8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ

Защита информации, составляющей коммерческую тайну | Как защитить коммерческую тайну компании

8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ

Коммерческие компании генерируют массивы информации, которая представляет ценность как для самой компании, так и для конкурентов.

Критически важные для бизнеса сведения включают входить технологии, ноу-хау, изобретения и разработки, исследования рынка, стратегические планы и другие виды данных, являющиеся самостоятельным активом.

Интерес для конкурирующих фирм представляют также сведения о клиентах и контрагентах.

Государство признает информацию активом и вовлекает в гражданско-правовой оборот, устанавливая определенные меры защиты, эквивалентные мерам защиты материальных активов, Специфика методов и инструментов защиты информации, составляющей коммерческую тайну, связана с тем, что данные отражаются в электронном виде и на бумажных носителях.

Определение понятий

Следует различать два неравнозначных понятия. «Коммерческая тайна» и «информация, составляющая коммерческую тайну» одновременно фигурируют в законодательстве, но подразумеваются немного различные явления.

Термин «коммерческая тайна» относится к режиму конфиденциальности или к системе защитных организационных мероприятий, которые устанавливаются в компании, чтобы защитить информацию от преступных посягательств или утечек.

Режим конфиденциальности помогает компании удержать позиции на рынке, сохранить конкурентные преимущества, избежать расходов на восстановление репутации, пошатнувшейся вследствие разглашения или утечки чувствительных сведений.

«Информация, составляющая коммерческую тайну» – это объем сведений, которые компания определяет произвольно. Сведения могут относится к научной, производственной, маркетинговой деятельности. Реальная или потенциальная коммерческая ценность подобных сведений увеличивается благодаря недоступности для третьих лиц. В отношении сведений устанавливают режим коммерческой тайны.

Массивы информации, составляющей коммерческую тайну, разделяются на четыре группы:

  1. Cведения научно-технического характера: изобретения, ноу-хау, патенты; рационализаторские предложения; методы повышения эффективности производства; все, что относится к работе компьютерных сетей, стандарты безопасности, программное обеспечение, пароли.
  2. Сведения технологического и производственного характера: чертежи; модели; документация на оборудование; рецепты производства; методики; описание бизнес-процессов; производственные и маркетинговые планы, стратегии, бизнес-планы; инвестиционные предложения.
  3. Сведения финансового характера, не являющиеся информацией общего доступа: данные управленческого и финансового учета; отчеты; сведения о себестоимости продукции; расчеты денежного потока; механизмы формирования цен; прогнозируемые налоговые отчисления.
  4. Сведения бизнес-характера: данные о поставщиках и подрядчиках; информация о клиентах; планы продаж; различные стратегии; консалтинговые рекомендации; данные анализа рынков и аналогичные сведения.

Градация степени конфиденциальности для каждой группы включает:

  • высшая степень секретности, доступная только топ-менеджменту организации;
  • строго конфиденциальная информация;
  • конфиденциальная информация;
  • сведения ограниченного доступа.

Ранжирование по уровню конфиденциальности помогает лучше организовать систему доступа и позволяет минимизировать риски утечки. Например, данные наивысшей ценности будут недоступны широкому кругу сотрудников компании, а значит, меньше подвержены риску намеренной или случайной утечки.

Чтобы воспользоваться законными возможностями по защите коммерческой тайны, на первом этапе компания должна определить перечень сведений, на которые распространяется режим коммерческой тайны. И в дальнейшем обоснованно требовать от сотрудников с контрагентами выполнения мер по защите данных и привлекать к ответственности за разглашение информации, составляющей коммерческую тайну.

Параллельно с определением сведений необходимо установить режим конфиденциальности. Это означает – разработать и внедрить систему административно-организационных и технических мер, которые помогут предотвратить умышленное или неумышленное разглашение или распространение сведений.

Правовое регулирование режима коммерческой тайны в сфере гражданского и уголовного законодательства. Правоотношения регулируются Гражданским кодексом, в котором тайна определяется в качестве объекта защиты.

Отдельные нормы, касающиеся соблюдения режима коммерческой тайны, содержаться в Трудовом кодексе. Уголовный кодекс вводит ответственность за умышленное разглашение информации.

Таким образом, компания вправе самостоятельно определять, какие именно данные являются информацией, составляющей коммерческую тайну, а ее защита гарантируется мерами государственного принуждения.

Угрозы

Прежде чем разрабатывать систему защитных мер, чтобы сохранить конфиденциальность информации, и вводить в компании режим коммерческой тайны, необходимо определить наиболее вероятные угрозы безопасности. Угрозы подразделяются на внутренние и внешние.

Внешние угрозы включают три группы субъектов, которые могут быть заинтересованы в получении сведений, составляющих коммерческую тайну:

  • непосредственные конкуренты, которые действуют на тех же рынках, или компании, которые планируют выйти на те же рынки и осуществляют различные сценарии подрыва положения компании;
  • субъекты, заинтересованные в переделе долей участия в предприятии, рейдерские группировки, миноритарные акционеры и иные лица, которые могут использовать полученные сведения в борьбе за активы;
  • субъекты, которые посягают на активы, принадлежащие компании: недвижимость, земельные участки, акции и доли. Получение данных об активах облегчит процесс.

Внутренние угрозы прежде всего связаны с персоналом компании, включая и топ-менеджеров. Сотрудники с доступом к корпоративным информационным системам могут присвоить сведения, составляющие коммерческую тайну, чтобы продать, использовать в собственных коммерческих проектах или распространить среди неопределенно широкого круга лиц с целью причинить вред компании.

Система защиты должна определить все возможные угрозы и включать механизмы борьбы с конкретными опасностями.

Возможности и умения «СёрчИнформ КИБ» можно бесплатно проверить в течение 30-дневного теста.

Способы получения информации, составляющей коммерческую тайну

Признание информации коммерческой тайной в большинстве случаев не означает конфиденциальность в строгом смысле слова, потому что доступ к данным есть у сотрудников, разработчиков, клиентов и контрагентов.

Сведения, которые во внутренних документах компании классифицируются как тайна, могут оказаться в открытом доступе из-за действий контрагентов.

Двоякая суть информации, которая признается конфиденциальной, порождает не только незаконные, но и законные способы получить данные.

НЕЗАКОННЫЕ СПОСОБЫ

  • Перехват или организация утечек информации из телекоммуникационных сетей.
  • Прямое хищение документов.
  • Подкуп сотрудников.

ЗАКОННЫЕ СПОСОБЫ

  • Изучение СМИ, официальных источников раскрытия данных, например, сайтов, где публикуется бухгалтерская отчетность, картотеки дел арбитражных судов. Открытые источники позволяют составить достаточно точную картину финансового положения и взаимоотношений компании с контрагентами.
  • Работа с сотрудниками конкурирующих компаний, у которых есть широкий круг сведений о деятельности компании-цели и которые отвечают на вопросы, не задумываясь о том, что раскрывают собеседникам информацию, составляющую коммерческую тайну.
  • Если компания является открытым акционерным обществом, ее проспект эмиссии содержит большинство из сведений, которые относятся к коммерческой тайне. Кроме того, если консультанты при выпуске не связаны ограничениями по распространению сведений, данные их работы также будут содержать существенный объем информации.
  • Интервьюирование сотрудников компании, когда ответы на вопросы, прямо не относящиеся к деятельности, не нарушат режим конфиденциальности, но позволят получить большой объем полезной информации.
  • Предложение о работе сотрудникам компании, иногда без намерения действительно нанять человека. фактического предоставления. Прием позволяет получить широкий спектр данных о фактической занятости, круге обязанностей, продукции.
  • Изучение самой продукции, а также работы поставщиков сырья и комплектующих.
  • Все типы наблюдения за компанией и сотрудниками.
  • Переговоры о возможном заключении контракта без намерения фактического заключения. Способ позволяет не только собрать большой объем данных, но и получить возможность изучить процесс производства изнутри. Полученная таким образом информация составляет коммерческую тайну, но предоставляется добровольно.

