Организация комплексной системы защиты информации
Шрифт:
Проект перечня, разработанный экспертной комиссией, представляется на утверждение руководителю органа государственной власти, наделенному полномочиями по отнесению сведений к государственной тайне, который также решает вопрос о целесообразности засекречивания самого перечня.
Утвержденные перечни в целях координации работ по защите государственной тайны направляются в Межведомственную комиссию.
После утверждения перечни доводятся до
— заинтересованных органов государственной власти в полном объеме либо в части, их касающейся;
— предприятий, учреждений и организаций, действующих в сфере ведения органов государственной власти, в части, их касающейся, по
— предприятий, учреждений и организаций, участвующих в проведении совместных работ, в объеме, определенном заказчиком этих работ.
Еще Закон РСФСР «О предприятиях и предпринимательской деятельности» юридически закреплял понятие «коммерческая тайна». Так, в п. 2 ст. 28 закона говорилось, что «предприятие имеет право не предоставлять информацию, содержащую коммерческую тайну». Перечень сведений, которые не могут составлять коммерческую тайну, определяется постановлением Правительства Российской Федерации № 35 от 05.12.1991 г.
В главе 6 Гражданского кодекса РФ (ст. 128, 138) среди объектов гражданских прав предусмотрена интеллектуальная собственность, в том числе исключительные права на нее, а также защита информации, составляющей служебную или коммерческую тайну (ст. 139).
Согласно ст. 139 действующего ГК РФ, информация составляет служебную или коммерческую тайну в том случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании; обладатель информации принимает меры к охране ее конфиденциальности. Эта статья ГК в отличие от упомянутой выше ст. 28 Закона РСФСР «О предприятии и предпринимательской деятельности», усиливает возможность запрета отнесения к коммерческой тайне тех или иных сведений, поскольку в ней содержится норма, согласно которой «сведения не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами».
Согласно этой же статье ГК РФ, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая обязанность возлагается на работников, разгласивших коммерческую тайну, вопреки трудовому договору и на контрагентов, сделавших это вопреки гражданско-правовому договору.
Из упомянутых правовых норм следует, что коммерческой тайной предприятия может быть все, что не запрещено законом или иными правовыми актами, охраняется предприятием и имеет ценность для предпринимательской деятельности, давая преимущество перед конкурентами, не владеющими ею.
Таким образом, фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство.
Реализация этого права осуществляется в соответствии с Законом о КТ РФ путем создания и поддержания на договорной основе с другими физическими и юридическими лицами защиты коммерческой информации, включающая в себя комплекс правовых, организационных, инженерно-технических, социально-психологических и других мер, основывающихся на административно-правовых нормах РФ и организационно-распорядительных документах руководства предприятия. Введение их в действие на предприятии приказом руководства является необходимым условием функционирования систем защиты конфиденциальной информации, поскольку эти документы представляют собой основной пакет нормативных документов, регулирующих правовые отношения в процессе обеспечения безопасности.
Однако не стоит забывать, что любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого
закона на всех уровнях управления.Серьезное значение для обеспечения безопасности информационных ресурсов приобретают документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе.
К таким основополагающим документам можно отнести:
— устав предприятия, закрепляющий условия обеспечения безопасности деятельности и защиты информации;
— трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению защиты сведений, составляющих коммерческую тайну и др.;
— правила внутреннего трудового распорядка рабочих и служащих;
— должностные обязанности руководителей, специалистов и обслуживающего персонала.
Эти документы играют важную роль в обеспечении безопасности предприятия.
Для предприятия необходимо внести в устав следующие дополнения:
— предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;
— обязано обеспечить сохранность коммерческой тайны;
— состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем предприятия;
— имеет право не предоставлять информацию, содержащую коммерческую тайну;
— руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.
Внесение этих дополнений дает право администрации:
— создавать организационные структуры по защите коммерческой тайны;
— издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
— включать требования по защите коммерческой тайны в договора по всем видам деятельности;
— требовать защиты интересов фирмы перед государственными и судебными органами;
— распоряжаться информацией, являющейся собственностью, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства.
Кроме этого, предприятию нужно разработать «Перечень сведений, составляющих коммерческую тайну».
Начало работы по защите коммерческой тайны связано с разработкой перечня сведений составляющих коммерческую тайну. Перечень должен разрабатываться специальной комиссией, в которую включаются квалифицированные специалисты по всем направлениям деятельности предприятия. В состав комиссии должны входить руководители службы защиты информации (службы безопасности) и лицо, ответственное за конфиденциальное делопроизводство. Комиссия назначается приказом руководителя предприятия. В этом же приказе устанавливаются общий механизм и сроки разработки перечня. Разработка перечня может быть возложена и на экспертную комиссию предприятия, осуществляющую экспертизу ценности документов, если ее состав отвечает требованиям, предъявляемым к комиссии по составлению перечня.
На первом этапе работы комиссия должна на основе анализа всех направлений деятельности предприятия установить весь состав циркулирующей на предприятии информации, отображенной на любом носителе, любым способом и в любом виде, а также с учетом перспектив развития предприятия и его взаимоотношений с партнерами определить характер дополнительной информации, которая может возникнуть в результате деятельности предприятия. Эта информация классифицируется по тематическому признаку.
На втором этапе определяется, какая из установленной информации должна быть конфиденциальной, и отнесена к коммерческой тайне.