различных областях жизнедеятельности предприятия. Например, появляются затруднения с проникновением в определенные зоны и территории организации, бирки на сейфах, предупреждения о том, что ведется видео наблюдение, специальные наклейки, на средствах связи, информирующие о запрете ведения переговоров на конфиденциальные темы и многое другое, что уже само по себе дисциплинирует не только персонал предприятия, но и посетителей. Введение ограничений на пользование информацией первоначально может мешать обычному функционированию организации, в определенной степени ограничивать права и законные интересы граждан. Но если порядок обращения с информацией правильно разработан и установлен в соответствии с вышеизложенными требованиями, то он в кратчайшие сроки настолько интегрируется в повседневную деятельность организации, что становится неотъемлемой ее частью и надежным способом защиты коммерческой тайны.

Не менее важной составной частью охраны конфиденциальности информации является установление контроля над соблюдением порядка обращения с информацией, составляющей коммерческую тайну.

По закону собственник информации должен контролировать эффективность защиты своей собственности. Помимо наличия контроля как такового, законодатель других требований к собственнику информации не предъявляет. Это означает, что все требования к контролю устанавливаются на усмотрение самого собственника информации.

Однако давайте немного остановимся на организации контроля и разберем основные присущие ему особенности.

Контроль в обязательном порядке должен быть нормативно установлен и регламентирован в рамках организации путем издания локального акта (Приказа, Распоряжения, Инструкции и т.п.).

В зависимости от структуры организации, объема и вида носителей информации, определяются способы и виды контроля.

Исходя из понятия контроля как проверки соответствия предъявляемым требованиям, необходимо выбрать наиболее приемлемый вид и способ проверки.

Проверки могут быть плановыми, т.е. предусмотрены планом работы на конкретный период времени и внеплановые, те которые проводятся только в силу каких-либо чрезвычайных обстоятельств.

Если говорить о плановости проверок, то необходимо сказать и об их периодичности. В зависимости от объемов информации проверки рекомендуется проводить по календарному принципу – ежемесячно, ежеквартально, ежегодно.

Способы проверки также могут варьироваться в зависимости от конкретно сложившейся ситуации. Рассмотрим на примере проверки наличия носителей информации, составляющей коммерческую тайну. Проверить наличие носителей:

  • «реально» – лично сверить наличие носителей с учетными данными «потрогать»;
  • «документально» – запросить учетные данные в виде формализованного документа «отчет».
  • «выборочно» - убедиться в наличии одного или нескольких видов носителей или в наличии ряда конкретных выбранных в произвольном порядке носителей;
  • «тотально» - проверить наличие всех носителей без исключения.

Самое важное при создании системы контроля в организации – это необходимость помнить о том, что контроль направлен на выявление несоответствий установленным требованиям, нарушений установленного порядка обращения с информацией, составляющей коммерческую тайну, выявление возможных каналов утечки информации и разработки способов их перекрытия, поддержание на высоком уровне бдительности персонала. Тогда выбранные инструменты в частности и вся система в целом будут по-настоящему действенны и эффективны.

Начальник экспертного отдела Центра «Эксперт»
Д.С. Котельников

Примечание: продолжение данной публикации можно найти в материале «Четвертый шаг к защите коммерческой тайны».