Борьбу с подобными способами собрать данные осложняет их легитимность. Возможные средства противодействия – инструктаж сотрудников, тщательные проверки потенциальных контрагентов, проведение переговоров вне месторасположения компании.

Меры защиты

Основной мерой защиты информации, составляющей коммерческую тайну, станет установление режима коммерческой тайны. Основные мероприятия носят административно-организационный характер.

Например, одним из основополагающих элементов системы является трудовой договор, который предусматривает ответственность сотрудников за нарушение режима конфиденциальности.

С учетом того, что внешние угрозы проявляются в форме хищения из компьютерных сетей компании информации, составляющей коммерческую тайну, вместе с административными необходимо внедрять и технические меры, гарантирующие полноту защиты.

Административно-организационные меры

В первую очередь административно-организационные меры нацелены на информирование сотрудников о том, какие сведения относятся к коммерческой тайне, и какие обязанности по неразглашению возлагаются на персонал.

Еще одна цель – убедиться, что компания выполнила все требования закона и проявила предусмотрительность. Это усилит позиции в случае возможного судебного процесса против похитителя коммерческой тайны или заказчика похищения, получившего выгоду от преступного деяния.

Административно-организационные меры включают

  • Издание приказа о введении режима коммерческой тайны. В документе определяются основные параметры системы защиты и лица, ответственные за организацию защитных мероприятий.
  • Определение перечня сведений, относящихся к коммерческой тайне. Часто авторы документов включают в перечень все сведения, о существовании которых знают. Это неверный путь, так как многие данные общедоступны, например, публикуемая отчетность. В случае судебного разбирательства слишком широкий перечень данных может служить основанием для признания всего списка несоответствующим режиму коммерческой тайны. Более целесообразно ограничить перечень действительно ценной информацией. К конфиденциальным нельзя отнести сведения из учредительных документов, большинство данных о штатном расписании, режиме труда, информацию о соблюдении экологических и пожарных требований.
  • Разработка системы локальных нормативных актов, которые обеспечат соблюдение режима конфиденциальности и защиту сведений, составляющих коммерческую тайну. Помимо основного документа – положения «О коммерческой тайне» – могут быть разработаны положения о работе со средствами электронно-вычислительной техники, о порядке предоставления информации контрагентам и государственным органам, порядке копирования документации, типовые договоры с контрагентами, приложения к трудовым договорам и другие. Положение должно включать разделы, посвященные перечислению сведений, определяемых как коммерческая тайна; порядок внесения изменений в перечень или общие критерии, по которым информация признается коммерческой тайной; перечень рангов и уровней допусков лиц с правом оперировать конфиденциальной информацией; процедуру работы с документами и информационными базами, являющимися носителями информации, составляющей коммерческую тайну; права и обязанности рядовых пользователей и лиц, которым доверили функции по обеспечению режима тайны; порядок хранения, учета и уничтожения различных носителей.Кроме того, положение должно содержать меры ответственности за несоблюдение требований. Остальные документы, разработанные в соответствии с положением, не должны ему противоречить. Сотрудники компании должны быть ознакомлены с положением. Законодательство не обязывает привлекать к разработке документа профсоюз или другие представительные органы трудового коллектива, но при необходимости их мнение может быть учтено.
  • Определение круга лиц, у которых есть право работать с материалами, где содержатся сведения, составляющие коммерческую тайну, и уровень допуска. На этом этапе организационные меры должны взаимодействовать с техническими, так как уровни допуска реализуются в IT-структуре компании. Для более надежной защиты имеет смысл присваивать уровень допуска не только по степени ценности информации, но и по отраслевому характеру. Уполномоченные лица, которые определяются на уровне приказа исполнительного органа, должны быть уведомлены о том, что доверенная им информация составляет коммерческую тайну, и предупреждены о возможности увольнения и других санкций за ее разглашение.
  • Разработка трудовых договоров и договоров с контрагентами, которые содержат норму о защите коммерческой тайны. В договор с работниками обязательно включать пункт, которые предупреждает об ответственности за разглашение конфиденциальных сведений и о праве компании обязать сотрудника компенсировать материального ущерба. Закон позволяет также указать в трудовом договоре срок, начинающийся после расторжения трудового договора, в течение которого работник не вправе разглашать информацию, ставшую известной в связи с выполнением трудовых обязанностей. Обычно срок составляет три года. С перечнем информации сотрудник должен быть ознакомлен под подпись. Наличие личной подписи удостоверяет, что работник полностью осознает ответственность и в случае разглашения сведений готов нести наказание.
  • Включение в договоры с контрагентами условия о конфиденциальности в случаях, когда информация, доверенная контрагенту или его сотрудникам в связи с выполнением условий договора, составляет коммерческую тайну. Контрагентами подобного рода могут быть аудиторские, консалтинговые, оценочные и другие компании. Пункт в договоре должен обязывать в полном объеме компенсировать ущерб, причиненный разглашением тайны.
  • Функционирование грифов «коммерческая тайна» для защиты конфиденциальной информации и средств идентификации копий документов. Это не защищает документы от копирования в целях передачи информации потенциальным заказчикам, но ограничивает распространение среди широкого круга лиц в открытом доступе.
  • Особые режимы пользования телекоммуникационным оборудованием, копировальными устройствами, внешней электронной почтой, интернетом. Допуск сотрудника к ресурсам должен осуществляться на основе заявок с обоснованием необходимости использования. Заявки должны согласовываться на уровне руководства сотрудника и служб безопасности.
  • Строгий контроль за использованием учетных записей в сетях только владельцами учетных записей с предупреждением о том, что передача пароля может служить основанием для увольнения из-за «разглашения коммерческой тайны».

Технические меры

Среди технических мер защиты информации, составляющей коммерческую тайну, в первую очередь рассматривают программы, позволяющие полностью защитить информационный периметр от утечек, несанкционированного копирования или передачи данных. К таким средствам относятся DLP-системы и SIEM-системы.

Системы класса DLP настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями. Системы класса SIEM выявляют угрозы и идентифицируют различные инциденты информационной безопасности, позволяя осуществлять полный риск-менеджмент и обеспечивать защиту от проникновений через внешний периметр защиты.

К техническим мерам защиты можно отнести все способы кодирования и шифрования данных, установление запрета на копирование, контроль компьютеров сотрудников и мониторинг использования учетных записей. 

С настройкой и управлением DLP-системой справится выделенная служба информационной безопасности. Для компаний, в которых ИБ-службы пока нет, есть альтернативное решение – услуга ИБ-аутсорсинга, которая включает установку и обслуживание специального ПО.

