2015-07-04
1077
1. Указом Президента Российской Федерации № 188 от 6 марта 1997 года ''Об утверждении перечня сведений конфиденциального характера'' (далее – Перечень) определены служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами (Приложение №1).
Перечень содержит общие признаки служебных сведений, подлежащих защите и предполагает их конкретизацию и разработку развернутых Перечней в органах государственной власти.
2. Организацию работ по формированию Перечня рекомендуется определять в специальном документе ''Положении о порядке разработки перечня сведений, составляющих служебную тайну организации, учреждения''.
3. ''Положение…''должно содержать методические указания по подготовке предложений и принятию решений о включении в Перечень сведений, составляющих служебную тайну за структурные подразделения и за организацию в целом, перечень должностных лиц, имеющих право вносить предложения по изменению Перечня, проведению административного расследования в случае несанкционированного распространения (разглашения, передачи, утечки, хищения) указанных сведений и наказанию лиц, виновных в этом согласно Уголовного и Административного Кодексов РФ.
42. Гражданским Кодексом РФ (ст.139) определены следующие три признака служебной тайны, как особого объекта гражданских прав:
· соответствующая информация неизвестна третьим лицам;
· к ней нет свободного доступа на законном основании;
· собственник информации принимает меры обеспечения ее конфиденциальности.
В общем случае под служебной тайной надо понимать сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:
· информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;
· данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);
· документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.
5. Федеральный Закон ''Об информации, информатизации и защите информации'' регулирует взаимоотношения в информационной сфере только при обращении с документированной информацией (документами), под которой понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
В соответствии с ГОСТ 6.38-90 ''Система организационно-распорядительной документации. Требования к оформлению документов'', ГОСТ 6.10.4-84 ''Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограммах, создаваемым средствами вычислительной техники'' введен 31 реквизит документа. Главным из них является текст, поэтому любая информация, изложенная в виде связного текста уже может рассматриваться как документ. Особый порядок существует только для документов, полученных из автоматизированных информационных систем, где может применяться процедура их заверения электронной цифровой подписью.
6. Сведения, включенные в Перечень, имеют ограничительный характер на использование информации, составляющей служебную тайну в части интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) организации, а также при их сотрудничестве с работниками других организаций и предприятий, что требует тщательной проработки всех разделов и пунктов Перечня.
7. Для работы по составлению Перечня должен привлекаться широкий круг экспертов, включая представителей юридических, финансово-экономических, режимно-секретных служб и должностных лиц организации с тем, чтобы ни одно из возможных направлений ее деятельности не было упущено при его разработке.
Руководство работой по формированию Перечня, как правило, должно возлагаться на заместителя руководителя организации ответственного за вопросы безопасности и режима.
8. Для непосредственного формирования Перечня в организации должна создаваться экспертная комиссия (далее – Комиссия). Комиссия должна осуществлять анализ всех сторон деятельности организации и подчиненных ей подразделений, а также координировать вопросы, касающиеся их совместных действий по формированию Перечня, путем обобщения поступающих предложений.
9. Работа по формированию Перечня и определению сведений, составляющих служебную тайну, должна состоять из следующих этапов:
· составление предварительного перечня сведений, содержащих служебную тайну, для структурных подразделений (отделов, служб) организации;
· определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в Перечень;
· определение преимуществ открытого использования рассматриваемых сведений по сравнению с закрытым использованием;
· определение затрат на защиту рассматриваемых сведений;
· принятие решения о включении сведений в окончательный вариант Перечня;
· составление обобщенного Перечня и рассмотрение его на заседании экспертной комиссии;
· оформление результатов работы по формированию Перечня, его согласование и утверждение.
10. Предварительный Перечень сведений, составляющих служебную тайну, разрабатывается под руководством начальников подразделений организации в соответствии с указаниями заместителя руководителя организации, ответственного за безопасность и режим, а также ''Положением о порядке разработки перечня сведений, составляющих служебную тайну организации, учреждения''.
11. После формирования предварительных разделов Перечня за структурные подразделения они за подписью руководителей этих подразделений представляются в Комиссию. Комиссией должны рассматриваться все сведения о деятельности структурных подразделений, об используемых методах и технологиях, вероятности использования полученной информации техническими разведками иностранных государств и криминальных структур в случае открытого доступа к этой информации. При этом каждое сведение должно оцениваться по степени важности (ценности). Сведения, переносимые из предварительного в обобщенный вариант Перечня за организацию в целом, должны иметь четкую и конкретную формулировку, исключающую неоднозначность их понимания (толкования).
