- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
По сути дела, на данном этапе следует установить наличие или отсутствие какой-либо формы защиты рассматриваемых сведений от неправильного использования.
В случае если сведения относятся к государственным секретам, они являются собственностью государства и защищаются им с помощью общегосударственной системы мер по защите государственных секретов. Основанием отнесения сведений к государственным секретам является их наличие в перечне сведений, составляющих государственную тайну.
В случае, когда сведения не являются государственными секретами, но защищены авторским или патентным правом, на них выдаются соответствующие охранные документы и, кроме того, делаются соответствующие публикации в открытой печати.
В обоих рассмотренных нами случаях эти сведения не нуждаются в дополнительной защите и не могут быть по закону отнесены к коммерческой тайне.
6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
Сведения, являющиеся общедоступными на законных основаниях определены Постановлением Правительства РФ №1233 от 03.11.94 года.
С учетом международной практики в примерный перечень видов негативной деятельности и их последствий, сокрытие сведений о которых противоречит общественным интересам входят:
загрязнение окружающей среды;
нарушение законов;
неэффективная работа;
административные ошибки;
опасения подрыва репутации предприятия и его сотрудников;
злоупотребление властью;
бездеятельность, некомпетентность и недобросовестность должностных лиц;
бесхозяйственность, расточительность;
уклонение от выполнения договорных обязательств;
уклонение от налогов (налогообложения);
недобросовестная конкуренция;
осуществление запрещенной и незакрепленной в Уставе предприятия деятельности;
возникновение опасности для жизни и здоровья людей.
7 Этап. Подведение итогов.
На данном этапе по результатам сопоставления оценок по пяти предложенным критериям принимается решение о включении рассматриваемых сведений в Перечень сведений, составляющих коммерческую тайну предприятия.
Для включения в Перечень рассматриваемые сведения должны удовлетворять всем пяти критериям оценки. То есть:
их открытое использование связано с ущербом для предприятия;
они не являются общеизвестными или общедоступными на законных основаниях;
предприятие сможет осуществить надлежащие меры по сохранению их конфиденциальности по соображениям экономической иной выгоды;
эти сведения нуждаются в защите, т. к. они не являются государственными секретами и не защищены авторским и патентным правом;
сокрытие этих сведений не наносят ущерба обществу.
В Перечне необходимо указать также контрольный срок пересмотра или обстоятельства, при наступлении которых встает вопрос о рассекречивании сведений;
Для придания Перечню юридической силы он утверждается руководителем предприятия и доводится до сведения работников, в части, их касающейся.
4.9. При оценке конфиденциальности НИОКР включение в перечень сведений о тех или иных исследованиях и разработках происходит после оценки полученных в процессе них результатов и осознания факта необходимости их защиты. Нередко к этому времени первичные публикации уже сделаны и результаты работы раскрыты.
Решение задачи заключается в переходе от принципа детализации сведений научно-технического характера в различного рода перечнях к установлению методических основ оценки конфиденциальности НИОКР исходя из общих показателей научных исследований и разработок. Следует иметь в виду, что НИОКР, независимо от режима их выполнения (конфиденциальные или открытые работы), сопровождаются набором показателей, по которым производится их оценка на стадиях планирования и завершения, и принимаются решения о финансировании и использовании результатов работ. Решения более важные, чем определение их конфиденциальности, в силу чего эти показатели могут быть рассмотрены в качестве критериев секретности.
Для оценки научных исследований и разработок можно использовать такие показатели, в число которых входят:
научная значимость;
практическая значимость;
сравнение с положением в технически передовых странах;
оригинальность проводимых исследований;
эффективность;
актуальность;
новизна;
широта использования научных результатов;
вероятность успеха;
вклад результатов исследований в решении прикладных проблем;
перспективность;
роль предприятий в данном научном направлении, то есть его вклад в развитие исследований в данном направлении и тенденции его изменения;
взаимная полезность, то есть влияние результатов, полученных в данном научном направлении, на исследования, проводимых в других направлениях;
взаимная полезность, то есть влияние результатов, полученных в данном научном направлении, на исследования, проводимые в других направлениях;
вклад в разработку и совершенствование новой техники;
сравнительная характеристика НИР с зарубежными данными по аналогичным работам;
вероятность изменения состояния исследований в рамках данной проблемы в зависимости от уровня ресурсного обеспечения;
масштабность НИР;
универсальность НИР для различных отраслей науки, техники и производства;
вид ожидаемого результата (прогноз, готовая технология и др.);
возможность быстрой реализации результатов;
наличие открытых публикаций по проблеме.
Оценки по этим показателям производятся на всех стадиях НИОКР и отражаются в соответствующих организационно-плановых и научно-технических документах на работу: научное или технико-экономическое обоснование НИОКР; задание на работу; отчет о работе; пояснительная записка к проекту; отчет о патентных исследованиях и другие.
По мере выполнения научно-исследовательской, опытно-конструкторской, проектной или производственной работы, каждое научное, техническое, технологическое, конструкторское, проектное, производственное или иное решение должно оцениваться исполнителем совместно с руководителем с точки зрения этих показателей, которые определяют возможности их выгодной реализации в стране и за рубежом. В этой оценке обязательно должны участвовать экономисты и патентоведы.
4.10. После установления конфиденциальности НИОКР в целом, следует выделить конкретные подлежащие защите сведения. Это необходимо для того, чтобы обеспечить целенаправленность и гибкость последующих защитных мероприятий. Требуется не только исключить утечку ценной приоритетной научно-технической информации, но и не создавать помех успешному решению важных научных и производственных проблем, не нанести ущерб престижу российской науки и развитию научно-технических связей с зарубежными странами.
В этих целях решение о защите следует принять в отношении таких сведений о результатах НИОКР, без которых невозможно воспроизвести создаваемые научно-технические решения. Как правило, это ключевые идеи, аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи, точные значения конструкционных характеристик изделий и оптимальных параметров технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и др.), сведения о материалах, из которых изготовлены отдельные детали, условия экспериментов и оборудование, на котором они проводились и т.д.
Перечисленные данные либо вообще не упоминаются в открытых публикациях, либо заменяются, в тех случаях, когда публикация необходима для закрепления приоритета или поддержания престижа российской науки, на сведения более общего характера. Например, вместо точных значений характеристик и параметров можно указать диапазоны, в которых они находятся.
Таким образом, установленные защиты не исключает возможность открытого опубликования сведений о защищаемой НИОКР. При этом, как нам представляется, следует уделять больше внимание рекламной привлекательности полученных результатов, чтобы заинтересовать в их использовании потенциальных потребителей внутри страны и за рубежом. Вместе с тем, объем публикуемых данных не должен быть достаточным для самостоятельного внедрения без дополнительной информации разработчика, которая именно и подлежит защите.
Для минимизации риска потери потенциальных покупателей научно-технической продукции необходимо найти баланс интересов, чтобы с одной стороны дать необходимые потенциальным клиентам рекламные сведения о продукции, с другой - не допустить утечки информации?
Эта задача может решаться техника продажи «ноу-хау». На практике этот вопрос решается следующим образом. Стороны заключают предварительное опционное соглашение, по которому потенциальный продавец лицензии обязуется ознакомить потенциального покупателя с «ноу-хау», а последний, ознакомившись с ним, обязуется подписать лицензионное соглашение. В противном случае на основании опционного договора он не имеет права промышленно использовать «ноу-хау» и разглашать его, он теряет и определенную сумму денег, внесенную в депозит на счет продавца за ознакомление. Таким образом, практически вводится договорная охрана «ноу-хау».