Глава 8 АДУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

К оглавлению
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 
34 35 36 37 

Доверяй, но проверяй Аудит (контроль) состояния защиты информации — специальная проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

(Закон РФ «Об информации, информатизации и

защите информации»)

Постулаты

1.         Угрозы легче предупредить, чем устранять результаты
их воздействия.

На бога надейся, а сам не плошай.

Дружба дружбой, а табачок врозь.

Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню.Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности Такие организации могут быть как государственными (например, подразделения государственной технической комиссии при Президенте РФ), так и иметь статус независимых, негосударственных

Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы

фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы

Основными направлениями деятельности в облас ти аудита безопасности информации являются

Аттестация объектов информатизации по требованиям безопасности информации

аттестация автоматизированных систем, средств связи, обработки и передачи информации,

аттестация помещений, предназначенных для ве­дения конфиденциальных переговоров,

аттестация технических средств, установленных в выде ленных помещениях

Контроль защищенности информации ограниченного доступа

выявление технических каналов утечки инфор­мации и способов несанкционированного досту па к ней,

контроль эффективности применяемых средств защиты информации

Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН)

персональные ЭВМ, средства связи и обработки информации;

локальные вычислительные системы;

оформления результатов исследований в соот­ветствии с требованиями Гостехкомиссии России.

Проектирование объектов в защищенном исполнении.

разработка концепции информационной безо -пасности (первая глава учебника);

проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;

проектирование помещений, предназначенных для ведения конфиденциальных переговоров.

Аудит выделенных помещений

Общепринятая методика аудита выделенных помещений условно разделяет действия по выявлению средств несанкционированного съема информации (НСИ) на три этапа:

подготовительный этап;

этап непосредственного проведения аудита;

заключительный этап.

Подготовительный этап аудита выделенных помещений:

Уточнение границ и ранжирование по степени важности информации, относимой к конфиденци­альной.

Уточнение вероятного злоумышленника, оценка его возможностей, тактики внедрения средств НСИ и их использования.

Разработка замысла проведения аудита выделенных помещений:

a.         выработка целевой установки;

определение масштаба и места проведения поисковых мероприятий, выбор времени проведения;

разработка легенды, под прикрытием которой будет проводиться аудит;

выработка замысла активации внедренных средств НСД;

выбор вариантов действий в случае обнаружения средств НСИ.

Изучение планов помещений, схем технических коммуникаций, связи, организации охраны, доступа и других необходимых документов.

Предварительный осмотр объекта.

Разработка перечня аппаратуры, необходимой для проведения проверки помещений и объектов.

Разработка дополнительных мер по активации внедренных средств НСИ на время проведения поиска с различными типами аппаратуры.

Распределение привлекаемых сил и средств по объектам и видам работ.

Уточнение частных методик использования при -влекаемой аппаратуры в конкретных условиях

проверки.

Оформление плана проведения комплексной проверки помещений и объектов и утверждение его у руководителя предприятия.

Подготовка аппаратуры для проведения поисковых и исследовательских работ.

Предварительный сбор данных и анализ радио -электронной обстановки в районе обследуемых объектов и помещений.

Подготовка документов прикрытия работ по про верке помещений в соответствии с выбранной легендой прикрытия.

Подготовка бланков, схем, заготовок других доку -ментов, необходимых для проведения работ на последующих этапах.

Перечень специального оборудования и технических средств, рекомендуемых для проведения аудита по мещений.

Комплект досмотровых зеркал (ПОИСК-2, ШМЕЛЬ-2) — Визуальный осмотр оборудования, мебели, технологических коммуникаций.

Комплект луп, фонарей — Визуальный осмотр по­верхностей и отверстий.

Технический эндоскоп с дистальным концом (серия ЭТ, Olimpus) — Визуальный осмотр труднодоступных полостей и каналов.

Комплект отверток, ключей и радиомонтажного инструмента — Разборка и сборка коммутационных, электроустановочных и других устройств и пред­метов.

Досмотровый металлоискатель (УНИСКАН 7215, АКА 7202, Comet) — Проверка предметов и эле -ментов интерьера на наличие металлических включений.

Прибор нелинейный радиолокации (NR-900EM, ОРИОН NGE-400, РОДНИК 23) — Проверка стро-ительных конструкций и предметов на наличие ра­диоэлектронных компонентов.

Переносная рентгенотелевизионная установка (ШМЕЛЬ 90/К, ФП-1, РОНА) — Проверка элементов интерьера на наличие скрытно установленных средств НСИ.

Переносный радиоприемник или магнитола — Оз-вучивание проверяемых помещений.

Многофункциональный поисковый прибор (ПИРА­НЬЯ, ПСЧ-5, D-008) — Проверка проводных ком -муникаций на наличие информационных сигналов.

Низкочастотный нелинейный детектор проводных коммуникаций (ВИЗИР, возможная замена по те -лефонным линиям: ТПУ-5К или SEL SP-18/T) — Проверка проводных коммуникаций на наличие нелинейности параметров линии.

Комплекс обнаружения радиоизлучающих средств и радиомониторинга (КРОНА-6000М, КРК, АРК-Д1, OSC-5000) —Анализ радиоэлектронной обстановки, выявление радиоизлучающих средств негласного съема, информации.

Обнаружитель скрытых видеокамер (IRIS VCF-2000, нет аналогов) — Выявление радиоизлучающих видеокамер.

Дозиметр поисковый (РМ-1401, НПО-3) — Обна­ружение и локализация источников радиоактивного излучения.

Комплекс для проведения исследований на сверх­нормативные побочные электромагнитные излучения (НАВИГАТОР, ЛЕГЕНДА. ЗАРНИЦА) — Выявление информативных побочных электромагнитных излучений.

Комплекс для проведения акустических и вибро­акустических измерений СПРУТ-4А — Выявление акустических и виброакустических сигналов и наводок, исследование звуко- и виброизоляции, про­верка систем зашумления.

Структура плана аудита помещений:

выводы из оценки противника;

замысел проведения аудита помещений:

целевая установка;

перечень и краткая характеристика проверяе­мых помещений;

перечень запланированных для каждого поме -щения поисковых работ и сопутствующих исследований;

время проведения проверки;

легенда, под прикрытием которой будет прово­диться проверка;

меры по активации внедренных средств НСИ;

действия в случае обнаружения средств НСИ;

привлекаемые для проведения проверки силы, технические средства и их распределение по объектам и видам работ;

основные особенности применения технических средств, определяемые условиями проверки;

дополнительные меры по активизации внедренных средств НСИ;

перечень подготавливаемых по результатам проверки итоговых и отчетных документов и срок их представления для утверждения.

Неко торые сложности могут возникнуть при орга низации предварительного сбора данных и анализа радиоэлектронной обстановки в районе обследуемых помещений. Если служба безопасности предприятия не располагает собственным постом радиомониторинга, с руководителем предприятия должно быть согласовано место и время развертывания временного пункта ра -диоконтроля с комплектом необходимой радиоприемной и анализирующей аппаратуры. В целях конспирации желательно, чтобы это место находилось где -нибудь за территорией предприятия, но в непосредственной близости от намеченных к проверке помещений. В качестве такого пункта мы рекомендуем использовать обычный легковой автомобиль с развернутым в нем комплексом обнаружения радиоизлучающих средств и радиомониторинга.

Итогом деятельности пункта радио контроля на этом этапе работ должна быть карта занятости радиоэфира в условиях обычного режима работы предприятия, база данных идентифицированных радиосигналов, а также база данных подозрительных радиоизлучений, требующих дополнительного исследования.

Работы подготовительного этапа обычно завершаются разработкой документов, подтверждающих легенду прикрытия при проведении различных видов поисковых и исследовательских работ, а также специальных бланков и заготовок документов, ускоряющих регистрацию промежуточных результатов запланиро­ванных работ. Целесообразно заранее изготовить бланки протоколов будущих измерений, схемы коммуникаций и планы

проверяемых помещений, на которые будут наноситься отметки мест обнаружения средств НСИ и подозрительных мест, журналы регистрации заводских номеров проверенного оборудования, мест установки пломб и скрытых меток, способствующих ускорению работ при последующих специальных проверках, и т.д. Этапы непосредственного проведения аудита:

Визуальный осмотр ограждающих конструкций, мебели и других предметов интерьера помещений.

