Открытые (не конфиденциальные документы) должны быть защищены от их утраты, конфиденциальная документированная информация, в том числе и коммерческая тайна, требует защиты не только от утраты, но и от утечки информации.
Утечка информации представляет собой неправомерный, то есть неразрешенный, несанкционированный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования.
Основная цель защиты конфиденциальной информации, в том числе коммерческой тайны, состоит в том, чтобы, как говорят профессионалы, предотвратить ее утечку, овладение ею конкурентами. В ряде случаев требуется защита и «чужих» коммерческих секретов, которые могут быть доверены предприятию другими лицами, организациями. Отсутствие такой защиты может лишить предприятие выгодных партнеров, клиентов.
Утрата и утечка защищаемой документированной информации обусловлены уязвимостью информации. Под уязвимостью информации следует понимать неспособность информации самостоятельно противостоять воздействиям, которые нарушают ее установленный статус.
|
|
Уязвимость документированной информации – понятие собирательное. Она существует вообще, а проявляется в различных формах. К таким формам относятся (в скобках указаны существующие варианты названий форм):
- хищение носителя информации или отображенной в нем информации (кража);
- потеря носителя информации (утеря);
- несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);
- искажение информации (несанкционированное изменение, модификация, подделка, фальсификация);
- блокирование информации;
- разглашение информации (распространение, раскрытие).
Та или другая форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель документированной информации или саму информацию со стороны источников воздействия. Такими источниками могут быть люди, электронно-вычислительные машины, программы обработки информации, стихийные бедствия и другие форсмажорные обстоятельства. Способами дестабилизирующего воздействия на информацию могут являться ее копирование, записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, выход из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.
Если формы уязвимости документированной информации реализуются, это приводит или может привести к утрате информации, а ее разглашение приводит к утечке информации.
|
|
Обеспечение защиты конфиденциальной информации включает в себя:
- разработку инструкций по соблюдению режима конфиденциальности для лиц, допущенных к КТ;
- ограничение доступа к носителям информации, содержащим КТ;
- ведение делопроизводства, обеспечивающего выделение, учет и сохранность документов, содержащих КТ;
- использование организационных, технических и иных средств защиты КТ;
- осуществление контроля за соблюдением установленного режима охраны КТ.
Допуск работника к конфиденциальной информации осуществляется с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению коммерческой тайны.
Все сотрудники фирмы должны при поступлении на работу подписать обязательство или договор о неразглашении коммерческой тайны и об ответственности за ее сохранность. В этом документе основными являются следующие обязательства:
- не разглашать сведения, составляющие КТ, которые будут доверены, или станут известны при исполнении служебных обязанностей, в том числе в течение определенного срока после увольнения из фирмы;
- соблюдать доведенные до сведения сотрудника требования по защите КТ;
- не использовать сведения, составляющие КТ, без согласия ее владельца.
Обязательство составляется в одном экземпляре и хранится в специальном или личном деле работника не менее 5 лет после его увольнения.
Для обеспечения защиты документированной информации также необходимо:
- на первом этапе определить конкретный состав информации, содержащей конфиденциальные сведения в организации и составить «Перечень сведений, содержащих конфиденциальную информацию», введя его в действие приказом руководителя;
- на втором этапе уже на основании этого перечня – составляется список конкретных конфиденциальных документов, требующих простановки на них грифа ограничения доступа и более строгих правил работы;
- в том числе, должно быть установлено: кто и на какой стадии работы имеет право и должен проставлять на проекте документа гриф о его конфиденциальности;
- прежде чем получить доступ к конфиденциальным сведениям и документам, должностные лица должны под расписку ознакомиться с этим перечнем сведений и списком документов;
- пройти инструктаж о сохранности конфиденциальной информации и быть предупреждены об ответственности за ее утечку;
- при этом могут налагаться ограничения на контакты с прессой и другими лицами, не владеющими той или иной конфиденциальной информацией;
- с сотрудников может быть взята подписка с обязательством не разглашать, сведения конфиденциального характера и в течении определенного времени после увольнения из организации.
Как правило, в каждой организации утверждается самостоятельная, учитывающая ее специфику, делопроизводственная инструкция о работе с документами, содержащими конфиденциальную информацию.
Для ограничения доступа к информации, содержащей конфиденциальные сведения, руководитель издает специальный приказ о введении «Перечня сведений, содержащих КТ предприятия», мер по охране этих сведений, установлению круга лиц, имеющих доступ к этой информации, и правил работы с документами, имеющими гриф «КТ». Сотрудники предприятия должны под расписку ознакомиться с приказом и приложениями к нему.