12. При определении возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в Перечень, Комиссия должна определить возможный ущерб, который может быть нанесен интересам деятельности организации в случае несанкционированного распространения (разглашения, передачи, утечки, хищения и т. д.) рассматриваемых сведений.
Возможный ущерб должен оцениваться с использованием качественных или количественных показателей, влияющих на состояние защиты охраняемых сведений и исключающих возможность нанесения организации морального, материального, производственного, финансового и другого урона.
Количественные (стоимостные) показатели возможного ущерба должны определяться уровнем снижения эффективности в какой-либо области деятельности организации, в основном производственной или финансовой, а качественные — степенью возможности срыва в получении определенных преимуществ в достижении поставленных целей.
В то же время при качественной или количественной оценке ущерба, который может понести организация при разглашении этих сведений, должны учитываться потери, возникающие не только в настоящее время, но и в будущем, а также возможность нанесения ущерба взаимодействующим организациям.
При невозможности оценить ущерб в стоимостном выражении допускается проводить оценку только с помощью качественных показателей или факторов. Качественный или количественный анализ оценки ущерба в конечном итоге должен позволить Комиссии определить конкретные сведения (информацию или ее составную часть), которые необходимо защищать.
Ущерб должен оцениваться по служебным сведениям, за исключением:
· сведений, охраняемых службой режима с помощью государственной системы мер по защите государственных секретов;
· сведений, являющихся общедоступными на законных основаниях;
· учредительных документов (решение о создании организации или договор учредителей) и Устава;
· документов, дающих право заниматься основной деятельностью (регистрационные удостоверения, лицензии, патенты);
· сведений по установленным формам отчетности о финансово-хозяйственной деятельности и иных сведений, необходимых для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;
· документов о платежеспособности, сведений о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
· документов об уплате налогов и обязательных платежах;
· сведений о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба;
· сведений и материалов научно-технического характера после их публикации в открытой печати;
· сведений статистического характера, передаваемых в соответствующие государственные органы и общественные организации без установления условий конфиденциальности их использования.
При оценке количественных и качественных показателей ущерба от несанкционированного распространения сведений, составляющих служебную тайну, должны учитываться отрицательные последствия, к которым относятся:
· снижение эффективности решаемых задач и уровня сотрудничества с организациями и предприятиями по различным вопросам взаимодействия (служебные, финансовые, и т.д.);
· срыв или невыполнение планов работ и договорных обязательств;
· создание трудностей в организации эффективной защиты объектов и проводимых работ;
· необходимость дополнительных затрат на проведение исследований и работ для сохранения эффективности решения задач в области деятельности организации;
· потеря приоритета в использовании эффективных технологий;
· престижные и моральные факторы, связанные с потерей эффективности решаемых задач в области деятельности организации.
Специалистами фирмы IBM была предложена следующая эмпирическая формула расчета ожидаемых потерь от i-ой угрозы:
Ri = 10 (Si + Vi – 4)
где Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; Vi - коэффициент, характеризующий значение возможного ущерба при ее возникновении.
Значения коэффициента Si
| Ожидаемая (возможная) частота появления угрозы | Предлагаемое значение Si |
| Почти никогда | |
| 1 раз в 1000 лет | |
| 1 раз в 100 лет | |
| 1 раз в 10 лет | |
| 1 раз в 1 год | |
| 1 раз в месяц | |
| 2 раза в неделю | |
| 3 раза в день |
Значения коэффициента Vi
| Значение возможного ущерба при появлении угрозы (доллары США) | Значение коэффициента |
Суммарная стоимость потерь определяется формулой
n
R = SRi
i=1
2.1. Важность информации.
Важность информации есть обобщенный показатель, характеризующий с одной стороны, значимость информации с точки зрения тех задач, для решения которых она используется, а с другой – с точки зрения организации ее обработки.
К первому показателю следует отнести такие два составляющих критерия как важность самих задач для обеспечиваемой деятельности и степень важности информации для эффективного решения соответствующей задачи.
Ко второму показателю стоит отнести такие два критерия как уровень потерь в случае нежелательных изменений информации в процессе обработки под воздействием дестабилизирующих факторов и уровень затрат на восстановление нарушенной информации.
