ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ ИЗДЕЛИЙ
В этой связи необходимо установить и отразить в Разрешительной системе уровень полномочий каждого руководителя.
Руководитель, давший разрешение на проведение совещания, назначает ответственного за его проведение. Ответственный за проведение совещания составляет список его участников и утверждает у руководителя, давшего разрешение на проведение.
В случае, если сотрудник предприятия или представитель другого предприятия приглашаются для обсуждения отдельного вопроса повестки, то об этом делается отметка в списке.
На совещание пропускаются только те лица, которые значатся в списке.
К участию в совещании должны привлекаться только те работники предприятия и представители других предприятий, которые ведут работы по обсуждаемым вопросам и имеют к ним непосредственное отношение.
Целесообразно, чтобы руководитель, открывая совещание, напомнил участникам о необходимости сохранения коммерческой тайны, а также уточнил, какие конкретно сведения являются охраняемыми.
Необходимо также позаботиться, чтобы в ходе совещания охраняемая информация не могла быть получена из-за пределов помещения, в котором проводится совещание. Речь идет о возможности применения визуальнооптических, акустических и др. технических средств, которые могут быть установлены заинтересованными лицами как в самом помещении, так и за его пределами.
Ответственность за соблюдение требований по защите коммерческой тайны правомерно возложить на руководителя, организовавшего совещание.
Порядок доступа к сведениям, Коммерческую тайну, представителей других предприятий и государственных органов
Разрешение на доступ к сведениям, составляющим коммерческую тайну, представителей других предприятий имеют право давать должностные лица в соответствии со списком, утвержденным руководителем предприятия.
При подготовке такого списка целесообразно учитывать структуру предприятия, сложившуюся частоту приема командированных лиц в тех или иных подразделениях, важность совместных работ для данного предприятия. Пересмотр списка рекомендуется производить ежегодно.
НЕОБХОДИМО ПОМНИТЬ, ЧТО РАСШИРЕНИЕ КРУГА ДОЛЖ
НОСТНЫХ ЛИП, ИМЕЮЩИХ ПРАВО ДАВАТЬ РАЗРЕШЕНИЕ НА ДОСТУП К СВЕДЕНИЯМ, СОСТАВЛЯЮЩИМ КОММЕРЧЕСКУЮ
ТАЙНУ, ВМЕСТЕ С УВЕЛИЧЕНИЕМ ОПЕРАТИВНОСТИ В РАБОТЕ
УВЕЛИЧИВАЕТ ВЕРОЯТНОСТЬ УТЕЧКИ ОХРАНЯЕМОЙ ИНФОР
МАЦИИ
Разрешение на доступ к охраняемым сведениям дается в предписании на выполнение задания с указанием конкретных сведений и (или) номеров грифованных документов, с которыми необходимо ознакомить представителя другого предприятия. При этом должностному лицу, дающему разрешение, должны быть ясны полномочия представителя другого предприятия и объем охраняемых сведений, необходимых ему для выполнения задания.
При выдаче разрешения на доступ к охраняемым сведениям необходимо также указать фамилию работника предприятия, которому поручается ознакомить представителя другого предприятия с указанными сведениями (документами).
Что касается представителей государственных органов, то целесообразно, чтобы разрешение на доступ их к сведениям, составляющим коммерческую тайну, выдавали только руководитель предприятия или его заместитель.
ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ ИЗДЕЛИЙС ГРИФОМ КОММЕРЧЕСКАЯ ТАЙНА НА ПРЕДПРИЯТИИ
Изделия с грифом Коммерческая тайна, как и любые другие изделия, являются материальной ценностью предприятия. Уже в этой связи должны быть обеспечены надлежащий учет и физическая сохранность таких изделий.
