Классификация видов защиты информации

Какие же основные отличия следует отметить в организации защиты государственной от коммерческой тайны?

Во-первых, значительное отличие в масштабах организационных мер по защите секретной информации: защита государственной тайны организуется в рамках государства, коммерческой — на предприятии или в фирме.

Во-вторых, предприятие при организации защиты государственной тайны использует рекомендации соответствующих государственных органов. В защите своих секретов предприятие может воспользоваться помощью и услугами правоохранительных органов, в первую очередь органов безопасности и внутренних дел.

Предприятие при решении вопросов защиты коммерческой тайны «конструирует» систему защиты имеющейся информации самостоятельно, на свой страх и риск, исходя из понимания путей решения этой проблемы и своих финансовых средств и возможностей. Правоохранительные органы могут появиться на сцене только тогда, когда нарушаются права предприятия как собственника.

В-третьих, у предприятия, организующего защиту коммерческой тайны, появляется новая функция — разведывательная, а не только контрразведывательная, как у предприятия при защите государственной тайны. Предприятие, организуя защиту коммерческой тайны, будет в то же время вести сбор информации о состоянии рынка, о своих конкурентах и т.д., то есть осуществлять информационное обеспечение своей предпринимательской деятельности, вести своеобразную разведывательную работу своими силами и средствами.

Уровень защиты коммерческой тайны зависит  от важности информации и стоимости мер ее защиты. Должна иметь место такая система защиты этой тайны, чтобы другие лица не смогли получить доступ к конфиденциальной информации, не прибегая к нечестным путям ее добывания.

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

• обеспечить обращение сведений, содержащих коммерческую тайну, в заданной сфере;
• предотвратить кражу и утечку секретов, любую порчу коммерческой информации;
• документировать процесс защиты тайны, чтобы в случае попыток незаконного завладения коммерческой тайной предприятия можно было защитить свои права юридически и наказать нарушителя.

Для определения объема информации, нуждающейся  в защите, следует привлекать работников предприятия. Во главе этой работы должен стоять опытный менеджер.

Программа будет отражать размер данного предприятия, тип технологии и деловой информации, которую необходимо защищать, финансовые возможности предприятия, прошлые случаи кражи подобной информации, реальный, имевший место в прошлом, или потенциальный урон от таких краж и другие обстоятельства. В программе должны учитываться возможные источники и каналы утечки информации.

Рассмотрим  общие подходы к построению системы  защиты коммерческой тайны на предприятии. Такая система будет состоять из элементов, условно располагаемых на следующих уровнях защиты:

• правового обеспечения деятельности предприятия по защите такой тайны;
• организационного, материального и инженерно-технического обеспечения защиты этой информации на предприятии;

— осуществления   мероприятий   по   защите   коммерческой 
тайны, отслеживания состояния и эффективности всей системы 
защиты такой тайны, предупреждения ее утечки и перекрытия 
возможных или появляющихся источников и каналов утечки конфиденциальной информации.

Правовое  обеспечение деятельности предприятия  по защите коммерческой тайны. Система  правовой регламентации защиты конфиденциальной информации является двухуровневой. На первом уровне стоят законодательные акты государства, регламентирующие деятельность предприятий в области защиты коммерческой тайны, определяющие объем их прав и обязанностей в области защиты их собственности в виде такой информации, объявленной предприятием коммерческой тайной. К этой группе можно отнести такие законы, принятые Российской Федерацией, как: «О предприятиях и предпринимательской деятельности» от 25 декабря 1990 г.; «О частной детективной и охранной деятельности в РФ» от 11 марта 1992 г.; «О конкуренции и ограничении монополистической деятельности на товарных рынках» от 22 марта 1991 г.; Гражданский кодекс 1994 г. и др. В этом же ряду можно отметить и постановление Правительства РФ от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».

На  втором уровне находятся нормативно-правовые документы, регламентирующие организацию, порядок и правила защиты коммерческой тайны на предприятии. К ним относятся:

1. Устав предприятия, в котором указываются цели его деятельности, права, в том числе право иметь коммерческую тайну и осуществлять ее защиту.
2. Коллективный договор, в котором определяются права и 
   обязанности сторон, заключивших договор, в том числе по защите конфиденциальной информации, обеспечению необходимых условий и средств ее защиты.

3. Правила  внутреннего трудового  распорядка,   в  которые 
также могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том 
числе защищать и коммерческую тайну.

4. Инструкция, определяющая организацию, порядок и правила защиты коммерческой тайны на предприятии. Могут быть подготовлены различные положения, регламентирующие права и деятельность различных подразделений этого предприятия, например, службы безопасности (СБ) предприятия.
5. Документы, типа перечня, реестра и т.п., определяющие категории сведений, которые отнесены к конфиденциальной ин 
   формации предприятия. В этих перечнях следует также указывать 
   сроки засекречивания коммерческой информации и уровень ее 
   защиты.

