63924

Защита коммерческой тайны ООО «Астра-ком»

Дипломная

Менеджмент, консалтинг и предпринимательство

Сегодня сведения связанные с коммерческой деятельностью приобретают безусловную ценность если они касаются конфиденциальной информации потенциального конкурента. Как известно в деловом мире сложились традиционные приемы и методы получения информации о клиентах.

Русский

2014-06-27

526 KB

7 чел.

Оглавление

[1] Оглавление


Введение

В условиях рыночной конкуренции между субъектами предпринимательской деятельности важную роль играет информация. Сегодня сведения, связанные с коммерческой деятельностью, приобретают безусловную ценность, если они касаются конфиденциальной информации потенциального конкурента. Как известно, в деловом мире сложились традиционные приемы и методы получения информации о клиентах. С одной стороны, в соответствии с действующим законодательством они могут быть легальными. С другой стороны, экономическая жизнь идет стремительными шагами, и состояние законодательства при современном развитии науки и техники, в частности, в связи с применением компьютерных технологий, не всегда отвечает на вопрос о законности получения информации.

Проблема промышленного шпионажа и сохранения коммерческой тайны в последнее время тревожит не только руководителей и собственников предприятий, но и всю деловую элиту как в РФ, так и за рубежом. Немалое место в этой проблеме занимают инсайдеры (от англ. inside – «внутренний»), под которыми в нашей стране подразумевают лиц, имеющих благодаря своему служебному положению или родственным связям доступ к конфиденциальной информации о делах организации, учреждения, предприятия.

Деятельность всех современных компаний связана с получение и использованием различной информации. Причем сегодня информация – это не просто сведения, а товар особого рода, имеющий определенную ценность. Для работодателя ценна та информация, которая используется для достижения целей компании. И разглашение такой информации неизбежно лишает владельца бизнеса возможностей реализовать эти цели. Поэтому информация особого рода нуждается в защите.


Цель исследования состоит в определении сущности защиты коммерческой тайны.

Данная работа состоит из введения, 2 глав, заключения, списка литературы и приложений.


1.Основы коммерческой тайны

1.1.Понятие коммерческой тайны на предприятии

Основным документом, в соответствии с которым фирмы выстраивают структуру защиты данных, не предназначенных для посторонних, является Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (ред. от 11.07.2011 № 200-ФЗ). Согласно представленному в нем определению, коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (п. 1 ст. 3 Закона № 98-ФЗ).1

К информации, которая является тайной, относятся имеющие коммерческую ценность сведения не только экономического, но также организационного и производственного характера. Секретная информация может храниться в организации на совершенно разных носителях – от бумаги до жестких дисков компьютеров.2

Существуют сведения, которые не могут быть закрытыми и составлять коммерческую тайну. Их перечень содержится в ст. 5 Закона «О коммерческой тайне» № 98-ФЗ. Так, нельзя скрывать учредительные документы, данные лицензий и т.д. В число общедоступной попала информация о численности или составе работников, системе оплаты и условиях труда на предприятии. Кроме того, свободный доступ должен быть обеспечен к данным о перечне лиц, имеющих право действовать без доверенности от имени юридического лица; к сведениям, изложенным в учредительных документах фирмы, а также к информации, обязательность раскрытия которой установлена соответствующими федеральными законами.

При этом любая другая информация, исходя из интересов конкретной организации, может быть отнесена к коммерческой тайне. Т.е. все данные, которые не попали в этот список, при желании владельцев бизнеса могут быть объявлены конфиденциальными. Это могут быть сведения о подготовке, принятии и исполнении отдельных решений руководства, планы закупок, продаж, партнеры и т.д.3 

Итак, основные признаки коммерческой тайны:

Коммерческая ценность информации и ее неизвестность третьим лицам. Неизвестность третьим лицам означает, что информация не должна быть общеизвестна.

Общеизвестная информация, даже если она имеет большую коммерческую ценность, в принципе не может считаться коммерческой тайной. Но бывают и исключения, например, такая информация будет считаться коммерческой тайной, если имеются знания, при использовании которых достигается большая экономическая выгода;

Отсутствие доступа к информации на законном основании. В данном контексте под доступом понимается возможность получения сведений, составляющих коммерческую тайну, на основе законодательных или договорных норм для использования в целях, оговоренных в этих нормах.