Однако, поскольку изделия с грифом Коммерческая тайна являются еще и носителями ОХРАНЯЕМОЙ информации, становится важным не только надежное обеспечение их физической сохранности, но и надежная защита охраняемых сведений, носителями которых изделия являются. Следует помнить, что для сохранения от утечки сведений, составляющих коммерческую тайну, носителями которых является изделие, необходимым условием должно быть принятие эффективных мер по предотвращению:
хищения или утраты изделия;
доступа к изделию посторонних лиц (т.е лиц, которые НЕ ДОЛЖНЫ знать охраняемые сведения);
получения охраняемых сведений при помощи технических средств.
Требующиеся меры могут быть реализованы посредством соответствующей подготовки помещений, предназначенных для разработки, изготовления или хранения изделий с грифом Коммерческая тайна, а также установления специальных процедур учета, получения, отправки и контроля наличия таких изделий.
Учет изделий с грифом Коммерческая тайна
Все изделия с грифом Коммерческая тайна, изготавливаемые или полученные предприятием, должны быть взяты на баланс и учтены в бухгалтерии этого предприятия, а также состоять на строгом оперативном учете. На всех стадиях производства, хранения, транспортировки и работы с грифованными изделиями в подразделениях предприятия должна быть установлена персональная ответственность за сохранность этих изделий в любой момент времени. Изделия с грифом Коммерческая тайна берутся на учет: в опытном производстве - при отсутствии оформленной технологической документации - с момента изготовления их по чертежам с грифом Коммерческая тайна или со стадии изготовления, указанной в технических условиях разработчика;
в серийном производстве - с момента, указанного в технологической документации или сопроводительных картах (паспортах), в которых должна быть предусмотрена операция постановки на учет;
полученные из других организаций - с момента поступления учетнотехнической документации на них от поставщика.
На каждое изделие с грифом Коммерческая тайна, изготовленное на предприятии, оформляется паспорт или формуляр, на которых также проставляется этот гриф.
НЕ СЛЕДУЕТ НАЧИНАТЬ ИЗГОТОВЛЕНИЕ ИЗДЕЛИЯ С ГРИФОМ КОММЕРЧЕСКАЯ ТАЙНА, ЕСЛИ ИСПОЛНИТЕЛЯМ НЕ ЯСНО, С КАКОГО МОМЕНТА ИЗДЕЛИЕ СТАНОВИТСЯ НОСИТЕЛЕМ ОХРАНЯЕМОЙ ИНФОРМАЦИИ
Грифованные изделия учитываются по заводским и инвентарным номерам. Изделия, на которых проставить инвентарный или заводской номер не представляется возможным, следует учитывать по количеству или весу и хранить в отдельной упаковке, на которой проставляется номер.
При нумерации изделий следует помнить, что и общее количество выпущенных изделий может являться коммерческой тайной предприятия.
Для организации надлежащего учета изделий с грифом Коммерческая тайна и обеспечения персональной ответственности за их сохранность необходимо сделать еще несколько простых вещей:
назначить лицо, осуществляющее учет грифованных изделий в бухгалтерии предприятия;
в каждом подразделении предприятия, имеющем дело с грифованным изделием, назначить лиц, ответственных за их оперативный учет и сохранность (уполномоченных).
Назначения должны производиться приказом по предприятию. Должны быть также четко определены обязанности, права и ответственность этих лиц.
Передача изделий с грифом Коммерческая тайна из одного подразделения предприятия в другое осуществляется через уполномоченных с надлежащим оформлением требования или акта.
Получение и отправка изделий с грифом Коммерческая тайна
Порядок получения и отправки изделий с грифом Коммерческая тайна на предприятии существенным образом зависит от 2-х факторов:
частоты получения (отправки) изделий предприятием;
количества структурных подразделений предприятия, которым необходимо получать (отправлять) изделия по условиям договоров с другими предприятиями.
Если частота получения (отправки) изделий небольшая, а круг подразделений-получателей (отправителей) невелик и стабилен, то функции получения (отправки) грифованных изделий могут быть поручены этим структурным подразделениям предприятия.