Проверка элементов строительных конструкций, мебели и других предметов интерьера помещений с использованием специальных поисковых технических средств.

Выполнение запланированных мер по активации внедренных средств НСИ.

Проверка линий и оборудования проводных ком­муникаций:

линий силовой и осветительной электросети;

линий и оборудования офисной и абонентской телефонной сети;

линий селекторной связи;

линий радио трансляционной сети;

линий пожарной и охранной сигнализации;

линий системы часофикации и других проводных линий, в том числе, невыясненного назначения.

Исследование радиоэлектронной обстановки в проверяемых помещениях для выявления сигналов радиопередающих средств НСИ и их локализации.

Поиск средств негласного съема и передачи ин-формации, внедренных в электронные приборы.

Исследование звукопроницаемости элементов конструкций, проверка трубопроводных и других те хнологических коммуникаций на наличие в них акустических и виброакустических сигналов из проверяемого помещения.

Исследование побочных электромагнитных излучений компьютеров, оргтехники и другого оборудования для выявления в них информативных сигналов.

Проверку проводных коммуникаций обычно начинают с поиска в них сигналов подслушивающих устройств или других средств съема информации. Для поиска таких сигналов

используется специальная аппаратура.

В случае обнаружения в линии сигнала подслушивающего устройства осуществляют тщательный визуальный осмотр доступных участков линии и всех подключенных к линии устройств, приборов, коммутационных и электроустановочных изделий. Обычно, чтобы убедиться в отсутствии в них средств НСИ, следует провести хотя бы частичную их разборку. Тщательно осматриваются подводящие провода, особенно в местах, где возможно несанкционированное подключение к ним каких-либо устройств или отводов. Перед осмотром элементов электросети фазы электросети, по возможности, обесточиваются.

В связи с повышенной информативной ценностью для противника телефонных каналов связи проверка телефонных линий и оборудования должна проводиться с особой тщательностью. Помимо традиционного поиска информативных сигналов мы рекомендуем проверять телефонные линии на наличие нелинейно -сти их параметров и несимметрию, которые могут быть обусловлены подключением к линии средств НСИ.

Следует помнить, что индуктивные съемники информации с проводных линий не выявляются ни одним из перечисленных типов приборов. Поэтому даже применение нескольких разных по своим возможностям поисковых и анализирующих устройств все -таки не может заменить визуальный осмотр телефонных линий. Особенно детально должны быть осмотрены распределительные коробки и телефонный шкаф, поскольку там наиболее просто может быть осуществлено несанкционированное подключение к линии.

Обычно параллельно с проверкой проводных коммуникаций проводится радиомониторинг помещений для выявления информативных побочных излучений оргтехники и сигналов средств НСИ, использующих радиоканал для передачи перехваченной информации.

Одной из проблем современного радиомониторинга является выявление средств НСИ с нетрадиционными видами сигналов (например, шумоподобными сигналами с фазовой манипуляцией или сигналами со сверхширокополосной частотной модуляцией) или скачкообразным изменением несущей частоты. Существующие средства радиоконтроля не позволяют автоматически идентифицировать такие излучения с сигналами средств НСИ. В этой связи для радиомониторинга помещений наиболее подходят такие автоматизированные комплексы, которые позволяют опера­

тору в необходимых случаях самому проводить детальный анализ принимаемых сигналов.

Серьезным проблемным вопросом поисковых ра бот является выявление средств НСИ, внедренных противником в ПЭВМ или другие электронные приборы. Особую сложность представляет выявление таких средств, которые были внедрены в прибор за­ранее, до появления прибора в помещении, в условиях, позволивших закамуфлировать средства съема' информации с особой тщательностью. В этой связи в важных служебных помещениях рекомендуется размещать только сертифицированные технические средства, прошедшие предварительный визуальный осмотр и специальную проверку. Напомним, что такую процедуру должны проходить не только новые электронные приборы, но и любые новые предметы и подарки, включая книги, видеокассеты:, пепельницы и т.п.

В случае подозрения на возможность внедрения противником средств НСИ в ПЭВМ или другие электронные приборы следует провести детальное обследование этих приборов. Прежде всего проверяемый прибор необходимо разместить отдельно от другие подключить его к электросети и попытаться с помощью индикатора поля зафиксировать факт наличии или отсутствия радиоизлучения внедренного средств съема информации. Поиск излучения целесообразно повторить после приведения прибора в рабочее состояние (включения прибора). Затем с помощью прибор ПСЧ-5 или ему подобного следует убедиться в наличии или отсутствии сигналов, возможно передаваемы: внедренным средством по проводам электрической сети или, если они есть, другим подключенным к при бору проводным линиям.

Следующая стадия обследования — разборка при бора и тща тельный визуальный осмотр его содержимого. В процессе осмотра обращают внимание на наличие в приборе нестандартных или дополнительных плат, радиоэлементов, следов не фабричного монтажа. С особой тщательностью, с помощью лупы осматривают крупно габаритные детали: микросхемы, электролитические конденсаторы, мощные транзисторы, коммутационны элементы. Существенную помощь при этом могут оказать ранее сделанные фотографии расположения элементов монтажа на платах аналогичного прибора.

В отчетных документах по проведению специальной проверки помещений обычно требуется оценит возможность утечки информации по различным техническим каналам. Для этого

проводятся специальные исследования, включающие исследование ПЭМИ компьютеров и других средств оргтехники, наводок возникающих за счет ПЭМИ и взаимного влияния электромагнитных полей проводных линий, информативных сигналов в цепях заземления, виброакустических сигналов в элементах конструкции помещений и другие.

Заключительный этап работ по комплексной специальной проверке помещений заключается в обработке результатов исследований, проведении необходимых инженерных расчетов, разработке и представлении руководству отчетных и итоговых документов

Ито говым документом, завершающим работы по обследованию помещений на наличие средств HCИ является акт проведения комплексной специальной проверки помещений. Акт подписывается руководителем и членами поисковой бригады, согласовывается с руководителем организации, проводившей поисковые работы, и утверждается руководителем предприятия.

Этот документ обычно включает:

время проведения специальной проверки;

состав поисковой бригады;

перечень проверенных помещений и объектов;

перечень и объем основных поисковых работ и сопутствующих исследований;

перечень использовавшейся поисковой и иссле­довательской аппаратуры;

результаты специальной проверки:

место обнаружения средства НСИ, их состояние и краткие характеристики;

принятые по отношению к обнаруженным средствам меры;

выводы из оценки существующей степени защи -щенности помещений и объектов от утечки конфи -денциальной информации по различным каналам;

рекомендации по повышению защищенности по -мещений и объектов и предотвращению съема ин -формации по выявленным техническим каналам ее утечки.

Заключительный этап комплексной специальной проверки помещений:

1. Обработка результатов исследования, оформление протоколов измерений, регистрационных журналов,

проведение необходимых инженерных расчетов.

Определение технических характеристик, потре­бительских свойств изъятых средств НСИ, ориен-тировочного времени и способов их внедрения.

Составление описания проведенных работ и ис-следований с приложением необходимых схем и планов помещений.

Разработка рекомендаций по повышению защи -щенности проверенных помещений и объектов:

составление перечня и схем выявленных техни -ческих каналов утечки информации по каждому помещению и объекту;

оценка степени существующей защиты каждого помещения и объекта от негласного съема информации по выявленным каналам ее утечки;

разработка дополнительных мер и способов щиты по каждому каналу и помещению (организационных, в том числе: режимных, инженерно-технических).

Составление сводного перечня технических сред и систем, рекомендуемых к установке для защиты информации от утечки по техническим каналам.

Разработка предложений по способам использования рекомендуемых технических средств и систем и объединению их в единую комплексную систему защиты информации.

Составление акта проведения комплексной специальной проверки помещений.

Представление итоговых и отчетных документов руководителю предприятия для утверждения.

К числу отчетных документов относится описание проведенных работ и исследований. В состав этого документа в качестве приложений входят протоке измерений, необходимые инженерно -технические выкладки, планы помещений с указанием места разрушения аппаратуры, обнаруженных средств НСИ и технических каналов утечки информации. В этих документах указывается: аппаратура, использованная для проведения измерений, ее заводские номера и даты последних проверок, методика проведения измерений уровни обнаруженных сигналов, их частоты и другие параметры.

