Страница 36 из 44
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
После установления состава конфиденциальной информации определяются сроки ее конфиденциальности либо указываются обстоятельства и события, при наступлении которых конфиденциальность снимается. Сроки конфиденциальности должны соответствовать срокам действия условий, необходимых и достаточных для признания данной информации конфиденциальной в соответствии с законодательством.
Результаты работы оформляются перечнем сведений, составляющих коммерческую тайну, каждый из которых может иметь следующие графы:
При значительном объеме конфиденциальных сведений они классифицируются в перечнях по разделам, составляющим сферы деятельности предприятия.
Перечни подписываются всеми членами комиссии, утверждаются и вводятся в действие приказами руководителя предприятия. В приказах должны быть определены мероприятия по обеспечению функционирования перечней и контролю их выполнения. С приказами и перечнями необходимо ознакомить под расписку всех сотрудников предприятия, работающих с соответствующей конфиденциальной информацией.
Дополнения и изменения состава включенных в перечни сведений могут вноситься с разрешения руководителя предприятия за подписями руководителя подразделения по принадлежности сведений и руководителя службы защиты информации (службы безопасности). При существенном изменении состава сведений перечни должны составляться заново.
Информацию, подлежащую защите, можно отнести к трем областям: выработка решений, имеющих стратегическое значение и осуществления соответствующих планов; сведения о технологии сбора и обработки конфиденциальной информации; переговоры о заключении сделок.
В трудовой договор предприятия необходимо внести ряд пунктов соответствующего характера:
1. Работник обязан соблюдать конфиденциальности сведений, которые ему стали известны в процессе работы. В случае нарушения конфиденциальности работник несет материальную и административную ответственность в соответствии с действующим законодательством РФ и правилами внутреннего распорядка работодателя. Обязательства по соблюдению конфиденциальности остаются в силе и после прекращения срока действия настоящего договора в течение одного года;
2. Отдельную статью, связанную с конфиденциальностью, в которой бы содержалось следующее:
2.1. Под «Коммерческой тайной» понимаются носящие конфиденциальный характер сведения и их носители, полученные в рамках настоящего договора, и отвечающими следующим условиям:
— сведения и их носители, указанные в «Перечне сведений, составляющих коммерческую тайну»;
— сведения и их носители не являются общеизвестными или общедоступными из других источников;
— сведения и их носители не передавались работодателем в распоряжение других лиц без обязательства, касающегося их конфиденциальности;
2.2. Под «Разглашением коммерческой тайны» понимаются умышленные или неосторожные действия работника, приведшие к преждевременному, не вызванному служебной необходимостью, открытому опубликованию сведений, составляющих коммерческую тайну, либо к утрате документов с такими сведениями или бесконтрольному использованию и распространению этих сведений.
Предприятию необходимо разработать должностные инструкции сотрудников.
Необходимым организационно-правовым документом с точки зрения защиты информации для фирмы является должностная инструкция сотрудника. Такой документ должен содержать следующие разделы:
1. Общие положения;
2. Должностные обязанности;
3. Права.
Утверждается должностная инструкция руководителем или иным должностным лицом, уполномоченным утверждать должностные инструкции.
Предприятие должно разработать «Обязательство о неразглашении коммерческой тайны».
Следующим важным шагом с правовой точки зрения является разработка «Обязательства о неразглашении коммерческой тайны».
Разглашение информации, составляющей коммерческую тайну, — это «действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».
В обязательство должен быть включен пункт, который не позволял бы использовать любую информацию, полученную сотрудником в ходе выполнения им служебных обязанностей для осуществления любой деятельности несвязанной с этим предприятием.
И наконец, предприятию необходимо разработать «Подписку при увольнении с работы».
Очевидно, что некоторые сотрудники в силу обстоятельств могут покинуть фирму, соответственно необходимо учесть этот момент при правовом регулировании отношений с сотрудниками. В Обязательстве на этот счет сказано, что сотрудник обязуется в течение определенного времени после увольнения не разглашать сведения, ставшие известными ему по работе.
Политика по сохранению коммерческой тайны реализуется путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.
Защита и обработка конфиденциальных документов предусматривает:
— порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;
— систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую я тайну;
— обеспечение сохранности документов на различных носителях с грифом конфиденциальности;
— обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;
— принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющим коммерческую тайну;
— ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.
10. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Социотехнические системы, представляя собой единение человека и техники, всегда характеризуются определенными целями, которые ставят перед собой люди, достигая их с помощью технических средств, с которыми общаются через интеллектуального посредника. Причем цели и допустимые стратегии социотехнической системы в реальных ситуациях принятия решений по их защите зачастую субъективны и не могут быть точно определены. Это происходит преимущественно по той причине, что, помимо объективных законов, в их функционировании существенную роль играют субъективные представления, суждения, поступки и даже эмоции людей. Действительно, при исследовании безопасности объекта информатизации, расположенного на некотором предприятии, значительное количество информации об этом объекте может быть получено от различных групп людей:
а) имеющих опыт управления предприятием и представляющих его цели и задачи, но не знающих досконально особенностей функционирования объекта информатизации;
б) знающих особенности функционирования объекта информатизации, но не имеющих полного представления о его целях;
в) знающих теорию и практику организации защиты, но не имеющих четких представлений о целях, задачах и особенностях функционирования объекта информатизации как системы в целом и т. п.
Поэтому получаемая от них информация, как правило, носит субъективный характер, а ее представление на естественном языке, не имея аналогов в языке традиционной математики, содержит большое число неопределенностей типа «много», «мало» — если речь идет о вложениях денежных средств в совершенствование системы защиты; объекта или об изменении количества персонала, работающего в подразделениях его защиты; «не выполнены частично», «выполнены частично», «почти выполнены» и т. д. — если речь идет о выполнении требований руководящих документов по защите информации и т. д. Поэтому и описание подобной информации на языке традиционной математики обедняет математическую модель исследуемой реальной системы и делает ее слишком грубой.