Основные направления практического внедрения Общих критериев
Возможны два направления практического использования ОК:
· в качестве руководства по проектированию, созданию и эксплуатации безопасных информационных систем;
· как основа для развития российской нормативно-методической базы и разработки российских, функциональных межгосударственных стандартов СНГ — профилей защиты для систем специального назначения, в кредитно-финансовой сфере для электронных банковских технологий.
Европейской ассоциацией производителей компьютерной техники ЕСМА уже проводятся проекты по разработке стандарта "Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)". В этом документе принятый в 1993 г. стандарт ЕСМА-205 "Коммерческий функциональный класс оценки безопасности (COFC)" перерабатывается в соответствии с требованиями и терминологией ОК.
VII.
|
Документ о порядке и методических указаниях по формированию Перечня должен разрабатываться в организации в виде отдельного положения, которое подписывается начальником службы безопасности (заместителем по режиму) или другим должностным лицом, в ведении которого находятся вопросы безопасности, а затем утверждается руководителем организации.
При введении в действие этого положения приказом отдельным пунктом в нем должны определяться должности или лица, которые наделяются полномочиями по отнесению сведений к составляющим служебную или коммерческую тайну в период формирования (разработки) Перечня и по их применению в последующем.
Положение по формированию Перечня должно обеспечивать единый подход к его созданию, обоснованность принимаемых решений о включении в него сведений за структурное подразделение в отдельности и за организацию в целом, а также проведение административного расследования в случае их несанкционированного распространения (разглашения, передачи, утечки, хищения) и наказание лиц, виновных в этом, согласно Уголовному или Гражданскому Кодексу Российской Федерации (в дальнейшем для краткости УК РФ и ГК РФ).
В Перечень должны включаться все сведения (данные, информация, документы и их носители), являющиеся собственностью организации. При этом в ходе подготовки Перечня должностные лица организации должны провести анализ всех сторон ее деятельности с целью определения конкретных сведений, разглашение которых может нанести ущерб ее собственнику и владельцу.
Сведения, составляющие служебную или коммерческую тайну о деятельности организации, по степени (характеру) важности должны разделяться на сведения конфиденциального и коммерческого характера (отметка «Конфиденциально» или «Из офиса не выносить» и т. д.), а также служебные сведения, имеющие гриф «Для служебного пользования» (сокращенно — ДСП).
При этом:
а) Под сведениями (и их носителями) понимаются:
• данные, полученные в результате обработки информации с помощью технических средств (оргтехники);
• информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;
• документы (носители), образующиеся в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.
б) Сведения, включенные в Перечень, имеют ограничительный характер на использование (применение). Ограничения, вводимые на использование сведений, составляющих служебную или коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) ее подразделений, а также при их сотрудничестве с работниками других предприятий.
в) В совокупности под служебной или коммерческой тайной надо понимать сведения, не являющиеся государственными секретами, но которые связаны, прежде всего, с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам или интересам их владельцев.
г) Законодательной основой защиты служебной и коммерческой тайны является часть вторая ГК РФ.
Для работы по составлению Перечня должен привлекаться широкий круг экспертов и должностных лиц отделов, служб организации с тем, чтобы ни одно из возможных направлений ее деятельности не было упущено при его разработке.
Руководство работой по формированию Перечня, как правило, должно возлагаться на начальника службы безопасности (заместителя по режиму) организации.
Для непосредственного формирования Перечня в организации должна создаваться экспертная комиссия (далее сокращенно — ЭК), комплектуемая наиболее квалифицированными сотрудниками и специалистами из ее структурных подразделений. ЭК должна осуществлять анализ всех сторон деятельности организации в целом и подчиненных ему подразделений в отдельности, а также координировать вопросы, касающиеся их совместных действий по формированию Перечня, путем обобщения поступающих предложений.
Работа по формированию Перечня и определению сведений, составляющих служебную или коммерческую тайну, должна состоять из следующих этапов:
• составление предварительного перечня сведений, содержащих служебную или коммерческую тайну, для структурных подразделений (отделов, служб) организации;
• определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в Перечень;
• определение преимуществ открытого использования рассматриваемых сведений по сравнению с закрытым;
• определение затрат на защиту рассматриваемых сведений;
• принятие решения о включении сведений в окончательный вариант Перечня;
• составление обобщенного Перечня и рассмотрение его на заседании ЭК;
• оформление результатов работы по формированию Перечня.
Составление предварительного Перечня сведений.
Предварительный Перечень сведений, составляющих служебную или коммерческую тайну, формируется под руководством начальников структурных подразделений организации в соответствии с указаниями начальника службы безопасности (заместителя по режиму) и Положением о порядке и методических указаниях по его формированию.