Для руководства предприятия, заказавшего поведение комплексной специальной проверки помещений, наибольший интерес, помимо результатов поиска средств НСИ, представляют рекомендации по повышению защищенности проверенных помещений предотвращению съема информации по выявленным техническим каналам ее утечки. В зависимости объема и степени детализации эти рекомендации могут составлять отдельный отчетный документ.

Зачастую руководство предприятия ожидает от специалистов строгих количественных оценок степени защиты каждого помещения и объекта от негласного съема информации по всем выявленным каналам ее утечки. На практике такие оценки удается получить далеко не всегда, ибо они требуют проведения дополнительных исследований и расчетов, как правило, выходящих за рамки специальной проверки помещений. Обычно приходится ограничиваться указанием зон энергетической доступности источников информативных сигналов, ранжированием выявленных каналов утечки информации по степени угроз, экспертными оценками вероятности съема информации различными видами специальных технических средств и другими аналогичными показателями.

При разработке рекомендаций по перекрытию каналов утечки информации следует руководствоваться соображениями здравого смысла. Меры защиты должны быть адекватны степени угроз, в противном случае все финансовые ресурсы предприятия могут целиком уйти на создание системы защиты информации. Опытный специалист, владеющий основами системного мышления, всегда может найти такую комбинацию организационных, инженерных, технических мер и способов защиты, которая будет близка к опти -мальной по универсальному критерию «эффективность стоимость».

Простой набор мер и средств защиты информации нейтрализует лишь отдельные угрозы ее безопасности, оставляя бреши в обороне. Только постоянно развивающаяся система информационной безопасности может сдержать натиск непрерывно совершенствующихся средств и методов негласного съема ин­формации.

Выводы

1. Аудит информационной безопасности фирмы — это

мощное средство оценки состояния защиты информации.

Аудит может проводиться как собственными силами СБ фирмы, так силами специальных лицензированных аудиторских фирм.

Регулярность, периодичность и масштабность аудита определяются реальной обстановкой общей безопасности предприятия.

Послесловие [Л]

Опыт показывает, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае техничес -кие меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.

Работы по созданию системы защиты информации (СЗИ) включают в себя следующие этапы:

анализ состава и содержания конфиденциальной информации, циркулирующей на конкретном объекте защиты;

анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами;

оценка уязвимости информации, доступности ее для средств злоумышленника;

исследование действующей системы защиты ин -формации на предприятии;

оценка затрат на разработку новой (или совершен­ствование действующей) системы;

организация мер защиты информации;

закрепление персональной ответственности за защиту информации;

реализация новой технологии защиты информации;

создание обстановки сознательного отношения к защите информации;

контроль результатов разработки и прием в экс -плуатацию новой системы защиты.

Изложенные этапы можно считать типовыми для процесса разработки систем защиты, так как они в значительной мере охватывают практически весь объем работ на организационном уровне.

Самым начальным, исходным шагом, направленным на развертывание работ по созданию или совершенство ванию СЗИ, является разработка приказа руководителя организации

(предприятия) на проведение работ с указанием конкретного должностного лица, ответственного за создание СЗИ в целом. В приказе излагаются цели и задачи создания СЗИ в данной организации, определяются этапы и сроки их выполнения, назначаются конкретные должностные лица, ответственные за отдельные этапы, отдельные виды работ. В приказе определяется подразделение или временный творческий (научно -технический) коллектив, который будет вести работы по созданию (совершенствованию) системы.

Если к работе по созданию СЗИ будут привлекаться сторонние организации, в приказе оговаривается способ взаимодействия с ними, а также даются необходимые поручения по его обеспечению.

В соответствии со сложившейся практикой разработки сложных систем устанавливаются следующие стадии:

предпроектирование работ (обследование и разработка технического задания);

проектирование (разработка технического, рабочего или те хнорабочего проектов);

ввод СЗИ в эксплуатацию.

Окончательное решение о стадийности проектирования разработки СЗИ определяется на стадии предпроектных работ при разработке ТЗ исходя из производственно-технических условий, экономических возможностей, особенностей СЗИ и используемых технических средств.

В ходе выполнения работ формируется:

проектная документация — технический, рабочий или технорабочий проект (этап реализации техно логии СЗИ);

организационно -распорядительная документация (разрабатывается по всем этапам).

Одной из ответственнейших работ является обследование объекта защиты (предприятия, организации, фирмы, банка). На данной стадии:

определяется категория объекта с позиций степени конфиденциальности его информации по важности, ценности и секретности;

обследуются все информационные потоки по виду и важности информации;

оцениваются режимы и технология обработки, передачи и хранения подлежащей защите информации;

оцениваются технические средства обработки информации на всем технологическом цикле на предмет

и х опасности и на личия ПЭМИН; ■ определяются состав и содержание организационных,

организационно-технических и технических мер,

реализующих защитные мероприятия. В результате проведения этих работ должны быть разработаны: информационная модель организации, структура информационных потоков, классификаторы потенциальных каналов утечки информации и аналитический обзор действующей системы защиты с оценкой ее эффективности, надежности и обеспечения ею необходимой безопасности.

Комплексный анализ полученных результатов в сочетании с инструментальным обследованием технических средств обработки информации с использованием контрольно-измерительной аппаратуры позволит выявить возможные каналы утечки информации за счет ПЭМИН, оценить способы несанкционированного доступа к техническим средствам и документам.

На этапе разработки определяются организационно-функциональная схема СЗИ, порядок и правила работы сотрудников в новых условиях. Предлагаемый к внедрению проект СЗИ подлежит изучению руководством организации и последующей его защите. После этого принимается решение о внедрении разработки в практику деятельности организации. Эту работу обычно выполняет группа ревизии, приема и контроля.

По завершении всех конструкторских работ СЗИ принимается в опытную эксплуатацию.

Опы тная эксплуатация имеет целью отработку взаимодействия подразделений и служб в условиях новой технологии, отладку технологического процесса обработки информации и проверку соответствия реализо ванных решений требованиям технического проекта. Опытная эксплуатация проводится на реальных информационных потоках в соответствии с установленным регламентом.

Завершающей стадией является прием СЗИ в промышленную эксплуатацию. Для этого создается специальная приемная комиссия. Комиссия составляет акт приемки, в котором дается характеристика средствам и мерам защиты, фиксируется их полнота и достаточность, обеспечивающая требуемую степень бе -зопасности. Акт утверждается руководством. На основании акта готовится приказ по организации на ввод СЗИ в промышленную эксплуатацию.

Порядок действий по обеспечению безопасности промышленной и коммерческой информации с детальным изложением решаемых вопросов, ответственнос ти по их решениям, необходимых мероприятий, учитывающих специфические особенности и содержание конкретных разрабатываемых документов по основным этапам разработки, приведен в таблице 19.

Таблица содержит в основном организационные мероприятия, содержащие основные направления действий по разработке и обеспечению функционирования СЗИ. Следует отметить, что хотя этот порядок и типовой, но он носит рекомендательный характер и не претендует на нормативный материал.

Независимо оттого, насколько хорошо разработаны технические и организационные меры безопасности, они в конце концов основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией.

Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование системы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, включающие представителей всех участвующих в работе с конфиденциальной информацией.

Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган

порядок

действии по обеспечению

 

Этапы

1. анализ

состава и содержания конфиденциальной информации

2. АНАЛИЗ

ценности

информации

3. ОЦЕНКА уязвимости информации

4.

исследование

действующей системы защиты информации

5. ОЦЕНКА затрат на разработку новой системы защиты информации

Какие вопросы надо решать?

Какие сведения следует охранять? Кого интересуют охраняемые сведения и когда? Почему они нуждаются в получении этих сведений?

Какие виды информации имеются? Какова ценность каждого вида информации? Какая защита необходима для каждого вида информации?

Какие каналы

утечки

информации

имеются? Какова

степень

уязвимости

каналов у те чки?

Насколько

уменьшится

уязвимость

информации при

использовании

системы и средств

защиты?

Какие меры

безопасности

используются?

Какой уровень

организации

защиты

информации?

Какова стоимость

доступных мер

защиты

информации?

Какова

эффективность действующей с ис те мы защиты информации?

Какова стоимость новой системы защиты? Какой уровень

организации новой системы? Какая стоимость доступна и какая велика? Какой выигрыш будет получен при новой системе?