Обозначим:
Кви – коэффициент важности информации;
Квз – коэффициент важности задач, для обеспечения решения которых используется информация;
Киз – коэффициент важности информации, для эффективного решения задач;
Кпи – коэффициент важности информации, с точки зрения потерь при нарушении ее качества;
Ксв – коэффициент важности информации, с точки зрения стоимости восстановления ее качества;
Тогда важность информации можно представить в виде:
Кви = f (Квз, Киз, Кпи, Ксв)
Однако, на сегодняшний день не представляется возможным определить в количественном отношении указанные коэффициенты и тем более функциональную зависимость этих коэффициентов. Поэтому в качестве выхода из положения используем следующий подход, основанный на неформально-эвристических методах. Значения входящих в формулу критериев будем выражать лингвистическими переменными. Возможные значения этих переменных приведены ниже:
а) Относительно назначения
| Значения критерия «Важность задачи» | Важность информации для задачи | ||
| Незначительная | Средняя | Большая | |
| Обыкновенная | 1н | 2н | 3н |
| Важная | 4н | 5н | 6н |
| Очень важная | 7н | 8н | 9н |
б) относительно обработки
| Значения критерия «Уровень потерь» | Стоимость восстановления | ||
| Незначительная | Средняя | Большая | |
| Незначительный | 1о | 2о | 3о |
| Средний | 4о | 5о | 6о |
| Большой | 7о | 8о | 9о |
|
|
Структура и значения критериев оценки важности информации.
Итоговая классификация информации по важности.
|
|  | |||||||
 |  | ||||||||
| Важность информации | Относительно обработки | |||||||||
   1о
| 2о | 3о | 4о | 5о | 6о | 7о | 8о | 9о | ||
| Относительно назначения | 1н | |||||||||
| 2н | ||||||||||
| 3н |  5
| |||||||||
| 4н | ||||||||||
| 5н | ||||||||||
| 6н |  11
| |||||||||
| 7н | ||||||||||
| 8н | ||||||||||
| 9н |  9
|  11
|  14
|
|
|
|
|
|
Таким образом, оказалось, что при выбранных значениях составляющих критериев вся информация делится на семнадцать классов важности. Однако номер класса сам по себе ничего не характеризует важность информации на содержательном уровне, да и оперировать семнадцатью различными классами затруднительно. Поэтому разделим все элементы классификационной структуры, так как показано на рис 3. В итоге 17 классов разделились на 7 категорий важности, которым присвоим следующие содержательные наименования:
МлВ – маловажная категория (категория А);
ОбВ – обыкновенной важности (категория Б);
ПсВ – полусредней важности (категория В);
СрВ – средней важности (категория Г);
ПвВ – повышенной важности (категория Д);
БлВ – большой важности (категория Е);
ЧрВ – чрезвычайной важности (категория Ж).
Естественно предположить, что важность информации убывает внутри категорий от большего уровня к меньшему (например, в категории ”A” от 3 - > 0).
Естественно также, что рост важности информации внутри указанной классификации не происходит по линейной зависимости. График отображающий зависимость важности информации с классом представлен на рис. 4.
 |
| Классы важности | |||||||||||||||||
| Категории важности | А | Б | В | Г | Д | Е | Ж |
Теперь можно количественно и качественно определить важность информации
| Экспертное определение лингвистических переменных значений составляющих критериев | |||
| Важность задачи | Важность информации для задачи | Возможный уровень потерь | Стоимость восстановления |
|
|
|
|
Последовательность действий при определении важности информации.
2.2. Полнота информации.
Полнота есть показатель, характеризующий меру достаточности информации для решения соответствующих задач. Отсюда следует, что данный показатель, так же как и предыдущий является относительным: полнота информации оценивается относительно вполне определенной задачи или группы задач. Чтобы иметь возможность определять показатель полноты информации, необходимо для каждой задачи или группы задач составить список сведений, которые необходимы для их решения.
Для представления таких сведений удобно воспользоваться так называемыми объектно-характеристическими таблицами (ОХТ), каждая из которых есть двумерная матрица, по строкам которой приведен перечень наименований объектов, процессов, явлений, которые входят в круг интересов соответствующей задачи, а по столбцам – наименования их характеристик (параметров), значения которых необходимы для решения задачи. Сами значения будут располагаться на пересечении строки и столбца. Совокупность всех ОХТ, необходимая для обеспечения решения всех задач предприятия (учреждения, другой организации), может быть названа информационным кадастром объекта.
Методика оценки полноты информации может быть следующей.
|
Тогда в качестве коэффициента полноты информации в данной ОХТ можно принять величину:
Где m – число строк, а n – число столбцов в рассматриваемой ОХТ.
Однако при этом не учитывается важность, значимость различных элементов, причем важность в этом смысле, как это рассматривалось выше.
Пусть K(в) m n есть коэффициент важности элемента находящегося в m-й строке и на n-м столбце. Тогда в качестве меры взвешенной полноты информации в рассматриваемой ОХТ можно принять величину:
2.4. Адекватность информации.
Под адекватностью информации понимается степень ее соответствия действительному состоянию тех реалий, которые отображает оцениваемая информация. В общем случае адекватность определяется двумя параметрами: объективностью генерирования информации о предмете, процессе или явлении и продолжительностью интервала времени между моментом генерирования информации и текущим моментом, то есть до оценивания ее адекватности.