Правовые способы защиты коммерческой тайны

Если все утечка произошла и распространения конфиденциальная информация избежать не удалось, возникает необходимость привлечь к ответственности виновника и возместить ущерб. Это возможно только в судебном порядке. В суде также может быть оспорено увольнение по основанию «разглашение коммерческой тайны».

В российской судебной практике немало примеров, когда суд встает на сторону компании. Например, Московский городской суд признал законным увольнение сотрудницы, которая передала по электронной почте данные об объемах поставок. Ее уволили на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса Российской Федерации – разглашение охраняемой законом тайны.

А в другом случае Московский городской суд восстановил нарушителя режима коммерческой тайны на работе, так как компания-ответчик не предоставила трудовой договор с истцом, правила внутреннего трудового распорядка содержали, по мнению суда, нечеткие формулировки, а положение о коммерческой тайне или другие регламентирующие документы и вовсе отсутствовали в компании.

Подобные примеры подчеркивают необходимость внимательно относиться к регламентации вопросов, связанных с установлением режима коммерческой тайны. Тогда компании под силу не только защитить важные коммерческие сведения, но и возместить финансовые потери в случае инцидента, который может привести к оттоку клиентов, потере позиций в конкурентной среде и подрыве репутации.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/zaschita-informatsii-sostavlyayuschej-kommercheskuyu-tajnu/

Инструкция по защите сведений, составляющих коммерческую тайну Компании

8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано с целью предотвращения нанесения возможного экономического ущерба Компании со стороны юридических или физических лиц, вызванного их неправомерными или неосторожными действиями путем безвозмездного присвоения чужой информации или разглашения коммерческой тайны.

1.2. Под коммерческой тайной Компании понимаются не являющиеся государственными секретами сведения, связанные с производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельностью Компании, а также с её технологической информацией, управлением, финансами и т.п., разглашение (передача, утечка) которой может нанести ущерб интересам Компании.

К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные УПеречнем сведений, составляющих коммерческую тайну КомпанииФ, утверждаемым и вводимым в действие приказом руководителя Компании.

Коммерческая тайна Компании является её собственностью. Если коммерческая тайна является результатом совместной деятельности с другими компаниями, основанной на договорных началах, то она может быть собственностью двух сторон. Это обстоятельство должно быть отражено в договоре.

1.3. Под разглашением коммерческой тайны следует понимать противоправные, умышленные или неосторожные действия должностных или иных лиц, приведшие к преждевременному, не вызванному служебной необходимостью, открытому опубликованию сведений, подпадающих под эту категорию, а также их передача по открытым техническим каналам или обработка их на незащищенных ЭВМ.

1.4.

Под открытым опубликованием вышеуказанных сведений следует понимать публикацию материалов в открытой печати, передачу по радио и телевидению, оглашение на международных, зарубежных конференциях, совещаниях, симпозиумах, при открытой защите диссертаций и при других публичных выступлениях, свободную рассылку, вывоз материалов за границу или передача их в любой другой форме иностранным компаниям, организациям или отдельным лицам вне сферы прямых служебных обязанностей.

1.5. Возможность и необходимость открытого опубликования этих сведений, а также их объемы, формы и время опубликования определяются руководителем Компании или его заместителями по заключению постоянно действующей экспертной комиссии.

1.6.

Меры по ограничению открытых публикаций коммерческой информации не могут быть использованы во вред принципу гласности и для сокрытия от общественности фактов бесхозяйственности, расточительства, недобросовестной конкуренции и других негативных явлений в деятельности Компании. Использование для открытого опубликования сведений, полученных на договорной или доверительной основе и являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров.

1.7. Передача информации сторонним компаниям, не связанным с Компанией прямыми служебными контактами, должна регулироваться, как правило, договорными отношениями, предусматривающими обязательства и ответственность пользователей, включая возмещение материальных затрат за предоставление информации и компенсации за нарушение договорных обязательств.

1.8. Предоставление коммерческой информации представителям служебных, ревизионных, налоговых и следственных органов, депутатам, органам печати, радио и другим органам регулируется соответствующими положениями.

1.9. Тиражированные документы и издания с грифом УКонфиденциальная информацияФ или УКоммерческая тайнаФ (УКИФ или УКТФ) рассматриваются как материалы, содержащие сведения ограниченного распространения.

1.10.

Ответственность за обеспечение режима при работе с материалами с грифом УКИФ или УКТФ, своевременную разработку и осуществление необходимых мероприятий по сохранению коммерческой тайны возлагается на руководителя Компании, его заместителей по направлениям, руководителей структурных подразделений. Ответственность за организацию и осуществление защиты коммерческой тайны и проведение постоянного контроля за ее соблюдением  возлагается на службу безопасности.

Служба безопасности принимает меры по сохранению коммерческой тайны путем: максимального ограничения доступа к ней лиц; физической сохранности документов, содержащих такие сведения; обработки информации с грифом УКИФ и  УКТФ на защищенных ЭВМ; внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства Компании.

1.11. Защита коммерческой тайны предусматривает:

Х порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;

Х систему допуска сотрудников Компании, командированных и частных лиц к сведениям, составляющим коммерческую тайну Компании;

Х порядок работы с документами с грифом УКИФ и УКТФ;

Х обеспечение сохранности документов, дел и изданий с грифом «КИФ и УКТФ;

Х обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;

Х принципы организации и проведение контроля над обеспечением режима при работе со сведениями, составляющими коммерческую тайну;

Х ответственность и перечень санкций за разглашение сведений или потерю документов, содержащих коммерческую тайну.

1.12. Контроль над осуществлением учета, размножением, хранением и использованием документов, дел, изданий и иной информации с грифом УКИ и УКТФ возлагается на канцелярию или уполномоченных сотрудников службы безопасности.

1.13. Контроль над неразглашением сведений, содержащихся в документах, делах, изданиях, и тому подобной информации с грифом УКИФ или УКТФ осуществляется службой безопасности.

2. ПОРЯДОК ОПРЕДЕЛЕНИЯ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ КОММЕРЧЕСКУЮ ТАЙНУ

2.1. Определение необходимости проставления грифа УКИФ или УКТФ производится на основании Перечня, указанного в п. 1.2 настоящего Положения: на документе — исполнителем и должностным лицом, подписывающим его, а на издании — автором (составителем) и руководителем, утверждающим к печати.

2.2. Срок действия коммерческой тайны, содержащейся в информации, определяется в каждом конкретном случае исполнителем или должностным лицом, подписавшим документ, в виде конкретной даты или Удо заключения контрактаФ, или УбессрочноФ.

2.3. На документах, делах и изданиях, содержащих сведения, составляющие коммерческую тайну, проставляется гриф УКИФ или УКТФ, а на документах и изданиях, кроме того, — номера экземпляров.

Гриф и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания и на первой странице сопроводительного письма к этим материалам.

На обратной стороне последнего листа каждого экземпляра документа дается разметка, в которой указываются: количество отпечатанных экземпляров, регистрационный номер, фамилия исполнителя, его телефон, дата, срок действия коммерческой тайны, фамилия машинистки.

2.4.