Ответств енные

исполни тели

Руководство организации, предприятия

Администрация

Специалисты отдела

безопасности

Администрация, линейное

руководство, отдел безопасности

Администрация, финансово-плановая служба

Какие мероприятия необходимо провести?

Обеспечить изучение вопросов состояния секретности и защиты информации. Составить подробный обзор всех

информационных

потоков.

Проверить

обоснованность и

необходимость

информационных

потоков

Установить

правовые и

законодательные

требования.

Разработать

принципы

определения

ценности

информации.

Определить

ценность каждого

вида информации

Составить

перечень каналов

утечки

информации.

Составить

перечень уязвимых

помещений.

Установить

приоритеты

информации и

определить

охраняемые

сведения.

Кла с с ифициров ат ь

информацию по

приоритетам и

ценности

Составить

аналитический

обзор

действующей с ис те мы защиты информации. Оценить затраты и степень риска при действующей с ис те ме защиты информации

Разработать план реализации замысла на создание новой системы защиты информации. Изыскать необходимые ресурсы

Что особенно нужно учитывать?

Оценить необходимость накопленной информации

Законодательную ответственность администрации за безопасность информации. Степень ущерба при раскрытии, потере, ошибках в информации. Наличие нормативных документов

Распределение

приоритетов

информации,

требующей

защиты, путем

определения

относительной

уязвимости и

степени

секретности

Усиление безопасности не остановит злоумышле нника. Что новая технология может быть эффективнее по критерию эффективность/сто имость

Установить требования по финансированию и его источники

Какие документы разрабатываются?

Информационная модель организации, предприятия

Структура

классификации

информации.

Принципы

классификации

информации.

Законодательные

требования,

инструкции,

нормы

Классификатор информации. Классификатор каналов утечки информации.

Аналитический обзор

действующей СЗИ и ее безопасность

Средства СЗИ. Бюджет на разработки. Внедрение и сопровождение новой СЗИ.

 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ         Таблица 19

 

6. ОРГАНИЗАЦИЯ мер защиты информации

7. ЗАКРЕПЛЕНИЕ персональной ответственности за защиту информации

8. РЕАЛИЗАЦИЯ технологии зашиты информации

9. СОЗДАНИЕ обстановки сознательного отношения к защите информации

10. КОНТРОЛЬ И ПРИЕМ в

эксплуатацию повой системы защиты

Какие появляются новые функции? Какой потребуется новый перс онал? Какая

квалификация необходима для выполнения новых обязанностей?

Какие конкретные сотрудники имеют доступ к охраняемым сведениям? Проверены ли эти сотрудники на благонадежность?

Каков приоритет секретной информации и изделия? Какие дополнительные ресурсы

потребуются? Кто отвечает за согласование проекта СЗИ с партнерами? Замысел реализации проекта

Ориентирована ли политика организации на защиту информации? Имеется ли программа подготовки и обучения с от ру дников организации в новых условиях работы с СЗИ?

Какой должен быть состав специальной группы приема системы? Имеются ли стандарты безопасности и секретности информации? Насколько эффективна новая система защиты информации? Какие улучшения можно произвести?

Администрация, линейное

руководство, отдел безопасности

Линейное

руководство, отдел безопасности

Администрация, группа реализации проекта, отдел безопасности, линейное руководство

Линейное

руководство, отдел безопасности, ответственные за безопасность информации

Группа ревизии, приема и контроля работы СЗИ

Определить

ответственность за

безопасность

информации в

каждом

подразделении.

Подготовить

инструкции по

организации

защиты

информации

Проверить

персонал,

обрабатытющий

секретную

информацию.

Подготовить

перечни секретных

сведений для всех

сотрудников

Разработать планы реализации проекта новой системы защиты информации. Определить контрольные сроки и позиции их выполнения

Разработать

программы

подготовки

сотрудников.

Оценить личные

качества

с от ру дников по

обеспечению

безопасности

информации

Утвердить состав группы ревизии. Рассмотреть законодательные требования. Переоценить уязвимость информации и степень риска. Оценить точность и полноту реализации прое кта

Важность организационн ых мер зашиты информации

Необходимость регулярного контроля за работой системы защиты информации

Полноту реализации т ре бований нов ой системы защиты информации

Необходимость комплексной защиты информации. Сознательное отношение к защите информации и бди­тельность всего персонала

Оценить реальную эффективность новой системы защиты. Необходимость систематического контроля за работой СЗИ

Организационно фу нкциональная схема СЗИ. Порядок и правила работы в новых условиях

Профили секретности сотрудников и линейных подразделений

Подробный бюджет проекта новой СЗИ

Руководство по защите

конфиде нциальной информации

Программа обучения сотрудников. Отчет и рекомендации, выработанные группой ревизии

 

руководства организации (предприятия) через специальные подразделения обеспечения безопасности.

Оценка эффективности защиты должна осуществляться в соответствии с принципом комплексности и включать:

установление на основе комплексного подхода состава проверяемых мер и средств: воспрещения, исключения несанкционированного доступа, режим;

проверку организационно -режимных мероприятий;

проверку категории объекта;

проверку эффективности защиты информации;

проверку воспрещения несанкционированного доступа;

составление акта комплексной проверки;

разработку рекомендаций по совершенствованию защиты (устранению установленных в процессе контроля недостатков).

На конкретных объектах при контроле эффективности защиты, обеспечиваемой конкретными СЗИ, может иметь место значительное разнообразие задач проверки. Так, на одном объекте может быть достаточно осуществить проверку эффективности экранирования, на другом — проверить эффективность шумовой защиты, а на третьем — необходимо убедиться, что излучения ПЭМИН могут быть приняты за пределами охраняемой территории организации (предприятия). То же имеет место и при проверке эффективности защиты информации от несанкционированного доступа: на одном объекте используется, например, монопольный режим обработки подлежащей защите информации, а на другом — программная система защиты информации. Все это означает, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств. Кроме того, орга -низационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее действие на эффективность защиты от несанкционированного доступа. Это связано с тем, что при непра­вильном определении степени конфиденциальности защищаемой информации может оказаться неэффективным как воспрещение, так и защита от НСД. Иначе говоря, необходимо начинать контроль эффективности защиты с контроля организационно-режимных мер и средств защиты. Далее последовательность проверки может быть произвольной. Работы по проверке эффективности

противодействия и защиты от НСД проводятся параллельно, поскольку на практике могут осуществляться только разными группами специалистов.

Организация и проведение контроля организационных мероприятий осуществляется с целью выявления нарушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предотвращают возникновение нарушений. При подготовке к проверке целесообразно на основе анализа составить перечень возможных нарушений, что может оказать существенную помощь в организации контроля.

Эффективность защиты объекта обеспечивается, как известно, в соответствии с категорией его важности. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации. Поэтому после проведения организационно-режимных мероприятий (работ по проверке точности установления грифа защищаемой информации) можно провести проверку правильности категорирования объекта. Если при этом категория объекта оказалась неправильно определенной (заниженной), а защита на объекте реализована в точном соответствии с категорией, то защиту следует считать неэффективной.

Контроль эффективности защиты информации от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольно -измерительной аппаратуры в соответствии с существующими методиками. Этот контроль имеет целью определить наличие каналов утечки информации и их уро -вень за пределами охраняемой территории объекта.

Особое внимание при оценке эффективности системы защиты техническими средствами необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности технических средств обретает значительную важность, так как уро -вень, качество и безопасность защиты находятся в прямой зависимости от надежности технических средств.

Гостехкомиссия России. Руководящий документ Защита от несанкционированного Доступа к информации. Термины и Определения

Приложение 2

Доктрина информационной безопасности Российской Федерации

Приложение 3

Перечень сведений, отнесенных к государственной тайне. Указ президента российской федерации о перечне сведений, отнесенных к государственной тайне. 24 января 1998 года № 61

Приложение 4

Указ президента российской федерации. Об утверждении перечня сведений конфиденциального характера

Приложение 5

Положение о лицензировании деятельности по технической защите конфиденциальной информации. Постановление Правительства Российской Федерации от 30 апреля 2002 г. № 290 г. Москва

ИНСТРУКЦИЯ

по защите конфиденциальной информации при работе с зарубежными партнерами

1.         Общие положения

Настоящая Инструкция определяет порядок работы с зарубежными партнерами. Положениями настоящей Инструкции необходимо руководствоваться также и при контактах с представителями совместных предприятий и с представителями конкурирующих фирм и организаций.