В противном случае на предприятии необходимо создать специальную группу для обеспечения централизованного получения (отправки) изделий с грифом Коммерческая тайна, наделив ее необходимыми полномочиями и соответствующим образом оборудованным помещением для хранения грифованных изделий (центральный склад изделий с грифом Коммерческая тайна).
Однако, многолетняя практика обращения с изделиями, являющимися носителями охраняемой информации, показала, что ТОЛЬКО ПРИ ЦЕНТРАЛИЗОВАННОМ ПОЛУЧЕНИИ (ОТПРАВКЕ) изделий можно обеспечить их
надлежащий учет и избежать ошибок, способствующих утрате или хищению изделий, а также утечке охраняемой информации.
Исходя из этого, при получении или отправке изделий с грифом Коммерческая тайна рекомендуется применять процедуры, изложенные ниже.
От внешних организаций грифованные изделия поступают на Центральный склад.
Приемка грифованных изделий производится по сопроводительной накладной с обязательной проверкой целостности пломб и упаковок, количество которых указано в сопроводительной документации.
Полученное изделие регистрируется в учетном журнале спецгруппы. По получении изделия с грифом Коммерческая тайна и сопроводительной документации, сотрудник спецгруппы уведомляет об этом подразделение-получатель, которое обязано в установленные сроки оформить акт передачи и получить изделие, сделав соответствующую запись в учетном журнале спецгруппы.
Вскрытие и проверка изделия в подразделении-получателе производится в присутствии уполномоченного.
В случае несоответствия содержимого упаковки, в которой находится грифованное изделие, данным сопроводительной документации или обнаружения брака составляется акт и делается представление организации-поставщику.
Предназначенные к отправке в другие организации изделия упаковываются подразделением-отправителем при наличии паспорта (формуляра) и упаковочной ведомости на данные изделия и передаются в спецгруппу для отправки.
Отправка грифованных изделий во внешние организации производится спецгруппой на основании Поручения, подписанного директором предприятия и согласованного с Главным бухгалтером. Поручение оформляется подразделением-отправителем.
Отправка и вывоз изделий с грифом Коммерческая тайна производится ТОЛЬКО по пропускам спецгруппы.
Внимательно изучив предлагаемый механизм получения и отправки изделий с грифом Коммерческая тайна, можно отметить, что централизованное оформление процедур получения и отправки грифованных изделий может обеспечить требующийся учет этих изделий и надлежащий контроль за их перемещением.
По-видимому, могут быть предложены и другие варианты, зависящие от конкретных особенностей предприятия. Но во всех случаях должно соблюдаться ГЛАВНОЕ УСЛОВИЕ: лицо (лица), осуществляющее учет и отправку грифованных изделий, должно быть официально назначено приказом по предприятию.
Транспортировка изделий с грифом Коммерческая тайна
Транспортировка изделия должна рассматриваться как операция, связанная с повышенным риском его хищения или утраты. Поэтому транспортировку изделия на другое предприятие следует осуществлять только в случаях КРАЙНЕЙ НЕОБХОДИМОСТИ, причем основные условия транспортировки необходимо изложить в договоре (кто транспортирует изделие; вид транспорта; обеспечение охраны; транспортировка изделия в сборе или по частям; как будет осуществляться возврат изделия, если это необходимо).
Бели по каким-либо причинам условия транспортировки изделий с грифом Коммерческая тайна не оговорены, можно руководствоваться следующими рекомендациями.
Отправку изделий в адрес внешних организаций поручать подразделениям, связанным договорными обязательствами с предприятиями, которым изделия необходимо доставить.
Охрану (сопровождение) груза также поручать сотрудникам этих подразделений, соответствующим образом их проинструктировав.
При транспортировке изделия с грифом Коммерческая тайна должны быть упакованы так, чтобы исключить их обозрение. Должны быть выбраны наиболее удобный (безопасный) маршрут и время перевозки.