Решение вопроса о снятии грифа УКоммерческая тайнаФ возлагается на создаваемую в установленном порядке специальную комиссию в составе представителей службы безопасности и соответствующих структур организации, оформляется актом произвольной формы и утверждается руководителем или его заместителем. В акте перечисляются дела, с которых гриф УКИФ или ФКТФ снимается. Один экземпляр акта вместе с делами передается в архив, а дела постоянного хранения — в государственный архив.

2.5. На обложках дел гриф УКИФ или УКТФ погашается штампом или записью от руки с указанием даты и номера акта, послужившего основанием для его снятия. Аналогичные отметки вносятся в описи и номенклатуру дел.

3. СИСТЕМА ДОПУСКА РАБОТНИКОВ И ПОРЯДОК ОБРАЩЕНИЯ С ДОКУМЕНТАМИ, СОСТАВЛЯЮЩИМИ КОММЕРЧЕСКУЮ ТАЙНУ

3.1. Допуск работников к сведениям, составляющим коммерческую тайну, осуществляется руководителями Компании и структурных подразделений, их заместителями.

Руководители подразделений и службы безопасности несут ответственность за подбор кадров, допускаемых к сведениям с грифом УКИФ илиФ КТФ, и обязаны обеспечить систематический контроль за тем, чтобы к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих служебных обязанностей.

3.2. К сведениям, составляющим производственные секреты, допускаются лица, имеющие на то установленного образца разрешение и подписавшие соответствующие обязательства в службе безопасности, а также обладающие необходимыми деловыми и нравственными качествами, гарантирующими надежность охраны коммерческой тайны.

3.3. Допуск к работе с делами УКИУ и УКТФ сотрудников, имеющих к ним непосредственное отношение, производится в соответствии с оформленным на внутренней стороне обложки разрешительным списком за подписью руководителя структурного подразделения, а к документам — согласно указаниям, содержащимся в резолюциях руководителей Компании и подразделений.

3.4.

Командированные и частные лица допускаются к ознакомлению и работе с документами и изданиями с грифом УКИФ и ФКТФ с письменного разрешения руководителей Компании и подразделений, в ведении которых находятся соответствующие материалы, при наличии письменного запроса организаций, где они работают, с указанием темы и объема выполняемого задания, а также предписания на выполнение задания и соответствующего документа о допуске к секретной информации. Выписки из документов и изданий, содержащих сведения с грифом УКИФ и ФКТФ, производятся в тетрадях, имеющих такой же гриф, которые после завершения задания высылаются заинтересованной организации.

3.5. Дела и издания с грифом УКИФ и УКТФ выдаются исполнителям и принимаются от них под расписку в Карточке учета выдаваемых дел и изданий.

3.6. Документы, содержащие коммерческую тайну, подлежат обязательной регистрации в службе безопасности или в общей канцелярии ее уполномоченным сотрудником. Документы должны иметь реквизиты, предусмотренные п.2.3, и гриф УКИФ или ФКТФ (или полностью УКоммерческая тайнаФ).

На документах, передаваемых зарубежным гражданам, гриф УКИФ или ФКТФ не проставляется. Материалы, полученные от иностранцев, маркируются грифом «КИФ или ФКТФ графитным карандашом.

В тексте документов и его реквизитах дополнительно могут оговариваться права на информацию, порядок пользования ею, сроки ограничения на публикацию и др.

Отсутствие грифа «КИФ или ФКТФ и предупредительных оговорок в тексте и реквизитах означает свободную рассылку и предполагает, что автор информации и должностное лицо, санкционирующее ее распространение, предусмотрели все возможные последствия свободной рассылки и несут за это всю полноту ответственности.

3.7. Вся поступающая в Компанию корреспонденция с грифом «КИФ или ФКТФ или другими грифами (п. 1.2) принимается и вскрывается сотрудниками канцелярии.

При регистрации проверяется количество листов и экземпляров документов и изданий, а также наличие приложений, указанных в сопроводительном письме.

В случае отсутствия в конвертах (пакетах) документов «КИФ или ФКТФ или приложений к ним составляется акт в двух экземплярах, один из которых направляется отправителю.

3.8 . Регистрации подлежат все входящие, исходящие и внутренние документы, а также издания с грифом «КИФ или ФКТФ. Такие документы учитываются по количеству листов, а издания (книги, журналы, брошюры) — поэкземплярно.

3.9. Учет документов и изданий с грифом «КИФ или ФКТФ ведется в журналах или на карточках, отдельно от учета другой несекретной корреспонденции.

Листы журналов нумеруются, прошиваются и опечатываются. Издания, которые не подшиваются в дела, учитываются в Журнале инвентарного учета.

Движение документов и изданий с грифом «КИФ или ФКТФ должно своевременно отражаться в журналах или карточках.

3.10. На каждом зарегистрированном документе, а также на сопроводительном листе к изданиям с грифом «КИФ или ФКТФ проставляется штамп, в котором указываются наименование Компании, регистрационный номер документа и дата его поступления.

3.11. Тираж издания с грифом «КИФ или ФКТФ, полученный для рассылки, регистрируется под одним входящим номером в Журнале учета и распределения изданий.

Дополнительно размноженные экземпляры документа (издания) учитываются за номером того же документа (издания), о чем делается отметка на размноженном документе (издании) и в учетных формах.

Нумерация дополнительно размноженных экземпляров производится от последнего номера ранее учтенных экземпляров.

3.12. Печатание материалов с грифом «КИФ или ФКТФ производится в бюро оформления технической документации или в структурных подразделениях под контролем их руководителей.

3.13. Отпечатанные и подписанные документы с грифом «КИФ или ФКТФ  вместе с их черновиками и вариантами передаются для регистрации сотруднику канцелярии, осуществляющему их учет. Черновики и варианты уничтожаются тем же сотрудником с подтверждением факта их уничтожения с записью на копии исходящего документа: УЧерновик уничтоженФ. Подпись.

3.14. Копирование документов и изданий с грифом «КИФ или ФКТФ в типографиях, на множительных аппаратах производится с разрешения службы безопасности и под контролем канцелярии по заказам, подписанным руководителем подразделения и утвержденным заместителем руководителя по направлению. Учет размноженных документов и изданий осуществляется поэкземплярно в специальном журнале.

3.15. Рассылка документов и изданий с грифом «КИФ или ФКТФ осуществляется на основании подписанных руководителем структурного подразделения и службы безопасности разнарядок с указанием учетных номеров отправляемых экземпляров.

3.16. Документы с грифом «КИФ или ФКТФ после исполнения группируются в отдельные дела. Правила такой работы предусматриваются номенклатурами дел делопроизводства. В номенклатуру дел в обязательном порядке включаются все справочные картотеки и журналы на документы и издания с грифом «КИФ или ФКТФ.

3.17. При пользовании открытой радиосвязью запрещается передавать сведения, имеющие гриф «КИФ или ФКТФ.

Они могут передаваться исключительно по закрытым техническим каналам или открытой телетайпной связью с проставлением на документах и телеграммах штампа УСерия ПФ.

При пользовании проводной связью запрещается указывать должности адресатов-отправителей, разрешается указывать только телеграфные адреса и фамилии отправителей и получателей.

3.18. Снятие копий (рукописных, машинописных, микро- и фотокопий, электрографических и др.