При работе с зарубежными партнерами также следует руководствоваться положениями «Инструкции по защите коммерческой тайны».

Инструкция устанавливает режим работы с иностранцами с целью защиты конфиденциальной информации.

Под работой с иностранцами следует понимать совокупность всех видов деятельности при контактах с иностранными компаниями, фирмами (переписка, телефонные разговоры, передача телексных и факсимильных сообщений) либо личных встреч с их представителями по служебным делам.

Ответственность за организацию работы с зарубежными партнерами и соблюдение требований настоящей Инструкции несут руководство, служба безопасности и руководители соответствующих структурных подразделений фирмы.

Для работы с зарубежными партнерами ежегодно составляются списки сотрудников, выделенных для этой работы.

2.         Основания для работы с зарубежными партнерами

Основанием для работы с зарубежными партнерами по служебной необходимости являются: планы.» международных научно-технических связей, заключенные контракты и протоколы, соглашения об установлении прямых производственных, научно-технических связей, решения о совместной деятельности, а также инициатива самих зарубежных представителей и представителей российской стороны.

Решение о приеме иностранцев принимается генеральным директором или его заместителями по представлениям

руководителей структурных подразделений, согласованных с отделом по международным связям, службой безопасности, техническим отделом и отделом документационного обеспечения.

Основанием для командирования сотрудников за рубеж служит решение генерального директора или его заместителей, выносимое на основании представляемых руководителями соответствующих отделов материалов, оформленных в установленном порядке. Принятое решение излагается письменно непосредственно на докладной записке, представляемой в установленные сроки.

В докладной записке отражаются следующие сведения: цель выезда; страна командирования и принимающая организация (фирма); срок командирования; условия финансирования поездки; фамилия, имя, отчество и занимаемая должность командируемых

3. Формы работы с зарубежными партнерами

3.1.      Прием зарубежных делегаций

3.1.1. Прием приглашенных зарубежных делегаций осуществляется на основе утвержденных программ, составляемых по установленной форме, а также сметы расхо дов по приему.

Программы пребывания приглашенных зарубежных делегаций и сметы расходов составляются соответствующими подразделениями, отвечающими за прием, согласовываются с отделом международных связей, службой безопасности и утверждаются генеральным директором.

Ответственным за выполнение программы пребывания иностранной делегации является руководитель соответствующего отдела.

3.2.      Организация деловых встреч (переговоров)

Деловые встречи с зарубежными партнерами организуются на основе заявок, оформленных соответствующими отделами, отвечающими за прием по установленной форме.

Заявки согласовываются с руководителем отдела международных связей, службой безопасности, отделом те хнического обеспечения и утверждаются генеральным директором или его заместителями.

Переводчиков на деловые встречи приглашает отдел, принимающий зарубежных представителей.

Для участия в деловых встречах с зарубежными партнерами, как правило, привлекаются специалисты из числа

сотрудников, выделенных для работы с зарубежными представителями, в количестве не менее двух человек.

Деловые встречи могут проводиться в кабинете генерального директора, кабинете его первого заместителя и специально выделенном для этого помещении.

Встречу, сопровождение и проводы зарубежных партнеров осуществляют сотрудники соответствующих отделов и отдела по международным связям.

Лица, участвующие в переговорах, обязаны:

хранить конфиденциальную информацию фирмы;

не входить в обсуждение вопросов, не относящихся к их компетенции.

3.3.      Посещение приемов, симпозиумов, семинаров,
выставок и других мероприятий, организуемых зарубежными
партнерами или с их участием

Сотрудники фирмы посещают приемы, сим -позиумы и семинары, организуемые зарубежными партнерами или с участием зарубежных партнеров, по служебным вопросам по согласованию с отделом международных связей, отделом технического обеспечения и с разрешения генерального директора.

При поступлении письменных или устных приглашений на подобные мероприятия непосредственно в адрес сотрудников следует руководствоваться п. 3.3.1. настоящей Инструкции.

3.4.      Передача материалов зарубежным представителям

Передача зарубежным партнерам научно -технических и других материалов допускается после их предварительного рассмотрения руководством и службой безопасности с целью определения возможности их передачи.

3.5.      Ведение служебной переписки. Прием и передача
телексных и факсимильных сообщений, ведение телефонных
разговоров с зарубежными партнерами.

3. 5.1. Общие положения:

Руководство фирмы, отделы и подразделе -ния фирмы ведут служебную переписку, прием и передачу телексных и факсимильных сообщений через отдел документационного обеспечения.

Вся      входящая международная
корреспонденция (вне зависимости от ее вида)
регистрируется и первично рассматривается в отделе
документационного обеспечения. Корреспонденция

докладывается генерально му директору или его заместителям или направляется на рассмотрение и исполнение непосредственно в отделы.

После рассмотрения руководством коррес -понденция в соответствии с резолюцией направляется исполнителям, и контроль за сроками исполнения поручения осуществляется в соответствии с установленным порядком.

Право подписи корреспонденции в адрес зарубежных представительств имеют генеральный директор, его заместители и начальники отделов.

Любая корреспонденция в адрес зарубеж­ных представительств подлежит визированию у руководства и в службе безопасности фирмы. Один экземпляр документов остается в отделе документационного обеспечения.

3.5.2.   Работа с письмами

3.5.2.1. Служебные письма, адресуемые зарубеж -ным партнерам, пишутся на фирменных бланках с указанием наименования фирмы на английском языке, а также с разрешенными номерами телефонов, факсов и телексов, выделенных для работы с зарубежными представителями. Ставить какие-либо штампы и печати на таких письмах не разрешается.

3.5.2. 2. Проекты писем в адрес зарубежных парт­неров готовятся в отделах фирмы при строгом соблюдении конфиденциальности. Наименование отдела, фамилия и номер телефона исполнителя письма на подлиннике не указываются, а приводятся на копиях.

3.5.3.   Работа с телексными сообщениями

3.5.3.1.            Телексные сообщения от иностранцев

принимаются на специально выделенный аппарат сети Телекс.

3. 5.3.2.           Подготовка проектов телексных

сообщений осуществляется отделами по установленной форме на иностранном языке.

3. 5.3.3.           Отправка телексных сообщений зарубеж-

ным партнерам осуществляется в порядке, установленном настоящей Инструкцией.

3.5.4.   Работа с факсимильными сообщениями

3.5.4.1. Все факсимильные сообщения от иностранцев подлежат регистрации в отделе

документационного обеспечения.

3.5.4.2. Подготовка проектов факсимильных сооб -щений осуществляется отделами на бланках, используемых для письменной корреспонденции и со специальным титульным листом. Тексты сообщений могут быть как на русском, так и на иностранных языках. Требования к реквизитам исполнителя аналогичны требованиям п. 3.5.2.2. настоящей Инструкции.

3.5.4.   3. Передача факсимильных сообщений ино-
странцам осуществляется отделами со специально вы -
деленного аппарата факсимильной связи с предварительной
регистрацией в отделе документационного обеспечения.

3.5.5.   Ведение телефонных разговоров
Сотрудники фирмы могут вести телефонные разговоры с
зарубежными партнерами с телефонов, выделяемых для этих целей
в каждом отделе: список телефонов подлежит согласованию с
отделом международных связей и службой безопасности.

3.6. Командирование за рубеж

Состав делегаций, командируемых за рубеж за счет собственных средств, формируется соответствующими отделами и согласовывается с отделом международных связей, службой безопасности и руководством фирмы.

При командировании за рубеж по служебной линии делегациям и отдельным специалистам выдается техническое задание, в котором отражается перечень конкретных вопросов, для решения которых организуется поездка.

Технические задания составляются отделом международных связей и представляются на утверждение руководству не позднее чем за две недели до выезда.

3.6.3.   Оформление выездных документов производится

в отделе международных связей в установленном порядке.

4. Оформление результатов работы с иностранцами, учет и отчетность

4.1. Соответствующие отделы, принимающие иностранцев, по итогам работы с зарубежными партнера ми и командирования за рубеж составляют отчеты произвольной формы. По итогам деловых встреч составляются записи бесед по установленной форме. Записи бесед представляются в отдел по международным связям в двухдневный срок после окончания работы с

иностранцами, а отчеты, как правило, — в двухнедельный срок (два печатных экземпляра).