Объективность генерирования информации, очевидно, зависит от способа получения значений характеристик предмета, процесса или явления и качества реализации способа в процессе получения этих значений.
Классификация характеристик по возможным способам получения их значений приведена ниже.
 |
| Тип характеристики | Качество определения значения характеристики | ||||
| Хорошее | Среднее | Плохое | |||
| Измеримая | Непосредственно | Количественно | |||
| Качественно | |||||
| Косвенно | Аналитически | ||||
| Логически | |||||
| Не измеримая | Имеющая аналоги | В данной среде | |||
| В исходной среде | |||||
| Не имеющая аналоги | Конкретного | ||||
| Даже отдаленного |
Структуризация значений адекватности информации по объективности генерирования.
Как и при разработке методики оценки важности информации делают естественное предположение, что при хорошем качестве определения значения непосредственно и притом количественно измеряемой характеристики адекватность соответствующей информации будет близка к 1, а при плохом определении значения не измеряемой характеристики, не имеющей даже отдаленного аналога, адекватность информации близка к нулю. Естественно также предположить, что внутри данного интервала изменение адекватности происходит по логистической кривой, как показано ниже.
|  | |||
| Структурированные значения адекватности |
График зависимости показателя адекватности информации по способу генерирования.
Рассмотрим теперь адекватность информации по второму названному выше параметру – продолжительности интервала времени между моментом генерирования информации и текущим моментом. Для этого будем использовать известный в теории информации закон старения информации. При этом под t0 понимается момент времени генерирования оцениваемой информации. Как видно из рисунка, закон старения информации характеризуется 4-мя характерными интервалами:
Dt1 – продолжительность интервала времени, в течение которого оцениваемая информации полностью сохраняет свою адекватность;
Dt2 – продолжительность интервала времени, в течение которого адекватность информации падает но не более чем на одну четверть;
Dt3 – продолжительность интервала времени, в течение которого адекватность информации падает но не более чем на половину;
Dt4 – продолжительность интервала времени, в течение которого адекватность информации падает но не более чем на три четверти;
 |
Общий вид закона старения информации
Учитывая то обстоятельство, что обе составляющие адекватности информации К(a)’’ и К(a)’зависят от большого числа факторов, многие из которых носят случайный характер, есть основания утверждать, что они в основе своей носят также случайный характер и потому могут интерпретироваться как вероятности того, что информация по соответствующему параметру является адекватной. Суммирующий показатель адекватности информации может быть выражен как:
К(a) = К(a)’ * К(a)’’
Сведения, отнесенные к служебной тайне, должны включаться в обобщенный Перечень с указанием сроков действия их конфиденциальности. Вместо указания срока действия конфиденциальности могут приводиться обстоятельства или события (в графе 4 «Примечание — особые отметки» Перечня), при наступлении которых возникает необходимость изменения грифа конфиденциальности или полного открытия сведения, включенного в Перечень. Решение об открытии такого сведения (снятии конфиденциальности) принимается руководителем организации.
Утвержденный Перечень вводится в действие приказом руководителя или другим установленным в организации порядком. Сотрудники, допускаемые к сведениям, составляющим служебную тайну, должны под расписку ознакомиться с этим приказом и Перечнем. Примерный вариант Перечня приведен в Приложении №3.
Сотрудник, получивший доступ к служебным сведениям и документам, должен подписать индивидуальное письменное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. Примерный вариант Обязательства (контракта) приведен в Приложении №4.
Пересмотр Перечня сведений, составляющих служебную тайну, а также внесение в него изменений и дополнений должны осуществляться по мере необходимости в том же порядке, что и его формирование.
Контроль за эффективностью защиты служебной тайны и правильностью использования Перечня в практической деятельности должен возлагаться на заместителя руководителя, ответственного за безопасность и режим. Вопросы организации такого контроля должны отражаться в годовом плане мероприятий по защите служебной тайны.
ПЕРЕЧЕНЬ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ (СЛУЖЕБНУЮ) ТАЙНУ
Перечень содержит перечисление сведений, которые в рамках данного предприятия имеют конфиденциальный характер (составляют служебную или коммерческую тайну), а также названия документов и электронных информационных ресурсов их содержащих. Конфиденциальные сведения в Перечне группируются по структурным подразделений компании (отделам, службам). Указывается возможный ущерб в результате несанкционированного распространения сведений, включенных в Перечень. Определяются преимущества закрытого использования рассматриваемых сведений по сравнению с открытым. Оцениваются затраты на защиту рассматриваемых сведений.
