Читаем Тайна предприятия: что и как защищать полностью

«Государственному комитету Российской Федерации по антимонопольной политике и поддержке новых экономических структур, Государственному комитету санитарно-эпидемиологического надзора Российской Федерации, Комитету Российской Федерации по стандартизации, метрологии и сертификации. Комитету Российской Федерации по торговле принять меры по оказанию необходимой помощи общественным организациям потребителей в части предоставления доступа к информации о результатах сертификации и экспертизы качества товаров (работ, услуг), проверок соблюдения прав потребителей и правил торгового, бытового и иных видов обслуживания, порядка применения цен, а также

к ведомственным нормативным актам и методическим материалам, необходимым для осуществления указанными организациями деятельности в соответствии с законодательством Российской

Федерации о защите прав потребителей».

Кроме этих организаций, определенные права в части получения информации имеют и другие саморегулируемые общественные организации и профессиональные объединения.

Часто используют терминологию «защита коммерческой тайны», однако, как мы уже убедились, коммерческая тайна - только одна из разновидностей информации ограниченного доступа. которую необходимо охранять. Безусловно, защита должна быть комплексной, т. е. целесообразно создавать систему, включающую в себя различные рубежи и объекты защиты, а не довольствоваться локальной защитой.

Целями защиты информации предприятия являются (схема 4):

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, предприятия, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.

Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.

Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;

- минимизация привилегий по доступу к информации;

- установка ловушек для провоцирования несанкционированных действий;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- глубина защиты, дублирование и перекрытие защиты;

- особая личная ответственность лиц, обеспечивающих безопасность информации;

- минимизация общих механизмов защиты.

Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:

а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.

По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):

I. Определение объектов защиты.

II. Выявление угроз и оценка их вероятности.

III. Оценка возможного ущерба.

IV. Обзор применяемых мер защиты, определение их недостаточности.