9. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ

We use cookies. Read the Privacy and Cookie Policy

9. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ

9.1. Значение нормативно-методического обеспечения

В целях обеспечения комплексного подхода к формированию законодательства по проблемам защиты информации и информатизации в России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации и защиты информации». В соответствии с этой Программой была намечена разработка базового Закона РФ в области информатизации «Об информации, информатизации и ЗИ» (кстати, который сегодня уже не актуален), а также еще ряда специальных законов.

Реализация Программы должна была позволить создать правовые основы процесса информатизации в России, нормативно закрепить права граждан, организаций и государства на информацию и системы автоматизации с учетом правил охраны государственной и коммерческих тайн, порядка правовой, организационной и технической защиты информации и информационного ресурса в целом, основ защиты и правовых гарантий прав потребителя информации, защитить права собственника и автора и решить многие другие проблемы.

Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.

К содержанию нормативно-методических документов по ЗИ предъявляются требования. ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для предприятия целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к конфиденциальной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи). Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:

— соответствовать структуре, целям и задачам предприятия;

— описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;

— перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;

— определять ответственных за внедрение и эксплуатацию всех средств защиты;

— определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.

Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:

— принадлежность информации; об информации обязан заботиться тот, кому она принадлежит;

— определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней;

— значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?

Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?

9.2. Состав нормативно-методического обеспечения

Состав нормативно-методического обеспечения может быть определен следующим образом: законодательная база, руководящие методические документы и информационно-справочная база. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), госты. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных. Нормативно-методическая документация должна содержать следующие вопросы защиты информации:

— какие информационные ресурсы защищаются;

— какие программы можно использовать на служебных компьютерах;

— что происходит при обнаружении нелегальных программ или данных;

— дисциплинарные взыскания и общие указания о проведении служебных расследований;

— на кого распространяются правила;

— кто разрабатывает общие указания;

— точное описание полномочий и привилегий должностных лиц;

— кто может предоставлять полномочия и привилегии;

— порядок предоставления и лишения привилегий в области безопасности;

— полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;

— особые обязанности руководства и служащих по обеспечению безопасности;

— объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);

— дата ввода в действие и даты пересмотра;

— кто и каким образом ввел в действие эти правила.

План защиты информации может содержать следующие сведения:

— назначение ИС;

— перечень решаемых ИС задач;

— конфигурация;

— характеристики и размещение технических средств и программного обеспечения;

— перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;

— требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;

— список пользователей и их полномочий по доступу к ресурсам системы;

— цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;

— перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

— основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;

— требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

— основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);

— цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;

— перечень и классификация возможных кризисных ситуаций;

— требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов. и т. п.);

— обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;

— разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

— определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

— определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

— определение порядка разрешения споров в случае возникновения конфликтов.

9.3. Порядок разработки и внедрения документов

В статье 7 Закона РФ «О государственной тайне» заранее установлен состав сведений, которые не могут быть засекречены, т. е. отнесены к государственной тайне.

Не подлежат отнесению к государственной тайне и засекречиванию сведения:

— о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствия, а также о стихийных бедствиях и их официальных прогнозах и последствиях;

— о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

— о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

— о фактах нарушения прав и свобод человека и гражданина;

— о размерах золотого запаса и государственных валютных резервах РФ;

— о состоянии здоровья высших должностных лиц РФ;

— о фактах нарушения законности органами государственной власти и их должностными лицами.

Должностные лица, принявшие решение о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную и дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба.

Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений положениями ст. 5 и ст. 7 закона о государственной тайне.

Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий засекречивания исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Полномочиями по отнесению сведений к государственной тайне обладают следующие органы государственной власти и должностные лица:

1. Палата Федерального собрания;

2. Президент Российской Федерации;

3. Правительство РФ;

4. Органы государственной власти РФ, органы государственной власти субъектов РФ и органы местного самоуправления во взаимодействии с органами защиты государственной тайны, расположенными в пределах соответствующих территорий;

5. Органы судебной власти.

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с Законом о государственной тайне.

Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует по предложениям органов государственной власти и в соответствии с Перечнем сведений, составляющих государственную тайну, Перечень сведений, отнесенных к государственной власти. Указанный Перечень утверждается президентом РФ, подлежит открытому опубликованию и пересматривается по мере необходимости.

Органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, в соответствии с Перечнем сведений, отнесенных к государственной тайне, разрабатываются развернутые перечни сведений, подлежащих засекречиванию. В эти перечни включаются сведения, полномочиями по распоряжению которых наделены указанные органы, и устанавливается степень секретности. В рамках целевых программ по разработке и модернизации образцов вооружения и военной техники, опытно-конструкторских и научно-исследовательских работ по решению заказчиков указанных образцов и работ могут разрабатываться отдельные перечни сведений, подлежащих засекречиванию. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Целесообразность засекречивания таких перечней определяется их содержанием.

Основаниями для рассекречивания сведений являются:

— взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими в РФ государственную тайну;

— изменение объективных обстоятельств, вследствие которых дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной.

Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание действующих в органах государственной власти, на предприятиях, учреждениях и организациях перечней сведений и их соответствия установленной ранее степени секретности.

Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.

Правом изменения действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за принятые ими решения по рассекречиванию сведений. Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к государственной тайне, подлежат согласованию с межведомственной комиссией по защите государственной тайны, которые вправе приостанавливать и опротестовать эти решения.

Сведения, отнесенные к государственной тайне, по степени секретности подразделяются на сведения особой важности, совершенно секретные и секретные.

К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контр-разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей.

К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контр-разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересами министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.

К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной области деятельности.

Руководители органов государственной власти, наделенные полномочиями по отнесению сведений к государственной тайне, организуют разработку перечня и несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.

Для разработки перечня создается экспертная комиссия, в состав которой включаются компетентные специалисты, работающие со сведениями, составляющими государственную тайну.

В ходе подготовки проекта перечня экспертные комиссии в соответствии с принципами засекречивания сведений, установленными Законом Российской Федерации «О государственной тайне», проводят анализ всех видов деятельности соответствующих органов государственной власти, предприятий учреждений и организаций с целью определения сведений, распространение которых может нанести ущерб безопасности Российской Федерации. Обоснование необходимости отнесения сведений к государственной тайне с указанием соответствующей степени секретности осуществляется собственниками этих сведений и оформляется в виде предложений для включения в проект соответствующего перечня.

Степень секретности сведений, находящихся в распоряжении нескольких органов государственной власти, устанавливается по взаимному согласованию между ними.

В перечень могут быть включены сведения, которые получены (разработаны) другими органами государственной власти, органами местного самоуправления, предприятиями, организациями или гражданами, не состоящими в отношении подчиненности к руководителю органа государственной власти, утверждающему перечень. Степень секретности таких сведений устанавливается по согласованию между органами государственной власти, разрабатывающим перечень, и собственником сведений.

Проект перечня, разработанный экспертной комиссией, представляется на утверждение руководителю органа государственной власти, наделенному полномочиями по отнесению сведений к государственной тайне, который также решает вопрос о целесообразности засекречивания самого перечня.

Утвержденные перечни в целях координации работ по защите государственной тайны направляются в Межведомственную комиссию.

После утверждения перечни доводятся до

— заинтересованных органов государственной власти в полном объеме либо в части, их касающейся;

— предприятий, учреждений и организаций, действующих в сфере ведения органов государственной власти, в части, их касающейся, по решению должностного лица, утвердившего перечень;

— предприятий, учреждений и организаций, участвующих в проведении совместных работ, в объеме, определенном заказчиком этих работ.

Еще Закон РСФСР «О предприятиях и предпринимательской деятельности» юридически закреплял понятие «коммерческая тайна». Так, в п. 2 ст. 28 закона говорилось, что «предприятие имеет право не предоставлять информацию, содержащую коммерческую тайну». Перечень сведений, которые не могут составлять коммерческую тайну, определяется постановлением Правительства Российской Федерации № 35 от 05.12.1991 г.

В главе 6 Гражданского кодекса РФ (ст. 128, 138) среди объектов гражданских прав предусмотрена интеллектуальная собственность, в том числе исключительные права на нее, а также защита информации, составляющей служебную или коммерческую тайну (ст. 139).

Согласно ст. 139 действующего ГК РФ, информация составляет служебную или коммерческую тайну в том случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании; обладатель информации принимает меры к охране ее конфиденциальности. Эта статья ГК в отличие от упомянутой выше ст. 28 Закона РСФСР «О предприятии и предпринимательской деятельности», усиливает возможность запрета отнесения к коммерческой тайне тех или иных сведений, поскольку в ней содержится норма, согласно которой «сведения не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами».

