Разработка положения о формировании перечня
На основе анализа рекомендаций, приведенных в работах [2-4], и имеющегося опыта работы можно выделить следующие этапы формирования перечня:
Разработка приказа (плана) по организации работы по формированию перечня: кто, что и в какие сроки должен делать, кто контролирует исполнение работ. На этом этапе прежде всего должен быть решен вопрос об ответственном исполнителе работ, отвечающем за организацию и методическое обеспечение работ. Это должен быть специалист, имеющий опыт работы или профессиональное образование в области защиты информации. Формирование и утверждение списка лиц (рабочей группы), наделяемых полномочиями по отнесению сведений к составляющим коммерческую тайну. Задача рабочей группы - формирование предложений в проект перечня (предварительный перечень).
Формирование и утверждение экспертной комиссии. Основные функции экспертной комиссии: анализ предварительного и формирование окончательного перечня, периодическое его обновление, а впоследствии - экспертиза документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих коммерческую тайну.
Разработка положения о порядке формирования перечня. Положение является методическим руководством для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии. Цель положения - обеспечение единого методического подхода при создании перечня.
Рассылка положения руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний и предложений.
Согласование и утверждение положения.
Рассылка положения исполнителям и проведение обучения (инструктажа) членов рабочей группы и экспертной комиссии.
Подготовка рабочей группой предложений в пределах своей компетенции в предварительный перечень.
Формирование ответственным исполнителем по предложениям членов рабочей группы предварительного перечня.
Анализ экспертной комиссией предварительного перечня в соответствии с положением и формирование проекта окончательного варианта.
Согласование перечня с руководителями структурных подразделений и утверждение руководителем предприятия.
Приказ о введении перечня в действие и доведение его до сотрудников.
Наиболее ответственным этапом является разработка положения о формировании перечня. Насколько хорошо будет проработана в методическом плане процедура отнесения сведений к составляющим коммерческую тайну, настолько качественным будет и результат, а перечень является фундаментом системы защиты информации. Предлагается следующая структура положения:
Вводная часть. В ней указывается цель и задачи положения и приводится перечень основных законодательных и распорядительных документов, используемых при разработке положения.
Термины и определения. Сотрудники предприятия, которые будут привлекаться к работе по составлению предварительного и окончательного перечней, как правило, имеют весьма смутное представление об основах защиты информации и профессиональной терминологии. Поэтому в этом разделе в сжатой и доступной форме должны быть приведены понятия коммерчески ценной информации, коммерческой тайны, режима коммерческой тайны и т.д. Для удобства последующего изложения материала можно привести и принятые сокращения наиболее часто применяемых терминов.
Общие требования к составлению перечня. В разделе описываются требования и критерии отнесения сведений к составляющим коммерческую тайну, в приложениях к нему необходимо привести примерный перечень сведений, которые могут составить коммерческую тайну и перечень сведений, которые не могут составлять коммерческую тайну на основании Закона о коммерческой тайне.
Порядок формирования предварительного перечня. Здесь описывается процедура формирования предварительного перечня членами рабочей группы (или первой команды экспертов). Отметим следующее: в простейшем случае можно ограничиться указанием, что члены рабочей группы отбирают сведения в предварительный перечень в пределах своей компетенции, руководствуясь примерным перечнем сведений (прил. 1) и здравым смыслом.