Методика определения состава защищаемой информации

В предыдущих разделах гл. 4 было кратко рассмотрено содержание нормативно-правовых актов, на основе которых информация может быть отнесена к защищаемой. С учетом выводов nd предыдущим разделам рассмотрим методику формирования перечня сведений, составляющих коммерческую тайну (далее -J Перечень).

1. При решении проблемы определения круга сведений, составляющих коммерческую тайну, а также возможного распределения их по категориям важности в зависимости от их ценности) для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений, необходимо учитывать, что упущенные из внимания сведения могут привести к снижению эффективности всей системы защиты коммерческой тайны, а избыточные меры по ограничению доступа и информации осложнят работу и приведут к неоправданным экономическим издержкам. Правильное определение информации составляющей КГ, должно способствовать прибыльности предприятия и не накладывать неоправданные ограничения на его деятельность.

2. Сведения, составляющие коммерческую тайну предприятия отражаются в Перечне. При его разработке необходимо учитьи вать перечисленные в разделе 4.2.1 ограничения на отнесение сведений к коммерческой тайне, а также материалы, открытые для ознакомления акционеров в соответствии с Федеральным закон ном от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах»:

«3. К информации (материалам), подлежащей предоставлению лицам, имеющим право на участие в общем собрании акционер ров, при подготовке к проведению общего собрания акционеров общества, относятся годовая бухгалтерская отчетность, в том чил ле заключение аудитора, заключение ревизионной комиссии (pei¹ визора) общества по результатам проверки годовой бухгалтерской отчетности, сведения о кандидате (кандидатах) в исполнительный органы общества, совет директоров (наблюдательный совет) общества, ревизионную комиссию (ревизоры) общества, счетную комиссию общества, проект изменений и дополнений, вносимых к устав общества, или проект устава общества в новой редакции, проекты внутренних документов общества, проекты решений об­ито собрания акционеров, а также информация (материалы), предусмотренная уставом общества.

Перечень дополнительной информации (материалов), обязательной для предоставления лицам, имеющим право на участие в общем собрании акционеров, при подготовке к проведению общего собрания акционеров, может быть установлен федеральным органом исполнительной власти по рынку ценных бумаг.

Информация (материалы), предусмотренная настоящей стать­ей, в течение 20 дней, а в случае проведения общего собрания Акционеров, повестка дня которого содержит вопрос о реорганизации общества, в течение 30 дней до проведения общего собра­нии акционеров должна быть доступна лицам, имеющим право на участие в общем собрании акционеров, для ознакомления в поме­щении исполнительного органа общества и иных местах, адреса вторых указаны в сообщении о проведении общего собрания Акционеров. Указанная информация (материалы) должна быть доступна лицам, принимающим участие в общем собрании акци­онеров, во время его проведения.

Общество обязано по требованию лица, имеющего право на участие в общем собрании акционеров, предоставить ему копии указанных документов. Плата, взимаемая обществом за предоставление данных копий, не может превышать затраты на их изготовление». (Статья 52. Информация о проведении общего собрания акционеров).

3. Практика показывает, что подготовка Перечня путем организации работы экспертной комиссии в порядке, применяемом при формировании развернутого перечня сведений, подлежащих иеекречиванию, является наиболее оптимальным алгоритмом. В целях реализации такого алгоритма приказом руководителя пред­приятия создается экспертная комиссия из наиболее квалифици-ронанных и компетентных специалистов структурных подразделений предприятия, допускаемых к КТ, и представителей службы защиты информации. Такие специалисты должны знать деятель­ность предприятия в целом и особенности работы подразделе­нии, от которых они назначены.

Экспертная комиссия осуществляет анализ всех сторон управленческой, производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельности пред­приятия и подчиненных ему организаций с целью выявления Ведений, относящихся к КТ и подлежащих включению в Пере­чень.

Организационное и методическое руководство по разработке Перечня возлагается на заместителя руководителя предприятия

по безопасности. Численный состав определяется исходя из мас­штабов предприятия, при этом в состав комиссии обязательно включаются:

• специалист по организации работы предприятия в целом и ее особенностям;

• специалист по особенностям рынка в данном секторе эконо­мики;

• специалист по финансовым вопросам;

• специалист, обладающий сведениями о выпускаемой продук­ции, технологическом цикле ее проектирования и производства о прохождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции);

• специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров.

4. В ходе работы комиссии эксперты знакомятся только с теми конкретными сведениями, к которым они допускаются в соответ­ствии с должностными обязанностями. Такой подход позволяет предотвратить необоснованное распространение коммерческой тайны уже на этапе формирования Перечня.

5. Задачи экспертной комиссии:

• выделить виды деятельности предприятия, приносящие при­быль;

• оценить степень прибыльности данного вида деятельности по сравнению с другими предприятиями;

• определить вероятную перспективу рентабельности этой деятельности.

Если экономические показатели деятельности предприятия данной области выше или в перспективе могут быть выше, чем в других предприятий, осуществляющих аналогичную деятельности то, возможно, предприятие располагает коммерческой тайной Я этой области, и необходимо продолжить анализ соответствующий сведений с целью определить, что именно в данном виде деятеля ности позволяет получать прибыль.

Это могут быть, например, ноу-хау, изобретения, открытия формулы, рецептуры, методы организации производства, программное обеспечение, конструкторская документация, черта жи, схемы, записи, технологические процессы, сведения о мате риалах, из которых изготовлены отдельные детали, условиях и оборудовании, на котором они проводились, сведения о заклюданных или планируемых контрактах, клиентские базы, результаты маркетинговых исследований, структура цен, уровень прибыли и т.д.

6. Работа по формированию Перечня может состоять из следующих этапов:

• составление предварительного Перечня, подлежащего рассмотрению экспертной комиссией;

• определение возможного ущерба, наступающего в результате Распространения сведений, составляющих КТ;

• определение преимуществ открытого использования рассмат­риваемых сведений;

• определение затрат на защиту рассматриваемых сведений;

• принятие решения о включении сведений в Перечень;

• оформление результатов работы.

6.1. Составление предварительного Перечня. Рассмотрению экспертной комиссией подлежат все сведения,

вносящиеся к деятельности предприятия.

Каждое сведение, включаемое в предварительный Перечень, должно иметь четкую и конкретную формулировку, исключаю­щую неоднозначность ее понимания.

При разработке (формировании) Перечня необходимо учесть следующие положения:

• Перечень разрабатывается (формируется) в виде единого до­кумента, охватывающего все категории сведений, подпадающих под критерии определения КТ;

• Перечень утверждается приказом руководителя предприя­тии;

• наличие в Перечне «Общих положений», включающих понятийный аппарат, правила пользования Перечнем, раскрытие ис­пользуемых сокращений и терминов и т.д.;

• целесообразно включение в проект Перечня сроков действия Ограничений на распространение сведений.

6.2. Определение возможного ущерба, наступающего в результате несанкционированного распространения КТ.

На этом этапе определяются виды возможного ущерба, кото­рый может быть нанесен интересам предприятия в случае несанк­ционированного распространения (разглашения, передачи, утеч­ки и т.п.) рассматриваемых сведений. Возможный ущерб оценивается с использованием количественных или качественных по­казателей. При этом количественные показатели ущерба могут ха­рактеризовать снижение эффективности действий какой-либо системы, обеспечивающей одну из сфер деятельности предприятия, а качественные показатели ущерба определяют срыв выполнения чанной системой возложенных на нее функций.

6.3. В целях обеспечения полноты и объективности определе­ния преимуществ открытого использования сведений дается их стоимостная оценка с использованием показателей, получаемых расчетным или экспертным путем.

6.4. Определение затрат на защиту сведений.

На этом этапе оценивается принципиальная возможность за­шиты рассматриваемых сведений и определяются затраты (мате­риальные, трудовые, финансовые), необходимые для организации и осуществления мероприятий по обеспечению соответствующе-

го режима КТ при обращении с ними и выполнению технических мер по защите информации.

При определении затрат на защиту рассматриваемых сведений учитываются затраты на проведение следующих мероприятий:

включение в структуру предприятия необходимого числа со­трудников структурных подразделений, обеспечивающих защиту КТ (отдел режима КТ, подразделений по защите информации и противодействию техническим разведкам и др.), содержание шта­та этих подразделений и их техническое оснащение;

• подготовка и переподготовка кадров структурных подразде­лений по защите КТ;

• использование технических средств связи, обеспечивающих защиту КТ;

• проведение необходимых научно-технических работ по опре­делению оптимальных методов и средств защиты информации;

• организация противодействия техническим разведкам;

• использование средств защиты информации;

• проведение проверочных мероприятий службой безопасно­сти предприятия при допуске работников к КТ и организация! разграничения доступа к КТ;

. организация охраны материалов, содержащих КТ;

• организация пропускного режима на территории (в помеще­ния), где проводятся работы с КТ, оборудование систем охраны и| сигнализации;

• осуществление других мероприятий в зависимости от объема) работ по обеспечению требуемого режима КТ.

6.5. Принятие решения о включении сведений в Перечень. На этом этапе осуществляется сопоставление величины возможного ущерба от несанкционированного распространения каждого рассматриваемого сведения, относимого к КТ с преимуществами (упущенной выгодой) от его открытого использования и затратами на защиту.

Сведение подлежит включению в Перечень, если величина ущерба от его несанкционированного распространения превышает суммарную величину преимущества (упущенной выгоды) от открытого использования и затрат на защиту.

6.6. Оформление результатов работы.

Результаты работы экспертной комиссии оформляются в виде проекта Перечня, представляемого на утверждение руководителю предприятия.

При этом необходимо учитывать, что:

• при перечислении сведений через союз «и» либо через запя­тую с союзом «и» перед последней категорией сведений — сведения относятся к КТ в совокупности;

• при перечислении сведений через запятую, союзы «или» и «либо» сведения относятся к КТ в отдельности;

• при перечислении сведении слова «а также» предшествуют сведениям, которые отличны от предыдущих.

К проекту Перечня прилагаются рабочие материалы эксперт­ной комиссии по обоснованию включения сведений в Перечень.