), а также осуществление выписок из документов и изданий с грифом «КИФ или ФКТФ производятся сотрудниками с разрешения руководителей Компании и его подразделений.

Снятие копий для сторонних организаций с документов и изданий с грифом «КИФ или ФКТФ делается на основании письменных запросов с разрешения тех же должностных лиц. Соответствующие отметки вносятся в описи и номенклатуры дел.

3.19. Обработка информации с грифом «КИФ и ФКТФ производится на учтенных и защищаемых ЭВМ.

3.20. Документы, дела и издания с грифом «КИФ и ФКТФ должны храниться в служебных помещениях и библиотеках в надежно запираемых и опечатываемых шкафах (хранилищах), при этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность.

3.21. Выданные для работы дела с грифом «КИФ или ФКТФ подлежат возврату в канцелярию или уполномоченному службы безопасности в день получения.

Отдельные дела с грифом «КИФ или ФКТФ с разрешения начальника канцелярии или уполномоченного службы безопасности могут находиться у исполнителя в течение срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности.

3.22. Передача документов, дел и изданий с грифом «КИФ или ФКТФ другим сотрудникам, имеющим допуск к ним, производится только через канцелярию или уполномоченного службы безопасности.

3.23. Запрещается изъятие из дел или перемещение документов с грифом «КИФ или ФКТФ из одного дела в другое без санкции канцелярии или уполномоченного службы безопасности, осуществляющего их учет. Обо всех проведенных изъятиях или перемещениях делаются отметки в учетных документах, включая внутренние описи.

3.24. Запрещается выносить документы, дела и издания с грифом «КИФ или ФКТФ из служебных помещений для работы с ними на дому, в гостиницах и т.д.

В необходимых случаях руководитель Компании, его заместители или руководители структурных подразделений могут разрешить исполнителям или сотрудникам канцелярии вынос из здания документов с грифом «КИФ или ФКТФ для их согласования, подписи и т.п. в организациях, находящихся в пределах одного города.

3.25 . Лицам, выезжающим за пределы территории Компании, запрещается иметь при себе в пути следования документы, дела или издания с грифом «КИФ или ФКТФ. Эти материалы должны быть направлены заранее в адрес организации по месту командировки сотрудника, как правило, заказными или ценными почтовыми отправлениями или курьерами Компании.

3.26. При смене сотрудников, ответственных за учет и хранение документов, дел и изданий с грифом «КИФ или ФКТФ, составляется в произвольной форме акт приема-сдачи, который утверждается заместителями руководителя Компании или руководителями её структурных подразделений.

4. ОБЯЗАННОСТИ ЛИЦ, РАБОТАЮЩИХ С ИНФОРМАЦИЕЙ, СОСТАВЛЯЮЩЕЙ КОММЕРЧЕСКУЮ ТАЙНУ КОМПАНИИ

4.1. Лица, допущенные к работам, документам и к сведениям, составляющим коммерческую тайну, несут персональную ответственность за соблюдение ими установленного в Компании режима.

Прежде чем получить доступ к закрытой информации, они должны изучить требования настоящего руководства и другие нормативные документы, определяющие защиту коммерческой тайны, сдать зачет на знание установленных требований и передать в службу безопасности соответствующее личное письменное обязательство.

4.2. Лица, допущенные к работам, документам и к сведениям, составляющим коммерческую тайну, обязаны:

4.2.1. Строго хранить коммерческую тайну, ставшую им известной по службе или работе либо иным путем, пресекать действия других лиц, которые могут привести к ее разглашению. О таких фактах, а также о других причинах или условиях возможной утечки коммерческой тайны немедленно информировать непосредственно начальника и службу безопасности.

4.2.2. В течение договорного периода не использовать известную коммерческую тайну для своих личных целей, а также не заниматься без соответствующего разрешения руководства любой деятельностью, которая в качестве конкурентного действия может нанести ущерб Компании, являющейся собственником секретных сведений.

4.2.3. Выполнять только те работы и знакомиться только с теми документами, к которым получили доступ в силу своих служебных обязанностей. Знать степень важности выполняемых работ, правильно определять ограничительный гриф документов, строго соблюдать правила пользования ими, порядок их учета и хранения.

4.2.4. При составлении документов со сведениями, составляющими коммерческую тайну, ограничиться минимальными, действительно необходимыми сведениями, определять количество экземпляров документов в строгом соответствии с действительной служебной необходимостью и не допускать рассылки их адресатам, к которым они не имеют отношения.

4.2.5. На черновиках документов проставлять соответствующий ограничительный гриф и другие необходимые реквизиты. Передавать их на печать только с письменного разрешения руководителя подразделения.

4.2.6. После получения из машинописного бюро отпечатанных документов проверить их наличие, сличить эти данные с записями в журнале и расписаться (с указанием даты) за получение отпечатанных документов и черновиков, после чего учесть в канцелярии или у уполномоченного службы безопасности.

4.2.7. Получать документы с грифом «КИФ и ФКТФ лично в канцелярии или у уполномоченного службы безопасности. Своевременно знакомиться с полученными документами и разборчиво расписываться на них с указанием даты ознакомления.

4.2.8. Поступившие документы с грифом «КИФ и ФКТФ своевременно направлять для приобщения к делу с соответствующими отметками об исполнении (номер дела, дата исполнения, подпись) и резолюцией начальника подразделения.

4.2.9. Сдавать в канцелярию или уполномоченному службы безопасности исполненные входящие документы, а также предназначенные для рассылки, подшивки в дело, уничтожения и взятия на инвентарный учет под расписку в журнале учета.

4.2.10. Иметь внутреннюю опись документов с грифом «КИФ и ФКТФ и немедленно вносить в нее все полученные для исполнения документы, хранить их только в рабочей папке, а при выходе в рабочее время из помещения рабочую папку с документами запирать в сейф.

Источник: https://hr-portal.ru/doki/instrukciya-po-zashchite-svedeniy-sostavlyayushchih-kommercheskuyu-taynu-kompanii

Методическое пособие основы защищенного делопроизводства

8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ

8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ

КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ И ХРАНЕНИИ ЕЕ

В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

Средства автоматизированной обработки информации с использованием ЭВМ (ПЭВМ) имеют ряд особенностей, позволяющих бесконтрольно манипулировать информацией соответствующих автоматизированных систем (АС) как персоналу АС, так и посторонним лицам, а также скрытно получать доступ к обрабатываемой информации на значительном расстоянии от средств вычислительной техники. Поэтому конфиденциальная информация АС (составляющая коммерческую тайну) без адекватной ее защиты может быть достаточно легко скомпрометирована, вызвав значительные экономические, моральные и другие потери для собственника (владельца) такой информации. В связи с этим, принятие решения о вводе конфиденциальной информации в АС необходимо проводить с учетом определенного риска, который может быть значительно уменьшен или практически исключен с использованием соответствующих средств и мер защиты.