При разработке предварительного Перечня в структурных подразделениях должны руководствоваться:
• Конституцией Российской Федерации, принятой 12 декабря 1993 года;
• Законом Российской Федерации «О государственной тайне» № 5485-1 от 21.07.93;
• Федеральным законом Российской Федерации «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95;
• Указом Президента Российской Федерации «Об утверждении Перечня сведений, отнесенных к государственной тайне» № 1203 от 30.11.95;
• Указом Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» № 188 от 06.03.97;
• Постановлением Правительства Российской Федерации «О Перечне сведений, которые не могут составлять коммерческую тайну» № 35 от 05.12.91;
• анализом характера возможного ущерба в случае несанкционированного распространения сведений конфиденциального характера;
• анализом преимуществ и недостатков для работы с открытым и закрытым (внутренним) применением таких сведений.
После окончательного формирования предварительного Перечня о деятельности структурного подразделения он за подписью его руководителя (начальника) представляется в ЭК организации.
Рассмотрению ЭК организации должны подлежать все сведения о деятельности структурного подразделения, собственником которых оно является, при этом каждое такое сведение должно оцениваться по следующим критериям:
• степень важности неразглашения сведений (информации) о порядке получения прибыли в борьбе с конкурентом, в том числе сведений о технико-экономических характеристиках изделия (продукции);
• показатели выигрыша во времени при создании конкурентоспособного изделия (продукции) или предоставлении наукоёмких услуг и работ;
• временные показатели развития технологии, ведущие к сокращению сроков между проведением исследований и их практическим применением (изготовлением);
• получение организацией монополии на информацию о передовой технологии, являющейся ее собственностью;
• вероятность использования информации конкурентом в случае ее рекламирования или опубликования;
• вероятность установления связи между временем закрытия информации и до момента проведения работ по изготовлению конкурентоспособных изделий (продукции);
• другие вопросы производственной и финансовой безопасности.
Рассмотренные и обсужденные на ЭК сведения, переносимые из предварительного в обобщенный вариант Перечня за организацию в целом, должны иметь четкую, конкретную и одностороннюю формулировку, исключающую неоднозначность их понимания (толкования).
Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в обобщенный Перечень.
На данном этапе ЭК должна определить виды возможного ущерба, которые могут быть нанесены интересам деятельности организации в случае несанкционированного распространения (разглашения, передачи, утечки, хищения и т. д.) рассматриваемых сведений. При этом вся служебная деятельность работников (сотрудников) должна быть организована в строгом соответствии с требованиями руководящих документов по вопросам режима, безопасности и конфиденциальности, то есть необходимо создание административных условий, гарантирующих защиту охраняемых сведений, отнесенных к служебной или коммерческой тайне.
Возможный ущерб должен оцениваться с использованием качественных или количественных показателей, влияющих на состояние защиты охраняемых сведений и исключающих возможность нанесения организации морального, материального, производственного, финансового и другого ущерба. Эти показатели должны оцениваться путем реального определения размеров ущерба, который может наступить в результате несанкционированного распространения сведений, включаемых в окончательный вариант Перечня.
Количественные (стоимостные) показатели возможного ущерба должны определяться уровнем снижения эффективности в какой-либо области деятельности организации, в основном производственной или финансовой, а качественные — степенью возможности срыва в получении определенных прибылей или при возникновении других моральных факторов.
В то же время при качественной или количественной оценке ущерба, который может понести организация при разглашении этих сведений, должны учитываться потери, возникающие не только в настоящее время, но и в будущем, а также возможность нанесения ущерба ее посредникам.
При невозможности оценить ущерб в стоимостном выражении допускается оценка только с помощью качественных показателей или факторов.
Качественный или количественный анализ оценки ущерба в конечном итоге должен позволить ЭК организации определить конкретные сведения (информацию или ее составную часть), которые необходимо защищать от посягательств недобросовестных конкурентов.
Из оценки ущерба исключаются следующие сведения:
• сведения, охраняемые службой режима с помощью государственной системы мер по защите государственных секретов;
• сведения, являющиеся общедоступными на законных основаниях, в том числе в соответствии с Постановлением Правительства Российской Федерации № 35 от 05.12.91:
- учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
- документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
- сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России;
- документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
- документы об уплате налогов и обязательных платежах;
- сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательств Российской Федерации и размерах причиненного при этом ущерба;
- сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах и других организациях, занимающихся предпринимательской деятельностью;
• сведения и материалы научно-технического характера после их публикации в открытой печати;
• сведения статистического характера, передаваемые в соответствующие государственные органы и общественные организации без установления условий конфиденциальности их использования.
При оценке количественных и качественных показателей ущерба от несанкционированного распространения сведений, составляющих служебную или коммерческую тайну, должны учитываться следующие отрицательные последствия:
• разрыв отношений с деловыми партнерами и клиентами;
• снижение уровня сотрудничества с деловыми партнерами по различным вопросам взаимодействия (производственные, финансовые, коммерческие и т. д.);
• срыв или невыполнение договорных обязательств, контрактов;
• создание трудностей в снабжении, производстве и сбыте изделий (продукции) или услуг, работ;
• экономические санкции против организации;
• необходимость перепланирования затрат на проведение дополнительных маркетинговых исследований для разработки новой рыночной стратегии;
• потеря приоритета в научных исследованиях;
• престижные и другие моральные факторы, связанные с потерей лидерства в своей области деятельности.
