Коммерческая тайна как объект безопасности предпринимательской деятельности

После ознакомления с документами кандидата (личными  документами, об образовании, прежней  должности и стаже работы, характеристиками и рекомендациями), а последнего - с требованиями к нему и признания обоюдного соответствия, производится собеседование работника кадровой службы фирмы с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

В случае успешного  прохождения кандидатом проверки и  признания его соответствующим  должности, осуществляется заключение (подписание) двух документов:

• трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;
• договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме. а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная  деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

В процессе постоянной работы необходимо определение порядка  доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

Эффективным способом защиты информации, особенно если фирма  имеет ряд производств (цехов, подразделений, участков), является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными обязанностями работников. Посещение же “закрытых” территорий производится только с разрешения руководства.

Оригинальным  приемом защиты информации, используемым некоторыми фирмами, является разбиение однородной информации на отдельные самостоятельные блоки и ознакомление сотрудников только с одним из них, что не позволяет работникам представить общее положение дел в данной сфере.

Третий этап – увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.

Работа  с конфиденциальными  документами

Конфиденциальная  информация, в том числе коммерческая тайна, как правило, содержится в виде каких-либо документов – традиционных, бумажных, либо электронных. Эти источники информации могут являться объектами неправомерных посягательств и, следовательно, нуждаются в защите. Конфиденциальная информация на крупных предприятиях, предприятиях имеющих нескольких собственников представляет собой более сложный объект защиты.

Все документы  в фирме делятся на три категории: входящие, исходящие и внутренние. Первым шагом в обеспечении защиты информации является выявление из общей массы документов, содержащих ценную для фирмы коммерческую информацию. Составляется перечень конфиденциальных документов. Затем вводятся степени конфиденциальности информации (или грифы ограничения доступа к документам) и каждому документу присваивается соответствующий гриф. Данный перечень составляется специальной комиссией (в крупных фирмах), либо секретарем-референтом фирмы (специальным сотрудником). Потом он согласовывается с начальниками отделов, служб и утверждается руководителем фирмы. В перечне документов указываются категории работников, которые по должности могут пользоваться этими документами. Гриф ограничения доступа к документу устанавливается на определенный срок. Каждый документ, отнесенный к той или иной степени конфиденциальности должен на титульном (первом) листе иметь в правом верхнем углу пометку о грифе.

Порядок работы с документами, составляющими коммерческую тайну, регламентируется специальной  инструкцией по закрытому делопроизводству, которая регулирует порядок документирования и организации работы с конфиденциальными документами, включающей следующие разделы: “Общие положения” - на основе действующего законодательства и нормативно-методических документов определяется понятие коммерческой тайны, устанавливаются цели данной инструкции, определяются люди или подразделения, ответственные за работу с документами, составляющими коммерческую тайну; “Документирование деятельности фирмы, составляющей коммерческую тайну” - определяются виды конфиденциальных документов, порядок их подготовки и оформления, присваиваемые грифы ограничения доступа к документам; “Организация работы с документами” – устанавливается порядок присвоения грифов и правила работы с документами, содержащими коммерческую тайну.

Процесс обеспечения  сохранности информации в документах содержащих коммерческую тайну осуществляется в соответствии с основными стадиями “жизненного” цикла документа. Этими стадиями являются:

1. Получение (отправка) документа. Документ, поступающий в фирму и содержащий гриф конфиденциальной информации, должен быть передан только секретарю-референту или инспектору закрытого делопроизводства и зарегистрирован. Далее, он передается руководителю, а последний определяет непосредственного исполнителя по данному документу, имеющему допуск к этой категории документов, и адресует документ ему. Аналогичный порядок при отправлении документа – подготовка документа, подпись руководителя, регистрация в специальном журнале секретарем-референтом и отправка.
2. Хранение документа. Все документы, содержащие конфиденциальную информацию, должны храниться в специально отведенных, закрывающихся помещениях, в запертых шкафах, столах или ящиках. Документы же составляющие коммерческую тайну – только в металлических сейфах, оборудованных сигнализацией. Все помещения должны опечатываться. Следует иметь в виду, что при определении степени конфиденциальности документа производится также определение срока в течение которого она действует По истечении срока возможны различные действия: 1) гриф может быть продлен, 2) гриф может быть снят и документ становится открытым, 3) документ уничтожается.
3. Использование документа. Система доступа сотрудников, не имеющих соответствующих прав по должности, к конфиденциальным документам должна иметь разрешительный характер. Каждая выдача таких документов регистрируется (расписываются оба сотрудника – и тот кто берет документ и тот кто его выдает) и проверяется порядок работы с ними (например, нарушением считается оставление данных документов на столе во время обеда, передача другим лицам, вынос за пределы служебных помещений).
4. Уничтожение документа. Конфиденциальные документы, утратившие практическое значение и не имеющие какой-либо правовой, исторической или научной ценности, срок хранения которых истек (либо не истек), подлежат уничтожению. Для этого создается комиссия (не менее 3 человек) в присутствии которой производится уничтожение. Затем члены комиссии подписывают акт об уничтожении. Бумажные документы уничтожаются путем сожжения, дробления, превращения в бесформенную массу, а магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и др.

