Тема № 7. Перечень конфиденциальных сведений фирмы
Процесс выявления и регламентации реального состава информации, представляющей ценность для предпринимателя, в том числе составляющей тайну фирмы, является основополагающей частью системы защиты информации.
Принимая во внимание, что система защиты ценной и конфиденциальной информации является дорогостоящей технологией, определение состава сведений, подлежащих защите, должно базироваться на принципе экономической целесообразности их защиты. Поэтому анализ информационных ресурсов фирмы осуществляется с учетом двух основных критериев: степени заинтересованности конкурентов в информации и степени ценности информации (стоимостной, правовой, деловой).
Для анализа необходимо иметь не только полный перечень реальных и потенциальных конкурентов, но и знать слабые и сильные стороны их деятельности, обладать информацией о состоянии дел у каждого конкурента, разрабатываемых новшествах, сотрудничестве со структурами промышленного шпионажа или криминальными структурами. На этой основе можно с полной уверенностью определить, какую информацию фирма не хотела бы раскрывать конкурентам. Необходимо также определить экономическую значимостью новшества, рассчитать величину ущерба от его утраты и на этой основе сделать вывод о том, является ли оно предметом коммерческой тайны и объектом защиты.
Следует учитывать, что вопрос о конфиденциальности информации возникает в случаях: принятия фирмой новой стратегии развития, заключения выгодных контрактов, появления технического или технологического новшества, установления факта потенциальной или реальной угрозы этому новшеству со стороны конкурента. При определении размера ущерба от возможной утраты информации учитывается стоимость продукции, которая не будет произведена, потери от замораживания капитальных вложений, стоимость произведенных научно-исследовательских работ и другие убытки.
В процессе анализа выделяются главные элементы информации, отражающие фирменный секрет. Это дает возможность удешевить системы защиты и сделать ее максимально целенаправленной, динамичной и эффективной. Защита новшества, включая общественные его составляющие, как правило, желаемого результата не дает за счет громоздкости системы защиты и трудности контроля больших объемов конфиденциальной информации. Массовость засекречивания ведет к росту штатной численности служб безопасности и, в конечном счете, к снижению эффективности защиты и утрате информации. Например, есть смысл защищать новую формулу в известном рецепте производимого продукта, новый алгоритм известных действий, новый прибор в производимом оборудовании и т.п.
Информация может быть отнесена к коммерческой (предпринимательской) тайне и стать конфиденциальной при соблюдении следующих условий:
- информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства, фальсификацию финансовой деятельности с целью неуплаты налогов и другие подобные факты;
- информация не должна быть общедоступной или общеизвестной;
- возникновение или получение информации предпринимателем должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;
- персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;
- предприниматель должен быть в состоянии выполнить реальные действия по защите этой информации, т.е. иметь, например, средства для закупки или разработки системы защиты информации.
В соответствии с постановлением Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. к конфиденциальным не могут быть отнесены следующие сведения и документы:
- учредительные документы (решение о создании предприятия или договор учредителей) и устав;
- документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
- сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную системы РФ;
- документы о платежеспособности;
- сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
- документы об уплате налогов и обязательных платежей;
- сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдения безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
- сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
В отличие от государственной тайны состав сведений, составляющих коммерческую тайну, государством централизованно не регламентируется и определяется индивидуально каждой фирмой. Одновременно фирма устанавливает необходимый уровень конфиденциальности этих сведений, степень требуемой их защиты, длительность защиты, ее стоимость и технологию. Состав ценной и конфиденциальной информации, подлежащей защите, определяется собственником или владельцем этих сведений и фиксируется в специальном перечне. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.
Перечень конфиденциальных сведений фирмы представляет собой классифицированный список типовой и конкретной ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В нем закрепляется факт отнесения сведений к защищаемой информации и определяется период (срок) конфиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список должностей сотрудников фирмы, которым дано право использовать эти сведения в работе. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы.
Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Поэтому он должен регулярно обновляться и корректироваться. Ограничение доступа к информации, относящейся к новой продукции, но не обладающей ценностью, применяться не должно.
Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. Закрепление части информации за конкретными должностями позволяет снизить вероятность раскрытия секрета сотрудниками и предотвратить возможность включения ими в документы конфиденциальной информации.