Определение преимуществ открытого использования рассматриваемых сведений по сравнению с закрытым.
На этом этапе ЭК должна установить, сформировать и оценить все положительные и отрицательные факторы, указывающие на возможность открытого использования рассматриваемых сведений по сравнению с закрытым (внутренним применением).
Факторы, указывающие на необходимость и преимущество открытого использования сведений, должны определяться путем:
• получения финансовых и других экономических обоснований в оценке получения прибыли от широкого и открытого использования служебной, производственной или коммерческой информации;
• изучения финансовых затрат на внедрение мероприятий, направленных на обеспечение безопасности в деятельности организации, рассчитываемых согласно пункту 8.4 настоящего раздела.
В целях объективного и обоснованного определения преимущества открытого использования сведений, а также возможности не включения их в Перечень решение по ним должно приниматься ЭК единогласно, причем решающим голосом в принятии того или иного предложения является голос эксперта подразделения, интересы которого затрагивают эти сведения.
Определение затрат на защиту сведений, включаемых в Перечень.
На этом этапе ЭК должна оценить практическую возможность защиты рассматриваемых сведений и определить материальные, трудовые и финансовые затраты, необходимые для организации и осуществления мероприятий по обеспечению соответствующих норм режима, безопасности при обращении с ними (и их носителями), а также мер по технической защите информации, в которой содержатся охраняемые сведения.
При определении затрат на защиту рассматриваемых сведений должны учитываться расчеты на финансирование следующих организационно-технических мер:
• создание и оборудование в организации дополнительно к существующим рабочих мест, связанных с производством новой продукции, изделия или технологии, сведения о которых подлежат защите;
• увеличение штатной численности службы безопасности, содержание этого штата и их технической оснащенности, исходя из необходимости и возможности;
• организация дополнительной проверки и допуск к документам и работам конфиденциального характера необходимого числа работников (сотрудников);
• организация дополнительной охраны материалов, сырья и т. д., содержащихся в охраняемых изделиях (продукции), в нерабочее время, при транспортировке и хранении;
• других мероприятий в зависимости от объемов работы по обеспечению требуемого режима и безопасности.
Затраты на защиту сведений, составляющих служебную или коммерческую тайну, должны учитываться при определении ущерба, наносимого в результате их несанкционированного распространения.
Исходя из условий дислокации, особенностей производственной деятельности организации, целесообразно на этапе определения затрат на защиту конфиденциальных сведений рассмотреть все возможные способы и методы, которые могут быть применены злоумышленниками для получения или уничтожения защищаемой информации.
Принятие решения о включении сведений в окончательный вариант Перечня.
На этом этапе ЭК организации должна произвести окончательное формирование варианта обобщенного Перечня и согласовать его с заместителями руководителя организации и начальниками структурных подразделений.
В обобщенный вариант Перечня должны включаться все сведения служебного, коммерческого и конфиденциального характера, для которых величина морального и материального ущерба от несанкционированного распространения выше суммарного показателя от его открытого использования и затрат на защиту.
После окончательного формирования, согласования варианта обобщенного Перечня сведений, составляющих служебную или коммерческую тайну за организацию, он должен быть вынесен на обсуждение расширенного заседания ЭК.
Оформление результатов работы по формированию Перечня.
Результаты работы ЭК должны оформляться в виде окончательного варианта обобщенного Перечня, подписанного начальником службы безопасности (заместителем по режиму) и представляемого председателем ЭК на утверждение руководителю организации. К окончательному варианту обобщенного Перечня могут прилагаться рабочие материалы с обоснованием необходимости включения в него тех или иных сведений. Такие материалы должны подписываться всеми членами ЭК.
Сведения, отнесенные к служебной или коммерческой тайне, должны включаться в обобщенный Перечень с указанием грифа конфиденциальности и сроков их засекречивания. Вместо указания срока засекречивания могут приводиться обстоятельства или события (в графе 4 «Примечание — особые отметки» Перечня), при наступлении которых возникает необходимость изменения грифа конфиденциальности или полного открытия сведения, включенного в Перечень.
Решение об открытии (рассекречивании) такого сведения принимается руководителем организации или ЭК. При этом необходимо учитывать, что одинаковый гриф конфиденциальности и сроки засекречивания должны устанавливаться:
• на все сведения в совокупности при указании их в Перечне через союз «и»;
• на все категории сведений в совокупности или в отдельности при указании их в Перечне через запятую и союзы «или», «либо», «а также».
Дата добавления: 2016-03-04; просмотров: 1175;