ЕСЛИ ПРЕДСТАВЛЯЕТСЯ ВОЗМОЖНЫМ ИЗЪЯТЬ ИЗ ИЗДЕЛИЯ НОСИТЕЛЬ ОХРАНЯЕМЫХ СВЕДЕНИЙ И УПРОСТИТЬ ПРОБЛЕМЫ, СВЯЗАННЫЕ С ТРАНСПОРТИРОВКОЙ ГРИФОВАННОГО ИЗДЕЛИЯ, ТО ЭТО НЕОБХОДИМО СДЕЛАТЬ.
В случае, когда за получением изделия с грифом Коммерческая тайна прибывает представитель предприятия, куда изделие должно быть отправлено, лицо, выдающее грифованное изделие, должно убедиться в наличии и правильности оформления необходимых документов на получение изделия (доверенность на получение; документ, удостоверяющий личность представителя), а также в наличии охраны для сопровождения груза.
Проверка наличия (инвентаризация) изделий с грифом Коммерческая тайна
Механизм организации и проведения проверки наличия изделий с грифом Коммерческая тайна можно принять тот же, что и для проверки наличия грифованных документов, но с некоторыми специфическими особенностями.
В период инвентаризации передача изделий между подразделениями должна быть исключена, поскольку это может негативно повлиять на достоверность результатов изделия, поступающие из внешних организаций, должны приниматься на Центральный склад и там храниться до окончания инвентаризации. Поскольку инвентаризация может быть проведена оперативно (не должна задерживать работу предприятия), то выполнение этих условий не представляется затруднительным.
Инвентаризационными комиссиями в подразделениях должно быть проверено:
1. Наличие грифованных изделий в натуре и соответствие их учетным
данным.
2. Наличие узлов и деталей грифованных изделий, предназначенных для дальнейшей сборки, сведения о которых в бухгалтерию предприятия не представлялись.
3. Режим хранения грифованных изделий.
4. Своевременность и правильность постановки изделия на учет или снятия с учета. Напомним, что изделие с грифом Коммерческая тайна снимается с учета как в случае рассекречивания охраняемых сведений, носителем которых оно является, так и в случае уничтожения охраняемых сведений (например, полное уничтожение грифованного изделия).
Результаты инвентаризации обязательно направляются также и в бухгалтерию предприятия (для лица, осуществляющего учет изделий с грифом Коммерческая тайна).
Требования к помещениям, предназначенным для разработки, изготовления или хранения изделий с грифом Коммерческая тайна
Одним из важных факторов, влияющих на сохранение в тайне охраняемых характеристик изделия, является обеспечение надлежащих условий скрытности в процессе разработки, изготовления или хранения таких изделий. Причем, как правило, наиболее трудно обеспечить защиту охраняемых характеристик изделия на стадии его разработки.
Очень важно на этом этапе своевременно определить, КАКИЕ характеристики разрабатываемого изделия являются коммерческой тайной, КОГДА они могут проявиться и КАКИМ СПОСОБОМ они могут быть установлены лицами, которые не должны, но очень хотят их знать.
В этой связи и должны устанавливаться требования к помещениям, в которых разрабатываются (изготавливаются или хранятся) изделия с грифом Коммерческая тайна.
ПРИ ЭТОМ ВАЖНО ПОМНИТЬ, ЧТО ВСЯКИЕ ОГРАНИЧИТЕЛЬНЫЕ МЕРЫ ДОЛЖНЫ ВВОДИТЬСЯ ОБОСНОВАННО, А ПРИНЯТИЕ БОЛЬШОГО КОЛИЧЕСТВА ЗАЩИТНЫХ МЕР ЕЛЕ НЕ ОЗНАЧАЕТ, ЧТО ТРЕБУЕМЫЙ РЕЗУЛЬТАТ ПОСЛЕ ИХ ВВЕДЕНИЯ БУДЕТ ДОСТИГНУТ.
Например, гриф Коммерческая тайна присвоен изделию в связи с применением особой технологии его изготовления. Причем примененная технология может стать известной только из грифованных документов.