В записях бесед и отчетах указывается: когда, где, с кем состоялась встреча; ее основание и цель; кем дано разрешение на встречу, какое учреждение, организацию или фирму представляли иностранцы, их фамилии и должностное положение; кто присутство вал со стороны фирмы; содержание беседы (существо вопросов и ответы на них); какая документация и ка кие образцы изделий и материалов переданы зарубежным представителям или получены от них, обязательства сторон по существу обсуждавшихся вопросов, а также другая заслуживающая внимания информация.

Отдел международных связей ведет учет принимаемых иностранных делегаций и деловых встреч, а также учет сообщений от фирмы о контактах с иностранцами.

5. Организационные мероприятия по результатам работы с иностранцами

Отчеты по результатам работы с зарубежными представительствами и записи бесед, содержание обязательства и предложения сторон докладываются соответствующими отделами, организовавшими встречу, руководству фирмы и службе безопасности.

Координация работ по выполнению поручений руководства по данным документам возлагается на отдел международных связей и службу безопасности.

Контроль за выполнением положений настоящей Инструкции возлагается на руководство фирмы, отдел международных связей и службу безопасности.

ОБЕСПЕЧЕНИЕ СОХРАНЕНИЯ КОММЕРЧЕСКОЙ ТАЙНЫ ПРЕДПРИЯТИЯ

Введение

Важными источниками конфиденциальной информации являются люди, документы и публикации. От того, как организована работа с людьми и документами, зависит и безопасность предприятия. Целям предотвращения нанесения экономического, финансового и материального ущерба предприятию (организации), вызванного неправомерными или неосторожными действиями, а также неквалифицированным обращением или разглашением коммерческой тайны, служат настоящие предложения.

Предложения по обеспечению коммерческой тайны носят общий рекомендательный характер, не являются нормативным документом, ориентированы в ос новном на работу с документами, содержащими сведения коммерческого характера, и предусматривают главным образом организационные меры защиты коммерческих секретов.

При подготовке данного пособия были использованы материалы и опыт государственных и коммерческих структур по защите информации.

1. Общие положения

Под коммерческой тайной понимаются не являющиеся государственными секретами сведения, связанные с производственно-технической, научно-исследовательской, опытно -конструкторской и другой деятельностью предприятия, а также с их технологической информацией, управлением, финансами, раз -глашение, утечка или неправомерное овладение которыми может нанести ущерб его интересам.

К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные «Перечнем конкретных сведений, составляющих коммерческую тайну», утвержденным и введенным в действие приказом директора предприятия.

Коммерческая тайна является собственностью предприятия.

Если коммерческая тайна является результатом совместной деятельности с другими предприятиями, основанной на договорных началах, то коммерческая тайна может быть собственностью двух сторон. Это обстоятельство должно найти отражение в договоре.

Примечание. Единой установки на обозначение грифа ограничения доступа к документу, содержащему коммерческую тайну, нет, таким грифом может быть «коммерческая тайна». На других предприятиях могут быть: «коммерческая тайна», «секрет предприятия», «тайна предприятия» и др. Такой ограничительный гриф не является грифом секретности, а лишь показывает, что право собственности на данную информацию охраняется законодательством

Под разглашением коммерческой тайны имеются в виду противоправные, умышленные или неосторожные действия должностных или иных лиц, приведшие к преждевременному, не вызванному служебной необходимостью, оглашению охраняемых сведений, подпадающих под эту категорию, а также передача таких сведений по открытым техническим каналам или обработка их на некате горированных Э ВМ.

Под открытым опубликованием вышеуказанных сведений имеется в виду публикация материалов в открытой печати, передача по радио и телевидению, оглашение на международных, зарубежных и открытых внутренних съездах, конференциях, совещаниях, симпозиумах, при публичной защите диссертаций и других публичных выступлениях, свободная рассылка, вывоз материалов за границу или передача их в любой форме иностранным фирмам, организациям или отдельным лицам вне сферы прямых служебных обязанностей.

Необходимость и возможность открытого опуб -ликования этих сведений, а также их объемы, формы и время опубликования определяются директором или его заместителями по направлениям по заключению постоянно действующей экспертной комиссии.

Меры по ограничению открытых публикаций коммерческой информации не могут быть использованы во вред принципу гласности и для сокрытия от общественности фактов бесхозяйственности, расточительства, недобросовестной конкуренции и других негативных явлений.

Использование для открытого опубликования сведений, полученных на договорной или доверительной основе или

являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров.

Передача информации сторонним организациям, не связанным прямыми служебными контактами, должна регулироваться, как правило, договорными отношениями, предусматривающими обязательства и ответственность пользователей, включая возмещение материальных затрат на предоставление информации и компенсацию за нарушение договорных обязательств.

Предоставление        коммерческой информации
представителям служебных, ревизионных, фискальных и
следственных органов, народным депутатам, органам печати, радио
регулируется соответствующими положениями.

Тиражированные документы и издания с грифом «коммерческая тайна» рассматриваются как материалы, содержащие сведения ограниченного распространения.

Ответственность за обеспечение режима при работе с материалами с грифом «КТ», своевременную разработку и осуществление необходимых мероприятий по сохранению коммерческой тайны возлагается на директора, его заместителей по направлениям и руководителей структурных подразделений. Ответственность за организацию и осуществление работы по за -щите коммерческой тайны и проведение постоянного контроля за ее соблюдением возлагается на службу безопасности.

Служба безопасности принимает меры по сохранению коммерческой тайны путем максимального ограничения круга лиц, физической сохранности до кументов, содержащих такие сведения, обработки информации с грифом «КТ» на защищенных ЭВМ, внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.

1.11. Защита коммерческой тайны предусматривает:

порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;

систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;

порядок работы с документами с грифом «КТ»;

обеспечение сохранности документов, дел и изда ний с грифом «КТ»;

обязанности лиц, допущенных к сведениям, состав ­

ляющим коммерческую тайну;

принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющими коммерческую тайну;

ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.

Контроль за осуществлением учета, размножением, хранением и использованием документов, дел и изданий с грифом «КТ» возлагается на уполномоченных службы безопасности.

Контроль за неразглашением сведений, содержащихся в документах, делах и изданиях с грифом «КТ», осуществляется отделами службы безопасности.

2. Порядок определения информации, содержащей коммерческую тайну, и сроков ее действия

Определение необходимости проставления грифа «коммерческая тайна» производится на основании Перечня, указанного в п. 1.2: на документе — исполнителем и лицом, подписывающим документ, а на издании — автором (составителем) и руководителем, утверждающим издание к печати.

Срок действия коммерческой тайны, содержащейся в документе, определяется в каждом конкретном случае исполнителем или лицом, подписавшим документ, в виде конкретной даты, или «до заключения контракта», или «бессрочно».

На документах, делах и изданиях, содержащих сведения, составляющие коммерческую тайну, проставляется гриф «коммерческая тайна», а на документах и изданиях, кроме того, — номера экземпляров.

Гриф «коммерческая тайна» и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке, титульном листе издания и на первой странице сопроводительного письма к этим материалам.

На обратной стороне последнего листа каждого экземпляра документа, содержащего коммерческую тайну, печатается разметка, в которой указывается: количество отпечатанных экземпляров, номер, фамилия исполнителя и его телефон, дата, срок действия коммерческой тайны, содержащейся в документе (конкретная дата, « до заключения контракта» или «бессрочно»), фамилия машинистки.

2.4.      Решение вопроса о снятии грифа «коммерческая тайна»

возлагается на создаваемую в установленном порядке специальную комиссию, в состав которой включаются представители службы безопасности и соответствующих структурных подразделений.

Решение комиссии оформляется составляемым в произвольной форме актом, который утверждается директором или его заместителем по направлению. В акте перечисляются дела, с которых гриф «КТ» снимается. Один экземпляр акта вместе с делами передается в архив, а на дела постоянного хранения — в го­сударственный архив.

2.5. На обложках дел гриф «КТ» погашается штампом или записью от руки с указанием даты и номера акта, послужившего основанием для его снятия.