Применительно к АС наиболее опасными действиями по отношению к защищаемой информации являются: утрата информации — неосторожные действия собственника информации, представленной в АС на различных носителях и в файлах, или лица, которому были доверена информация в силу его официальных (производственных) обязанностей в рамках АС, в результате которых информация была потеряна и стала либо могла стать достоянием посторонних лиц;

раскрытие информации — умышленные или неосторожные действия, в результате которых информация, представленная на различных носителях и в файлах, стала доступной для посторонних лиц;

порча информации — умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах;

кража информации — умышленные действия, направленные на несанкционированное изъятие информации из системы ее обработки, как посредством кражи носителей информации, так и посредством дублирования (копирования) информации, представленной в виде файлов АС;

подделка информации — умышленные или неосторожные действия, в результате которых нарушается целостность (точность, достоверность, полнота) информации, находящейся на различных носителях и в файлах АС;

блокирование информации — умышленные или неосторожные действия, приводящие к недоступности информации в системе ее обработки;

нарушение работы системы обработки информации умышленные или неосторожные действия, приводящие к частичному или полному отказу системы обработки либо создающие благоприятные условия для выполнения вышеперечисленных действий.

Перечисленные действия могут реализовываться в АС посредством следующих атак (каналов, угроз):

1. Незаконное физическое проникновение посторонних лиц в помещения, в которых располагаются средства автоматизированной обработки (хранилища, архивы);

2. Перехват побочных электромагнитных, акустических и других излучений от средств автоматизированной обработки, несущих конфиденциальную информацию, как через традиционный «эфир», так и с использованием наводок таких излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (сети питания, телефонные линии, отопление, канализация и т. п.);

3. Использование электроакустического воздействия речи персонала АС на СВТ и вспомогательные технические средства для перехвата речевой информации, содержащей коммерческую тайну, по соответствующему излучению модулированных сигналов от этих средств;

4. Перехват информационных сигналов в линиях и каналах связи средств автоматизированной обработки посредством незаконного к ним подключения;

5. Включение специальных устройств в СВТ, позволяющих несанкционированно получать обрабатываемую в АС информацию, ретранслировать ее с помощью передатчиков, блокировать работу СВТ, уничтожать информацию на различных носителях, уничтожать сами СВТ;

6. Несанкционированное (незаконное) логическое проникновение (вход) в АС посторонних лиц под видом законного пользователя посредством подбора (кражи) пароля или обхода механизма контроля входа в систему (при его наличии);

7. Загрузка посторонней операционной системы (ОС) или программ без средств контроля доступа в ЭВМ АС;

8. Обследование (считывание) освобожденных областей оперативной и внешней памяти, ранее содержавших конфиденциальную информацию и информацию по разграничению доступа (пароли, ключи, коды, матрицы доступа и т. п.), а также отработанных носителей АС (печатных, графических документов);

9. Получение привилегированного статуса для взятия полного контроля над АС посредством изменения системных таблиц ОС и регистров;

10. Изменение установленного статуса объектов защиты АС (кодов защиты, паролей, матрицы доступа);

11. Модификация прикладных и системных программных средств АС с целью обхода (отключения) механизма контроля доступа или выполнения несанкционированных действий в АС;

12. Введение и использование в АС «вредоносных» программных средств для манипулирования или блокирования работы АС.

Сети ЭВМ (ПЭВМ) по сравнению с автономной ЭВМ (ПЭВМ) значительно больше подвержены возможным посягательствам на обрабатываемую в них информацию.

Наиболее распространенными угрозами в сети ЭВМ являются: перехват сообщений в каналах передачи; порождение правдоподобных сообщений; маскировка под узаконенный узел сети; подложная идентификация оконечного абонента; несанкционированный доступ со стороны законных абонентов; неправильный выбор маршрута сообщений.

С учетом перечисленных угроз защита конфиденциальной информации в АС строится в виде двух относительно самостоятельных в техническом плане частей, реализующих:

8.1. Основные требования к системам защиты информации

Основными методами защиты информации в АС являются:

физическая охрана средств вычислительной техники (СВТ) (устройств и носителей информации), предусматривающая наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и/или специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

использование средств вычислительной техники (СВТ) в специально защищенном от ПЭМИН и НСД исполнении;

использование сертифицированных средств защиты; проведение специальных исследований и контроль СВТ с целью исключения непредусмотренных включений и добавок;

снижение (исключение) побочных электромагнитных излучений от СВТ;

снижение (исключение) наводок побочных электромагнитных излучений от СВТ на вспомогательные технические средства (ВТС);

снижение (исключение) информативности сигналов побочных электромагнитных излучений и наводок с использованием систем активной защиты (генераторов шума);

идентификация и проверка подлинности (аутентификация) пользователей и других ресурсов АС ( программно-аппаратных средств );

персональный допуск пользователей к работе в АС и ее ресурсам, включая взаимодействие с другими ресурсами АС;

надзор за деятельностью пользователей в АС и ее учет, включая средства обеспечения персональной ответственности. пользователей за свои действия в АС;

проверка целостности (отсутствия вредных изменений) ресурсов АС, включая средства защиты информации;

использование криптографических средств защиты информации, находящейся в оперативной и внешней памяти ЭВМ и на различных носителях, а также передаваемой по линиям связи;

применение методов защиты от копирования файлов АС;

периодическое и динамическое тестирование и контроль работоспособности средств защиты, их оперативное восстановление.

Выбор структуры СЗИ и методов защиты осуществляется в процессе создания СЗИ на основании предварительного аналитического и технического обследования АС с учетом государственных нормативных и руководящих документов по защите информации от ПЭМИН и НСД. Требуемое качество СЗИ (надежность защиты информации) задается собственником (владельцем) информации и определяется как на этапе создания, так и эксплуатации СЗИ.

Для выполнения работ по созданию СЗИ могут привлекаться специализированные предприятия, имеющие лицензию на проведение работ по защите коммерческой информации, сертификации средств защиты, аттестации СЗИ АС.

При обработке или хранении в АС информации в рамках СЗИ государственным, коллективные частным и совместным предприятиям, а также частным лицам рекомендуются следующие организационные мероприятия:

выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;

определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;

установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;

ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;

получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;

обеспечение охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи АС;

выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;

организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т. д.;

разработка СЗИ, включая соответствующую организационно-распорядительную и эксплуатационную документацию;

осуществление приемки СЗИ в составе АС и ее аттестация.

Создание СЗИ рекомендуется проводить по следующим этапам:

1. Проведение аналитического обследования АС с целью оценки возможной уязвимости обрабатываемой в ней коммерческой информации и выработки необходимых требований по ее защите.

На данном этапе, исходя из требований собственника (владельца) информации и предварительного обследования АС, осуществляется выбор уровня защиты информации — класса защищенности АС от НСД, а также требования по защите информации от ПЭМИН.

2. Проектирование (создание) СЗИ.

В процессе создания (разработки) СЗИ на основании установленных требований по защите информации от НСД и ПЭМИН с учетом условий работы АС и заданных собственником (владельцем) информации ограничений на финансовые, материальные, трудовые и другие ресурсы осуществляется выбор или/и разработка конкретных методов и средств защиты. Результатом данного этапа является законченный комплекс аттестованных (сертифицированных) средств и методов защиты информации, имеющий соответствующую необходимую проектную и эксплуатационную документацию.