В этом случае вряд ли следует принимать другие меры защиты, чем те, которые определены для сохранности материальных ценностей.
Другое дело, если одной из охраняемых характеристик является внешний вид изделия. Тогда необходимо принять меры, чтобы исключить возможность несанкционированного получения изображения изделия или наблюдения за ним.
В некоторых случаях необходимо скрывать характеристики различных излучений, которые могут быть установлены приборами, причем на значительном расстоянии. Тогда необходимо использовать экранирование помещений или активную радиотехническую маскировку.
Приведем некоторые практические рекомендации.
Производственные помещения должны размещаться на охраняемой территории и обеспечиваться сигнализацией.
Окна первого этажа оборудуются решетками и, если это необходимо, матовыми стеклами (зашториваются).
Входные двери обивают железом.
Определен порядок вскрытия и сдачи помещения под охрану.
Входная дверь должна быть постоянно закрытой на замок и оборудована звонковой кнопкой для вызова дежурного по помещению. Дежурный, как правило, назначается из числа сотрудников, постоянно работающих в помещении.
Вход в помещение осуществляется по утвержденному списку. Список целесообразно разместить на внутренней стороне входной двери.
Все шкафы и сейфы, используемые для хранения грифованных изделий, в т. ч. и для временного хранения на рабочих местах, должны быть зарегистрирована Передача ключей другому лицу и перемещение сейфов могут производиться только с ведома руководителей подразделений.
По окончании рабочего дня или смены помещения, хранилища и шкафы с находящимися в них грифованными изделиями, запираются и опечатываются уполномоченными или ответственными исполнителями, получившими изделия, и сдаются под охрану.
Уполномоченный в подразделении перед вскрытием обязан проверить целостность оттисков печатей или пломб на дверях, шкафах и сейфах с изделиями. В случае обнаружения повреждения запоров и печатей немедленно ставить в известность руководство подразделения.
ПРИ ЭТОМ САМОСТОЯТЕЛЬНЫХ ДЕЙСТВИЙ ПО ВСКРЫТИЮ НЕ ПРОИЗВОДИТЬ
Перечень таких рекомендаций можно продолжать. Но и из приведенных рекомендаций видно, что они направлены на исключение хищения изделий и несанкционированного доступа к ним.
НАДО ШИРЕ ПРАКТИКОВАТЬ ПОКАЗ ТОГО ФАКТА, ЧТО ИЗДЕЛИЕ ОХРАНЯЮТСЯ (предупредительные надписи, соответствующие хорошо видимые отличительные знаки на дверях помещений.
Что касается возможности получения охраняемой информации при помощи технических средств, то здесь для каждого случая требуется конкретная постановка задачи.
ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ И ХРАНЕНИИ ЕЕ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Средства автоматизированной обработки информации с использованием ЭВМ (ПЭВМ) имеют ряд особенностей, позволяющих бесконтрольно манипулировать информацией соответствующих автоматизированных систем (АС) как персоналу АС, так и посторонним лицам, а также скрытно получать доступ к обрабатываемой информации на значительном расстоянии от средств вычислительной техники. Поэтому конфиденциальная информация АС (составляющая коммерческую тайну) без адекватной ее защиты может быть достаточно легко скомпрометирована, вызвав значительные экономические, моральные и другие потери для собственника (владельца) такой информации.
В связи с этим, принятие решения о вводе конфиденциальной информации в АС необходимо проводить с учетом определенного риска, который может быть значительно уменьшен или практически исключен с использованием соответствующих средств и мер защиты.
