ВЛАДИМИР СОКОЛОВ, начальник отдела защиты информации Свердловского РЦБ |
Необходимо разработать и утвердить руководящий документ, определяющий четкие критерии, по которым можно и нужно относить нарушения к конкретной категории. В практической деятельности в разных службах безопасности на раз личных предприятиях (в организациях) одни и те же нарушения могут быть отнесены к разным категориям. В службе безопасности определяют последовательность проведения про верки структурных подразделений и проверяемые направления работы, в том числе по организации и выполнению установленных требований по защите информации и коммерческой тайны. В некоторых организациях нарушения разделяют по степени важности на три категории. Первая – невыполнение требований или норм по обеспечению режима коммерческой тайны, в результате чего имелась или имеется реальная возможность разглашения конфиденциальной информации или утраты документов с грифом «Коммерческая тайна» с нанесением значительного ущерба организации (предприятию). Чтобы хоть как то оценить значительность ущерба, можно воспользоваться статьей 169 УК РФ «Воспрепятствование законной предпринимательской или иной деятельности» (в ред. Федерального закона от 25.06.2002 № 72ФЗ). В примечании к статье отмечено, что «в статьях настоящей главы, за исключением ст. 174, 174.1, 178, 185–185.6, 193, 194, 198, 199 и 199.1, крупным размером, крупным ущербом, доходом либо задолженностью в крупном размере признаются стоимость, ущерб, доход либо задолженность в сумме, превышающей 1 500 000 руб., особо крупным – 6 млн руб.» (примечание введено Федеральным законом от 08.12.2003 № 162ФЗ, в ред. федеральных законов от 30.10.2009 № 241ФЗ, от 07.04.2010 № 60 ФЗ, от 27.07.2010 № 224ФЗ). Вот здесь и может возникнуть проблема при определении конкретных категорий нарушений. Давайте подумаем вместе: По духу закона мы защищаем информацию для того, чтобы с ней работали или имели к ней доступ только те работники компании, контрагенты, или партнеры, или государственные структуры, которым эта информация необходима для выполнения их служебных обязанностей либо для выполнения их функций. Кроме того, мы знаем, что, по статистике, до 80 % сведений несанкционированно уходит третьим лицам от собственных работников компании. Знаем, что Федеральный закон № 98ФЗ обязал обладателя информации ввести режим коммерческой тайны и выполнить еще требования в соответствии со ст. 10 и 11. Контроль защищенности информации подразделением (службой) без опасности должен проводиться в целях: объективной оценки выполнения подразделением требований документов по защите информации, составляющей коммерческую тайну; выявления недостатков и нарушений в защите информации при работе с документами, имеющими гриф «Коммерческая тайна», установления причин этих недостатков и на рушений. Если обобщить сказанное и написанное в руководящих документах, то задачи, стоящие перед службой без опасности, следующие. При проверке структурного подразделения организации (предприятия) предлагается выяснить: Как выполняются требования ст. 10 и 11 Федерального закона № 98ФЗ «О коммерческой тайне», какая работа проведена и проводится по установлению в подразделении режима коммерческой тайны? Как выполняются требования руководящих документов компании (организации, предприятия) по защите информации и коммерческой тайны? Определить, в случае невыполнения установленных требований по защите информации и коммерческой тайны, к каким последствиям это может привести. Определить возможные пути утечки конфиденциальной информации, в том числе по техническим каналам связи. Давайте снова обратимся к Федеральному закону «О коммерческой тайне». Только по заключенным договорам, если такой вопрос в договоре оговаривается. Или по учету подготовленных ответов на запросы из различных государственных и муниципальных органов и различных организаций. Регулирование отношений на основании трудовых договоров. Иными словами, в трудовом договоре должен быть соответствующий пункт, а лучше пункты, или заключено дополнительное соглашение с работником. Контроль должен осуществляться на местах и в службе управления персоналом (подразделении по работе с кадрами). Нанесение на документы, содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна». Контроль лежит на исполнителе документа и руководителе, подписавшем подготовленный документ. В пункте 2 ст. 1 Федерального закона № 98ФЗ сказано, что режим коммерческой тайны считается установленным только после принятия мер, указанных в п. 1 и перечисленных выше. Иными словами, если в подразделении не выполнены эти требования или одно из них, то режим коммерческой тайны в подразделении не установлен и закон нарушен. Статья 11 закона обязывает работодателя: ознакомить под расписку работника с перечнем информации, составляю щей коммерческую тайну; ознакомить под расписку с установленным режимом коммерческой тайны и с мерами ответственности за его на рушение. Невыполнение в подразделении этих требований также является нарушением федерального законодательства. Все это в той или иной форме должно быть предусмотрено в приказе по организации защиты информации и коммерческой тайны в компании. По нашему мнению, определение категорий нарушений должно происходить из вышеперечисленных требований Федерального закона. Вынесение решения комиссии (рабочей группы) службы безопасности, которая проводит проверку структурного подразделения, о соответствии или несоответствии требованиям работы по защите коммерческой тайны в каждом подразделении должно вытекать из имеющихся нарушений. Есть нарушения закона, следовательно, работа не соответствует предъявляемым требованиям. Если служба безопасности хочет добиться, чтобы в каждом подразделении организации (предприятия, компании) выполнялись требования по защите коммерческой тайны, то признавать работу соответствующей требованиям при наличии в подразделении на рушений или невыполнении статей Федерального закона № 98ФЗ или наличии грубых нарушений приказа организации (предприятия) о порядке организации защиты информации мы не имеем права. Может быть, этот подход слишком строгий, но вот статистика одной службы безопасности. Если в 2008 г. из числа проверенных подразделений работа не была признана соответствующей требованиям ни в одном подразделении, а в 85,71 % подразделений работа не соответствовала требованиям, то в 2013 г. работа была признана соответствующей требованиям уже в 45 % подразделений и только в 43,75 % под разделений работа была признана не соответствующей требованиям. Работники службы безопасности должны не только фиксировать нарушения режима коммерческой тайны, но и помогать руководителям и работникам структурных подразделений компании правильно организовать работу по защите информации и коммерческой тайны. Исходя из вышеперечисленных требований закона и приказа, можно со ставить в организации (предприятии, компании) «Примерную классификацию нарушений по степени важности», которой затем руководствоваться при отнесении нарушений к 1й, 2й или 3й категориям (см. приложение). И к первой категории мы рекомендуем относить не нарушения в соответствии со ст. 169 УК РФ, а нарушения, критичные для соблюдения требований Федерального закона № 98ФЗ, при невыполнении которых компании (организации, предприятию) может быть нанесен ущерб, а компания, в свою очередь, и в суде не сможет отстоять свои интересы или предъявить претензию и/или взыскать ущерб. К таким нарушениям 1й категории можно отнести: разглашение любым способом ин формации, составляющей коммерческую тайну; утрату или непредоставление в ходе проверки учтенных документов с грифом «Коммерческая тайна». Непредоставление документов для проверки служба безопасности должна рассматривать как возможную их утрату. Для проверки этого факта, определения причин и условий, а также виновных лиц рекомендуется в подразделении (филиале, отделе, службе, цехе) про вести расследование и представить в службу безопасности его материалы; непроставление на документе, содержащем информацию, составляющую коммерческую тайну и направленном в сторонние организации (предприятия), грифа ограничения доступа «Коммерческая тайна» и учетных реквизитов. Фактически это можно квалифицировать как разглашение коммерческой тайны. Перечисленные критерии соответствуют вышеназванной формулировке первой категории нарушений, а именно: невыполнение требований или норм по обеспечению режима коммерческой тайны, в результате чего имелась или имеется реальная возможность разглашения информации, составляющей коммерческую тайну, или утраты документов с грифом «Коммерческая тайна». Конечно, этот перечень может корректироваться. Это просто предложения, и каждая служба безопасности может разработать свои критерии. В организации (предприятии, компании) необходимо четко определиться, при