Коммерческая информация и способы ее защиты

     Целесообразно, особенно при случайном подборе  кандидата, произвести запрос на предыдущее место работы с целью получения характеристики его морально-деловых качеств, а также данных о погашенных судимостях.

     Для более полного ознакомления с  личностью кандидата имеется  возможность воспользоваться услугами органов внутренних дел. Последние могут оказывать такого рода платные услуги в соответствии с приказом МВД РФ № 319 от 1994 г. Органы внутренних дел предоставляют сведения о наличии (отсутствии) судимости кандидата и о лицах, находящихся в розыске

     После ознакомления с документами кандидата (личными документами, об образовании, прежней должности и стаже  работы, характеристиками и рекомендациями), а последнего - с требованиями к нему и признания обоюдного соответствия, производится собеседование работника кадровой службы фирмы с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

     В случае успешного прохождения кандидатом проверки и признания его соответствующим  должности, осуществляется заключение (подписание) двух документов:

     трудового договора (контракта). Контракт обязательно  должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;

     договора (обязательства) о неразглашении  конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме. а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство). Пример договора - см. Приложение №16.

     Непосредственная  деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

     В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

     Эффективным способом защиты информации, особенно если фирма имеет ряд производств (цехов, подразделений, участков), является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными обязанностями работников. Посещение же “закрытых” территорий производится только с разрешения руководства.

     Оригинальным  приемом защиты информации, используемым некоторыми фирмами, является разбиение однородной информации на отдельные самостоятельные блоки и ознакомление сотрудников только с одним из них, что не позволяет работникам представить общее положение дел в данной сфере.

     Третий  этап – увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.

     Работа  с конфиденциальными  документами

     Конфиденциальная  информация, в том числе коммерческая тайна, как правило, содержится в  виде каких-либо документов – традиционных, бумажных, либо электронных. Эти источники информации могут являться объектами неправомерных посягательств и, следовательно, нуждаются в защите. Конфиденциальная информация на крупных предприятиях, предприятиях имеющих нескольких собственников представляет собой более сложный объект защиты.

     Все документы в фирме делятся  на три категории: входящие, исходяшие и внутренние. Первым шагом в обеспечении защиты информации является выявление из общей массы документов, содержащих ценную для фирмы коммерческую информацию. Составляется перечень конфиденциальных документов. Затем вводятся степени конфиденциальности информации (или грифы ограничения доступа к документам) и каждому документу присваивается соответствующий гриф. Данный перечень составляется специальной комиссией (в крупных фирмах), либо секретарем-референтом фирмы (специальным сотрудником). Потом он согласовывается с начальниками отделов, служб и утверждается руководителем фирмы. В перечне документов указываются категории работников, которые по должности могут пользоваться этими документами. Гриф ограничения доступа к документу устанавливается на определенный срок. Каждый документ, отнесенный к той или иной степени конфиденциальности должен на титульном (первом) листе иметь в правом верхнем углу пометку о грифе.

     Порядок работы с документами, составляющими  коммерческую тайну, регламентируется специальной инструкцией по закрытому  делопроизводству, которая регулирует порядок документирования и организации работы с конфиденциальными документами, включающей следующие разделы: “Общие положения” - на основе действующего законодательства и нормативно-методических документов определяется понятие коммерческой тайны, устанавливаются цели данной инструкции, определяются люди или подразделения, ответственные за работу с документами, составляющими коммерческую тайну; “Документирование деятельности фирмы, составляющей коммерческую тайну” - определяются виды конфиденциальных документов, порядок их подготовки и оформления, присваиваемые грифы ограничения доступа к документам; “Организация работы с документами” – устанавливается порядок присвоения грифов и правила работы с документами, содержащими коммерческую тайну (подробнее см.: Шатина Н.В. Как работать с документами, составляющими коммерческую тайну // Предпринимательское право, 1997, № 9, с.19).

     Процесс обеспечения сохранности информации в документах содержащих коммерческую тайну осуществляется в соответствии с основными стадиями “жизненного” цикла документа. Этими стадиями являются:

     Получение (отправка) документа. Документ, поступающий  в фирму и содержащий гриф конфиденциальной информации, должен быть передан только секретарю-референту или инспектору закрытого делопроизводства и зарегистрирован. Далее, он передается руководителю, а  последний определяет непосредственного исполнителя по данному документу, имеющему допуск к этой категории документов, и адресует документ ему. Аналогичный порядок при отправлении документа – подготовка документа, подпись руководителя, регистрация в специальном журнале секретарем-референтом и отправка.

     Хранение  документа. Все документы, содержащие конфиденциальную информацию, должны храниться в специально отведенных, закрывающихся помещениях, в запертых шкафах, столах или ящиках. Документы  же составляющие коммерческую тайну – только в металлических сейфах, оборудованных сигнализацией. Все помещения должны опечатываться. Следует иметь в виду, что при определении степени конфиденциальности документа производится также определение срока в течение которого она действует По истечении срока возможны различные действия: 1) гриф может быть продлен, 2) гриф может быть снят и документ становится открытым, 3) документ уничтожается.

     Использование документа. Система доступа сотрудников, не имеющих соответствующих прав по должности, к конфиденциальным документам должна иметь разрешительный характер. Каждая выдача таких документов регистрируется (расписываются оба сотрудника –  и тот кто берет документ и тот кто его выдает) и проверяется порядок работы с ними (например, нарушением считается оставление данных документов на столе во время обеда, передача другим лицам, вынос за пределы служебных помещений).

     Уничтожение документа. Конфиденциальные документы, утратившие практическое значение и  не имеющие какой-либо правовой, исторической или научной ценности, срок хранения которых истек (либо не истек), подлежат уничтожению. Для этого создается комиссия (не менее 3 человек) в присутствии которой производится уничтожение. Затем члены комиссии подписывают акт об уничтожении. Бумажные документы уничтожаются путем сожжения, дробления, превращения в бесформенную массу, а магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и др.

     Контроль  за соблюдением правил хранения и использования документов, содержащих конфиденциальную информацию, осуществляется с помощью проверок. Они могут быть как регулярными (еженедельными, ежемесячными, ежегодными), так нерегулярными (выборочными, случайными). В случае обнаружения нарушений составляется акт и принимаются меры, позволяющие в будущем предотвратить нарушения такого рода.

     Следует контролировать не только документы, содержащие конфиденциальную информацию, но и бумаги с печатями, штампами, бланки. Бланк – лист бумаги с оттиском углового или центрального штампа, либо с напечатанным любым способом текстом (или рисунком), используемый для составления документа. Особое внимание следует уделять охране так называемых бланков строгой отчетности, содержащих номер (серию), зарегистрированных одним из установленных способов и имеющих специальный режим использования.

     Компьютерная  безопасность

     В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает обеспечение компьютерной безопасности. Это связано с возрастающим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации.

     Компьютерные  преступления в этом аспекте можно  охарактеризовать как противоправные посягательства на экономическую безопасность предпринимательства, в которых объектом, либо орудием преступления является компьютер.

     Источник  данного вида угроз может быть внутренним (собственные работники), внешним (например, конкуренты), смешанным (заказчики – внешние, а исполнитель  – работник фирмы). Как показывает практика, подавляющее большинство таких преступлений совершается самими работниками фирм.

     Что же является непосредственным объектом компьютерных преступлений? Им может являться как информация (данные), так и сами компьютерные программы(7).

     Преступник  получает доступ к охраняемой информации без разрешения ее собственника или владельца, либо с нарушением установленного порядка доступа. Способы такого неправомерного доступа к компьютерной информации могут быть различными – кража носителя информации, нарушение средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, представление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных. Причем доступ может быть осуществлен в помещениях фирмы, где хранятся носители, из компьютера на рабочем месте, из локальной сети, из глобальной сети.

     Все угрозы на объекты информационной безопасности по способу воздействия могут быть объединены в пять групп(8): собственно информационные, физические, организационно-правовые, программно-математические, радиоэлектронные. 

     Последствия совершенных противоправных действий могут быть различными:

     копирование информации (оригинал при этом сохраняется);

     изменение содержания информации по сравнению  с той, которая была ранее;

     блокирование  информации – невозможность ее использования  при сохранении информации;

     уничтожение информации без возможности ее восстановления;

     нарушение работы ЭВМ, системы ЭВМ или их сети.

     Большую опасность представляют также компьютерные вирусы, то есть программы, которые  могут приводить к несанкционированному воздействию на информацию, либо ЭВМ (системы ЭВМ и их сети), с теми же последствиями

     Правовое  обеспечение безопасности предпринимательской  деятельности от компьютерных преступлений основывается на том, что по российскому законодательству защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю. Защита осуществляется в целях утечки, хищения, утраты, искажения, подделки информации, а также предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности(9). Кроме того, за перечисленные выше противоправные действия предусмотрена уголовная ответственность. И это представляется не случайным, поскольку угрозы компьютерным системам могут привести не только к значительным финансовым потерям, но и к необратимым последствиям - ликвидации самого субъекта предпринимательства.