3. Приемка СЗИ в эксплуатацию. На данном этапе осуществляется внедрение (установка) средств и методов СЗИ в АС, их комплексная проверка и тестирование, необходимое обучение и освоение персоналом АС СЗИ. Устраняются выявленные в процессе .проверки и тестирования недостатки СЗИ. Результатом этого этапа является общая аттестация СЗИ АС.

4. Эксплуатация СЗИ АС.

В процессе эксплуатации АС проводится регулярный контроль эффективности СЗИ, при необходимости осуществляется доработка СЗИ в условиях изменения состава программно-аппаратных средств, оперативной обстановки и окружения АС.

Контролируются и анализируются все изменения состава АС и СЗИ перед их реализацией отклоняются все модификации АС, снижающие установленную эффективность защиты информации. Периодически (1 раз в год) подтверждается аттестация СЗИ АС.

8.2. Требования к системам защиты информации

от несанкционированного доступа

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники от ПЭМИН.

Комплекс программно-аппаратных средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), состоящей условно из следующих четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспечения целостности.

Собственником (владельцем) конфиденциальной информации АС при участии экспертной комиссии и заинтересованных лиц выбирается приемлемый класс защищенности АС от НСД (при необходимости с привлечением специалистов по защите информации), исходя из условий и режима работы АС и требуемой надежности защиты информации. Выбранная классификация защищенности АС оформляется актом и утверждается собственником (владельцем) конфиденциальной информации АС.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

режим обработки данных в АС: коллективный или индивидуальный.

Конкретный состав СЗИ НСД определяется, исходя из выбранного для данной АС класса защищенности в соответствии с документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

В зависимости от условий конкретной АС, определяемых, главным образов установленным классом защищенности АС в рамках подсистем управления доступом, регистрации и учета, обеспечения целостности и криптографической подсистемы рекомендуется реализовать (выполнить) следующие функции — требования по соответствующим классам.

Подсистема управления доступом должна включать средства идентификации, проверки подлинности (аутентификации) и контроль доступа пользователей и их программ к следующим ресурсам:

к системе;

к терминалам;

к ЭВМ (ПЭВМ), узлам сети ЭВМ (ПЭВМ);

к каналам связи;

к внешним устройствам ЭВМ (ПЭВМ);

к программа к томам, каталогам, файлам, записям, полям записей.

Элементы идентификации, проверки подлинности и контроля доступа к ресурсам реализуются при наличии в АС указанных ресурсов и в случае отсутствия полномочий на доступ к ним у некоторых пользователей. Контроль доступа субъектов к защищаемым ресурсам осуществляется в соответствии с матрицей доступа.

Помимо средств контроля доступа данная подсистема при наличии нескольких уровней конфиденциальности информации должна включать средства управления потоками информации, т. е.

контроля передачи информации между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление потоками информации осуществляется с помощью меток конфиденциальности.

При этом уровень конфиденциальности защищаемых объектов (накопителей) должен быть не ниже уровня конфиденциальности записываемой на них информации.

Подсистема регистрации и учета должна включать средства регистрации и учета следующих событий и/или ресурсов:

входа/выхода пользователей в/из системы (узла сети);

выдачи печатных (графических выходных документов;

запуска/завершения программ и процессов (заданий, задач), использующих защищаемые файлы;

доступа программ пользователей к защищаемым файлам включая их создание и удаление, передачу по линиям и каналам связи;

доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ, каналам и линиям связи, внешним устройствам ЭВМ, программам, томам, каталогам; изменения полномочий субъектов доступа; создаваемых защищаемых объектов доступа; учета носителей информации. Кроме этого, данная подсистема должна включать средства очистки (обнуления, обезличивания ) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации.

Криптографическая подсистема должна предусматривать шифрование конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, а также на съемные носители данных (ленты, диски, дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа.

Доступ к операциям шифрования и/или криптографическим ключам должен контролироваться посредством подсистемы управления доступом. При этом должны использоваться сертифицированные средства криптографической защиты.

Их сертификация проводится специальными сертификационными центрами или специализированными предприятиями, имеющими лицензию на проведение сертификации криптографических средств защиты.

Уровень реализации функций СЗИ НСД должен обеспечивать ее целостность для всех режимов работы АС.

Подсистема обеспечения целостности СЗИ НСД является обязательной для любой СЗИ и включает организационный, программно-аппаратные и другие средства и методы, обеспечивающие:

физическую охрану СВТ (устройств и носителей информации), территории и здания, где размещается ЛС, с помощью технических средств охраны и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;

недоступность средств управления доступом, учета и контроля со стороны пользователей с целью их модификации, блокирования или отключения;

контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения;

периодическое и/или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств;

наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД;

восстановление СЗИ НСД при отказе и сбое;

применение сертифицированных (аттестованных) средств и методов защиты, сертификация которых проводится специальными сертификационными центрами или специализированными предприятиями, имеющими лицензию на проведение сертификации средств защиты СЗИ НСД, для низких классов защищенности допускается проведение сертификации самим предприятием (собственником).

Контроль программной среды общесистемных средств и СЗИ НСД, принятой в эксплуатацию, должен быть обеспечен для каждой АС, обрабатывающей конфиденциальную информацию. Целостность программной среды обеспечивается качеством приемки программных средств АС, предназначенных для обработки конфиденциальной информации.

Практическое создание средств защиты информации, удовлетворяющих перечисленным требованиям, осуществляется в рамках аппаратных средств и управляющих программ операционных систем ЭВМ (ПЭВМ), а также в рамках программных средств, расширяющих возможности операционных систем в случае их применения.

8.3. Требования к системам защиты информации от перехвата

электромагнитных излучений и наводок (ПЭМИН)

В практике защиты конфиденциальной информации АС от перехвата за счет ПЭМИН применяются следующие методы защиты:

1. Применение средств вычислительной техники в защищенном от

ПЭМИН исполнении.

2. Реализация объектовых мер и средств защиты.

3. Использование специальных организационных мероприятий по защите информации от ПЭМИН.

4. Использование технических средств защиты. Наибольшая эффективность защиты от ПЭМИН достигается комплексным сочетанием перечисленных методов в рамках системы защиты информации от ПЭМИН.

Выбор методов защиты коммерческой информации в АС от ПЭМИН необходимо проводить с учетом их технико-экономической целесообразности и анализа конкретных условий АС.

Разработку системы защиты информации от ПЭМИН в АС должны проводить соответствующие специалисты или специализированные предприятия, имеющие лицензию на данный вид деятельности.

Возможность применения СВТ в защищенном исполнении рассматривается на начальных этапах создания СЗИ. При положительном решении оформляется соответствующий заказ на приобретение таких СВТ у их производителя.

При отсутствии требуемых отечественных СВТ в защищенном исполнении следует ориентироваться на СВТ зарубежного производства, выпускаемых с учетом технологии ТЕМРЕ5Т.

СВТ зарубежного производства, предназначенные для обработки конфиденциальной информации, следует использовать в АС после проведения специальных проверок на предмет отсутствия в них непредусмотренных включений и добавок. Такие проверки проводят специализированные предприятия, имеющие соответствующую лицензию.