Согласно этой же статье ГК РФ, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая обязанность возлагается на работников, разгласивших коммерческую тайну, вопреки трудовому договору и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Из упомянутых правовых норм следует, что коммерческой тайной предприятия может быть все, что не запрещено законом или иными правовыми актами, охраняется предприятием и имеет ценность для предпринимательской деятельности, давая преимущество перед конкурентами, не владеющими ею.

Таким образом, фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство.

Реализация этого права осуществляется в соответствии с Законом о КТ РФ путем создания и поддержания на договорной основе с другими физическими и юридическими лицами защиты коммерческой информации, включающая в себя комплекс правовых, организационных, инженерно-технических, социально-психологических и других мер, основывающихся на административно-правовых нормах РФ и организационно-распорядительных документах руководства предприятия. Введение их в действие на предприятии приказом руководства является необходимым условием функционирования систем защиты конфиденциальной информации, поскольку эти документы представляют собой основной пакет нормативных документов, регулирующих правовые отношения в процессе обеспечения безопасности.

Однако не стоит забывать, что любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.

Серьезное значение для обеспечения безопасности информационных ресурсов приобретают документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе.

К таким основополагающим документам можно отнести:

— устав предприятия, закрепляющий условия обеспечения безопасности деятельности и защиты информации;

— трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению защиты сведений, составляющих коммерческую тайну и др.;

— правила внутреннего трудового распорядка рабочих и служащих;

— должностные обязанности руководителей, специалистов и обслуживающего персонала.

Эти документы играют важную роль в обеспечении безопасности предприятия.

Для предприятия необходимо внести в устав следующие дополнения:

— предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;

— обязано обеспечить сохранность коммерческой тайны;

— состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем предприятия;

— имеет право не предоставлять информацию, содержащую коммерческую тайну;

— руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

— создавать организационные структуры по защите коммерческой тайны;

— издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

— включать требования по защите коммерческой тайны в договора по всем видам деятельности;

— требовать защиты интересов фирмы перед государственными и судебными органами;

— распоряжаться информацией, являющейся собственностью, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства.

Кроме этого, предприятию нужно разработать «Перечень сведений, составляющих коммерческую тайну».

Начало работы по защите коммерческой тайны связано с разработкой перечня сведений составляющих коммерческую тайну. Перечень должен разрабатываться специальной комиссией, в которую включаются квалифицированные специалисты по всем направлениям деятельности предприятия. В состав комиссии должны входить руководители службы защиты информации (службы безопасности) и лицо, ответственное за конфиденциальное делопроизводство. Комиссия назначается приказом руководителя предприятия. В этом же приказе устанавливаются общий механизм и сроки разработки перечня. Разработка перечня может быть возложена и на экспертную комиссию предприятия, осуществляющую экспертизу ценности документов, если ее состав отвечает требованиям, предъявляемым к комиссии по составлению перечня.

На первом этапе работы комиссия должна на основе анализа всех направлений деятельности предприятия установить весь состав циркулирующей на предприятии информации, отображенной на любом носителе, любым способом и в любом виде, а также с учетом перспектив развития предприятия и его взаимоотношений с партнерами определить характер дополнительной информации, которая может возникнуть в результате деятельности предприятия. Эта информация классифицируется по тематическому признаку.

На втором этапе определяется, какая из установленной информации должна быть конфиденциальной, и отнесена к коммерческой тайне.

В соответствии со ст. 139 ГК РФ и другими нормами федеральных законов информация может составлять коммерческую тайну, если она отвечает следующим требованиям (критерии правовой охраны):

— имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам;

— не подпадает под перечень сведений, доступ к которым не может быть ограничен, и перечень сведений, отнесенных к государственной тайне;

— к ней нет свободного доступа на законном основании;

— обладатель информации принимает меры к охране ее конфиденциальности.

Также следует заметить, что нецелесообразно относить информацию к коммерческой тайне, если затраты на ее защиту превысят количественные и качественные показатели преимуществ, получаемых при ее защите.

В то же время, наряду с общим перечнем сведений, доступ к которым по закону не может быть ограничен, в действующем законодательстве установлен специальный перечень в отношении сведений, которые не могут составлять коммерческую тайну (ст. 5 закона о КТ).

Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

После установления состава конфиденциальной информации определяются сроки ее конфиденциальности либо указываются обстоятельства и события, при наступлении которых конфиденциальность снимается. Сроки конфиденциальности должны соответствовать срокам действия условий, необходимых и достаточных для признания данной информации конфиденциальной в соответствии с законодательством.

Результаты работы оформляются перечнем сведений, составляющих коммерческую тайну, каждый из которых может иметь следующие графы:

При значительном объеме конфиденциальных сведений они классифицируются в перечнях по разделам, составляющим сферы деятельности предприятия.

Перечни подписываются всеми членами комиссии, утверждаются и вводятся в действие приказами руководителя предприятия. В приказах должны быть определены мероприятия по обеспечению функционирования перечней и контролю их выполнения. С приказами и перечнями необходимо ознакомить под расписку всех сотрудников предприятия, работающих с соответствующей конфиденциальной информацией.

Дополнения и изменения состава включенных в перечни сведений могут вноситься с разрешения руководителя предприятия за подписями руководителя подразделения по принадлежности сведений и руководителя службы защиты информации (службы безопасности). При существенном изменении состава сведений перечни должны составляться заново.

Информацию, подлежащую защите, можно отнести к трем областям: выработка решений, имеющих стратегическое значение и осуществления соответствующих планов; сведения о технологии сбора и обработки конфиденциальной информации; переговоры о заключении сделок.

В трудовой договор предприятия необходимо внести ряд пунктов соответствующего характера:

1. Работник обязан соблюдать конфиденциальности сведений, которые ему стали известны в процессе работы. В случае нарушения конфиденциальности работник несет материальную и административную ответственность в соответствии с действующим законодательством РФ и правилами внутреннего распорядка работодателя. Обязательства по соблюдению конфиденциальности остаются в силе и после прекращения срока действия настоящего договора в течение одного года;

2. Отдельную статью, связанную с конфиденциальностью, в которой бы содержалось следующее:

2.1. Под «Коммерческой тайной» понимаются носящие конфиденциальный характер сведения и их носители, полученные в рамках настоящего договора, и отвечающими следующим условиям:

— сведения и их носители, указанные в «Перечне сведений, составляющих коммерческую тайну»;

— сведения и их носители не являются общеизвестными или общедоступными из других источников;

— сведения и их носители не передавались работодателем в распоряжение других лиц без обязательства, касающегося их конфиденциальности;

2.2. Под «Разглашением коммерческой тайны» понимаются умышленные или неосторожные действия работника, приведшие к преждевременному, не вызванному служебной необходимостью, открытому опубликованию сведений, составляющих коммерческую тайну, либо к утрате документов с такими сведениями или бесконтрольному использованию и распространению этих сведений.

Предприятию необходимо разработать должностные инструкции сотрудников.

Необходимым организационно-правовым документом с точки зрения защиты информации для фирмы является должностная инструкция сотрудника. Такой документ должен содержать следующие разделы:

1. Общие положения;

2. Должностные обязанности;

3. Права.

Утверждается должностная инструкция руководителем или иным должностным лицом, уполномоченным утверждать должностные инструкции.

Предприятие должно разработать «Обязательство о неразглашении коммерческой тайны».

Следующим важным шагом с правовой точки зрения является разработка «Обязательства о неразглашении коммерческой тайны».

Разглашение информации, составляющей коммерческую тайну, — это «действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».

В обязательство должен быть включен пункт, который не позволял бы использовать любую информацию, полученную сотрудником в ходе выполнения им служебных обязанностей для осуществления любой деятельности несвязанной с этим предприятием.

И наконец, предприятию необходимо разработать «Подписку при увольнении с работы».

Очевидно, что некоторые сотрудники в силу обстоятельств могут покинуть фирму, соответственно необходимо учесть этот момент при правовом регулировании отношений с сотрудниками. В Обязательстве на этот счет сказано, что сотрудник обязуется в течение определенного времени после увольнения не разглашать сведения, ставшие известными ему по работе.

Политика по сохранению коммерческой тайны реализуется путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.

Защита и обработка конфиденциальных документов предусматривает:

— порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;

— систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую я тайну;

— обеспечение сохранности документов на различных носителях с грифом конфиденциальности;

— обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;

— принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющим коммерческую тайну;

— ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.