Контроль за соблюдением правил хранения и использования  документов, содержащих конфиденциальную информацию, осуществляется с помощью  проверок. Они могут быть как регулярными (еженедельными, ежемесячными, ежегодными), так нерегулярными (выборочными, случайными). В случае обнаружения нарушений составляется акт и принимаются меры, позволяющие в будущем предотвратить нарушения такого рода.

Следует контролировать не только документы, содержащие конфиденциальную информацию, но и бумаги с печатями, штампами, бланки. Бланк – лист бумаги с оттиском углового или центрального штампа, либо с напечатанным любым способом текстом (или рисунком), используемый для составления документа. Особое внимание следует уделять охране так называемых бланков строгой отчетности, содержащих номер (серию), зарегистрированных одним из установленных способов и имеющих специальный режим использования.

Компьютерная  безопасность

В системе обеспечения  безопасности предпринимательской деятельности все большее значение приобретает обеспечение компьютерной безопасности. Это связано с возрастающим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации.

Компьютерные преступления в этом аспекте можно охарактеризовать как противоправные посягательства на экономическую безопасность предпринимательства, в которых объектом, либо орудием преступления является компьютер.

Источник данного  вида угроз может быть внутренним (собственные работники), внешним (например, конкуренты), смешанным (заказчики – внешние, а исполнитель – работник фирмы). Как показывает практика, подавляющее большинство таких преступлений совершается самими работниками фирм.

Что же является непосредственным объектом компьютерных преступлений? Им может являться как информация (данные), так и сами компьютерные программы.

Преступник получает доступ к охраняемой информации без  разрешения ее собственника или владельца, либо с нарушением установленного порядка  доступа. Способы такого неправомерного доступа к компьютерной информации могут быть различными – кража носителя информации, нарушение средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, представление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных. Причем доступ может быть осуществлен в помещениях фирмы, где хранятся носители, из компьютера на рабочем месте, из локальной сети, из глобальной сети.

Все угрозы на объекты  информационной безопасности по способу воздействия могут быть объединены в пять групп: собственно информационные, физические, организационно-правовые, программно-математические, радиоэлектронные.

Последствия совершенных  противоправных действий могут быть различными:

• копирование информации (оригинал при этом сохраняется);
• изменение содержания информации по сравнению с той, которая была ранее;
• блокирование информации – невозможность ее использования при сохранении информации;
• уничтожение информации без возможности ее восстановления;
• нарушение работы ЭВМ, системы ЭВМ или их сети.

Большую опасность  представляют также компьютерные вирусы, то есть программы, которые могут приводить к несанкционированному воздействию на информацию, либо ЭВМ (системы ЭВМ и их сети), с теми же последствиями

Правовое обеспечение  безопасности предпринимательской  деятельности от компьютерных преступлений основывается на том, что по российскому  законодательству защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю. Защита осуществляется в целях утечки, хищения, утраты, искажения, подделки информации, а также предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности. Кроме того, за перечисленные выше противоправные действия предусмотрена уголовная ответственность. И это представляется не случайным, поскольку угрозы компьютерным системам могут привести не только к значительным финансовым потерям, но и к необратимым последствиям - ликвидации самого субъекта предпринимательства.

Угрозы компьютерным системам и компьютерной информации могут быть со стороны следующих субъектов:

• работники фирмы, использующие свое служебное положение (когда законные права по должности используются для незаконных операций с информацией);
• работники фирмы, не имеющие права в силу своих служебных обязанностей, но, тем не менее, осуществившими несанкционированный доступ к конфиденциальной информации;
• лица, не связанные с фирмой трудовым соглашением (контрактом).