В предыдущих разделах гл. 4 было кратко рассмотрено содержание нормативно-правовых актов, на основе которых информация может быть отнесена к защищаемой. С учетом выводов nd предыдущим разделам рассмотрим методику формирования перечня сведений, составляющих коммерческую тайну (далее -J Перечень).
1. При решении проблемы определения круга сведений, составляющих коммерческую тайну, а также возможного распределения их по категориям важности в зависимости от их ценности) для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений, необходимо учитывать, что упущенные из внимания сведения могут привести к снижению эффективности всей системы защиты коммерческой тайны, а избыточные меры по ограничению доступа и информации осложнят работу и приведут к неоправданным экономическим издержкам. Правильное определение информации составляющей КГ, должно способствовать прибыльности предприятия и не накладывать неоправданные ограничения на его деятельность.
|
|
2. Сведения, составляющие коммерческую тайну предприятия отражаются в Перечне. При его разработке необходимо учитьи вать перечисленные в разделе 4.2.1 ограничения на отнесение сведений к коммерческой тайне, а также материалы, открытые для ознакомления акционеров в соответствии с Федеральным закон ном от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах»:
«3. К информации (материалам), подлежащей предоставлению лицам, имеющим право на участие в общем собрании акционер ров, при подготовке к проведению общего собрания акционеров общества, относятся годовая бухгалтерская отчетность, в том чил ле заключение аудитора, заключение ревизионной комиссии (pei1 визора) общества по результатам проверки годовой бухгалтерской отчетности, сведения о кандидате (кандидатах) в исполнительный органы общества, совет директоров (наблюдательный совет) общества, ревизионную комиссию (ревизоры) общества, счетную комиссию общества, проект изменений и дополнений, вносимых к устав общества, или проект устава общества в новой редакции, проекты внутренних документов общества, проекты решений обито собрания акционеров, а также информация (материалы), предусмотренная уставом общества.
Перечень дополнительной информации (материалов), обязательной для предоставления лицам, имеющим право на участие в общем собрании акционеров, при подготовке к проведению общего собрания акционеров, может быть установлен федеральным органом исполнительной власти по рынку ценных бумаг.
Информация (материалы), предусмотренная настоящей статьей, в течение 20 дней, а в случае проведения общего собрания Акционеров, повестка дня которого содержит вопрос о реорганизации общества, в течение 30 дней до проведения общего собрании акционеров должна быть доступна лицам, имеющим право на участие в общем собрании акционеров, для ознакомления в помещении исполнительного органа общества и иных местах, адреса вторых указаны в сообщении о проведении общего собрания Акционеров. Указанная информация (материалы) должна быть доступна лицам, принимающим участие в общем собрании акционеров, во время его проведения.
|
|
Общество обязано по требованию лица, имеющего право на участие в общем собрании акционеров, предоставить ему копии указанных документов. Плата, взимаемая обществом за предоставление данных копий, не может превышать затраты на их изготовление». (Статья 52. Информация о проведении общего собрания акционеров).
3. Практика показывает, что подготовка Перечня путем организации работы экспертной комиссии в порядке, применяемом при формировании развернутого перечня сведений, подлежащих иеекречиванию, является наиболее оптимальным алгоритмом. В целях реализации такого алгоритма приказом руководителя предприятия создается экспертная комиссия из наиболее квалифици-ронанных и компетентных специалистов структурных подразделений предприятия, допускаемых к КТ, и представителей службы защиты информации. Такие специалисты должны знать деятельность предприятия в целом и особенности работы подразделении, от которых они назначены.
Экспертная комиссия осуществляет анализ всех сторон управленческой, производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельности предприятия и подчиненных ему организаций с целью выявления Ведений, относящихся к КТ и подлежащих включению в Перечень.
Организационное и методическое руководство по разработке Перечня возлагается на заместителя руководителя предприятия
по безопасности. Численный состав определяется исходя из масштабов предприятия, при этом в состав комиссии обязательно включаются:
• специалист по организации работы предприятия в целом и ее особенностям;
• специалист по особенностям рынка в данном секторе экономики;
• специалист по финансовым вопросам;
• специалист, обладающий сведениями о выпускаемой продукции, технологическом цикле ее проектирования и производства о прохождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции);
• специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров.
4. В ходе работы комиссии эксперты знакомятся только с теми конкретными сведениями, к которым они допускаются в соответствии с должностными обязанностями. Такой подход позволяет предотвратить необоснованное распространение коммерческой тайны уже на этапе формирования Перечня.
5. Задачи экспертной комиссии:
• выделить виды деятельности предприятия, приносящие прибыль;
• оценить степень прибыльности данного вида деятельности по сравнению с другими предприятиями;
• определить вероятную перспективу рентабельности этой деятельности.
Если экономические показатели деятельности предприятия данной области выше или в перспективе могут быть выше, чем в других предприятий, осуществляющих аналогичную деятельности то, возможно, предприятие располагает коммерческой тайной Я этой области, и необходимо продолжить анализ соответствующий сведений с целью определить, что именно в данном виде деятеля ности позволяет получать прибыль.