В случае отсутствия СВТ в защищенном исполнении в АС или недостаточности их характеристик по защищенности на основании аналитического обследования АС рассматривается применение объектовых, мер по защите от ПЭМИН. Такие меры могут предусматривать:

создание контролируемой зоны СВТ (территории) в пределах которой исключается или значительно затрудняется перехват сигналов ПЭМИН;

создание специальной зоны, в пределах которой запрещается размещение вспомогательных технических средств (ВТС), исключаются или значительно снижаются наводки на эти средства, исключается (затрудняется) постороннее к ним подключение.

ВТС (телефонные средства и системы, цепи освещения, трубопроводы и металлоконструкции, средства и системы кондиционирования, средства охраны и сигнализации и т.п.

), имеющие выход за пределы контролируемой зоны, необходимо удалять от основных технических средств;

организацию питания и заземления СВТ, дооборудование помещений, специальное размещение и монтаж СВТ и ВТС, снижающие ПЭМИН.

При недостаточности объектовых мер рекомендуется предусматривать меры организационного характера, включающие организацию охраны и контроля доступа к зонам размещения СВТ и ВТС, проверку цепей и коммуникаций на предмет отсутствия непредусмотренных отводок и подключений и т. п.

Наиболее распространенной системой технической защиты от ПЭМИН является система, которая использует активный метод зашумлению побочных электромагнитных излучений от электронной вычислительной техники (ЭВТ) и наводок в процессе обработки защищаемой информации.

Для такой защиты используются специально разработанные генераторы шума с использованием специальной системы антенн. Генераторы устанавливаются в помещениях, где обрабатывается защищаемая информация и включается до начала обработки информации на ЗВТ.

Для исключения информативности наводок на ВТС к последним подключается антенная система генераторов шума.

Создание системы активной защиты (САЗ) проводится с использованием специальных изделий и устройств, примером которых являются САЗ «Волна-ЗМ» и «Вектор-4». Требования и рекомендации по изделиям «Волна-ЗМ» и «Вектор-4» содержатся в их проектной документации (издание СНПО «ЭЛЕРОН») и в отраслевых материалах ОРТМ ЭВТ-81.

В рамках технической защиты могут использоваться дополнительные конструктивные решения СВТ, снижающие ПЭМИ.

Для защиты линий связи СВТ от ПЭМИН и подключений наиболее эффективными являются волоконно-оптические системы связи и криптографические средства.

Эффективность защиты от ПЭМИН после внедрения всех мероприятий исследуется по специальной методике.

Более детальные рекомендации и требования по защите разрабатываются с учетом государственных нормативных документов по защите коммерческой информации от ПЭМИН.

9. ПРИЛОЖЕНИЯ

Приложение 1

Наименование предприятия

Источник: https://textarchive.ru/c-1460084-p8.html

5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну

8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ

Приразработке и эксплуатации АС, предполагающихиспользование сведений, составляющихкоммерческую тайну, рекомендуетсявыполнение следующих основныхорганизационно-технических мероприятий:

5.3.1.На предприятии следует документальнооформить «Перечень сведений,составляющих коммерческую тайну».Все исполнители должны быть ознакомленыс этим «Перечнем».

5.3.2.При организации разработки и эксплуатацииАС с использованием таких сведенийследует ориентироваться на порядок,приведенный в разделе 3. Оформить порядокразработки и эксплуатации таких АСдокументально.

5.3.3.Рекомендуется относить АС, обрабатывающиеинформацию, составляющую коммерческуютайну, режим защиты которой определяетее собственник, по уровню защищенностик классам 3Б, 2Б и не ниже 1Д (если порешению руководителя предприятия непредъявляются более высокие требования).

5.3.4.

Рекомендуется для обработки информации,составляющей коммерческую тайну,использовать средства вычислительнойтехники, удовлетворяющие требованиямстандартов Российской Федерации поэлектромагнитной совместимости, побезопасности и эргономическим требованиямк средствам отображения информации, посанитарным нормам, предъявляемым квидеодисплейным терминалам ПЭВМ (ГОСТ29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р50923-96, СанПиН 2.2.2.542-96).

Дляповышения уровня защищенности информациирекомендуется использовать сертифицированныепо требованиям безопасности информацииСВТ.

5.3.5.Для передачи информации по каналамсвязи, выходящим за пределы контролируемойзоны, необходимо использовать защищенныеканалы связи, в том числе защищенныеволоконно-оптические линии связи илипредназначенные для этого криптографическиесредства защиты информации.

5.3.6.Следует установить на предприятиипорядок учета, хранения и уничтоженияносителей информации на магнитной(магнитно-оптической) и бумажной основев научных, производственных и функциональныхподразделениях, а также разработать иввести в действие разрешительную системудопуска исполнителей документам исведениям, составляющим коммерческуютайну.

Указанныйминимальный набор рекомендуемыхорганизационно-технических мероприятийпо решению руководителя предприятияможет быть расширен.

Решениео составе и содержании мероприятий, атакже используемых средств защитыинформации принимается руководителемпредприятия по результатам обследованиясоздаваемой (модернизируемой) АС сучетом важности (ценности) защищаемойинформации.

5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации ас

5.4.1.Организация эксплуатации АС и СЗИ в еесоставе осуществляется в соответствиис установленным в учреждении (напредприятии) порядком, в том числетехнологическими инструкциями поэксплуатации СЗИ НСД для пользователей,администраторов АС и работников службыбезопасности.

5.4.2.Для обеспечения защиты информации впроцессе эксплуатации АС рекомендуетсяпредусматривать соблюдение следующихосновных положений и требований:

  • допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком;

  • на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя учреждения (предприятия) или руководителя службы безопасности;

  • в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;

  • по окончании обработки защищаемой информации или при передаче управления другому лицу пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ;

  • изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС;

  • при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

5.4.3.Все носители информации на бумажной,магнитной, оптической (магнито-оптической)основе, используемые в технологическомпроцессе обработки информации в АС,подлежат учету в том производственном,научном или функциональном подразделении,которое является владельцем АС,обрабатывающей эту информацию.

5.4.4.Учет съемных носителей информации намагнитной или оптической основе (гибкиемагнитные диски, съемные накопителиинформации большой емкости или картриджи,съемные пакеты дисков, иные магнитные,оптические или магнито-оптическиедиски, магнитные ленты и т.п.

), а такжераспечаток текстовой, графической ииной информации на бумажной илипластиковой (прозрачной) основеосуществляется по карточкам или журналамустановленной формы, в том числеавтоматизировано с использованиемсредств вычислительной техники.

Журнальная форма учета может использоватьсяв АС с небольшим объемом документооборота.

5.4.5.Съемные носители информации на магнитнойили оптической основе в зависимости отхарактера или длительности использованиядопускается учитывать совместно сдругими документами по установленнымдля этого учетным формам.

Приэтом перед выполнением работ сотрудником,ответственным за их учет, на этихносителях информации предварительнопроставляются любым доступным способомследующие учетные реквизиты: учетныйномер и дата, пометка «Для служебногопользования», номер экземпляра,подпись этого сотрудника, а также другиевозможные реквизиты, идентифицирующиеэтот носитель.

5.4.6.Распечатки допускается учитыватьсовместно с другими традиционнымипечатными документами по установленнымдля этого учетным формам.

5.4.7.Временно не используемые носителиинформации должны храниться пользователемв местах, недоступных для постороннихлиц.

Источник: https://studfile.net/preview/2566963/page:8/

Scicenter1
Добавить комментарий