Перечень необходим также для выделения конфиденциальных документов из общего документопотока, соответствующего их маркирования (грифования) и автономной обработки, использования и хранения. При рассмотрении в судах дел о краже сотрудниками информации и понесенных фирмой в связи с этим убытках перечень используется в качестве доказательства отнесения этих сведений к разряду конфиденциальных.
Ведение перечня заключается в регулярной его корректировке и обновлении, отражающих новые перспективные разработки фирмы, переход на выпуск нового вида продукции, изменение тематики работы, направлений деятельности, конъюнктуру рынка и т.п. В процессе ведения в перечень включается конфиденциальная информация, отражающая реальные новшества, разработки и изобретения. С этой целью руководители структурных подразделений фирмы или направлений ее деятельности должны регулярно составлять реестры новой индивидуальной конфиденциальной информации и информации, потерявшей свою конфиденциальность. Реестры представляются в комиссию для внесения изменений в перечень.
Перевод сведений, включенных в перечень, из категории конфиденциальных в категорию открытых, т.е. исключение сведений из перечня, осуществляется комиссией по представлению руководства фирмы, структурных подразделений и службы безопасности.
На основании перечня конфиденциальных сведений служба безопасности или служба КД фирмы составляет и ведет классифицированный перечень ценных и конфиденциальных документов фирмы, подлежащих защите, с указанием обозначаемого на них грифа ограничения доступа и состава сотрудников, допущенных к этим документам. Перечень составляется в рамках структурных подразделений или направлений деятельности фирмы и регламентирует два аспекта работы сотрудников фирмы с конфиденциальными документами: а) состав создаваемых подразделением документов и документов, направляемых в подразделение для работы, и б) состав конфиденциальных сведений, которые могут быть включены в каждый указанный в перечне документ. Утверждается перечень первым руководителем фирмы.
В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
В перечне должно быть положение о том, что сохранение коммерческой тайны партнеров является неотъемлемой частью деятельности фирмы. Открытая публикация сведений, полученных на договорной или доверительной основе или являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров. При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, и исполнению условий договора.
Следовательно, в целях определения состава защищаемых сведений и документов каждая фирма должна составлять и регулярно обновлять соответствующие перечни, без которых система защиты информации фирмы не может функционировать. Важно, что эти перечни носят индивидуальный характер для каждой фирмы и отражают реальную информационную сферу направлений ее деятельности, требования собственника информации по ограничению доступа персонала к информации, составляющей интеллектуальную собственность фирмы.
Формирование перечня конфиденциальных сведений
Для формирования перечня сведений, подлежащих защите, целесообразно создать группу из следующих специалистов: занимающихся финансовыми вопросами, конъюнктурой рынка и сведениями о конкурентах, занимающихся связями с другими организациями, ведущими разработку новых видов товаров, обладающих высокой конкурентоспособностью, юриста и др. Можно привлечь к этой работе сторонних экспертов, но не следует им раскрывать все конкретные сведения, составляющую предпринимательскую тайну.
В зависимости от вида осуществляемой деятельности, сферы предпринимательства, поставленной цели перечень сведений может изменяться. Так, должны иметь защиту сведения: технологического характера - конструкторская документация, чертежи, схемы; описания технологических испытаний; точные данные конструкционных характеристик создаваемой продукции и характеры разрабатываемых технологических процессов; сведения о материалах, из которых изготовлены отдельные детали; описания новых технологических процессов; используемые новые приборы, станки, оборудование; рецептура создаваемых продуктов и др.; научно-технического характера - идеи, открытия, изобретения; ноу-хау; патенты; промышленные образцы; отдельные формулы; новые методы организации производства и труда; тематика важнейших научных исследований; результаты научных исследований; программное обеспечение ЭВМ и другие научные разработки; делового характера - сведения о заключенных договорах (контрактах); о подготовленных к заключению договорах; данные о поставщиках ресурсов и клиентах (потребителях); обзоры рынка, материалы маркетинговых исследований; информация о конфиденциальных переговорах; калькуляция себестоимости товаров, структуры и размер цен, уровень планируемой прибыли; планы инвестиций; стратегические планы развития фирмы; данные об отдельных категориях персонала фирмы и другие сведения.
По мере изменения характера деятельности фирмы перечень сведений, составляющих предпринимательскую тайну, должен изменяться. Данный перечень должен быть в установленном порядке доведен до сотрудников. При этом необходимо установить меры заинтересованности ответственных исполнителей за сохранение предпринимательской тайны, а также ответственности при ее утечке по вине отдельных работников.