Аналогичные отметки вносятся в описи и номенклатуры дела.

3. Система допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну

3. 1. Допуск сотрудников к сведениям, составляющим коммерческую тайну, осуществляется директором, его заместителями по направлениям и руководителями структурных подразделений.

Руководители подразделений и службы безопасности ответственны за подбор лиц, допускаемых к сведениям с грифом «КТ», обязаны обеспечить систематический контроль за тем, чтобы к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих служебных обязанностей.

3. 2. К сведениям, составляющим коммерческую тайну,
допускаются  лица,   обладающие необходимыми

высоконравственными и деловыми качествами, способные хранить коммерческую тайну, и только после оформления в службе безопасности индивидуального письменного обязательства по сохранению коммерческой тайны.

3.3. Допуск сотрудников к работе с делами с грифом «КТ», имеющих к ним непосредственное отношение, производится в соответствии с оформленным на внутренней стороне обложки списком за подписью руководителя структурного подразделения, а к документам — согласно указаниям, содержащимся в резолюциях руководителей подразделений.

3. 4. Командированные и частные лица допускаются к ознакомлению и работе с документами и изданиями с грифом «КТ»

с письменного разрешения руководителей предприятия и подразделений, в ведении которых находятся эти материалы, при наличии письменного запроса тех организаций, в которых они работают, с указанием темы и объема выполняемого задания, а также предписания на выполнение задания.

Выписки из документов и изданий, содержащих сведения с грифом «КТ», производятся в тетрадях, имеющих такой же гриф, и после окончания работы представителя высылаются в адрес организации.

3.5. Дела и издания с грифом «КТ» выдаются исполнителям и принимаются от них под расписку в «Карточке учета выдаваемых дел и изданий» (форма 4).

4. Порядок работы с документами с грифом «КТ»

Документы, содержащие сведения, составляющие коммерческую тайну, подлежат обязательной регистрации в канцелярии службы безопасности или в общем делопроизводстве подразделения уполномоченным службы безопасности. Они долж­ны иметь реквизиты, предусмотренные п. 2.3, и гриф «КТ» (или полностью «коммерческая тайна»). На документах, передаваемых иностранцам, гриф «КТ» не проставляется. Полученные от иностранцев документы маркируются грифом «КТ» графитным карандашом.

В тексте документа и его реквизитах дополнительно могут оговариваться права на информацию, порядок пользования ею, сроки ограничения на публикацию и др.

Отсутствие грифа «КТ» и предупредительных оговорок в тексте и реквизитах означает свободную рассылку и предполагает, что автор информации и должностное лицо, санкционирующее (подписавшее, утверждавшее документ) ее распространение, предусмотрели все возможные последствия от свободной рассылки и несут за это всю полноту ответственности.

Вся поступающая корреспонденция с грифом «КТ» или другими грифами, указанными в п. 1.2, принимается и вскрывается сотрудниками канцелярии, которым поручена работа с этими материалами. При этом проверяется количество листов и экземпляров до кументов и изданий, а также наличие указанных в со проводительном письме приложений.

В случае отсутствия в конвертах (пакетах) документов «КТ» или приложений к ним составляется акт в двух экземплярах, один из которых отправляется адресанту.

4. 3. Регистрации подлежат все входящие, исходящие и внутренние документы, а также издания с грифом «КТ». Такие документы учитываются по количеству листов, а издания (книги, журналы, брошюры) — поэкземплярно.

Учет документов и изданий с грифом «КТ» ведется в журналах (форма 1) или на карточках (форма - 2) отдельно от учета другой несекретной документации.

Листы журналов нумеруются, прошиваются и опечатываются. Издания, которые не подшиваются в дела, учитываются в журнале инвентарного учета (форма 5).

Движение документов и изданий с грифом «КТ» должно своевременно отражаться в журналах или на карточках.

На каждом зарегистрированном документе, а также на сопроводительном листе к изданиям с грифом «КТ» проставляется штамп, в котором указываются наименование, регистрационный номер документа и дата его поступления.

Тираж издания с грифом «КТ», полученный для рассылки, регистрируется под одним входящим номером в журнале учета и распределения изданий (форма 3).

Дополнительно размноженные экземпляры доку мента (издания) учитываются за номером этого документа (издания), о чем делается отметка на размножаемом документе (издании) и в учетных формах Нумерация дополнительно размноженных экземпляров производится от последнего номера ранее учтенных экземпляров.

Печатание материалов с грифом «КТ» производится в бюро оформления технической документации или в структурных подр азде лениях под о тве тствен ность их руководителей.

Отпечатанные и подписанные документы с грифом «КТ» вместе с их черновиками и вариантами передаются для регистрации сотруднику канцелярии, осуществляющему их учет. Черновики и варианты уничтожаются этим сотрудником с подтверждением факта уничтожения записью на копии исходящего документа: «Черновик (и варианты) уничтожены». Дата. Подпись.

Размножение документов и изданий с грифом «КТ» в типографиях и на множительных аппаратах производится с разрешения службы безопасности и под контролем канцелярии по заказам, подписанным руководителем подразделения и утвержденным заместителем директора по направлению. Учет размноженных документов и изданий осуществляется поэкземплярно в специальном журнале.

Рассылка документов и изданий с грифом «КТ» осуществляется на основании подписанных руководителем структурного подразделения разнарядок с указанием учетных номеров отправляемых экземпляров.

Документы с грифом «КТ» после исполнения группируются в отдельные дела. Порядок их группировки предусматривается номенклатурами дел несекретного делопроизводства. В номенклатуру дел в обязательном порядке включаются все справочные картотеки и журналы и издания с грифом «КТ».

При пользовании открытой радиосвязью запрещается передавать сведения, имеющие гриф «КТ». Такие сведения могут передаваться только по закрытым техническим средствам связи или по открытой телетайпной связи с проставлением на документах и телеграммах соответствующего штампа.

При пользовании проводной связью запрещается указывать должности адресатов отправителей, разрешается указывать только телеграфные адреса и фамилии отправителей и получателей.

Снятие копий (рукописных, машинописных, микро- и фотокопий, электрографических и др.), а также производство выписок из документов и изданий с грифом «КТ» сотрудниками производится по разрешению руководителей подразделений.

Снятие копий для сторонних организаций с доку ментов и изданий с грифом «КТ» производится на основании письменных запросов по разрешению руководителей подразделений, подготовивших эти доку менты и издания.

Аналогично отметки вносятся в описи и номенклатуры дел.

Порядок работы на ЭВМ при обработке информации с грифом «КТ» осуществляется в соответствии с требованиями «Инструкции о порядке работы на ПЭВМ при обработке несекретной информации».

5. Обеспечение сохранности документов, дел и изданий

Документы, дела и издания с грифом «КТ» должны храниться в служебных помещениях и библиотеках в надежно запираемых и опечатываемых шкафах (хранилищах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность.

Выданные для работы дела с грифом «КТ» подлежат возврату в канцелярию или уполномоченному службы безопасности в тот же день.

Отдельные дела с грифом «КТ» с разрешения начальника канцелярии или уполномоченного службы безопасности могут на ходиться у исполнителя в течение срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.

Передача документов, дел и изданий с грифом «КТ» другим сотрудникам, допущенным к этим документам, производится только через канцелярию или уполномоченного службы безопасности.

Запрещается изъятие из дел или перемещение документов с грифом «КТ» из одного дела в другое без санкции канцелярии или уполномоченного службы безопасности, осуществляющего их учет. Обо всех проведенных изъятиях или перемещениях делаются отметки в учетных документах, включая внутренние описи.

5. 5. Запрещается выносить документы, дела и издания с грифом «КТ» из служебных помещений для работы с ними дома, в гостиницах и т. д.

В необходимых случаях директор, его заместители по направлениям или руководители структурных подразделений могут разрешить исполнителям или сотрудникам канцелярии вынос из здания документов с грифом «КТ» для их согласования, подписи и т. д. в организации, находящиеся в пределах данного города.

5. 6. Лицам, командированным в другие города, запрещается иметь при себе в пути следования документы, дела или издания с грифом «КТ». Эти материалы должны быть направлены заранее в адрес организации по месту командировки сотрудника, как правило, заказными или ценными почтовыми отправлениями, а также с курьерами.