наличии каких нарушений и какой категории работа будет признаваться не соответствующей установленным требованиям, а при каких проводимая работа соответствует требованиям. На пример, если в подразделении (филиале, отделе, службе, цехе) будут выявлены нарушения первой и второй категорий, то режим коммерческой тайны в под разделении должен признаваться как не соответствующий установленным требованиям, если выявлены нарушения третьей категории – то режим соответствует не в полной мере, если в проверенном подразделении нет нарушений, которые подпадают под классификацию согласно вышеуказанным категориям, а имеются только отдельные недостатки, то режим соответствует установленным требованиям, что, по нашему мнению, соответствует духу и требованиям Федерального закона № 98ФЗ и внутренним приказам организации (предприятия). Службы безопасности должны оценивать работу подразделений по од ному критерию: как выполняются требования закона № 98ФЗ и приказа руководителя организации (предприятия) и какие последствия могут быть при невыполнении этих требований. При необходимости работники службы безопасности должны научить и под сказать работникам и руководителям структурных подразделений организации (предприятия), как правильно организовать режим коммерческой тайны в конкретном подразделении исходя из местных условий и как устранить имеющиеся нарушения и недостатки. Для того чтобы у работников службы безопасности при проведении проверок не было разночтений в понимании требований Федерального закона № 98ФЗ и организационно-распорядительных документов организации (предприятия), рекомендуется раз работать перечень вопросов, подлежащих проверке в структурном под разделении. Например, мы проводим проверку по 53 вопросам, и все они определенным образом, в положительной части или в отрицательной, отражаются в акте проверки (отчете). Чаще всего в ходе проверок службами безопасности выявляются такие нарушения, как отсутствие приказов (распоряжений) о назначении ответственных работников, организующих работу с информацией, составляющей коммерческую тайну, утвержденных списков о допуске работников подразделения к информации, составляющей коммерческую тайну; не все работники бывают ознакомлены под роспись с перечнем информации, составляющей коммерческую тайну, инструкцией (положением) о порядке обращения информации; не заведены или ведутся неправильно журналы учета документов с грифом «Коммерческая тайна»; сроки хранения документов определены неправильно; не проводится годовая проверка наличия, учета и по рядка хранения документов с грифом «Коммерческая тайна»; документы, как правило, хранятся не в заведенных делах, а в так называемых накопительных папках, в неохраняемых помещениях в шкафах, не запирающихся на ключ, в рабочих столах работников; документам, фактически содержащим информацию, составляющую коммерческую тайну, гриф ограничения до ступа исполнителем не присваивается; документы регистрируются в обычных журналах; в трудовых договорах работников нет пункта об ответственности за разглашение сведений, порчу, утерю документов, содержащих информацию, составляющую коммерческую тайну; размножение документов с грифом «Коммерческая тайна» ведется с нарушением, снятые копии в учетных журналах не учитываются, кому они были переданы, в журнале не фиксируется; компьютеры пользователей, на которых обрабатывается и хранится информация, составляющая коммерческую тайну, не имеют парольной защиты, а если пароль установлен, то он свое временно не обновляется или известен большинству работников этого подразделения, бесконтрольно используются флешки и другие съемные носители информации. Здесь рассмотрен круг вопросов по проверке бумажного документооборота, но конфиденциальная информация обрабатывается и хранится еще на и компьютерах. При проверках служба безопасности должна проверять и выполнение пользователями компьютеров и IT-специалистами установленных требований по информационной безопасности. Но это отдельная тема для разговора. В конце каждого акта (отчета) про верки службой безопасности должны быть изложены конкретные рекомендации для руководителя проверенного подразделения по устранению выявленных нарушений.
|
©2008-2025 Журнал «Директор по безопасности»
Все права защищены
Копирование информации данного сайта допускается только при условии установки ссылки на оригинальный материал.
Проекты ИД «Отраслевые ведомости»: