Собственник информационных ресурсов вправе ограничивать доступ к конфиденциальной информации, определяя состав данного перечня для предприятия или организации.
Определение состава защищаемой информации требует решения трех задач.
1.Определение состава информации, ограничение доступа к которой запрещено законодательством, и соответственно вычленение ее из состава защищаемой информации.
2. Определение состава используемой (полученной) информации, необходимость защиты которой обусловлена причинами, не зависящими от предприятия. Такая информация включает:
- государственную тайну;
- коммерческую тайну контрагентов;
- служебную информацию ограниченного распространения, полученную от органов государственной власти или других организаций;
- персональные данные;
- различные виды профессиональных тайн (врачебную, нотариальную, адвокатскую и т.п.);
3. Определение состава информации, необходимость защиты которой обусловлена интересами предприятия. Такая информация включает:
- коммерческую тайну предприятия;
- служебную информацию ограниченного распространения, обладателем которой является предприятие.
При решении проблемы определения круга сведений, составляющих коммерческую тайну (КТ), а также возможного распределения их по категориям важности в зависимости от их ценности для предприятия, характера и размера ущерба, который может быть нанесен предприятию при разглашении этих сведений, необходимо учитывать, что упущенные из внимания сведения могут привести к снижению эффективности всей системы защиты КТ, а избыточные меры по ограничению доступа к информации осложнят работу и приведут к неоправданным экономическим издержкам. Правильное определение информации, составляющей КТ, должно способствовать прибыльности предприятия и не накладывать неоправданные ограничения на его деятельность.
Сведения, составляющие коммерческую тайну предприятия, отражаются в Перечне. Практика показывает, что подготовка Перечня путем организации работы экспертной комиссии в порядке, применяемом при формировании развернутого перечня сведений, подлежащих отнесению к КТ, является наиболее оптимальным алгоритмом. В целях реализации такого алгоритма приказом руководителя предприятия создается экспертная комиссия из наиболее квалифицированных и компетентных специалистов структурных подразделений предприятия, допускаемых к КТ, и представителей службы защиты информации. Такие специалисты должны знать деятельность предприятия в целом и особенности работы подразделений, от которых они назначены.
Экспертная комиссия осуществляет анализ всех сторон управленческой, производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельности предприятия и подчиненных ему организаций с целью выявления сведений, относящихся к КТ и подлежащих включению в Перечень.
Организационное и методическое руководство по разработке Перечня возлагается на заместителя руководителя предприятия по безопасности. Численный состав определяется исходя из масштабов предприятия, при этом в состав комиссии обязательно включаются:
- специалист по организации работы предприятия в целом и ее особенностям;
- специалист по особенностям рынка в данном секторе экономики;
- специалист по финансовым вопросам;
- специалист, обладающий сведениями о выпускаемой продукции, технологическом цикле ее проектирования и производства, прохождении всех видов информации (устной, документальной, в виде образцов, узлов, блоков, готовой продукции);
- специалиста по связям с другими предприятиями, а также по вопросам заключения контрактов, договоров.
В ходе работы комиссии эксперты знакомятся только с теми конкретными сведениями, к которым они допускаются в соответствии с должностными обязанностями. Такой подход позволяет предотвратить необоснованное распространение коммерческой тайны уже на этапе формирования Перечня.
Задачи экспертной комиссии:
- выделить виды деятельности предприятия, приносящие прибыль;
- оценить степень прибыльности данного вида деятельности по сравнению с другими предприятиями;
- определить вероятную перспективу рентабельности этой деятельности.
Если экономические показатели деятельности предприятия в данной области выше или в перспективе могут быть выше, чем у других предприятий, осуществляющих аналогичную деятельность, то, возможно, предприятие располагает КТ в этой области, и необходимо продолжить анализ соответствующих сведений с целью определить, что именно в данном виде деятельности позволяет получать прибыль.
Работа по формированию Перечня может состоять из следующих этапов:
- составление предварительного Перечня, подлежащего рассмотрению экспертной комиссией;
- определение возможного ущерба, наступающего в результате распространения сведений, составляющих КТ;
- определение преимуществ открытого использования рассматриваемых сведений;
- определение затрат на защиту рассматриваемых сведений;
- принятие решения о включении сведений в Перечень;
- оформление результатов работы.