Применительно к АС наиболее опасными действиями по отношению к защищаемой информации являются: утрата информации - неосторожные действия собственника информации, представленной в АС на различных носителях и в файлах, или лица, которому были доверена информация в силу его официальных (производственных) обязанностей в рамках АС, в результате которых информация была потеряна и стала либо могла стать достоянием посторонних лиц;
раскрытие информации - умышленные или неосторожные действия, в результате которых информация, представленная на различных носителях и в файлах, стала доступной для посторонних лиц;
порча информации - умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах;
кража информации - умышленные действия, направленные на несанкционированное изъятие информации из системы ее обработки, как посредством кражи носителей информации, так и посредством дублирования (копирования) информации, представленной в виде файлов АС;
подделка информации - умышленные или неосторожные действия, в результате которых нарушается целостность (точность, достоверность, полнота) информации, находящейся на различных носителях и в файлах АС;
блокирование информации - умышленные или неосторожные действия, приводящие к недоступности информации в системе ее обработки;
нарушение работы системы обработки информации умышленные или неосторожные действия, приводящие к частичному или полному отказу системы обработки либо создающие благоприятные условия для выполнения вышеперечисленных действий.
Перечисленные действия могут реализовываться в АС посредством следующих атак (каналов, угроз):
1. Незаконное физическое проникновение посторонних лиц в помещения, в которых располагаются средства автоматизированной обработки (хранилища, архивы);
2. Перехват побочных электромагнитных, акустических и других излучений от средств автоматизированной обработки, несущих конфиденциальную информацию, как через традиционный эфир, так и с использованием наводок таких излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (сети питания, телефонные линии, отопление, канализация и т. п.);
3. Использование электроакустического воздействия речи персонала АС на СВТ и вспомогательные технические средства для перехвата речевой информации, содержащей коммерческую тайну, по соответствующему излучению модулированных сигналов от этих средств;
4. Перехват информационных сигналов в линиях и каналах связи средств автоматизированной обработки посредством незаконного к ним подключения;
5. Включение специальных устройств в СВТ, позволяющих несанкционированно получать обрабатываемую в АС информацию, ретранслировать ее с помощью передатчиков, блокировать работу СВТ, уничтожать информацию на различных носителях, уничтожать сами СВТ;
6. Несанкционированное (незаконное) логическое проникновение (вход) в АС посторонних лиц под видом законного пользователя посредством подбора (кражи) пароля или обхода механизма контроля входа в систему (при его наличии);
7. Загрузка посторонней операционной системы (ОС) или программ без средств контроля доступа в ЭВМ АС;
8. Обследование (считывание) освобожденных областей оперативной и внешней памяти, ранее содержавших конфиденциальную информацию и информацию по разграничению доступа (пароли, ключи, коды, матрицы доступа и т. п.), а также отработанных носителей АС (печатных, графических документов);
9. Получение привилегированного статуса для взятия полного контроля над АС посредством изменения системных таблиц ОС и регистров;
10. Изменение установленного статуса объектов защиты АС (кодов защиты, паролей, матрицы доступа);
11. Модификация прикладных и системных программных средств АС с целью обхода (отключения) механизма контроля доступа или выполнения несанкционированных действий в АС;
12. Введение и использование в АС вредоносных программных средств для манипулирования или блокирования работы АС.
Сети ЭВМ (ПЭВМ) по сравнению с автономной ЭВМ (ПЭВМ) значительно больше подвержены возможным посягательствам на обрабатываемую в них информацию. Наиболее распространенными угрозами в сети ЭВМ являются: перехват сообщений в каналах передачи; порождение правдоподобных сообщений; маскировка под узаконенный узел сети; подложная идентификация оконечного абонента; несанкционированный доступ со стороны законных абонентов; неправильный выбор маршрута сообщений.
С учетом перечисленных угроз защита конфиденциальной информации в АС строится в виде двух относительно самостоятельных в техническом плане частей, реализующих:
Основные требования к системам защиты информации
Основными методами защиты информации в АС являются: физическая охрана средств вычислительной техники (СВТ) (устройств и носителей информации), предусматривающая наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и/или специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;
использование средств вычислительной техники (СВТ) в специально защищенном от ПЭМИН и НСД исполнении;
использование сертифицированных средств защиты; проведение специальных исследований и контроль СВТ с целью исключения непредусмотренных включений и добавок;