7. При смене сотрудников, ответственных за учет и хранение документов, дел и изданий с грифом «КТ», составляется по произвольной форме акт приема -передачи этих материалов, утверждаемый заместителями директора по направлениям или руководителями структурных подразделений.

6. Обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну

1. Лица, допущенные к работам, документам и сведениям, составляющим коммерческую тайну, несут личную ответственность за соблюдение ими установленного режима. Прежде чем получить доступ к ком мерческой информации, они

должны изучить требования настоящей инструкции и других нормативных документов по защите коммерческой тайны в части, их касающейся, сдать зачет на знание указанных требований и дать индивидуальное письменное обязательство по сохранению коммерческой тайны.

6.2. Лица, допущенные к работам, документам и сведениям, составляющим коммерческую тайну, обязаны:

а)         строго хранить коммерческую тайну, ставшую им известной
по службе или работе или иным путем, пресекать действия
других лиц, которые могут при вести к разглашению
коммерческой тайны. О таких фактах, а также о других
причинах или условиях возможной утечки коммерческой
тайны немедленно информировать непосредственного
начальника и службу безопасности;

б)         в течение договорного периода не использовать известную
коммерческую тайну в своих личных целях, а также без
соответствующего разрешения руководства не заниматься
любой деятельностью, которая в качестве конкурентного
действия может нанести ущерб предприятию, являющемуся
владельцем этой коммерческой тайны;

в)         выполнять только те работы и знакомиться только с теми
документами, к которым получили доступ в силу своих
служебных обязанностей; знать степень важности
выполняемых работ, правильно определять ограничительный
гриф документов, строго соблюдать правила пользования ими,
порядок их учета и хранения;

г)         при составлении документов со сведениями, со ставляющими
коммерческую тайну, ограничиваться минимальными,
действительно необходимыми в документе этими сведениями;
определять количество экземпляров документов в строгом
соответствии с действительной служебной необходимостью и
не допускать рассылки их адресатам, к которым они не имеют
отношения;

д)         на черновиках документов проставлять соответствующий
ограничительный гриф и другие необходимые реквизиты.
Передавать их для печатания только с письменного
разрешения руководителя подразделения;

е)         после получения из машинописного бюро отпечатанных
документов проверять их наличие, сличать эти данные с
записями в журнале и расписываться (с указанием даты) за
получение отпечатанных доку ментов и черновиков, после чего

учесть в канцелярии или у уполномоченного службы безопасности;

ж)        получать документы с грифом «КТ» лично в канцелярии или у
уполномоченного службы безопасности. Своевременно
знакомиться с полученными документами и разборчиво
расписываться на них с указанием даты ознакомления;

з)         поступившие документы с грифом «КТ» своевременно
направлять для приобщения к делу с соответствующими
отметками об исполнении (номер дела, что сделано по
документу, дата, подпись) и с резолюцией начальника
подразделения;

и)         сдавать в канцелярию или уполномоченному по службе
безопасности исполненные входящие документы, а также
предназначенные для рассылки, подшивки в дело,
уничтожения и взятия на инвентарный учет под расписку в
журналах учета;

к) иметь внутреннюю опись документов с грифом «КТ», в которой отводится отдельный раздел, и немедленно вносить с нее все полученные для исполнения документы, хранить их только в рабочей папке, а при выходе в рабочее время из помещения рабочую папку с документами запирать в сейф;

л) по окончании работы с документами с грифом «КТ» своевременно возвращать их в канцелярию или уполномоченному службы безопасности;

м) об утрате или недостаче документов с грифом «КТ», ключей от сейфов, личных печатей немедленно сообщать в службу безопасности;

н) при увольнении, перед уходом в отпуск, отъездом в командировку своевременно сдать или отчитаться перед канцелярией или уполномоченным за все числящиеся за ним документы;

о) ознакомить представителей других учреждений с документами с грифом «КТ» с ведома и с письменного разрешения руководителя подразделения; лично знакомиться с разрешениями указанных руководителей на предписании, в котором должны быть определены вопросы и объем сведений, подлежащих рассмотрению; требовать от командированных лиц расписки на документах, с которыми они ознакомились, или в учетных карточках этих документов;

п) документы с грифом «КТ» во время работы располагать так, чтобы исключить возможность ознакомления с ними других

лиц, в том числе допущенных к подобным работам и документам, но не имеющих к ним прямого отношения; р) по первому требованию канцелярии и отдела службы безопасности предъявлять для проверки все числящиеся и имеющиеся документы с грифом «КТ»; представлять по требованию начальника отдела устные или письменные объяснения о нарушениях установленных правил выполнения работ с грифом «КТ», учета и хранения документов с грифом «КТ», а также о фактах разглашения сведений с грифом «КТ», утраты документов, содержащих такие сведения.

7. Принципы организации и проведения контроля за обеспечением режима при работе со сведениями, содержащими коммерческую тайну

7.1. Контроль за обеспечением режима при работе со сведениями, составляющими коммерческую тайну, осуществляется в целях изучения и оценки фактическо го состояния сохранности коммерческой тайны, выявления недостатков и нарушений режима при работе с материалами с грифом «КТ», установления причин таких недостатков и нарушений и выработки предложений, на -правленных на их устранение и предотвращение.

7. 2. Контроль за обеспечением режима при работе с материалами с грифом «КТ» осуществляет служба безопасности и руководители структурных подразделений.

7. 3. Комиссия для проверки обеспечения режима при работе с материалами с грифом «КТ» комплектуется из опытных и квалифицированных работников в составе не менее 2-х человек, имеющих допуск к этой работе. Участие в проверке не должно приводить к необоснованному увеличению осведомленности проверяющих об этих сведениях.

7. 4. Проверки обеспечения режима при работе с материалами с грифом «КТ» проводятся не реже одно го раза в год комиссиями на основании предписания, подписанного директором или его заместителем по направлению.

7. 5. Проверки проводятся в присутствии руково дителя структурного подразделения или его заместителя.

7. 6. Проверяющие имеют право знакомиться со всеми документами, журналами (карточками) учета и другими материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы и консультации со специалистами и исполнителями, требовать представления письменных объяснений,

справок, отчетов по всем вопросам, входящим в компетенцию комиссии.

7.         7. По результатам проверок составляется акт (справ ка) с
отражением в нем состояния режима при работе с материалами с
грифом «КТ», выявленных недостатков и нарушений, предложений
по их устранению.

С актом после утверждения его директором или заместителем под роспись знакомится руководитель структурного подразделения.

Об устранении выявленных в результате проверки недостатков и нарушений в режиме при работе с материалами с грифом «КТ» и реализации предложений руководитель подразделения в установленные комиссией сроки сообщает начальнику службы безопасности.

В случае установления факта утраты документов, дел и изданий с грифом «КТ» либо разглашения содержащихся в них сведений немедленно ставятся в известность директор, его заместители по направлениям и начальник службы безопасности.

Для расследования факта утраты документов, дел и изданий с грифом «КТ» при установлении факта разглашения сведений, содержащихся в этих материалах, приказом директора (распоряжением руководителя структурного подразделения) назначается комиссия, заключение которой о результатах расследова ния утверждается руководителем, создавшим данную комиссию.

На утраченные документы, дела и издания с грифом «КТ» составляется акт. Соответствующие отметки вносятся в учетные документы.

Акты на утраченные дела постоянного хранения после их утверждения директором или его заместителями по направлениям передаются в архив для включения в дело фонда.

8. Ответственность за разглашение, утрату документов, содержащим коммерческую тайну

8.         1. Разглашение сведений, составляющих коммерческую
тайну, — это предание огласке сведений лицом, которому эти
сведения были доверены по службе, работе или стали известны
иным путем, в результате чего они стали достоянием посторонних
лиц.

8. 2. Утрата документов, содержащих сведения ком­мерческой тайны, — это выход (в том числе и временный)

документов из владения ответственного за их сохранность лица, которому они были доверены по службе или работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы стали или могли стать достоянием посторонних лиц.

Иные нарушения режима при работе с материалами коммерческой тайны — это нарушение требований, могущее привести к разглашению этих сведений, утрате документов, содержащих такие сведения.

За утрату и незаконное уничтожение документов, дел и изданий с грифом «КТ», за разглашение сведений, содержащихся в этих материалах, а также за нарушение требований виновные лица привлекаются к ответственности в установленном порядке.