Организационное, материальное и инженерно-техническое обеспечение защиты коммерческой тайны. Меры, проводимые на предприятии по созданию условий для защиты интересующей нас тайны, могут разниться на каждом отдельном предприятии, но основными могут быть следующие:

• создание службы безопасности на предприятии;
• подготовка и пересмотр периодически перечней сведений, 
  составляющих коммерческую тайну;
• отработка системы допуска и доступа к сведениям, составляющим такую тайну;
• определение примерного объема затрат на защиту коммерческой тайны на предприятии;

— определение  потребности  и  приобретение  технических 
средств защиты этой информации;

— подбор и подготовка специалистов этого профиля работы. Служба безопасности (СБ) на предприятии становится обычным явлением, как отдел кадров или бухгалтерия. Круг функциональных обязанностей такой службы весьма обширен. Основными функциями СБ являются проблемы организации защиты сведений, отнесенных к коммерческой тайне.

В частности, деятельность, которая включает обучение работников предприятия умению хранить секреты своей фирмы; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.

СБ  готовит руководству предприятия  предложения по вопросам защиты коммерческой тайны, порядка определения и пересмотра перечня сведений, составляющих эту тайну, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим коммерческую тайну. СБ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии рынка, конкурентах, финансовых возможностях партнеров по переговорам, новациях в сфере производства продукции, выпускаемой предприятием, и др.

СБ  проводит контрольные и аналитические функции. Контроль за соблюдением работниками предприятия, связанными по службе с коммерческой тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток конкурентов получить несанкционированный доступ к защищаемой предприятием информации и т.д. Она должна находиться на высоком уровне в организационной структуре предприятия с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СБ должна принимать срочные меры по устранению выявленных недостатков в области защиты коммерческой тайны. Сотрудники фирмы должны знать политику фирмы по защите этой тайны и меры наказания за нарушение этих правил.

Периодический пересмотр Перечня сведений, составляющих коммерческую тайну предприятия, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СБ. Цель пересмотра Перечня — исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

Система доступа к сведениям, составляющим коммерческую тайну, должна обеспечить безусловное ознакомление с такими материалами только тех лиц, которым они нужны по службе. Система доступа к конфиденциальной информации — есть комплекс административно-правовых норм, обеспечивающих получение необходимой для работы информации каждым исполнителем и руководителем секретных работ. Цель системы — обеспечить только санкционированное получение необходимого объема конфиденциальной информации. В структуру этой системы входят:

разрешительная  система доступа к документальной конфиденциальной информации;

система пропусков и шифров, обеспечивающая только санкционированный доступ на территорию производства и в помещения, где ведутся секретные работы.

Для обеспечения физической сохранности  носителей засекреченной информации и предотвращения доступа посторонних лиц в места проведения секретных работ нужна система охраны, которая включает в себя комплекс мероприятий, сил и средств, задействованных для преграждения доступа посторонних лиц к носителям защищаемой информации. Обеспечение физической целостности и сохранности специзделий, материалов, конфиденциальных документов, различных зданий, помещений, где производятся работы с носителями защищаемой информации, достигается использованием сейфов и металлических шкафов для хранения конфиденциальных документов, постановкой металлических решеток на окна хранилищ таких документов и изделий, введением специальных пропусков или магнитных карточек для доступа в помещения, где ведутся работы с носителями конфиденциальной информации. Помещения, в которых ведутся такие работы с документами и изделиями, хранилища защищаемой информации должны иметь круглосуточную охрану с помощью технических средств.

Осуществление мер — это деятельность администрации  и СБ по защите коммерческой тайны, направленная на реализацию заложенных в системе возможностей по защите конфиденциальной информации. Эти меры включают:

во-первых, повседневный контроль со стороны руководства предприятия и СБ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на продавцов, агентов по снабжению, гидов на выставках и других работников предприятия, имеющих постоянное общение с населением;

во-вторых, обеспечение соблюдения всеми сотрудниками предприятия требований, предусмотренных правилами внутреннего

распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих коммерческую тайну, и другими нормативными документами, регламентирующими поведение работников на предприятии.

В совокупности требования всех правил и инструкций должны создавать на предприятии обстановку, которая обеспечивала бы выполнение всеми работающими правил поведения на территории предприятия, охраны территории и помещений предприятия, особенно цехов, лабораторий и других служебных помещений, где ведутся секретные работы.

Все посещения предприятия посторонними лицами должны быть строго регламентированы. Вход их на территорию — только через одну проходную по разовым пропускам или отметкам в журнале: данные о пришедшем, откуда, к кому, время входа и выхода с территории. Продвижение по данной территории предприятия только в сопровождении принимающего его сотрудника. Если посетитель будет допущен на участок, где ведутся секретные работы, он должен дать краткое письменное обязательство, что сохранит в тайне ставшие ему известными конфиденциальные сведения. Обязательство подписывают посетитель и сопровождающий.

Не  допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;

в-третьих, выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников предприятия, связанных по работе с коммерческой тайной, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).

Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с секретами, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;