Блог
Тонкости организации аудита ИБ
17.09.2020
Эффективное внедрение DLP-системы
21.06.2019
Комплексный подход к обеспечению безопасности коммерческой тайны
24.12.2018
Вредоносные (фишинговые) письма – тренд последнего времени
19.08.2016
Зашифровались файлы! Как с этим бороться?
24.05.2016
Управление документацией: экономия и эффективность
14.08.2015
Управление знаниями в корпоративных структурах. Часть 1 - Компоненты системы управления знаниями
15.05.2015
Осведомленность в вопросах информационной безопасности как рекомендуемое и обязательное требование
16.04.2015
Организация режима коммерческой тайны. Общие моменты.
27.03.2015
Алгоритм возмещения \ не возмещения денежных средств при использовании ЭСП
20.11.2014
Человек как основное звено обеспечения информационной безопасности
13.11.2014
Организация режима коммерческой тайны. Общие моменты.
27.03.2015

Любая предпринимательская деятельность в той или иной мере связана с получением и последующим использованием информации различного рода. В современных условиях информация представляет собой товар, имеющий определенную ценность. Наиболее ценной является та информация, которую организация использует для достижения своих целей, ради которых она создана и разглашение которой в свою очередь может ограничить её возможности реализовать эти цели. Утечка и разглашение такой информации может создать реальную угрозу безопасности организации.

Важнейшим условием эффективности конкурентной борьбы в предпринимательской деятельности является сохранение в тайне сведений, овладение которыми посторонними лицами могло бы ослабить экономические позиции организации и нанести ей ущерб. Данные сведения относятся к коммерческой тайне (КТ). В связи, с чем конкуренция в предпринимательской деятельности является экономической основой процветания промышленного шпионажа.

Целью же промышленного шпионажа является получение данных о перспективах деятельности конкурента, бизнес-процессах, производственных процессах, торговой стратегии, маркетинговой стратегии, результатах научных исследований, экономических позициях и т.д.

Порядок отнесения информации к КТ, передачи такой информации, охраны её конфиденциальности, а также перечень сведений которые могут составлять КТ, установлены Федеральным законом от 29.07.2004 г. №98 «О коммерческой тайне».

Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (ст.3 Федерального закона от 29.07.2004 г. №98 «О коммерческой тайне»).

 

К информации, составляющей КТ относят научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим КТ. Сведения, которые не могут составлять КТ, определены в ст. 5 Федерального закона от 29.07.2004 г. №98 «О коммерческой тайне».

Под режимом КТ следует понимать правовые, организационные, технические и иные принимаемые обладателем информации меры по охране её конфиденциальности.

В соответствии с Федеральным законом от 29.07.2004 г. №98 «О коммерческой тайне» (ст. 10) режим КТ считается установленным после принятия обладателем информации, составляющей КТ, следующих мер по охране её конфиденциальности, которые должны включать:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Наряду с выше указанными мерами, обладатель информации, вправе применять при необходимости другие, не противоречащие действующему законодательству, меры, в том числе и средства и методы технической (программной, программно-аппаратной) защиты информации.

Прежде чем вводить режим КТ в отношении той или иной информации необходимо провести серьёзную работу по выявлению и оценке уровня угроз безопасности в организации. Определить источники утечек конфиденциальной информации, условия обеспечения эффективной и надежной защиты КТ.

Общая последовательность действий при подготовке к введению режима КТ:

  • выявление угроз безопасности;
  • оценка возможных потерь;
  • выбор методов защиты;
  • оценка экономического эффекта и анализа затрат.

 

Введение режима КТ

 

В общем виде последовательность действий по введению режима КТ можно определить следующими мероприятиями:

 

 

 

 

1. Определяется, по каким критериям будет относиться информация к КТ.

2. Выясняется, какие объекты собственности организации, в том числе и интеллектуальной, должны быть защищены.

3. Разрабатывается и утверждается перечень сведений, составляющих КТ.

4. Разрабатывается модель угроз и нарушителя безопасности информации, относящейся к КТ.

5. Устанавливаются правила допуска и определяются механизмы доступа к сведениям, составляющим КТ.

6. Определяется перечень должностей и оформляется список лиц, имеющих право работать с КТ в организации (права и ограничения по работе с КТ).

7. Разрабатываются правила классификации и маркировки документов, а также порядок снятия грифа «Коммерческая тайна».

8. Устанавливается порядок работы с документами (учет, пересылка, хранение, копирование, уничтожение и т.д.).

9. Определяется перечень помещений, где разрешена работа с документами, составляющими КТ.

10. Внедряются специализированные технические (программных, программно-аппаратных) средства защиты информации.

11. Разрабатываются правила охраны, пропускного и внутриобъектового режима на территории организации.

12. Проводится обучение сотрудников организации правилам защиты сведений, относящихся к КТ и допуск их к работам связанным с КТ.

13. Производиться регулярный контроль соблюдения режима КТ.

 

К основным техническим средствам защиты информации для предотвращения утечек конфиденциальной информации (КТ) по основным каналам относятся следующие средства:

  • средства защита информации от утечки по техническим каналам от побочных электромагнитных излучений и наводок (ПЭМИН);
  • средства доверенной загрузки;
  • средства для построения защищенного доступа в Интернет и защищенного соединения между подразделениями организации (VPN);
  • средства межсетевого экранирования;
  • средства антивирусной защиты;
  • средства анализа уязвимостей;
  • средства обнаружения и предотвращения вторжений;
  • средства учета и контроля программного и аппаратного обеспечения;
  • средства защиты информации от несанкционированного доступа;
  • системы предотвращения утечек конфиденциальной информации (DLP – Data Leak Prevention);
  • средства гарантированного уничтожения информации;
  • и др.

 

Правильно установленный в организации режим КТ существенно снижает риск утраты КТ.