Это могут быть, например, ноу-хау, изобретения, открытия формулы, рецептуры, методы организации производства, программное обеспечение, конструкторская документация, черта жи, схемы, записи, технологические процессы, сведения о мате риалах, из которых изготовлены отдельные детали, условиях и оборудовании, на котором они проводились, сведения о заклюданных или планируемых контрактах, клиентские базы, результаты маркетинговых исследований, структура цен, уровень прибыли и т.д.
|
|
6. Работа по формированию Перечня может состоять из следующих этапов:
• составление предварительного Перечня, подлежащего рассмотрению экспертной комиссией;
• определение возможного ущерба, наступающего в результате Распространения сведений, составляющих КТ;
• определение преимуществ открытого использования рассматриваемых сведений;
• определение затрат на защиту рассматриваемых сведений;
• принятие решения о включении сведений в Перечень;
• оформление результатов работы.
6.1. Составление предварительного Перечня. Рассмотрению экспертной комиссией подлежат все сведения,
вносящиеся к деятельности предприятия.
Каждое сведение, включаемое в предварительный Перечень, должно иметь четкую и конкретную формулировку, исключающую неоднозначность ее понимания.
При разработке (формировании) Перечня необходимо учесть следующие положения:
• Перечень разрабатывается (формируется) в виде единого документа, охватывающего все категории сведений, подпадающих под критерии определения КТ;
• Перечень утверждается приказом руководителя предприятии;
• наличие в Перечне «Общих положений», включающих понятийный аппарат, правила пользования Перечнем, раскрытие используемых сокращений и терминов и т.д.;
• целесообразно включение в проект Перечня сроков действия Ограничений на распространение сведений.
6.2. Определение возможного ущерба, наступающего в результате несанкционированного распространения КТ.
На этом этапе определяются виды возможного ущерба, который может быть нанесен интересам предприятия в случае несанкционированного распространения (разглашения, передачи, утечки и т.п.) рассматриваемых сведений. Возможный ущерб оценивается с использованием количественных или качественных показателей. При этом количественные показатели ущерба могут характеризовать снижение эффективности действий какой-либо системы, обеспечивающей одну из сфер деятельности предприятия, а качественные показатели ущерба определяют срыв выполнения чанной системой возложенных на нее функций.
|
|
6.3. В целях обеспечения полноты и объективности определения преимуществ открытого использования сведений дается их стоимостная оценка с использованием показателей, получаемых расчетным или экспертным путем.
6.4. Определение затрат на защиту сведений.
На этом этапе оценивается принципиальная возможность зашиты рассматриваемых сведений и определяются затраты (материальные, трудовые, финансовые), необходимые для организации и осуществления мероприятий по обеспечению соответствующе-
го режима КТ при обращении с ними и выполнению технических мер по защите информации.
При определении затрат на защиту рассматриваемых сведений учитываются затраты на проведение следующих мероприятий:
включение в структуру предприятия необходимого числа сотрудников структурных подразделений, обеспечивающих защиту КТ (отдел режима КТ, подразделений по защите информации и противодействию техническим разведкам и др.), содержание штата этих подразделений и их техническое оснащение;
• подготовка и переподготовка кадров структурных подразделений по защите КТ;
• использование технических средств связи, обеспечивающих защиту КТ;
• проведение необходимых научно-технических работ по определению оптимальных методов и средств защиты информации;
• организация противодействия техническим разведкам;
• использование средств защиты информации;
• проведение проверочных мероприятий службой безопасности предприятия при допуске работников к КТ и организация! разграничения доступа к КТ;
. организация охраны материалов, содержащих КТ;
• организация пропускного режима на территории (в помещения), где проводятся работы с КТ, оборудование систем охраны и| сигнализации;
• осуществление других мероприятий в зависимости от объема) работ по обеспечению требуемого режима КТ.
6.5. Принятие решения о включении сведений в Перечень. На этом этапе осуществляется сопоставление величины возможного ущерба от несанкционированного распространения каждого рассматриваемого сведения, относимого к КТ с преимуществами (упущенной выгодой) от его открытого использования и затратами на защиту.
Сведение подлежит включению в Перечень, если величина ущерба от его несанкционированного распространения превышает суммарную величину преимущества (упущенной выгоды) от открытого использования и затрат на защиту.
6.6. Оформление результатов работы.
Результаты работы экспертной комиссии оформляются в виде проекта Перечня, представляемого на утверждение руководителю предприятия.
При этом необходимо учитывать, что:
• при перечислении сведений через союз «и» либо через запятую с союзом «и» перед последней категорией сведений — сведения относятся к КТ в совокупности;
• при перечислении сведений через запятую, союзы «или» и «либо» сведения относятся к КТ в отдельности;
• при перечислении сведении слова «а также» предшествуют сведениям, которые отличны от предыдущих.
К проекту Перечня прилагаются рабочие материалы экспертной комиссии по обоснованию включения сведений в Перечень.