Существуют способы добровольного предоставления доступа к секретной информации, например, лицензионный договор, в рамках которого оформляются отношения между правообладателем (лицензиаром) и пользователем (лицензиатом). Так же, право на коммерческую информацию может передаваться по договору коммерческой концессии (франчайзинга). Так же, законным способом получение информации является обратная разработка, или «обратный инжиниринг» и получение информации из общедоступных источников (рекламных проспектов, публикаций в периодической печати, научных выступлений и т. п.).4

1.2.Проблема и механизмы защиты коммерческой тайны

На каждом предприятии перечень сведений, не подлежащих разглашению индивидуален. Их состав определяется руководителем.

Закон о коммерческой тайне четко прописывает процедуру превращения общедоступной информации в коммерческую тайну, а также меры по охране конфиденциальности информации (ст.10 Закона № 98-ФЗ):5 необходимо определить перечень информации, которую надо засекретить и отразить на бумаге. Данный перечень принимается как отдельный документ, а может быть составной частью другого документа, его утверждение и введение в действие осуществляется приказом, распоряжением руководителя. С этим перечнем необходимо под роспись ознакомить всех сотрудников, а также указать места хранения носителей секретных данных, список секретосодержащих документов и работников, имеющих доступ к тайным сведениям.

  1.  Производится ограничение доступа к материалам, составляющим коммерческую тайну путем установления порядка обращения с этой информацией и контроля за его соблюдением. Функция контроля обычно возлагается на службу безопасности, либо на службу информационных технологий, либо на руководителей всех подразделений.

Во-первых, поскольку допущенными к информации являются сотрудники компании, их должностные обязанности должны быть отражены в должностной инструкции, с которой они ознакомились под роспись в момент приема. Такого рода ответственность заключается в обязанности контролировать копирование носителей информации (например, ведется специальный журнал регистрации, где указывается регистрационный номер копии, дата копирования и подпись с расшифровкой сотрудника, изготовившего копию. Те же данные проставляются и на копии). Во-вторых, ответственные работники следят за исполнением порядка уничтожения копий с составлением описи уничтоженных документов. В-третьих, они отвечают за то, чтобы документы, составляющие коммерческую тайну, не были оставлены без присмотра в местах, к которым имеют доступ другие сотрудники (брошены на стол, оставлены рядом с общедоступной копировальной техникой).

  1.  Организовать учет лиц, имеющих доступ к тайной информации. Утверждается должностной список с указанием, какие должности в штате связаны с доступом к коммерческой тайне. Он должен четко указывать на то, работники на каких должностях и к каким именно сведениям имеют доступ. Все эти группы должны обладать разными объемами информации. Руководители предприятия в целом должны иметь доступ к любой информации, касающейся деятельности предприятия, руководители подразделений – информации, касающейся работы вверенного им подразделения, специалист – должны иметь доступ к такому объему информации, который им необходим для профессионального и добросовестного выполнения своих обязанностей, технических персонал – должен иметь минимум доступа к конфиденциальной информации. При допуске рабочего персонала к конфиденциальной информации необходимо помнить золотое правило: «Чем меньше человек о чем-то знает, тем меньше он может об этом рассказать».
  2.  Урегулировать отношения по использованию тайной информации с работниками на основании трудовых договоров, так он является основным документом, где устанавливаются трудовые обязанности сотрудника, приказов, соглашений; а с контрагентами – на основании гражданско-правовых договоров.

Грамотно составленный трудовой договор также поможет избежать проблем с утечкой информации и привлечения болтуна к ответственности. Трудовой Кодекс предоставляет работодателю возможность включить в договор условие о неразглашении коммерческой тайны (ст.57 ТК РФ). С самого начала кадровая служба обязана рассказать работнику о том, что переданная ему информация является коммерческой тайной. Далее он должен быть ознакомлен с установленным работодателем режимом коммерческой тайны и мерами ответственности за его нарушение. Подтверждением соответствующего извещения является расписка работника или подписание обязательств о неразглашении, в котором можно установить размер неустойки за чрезмерную болтливость. Для компании это важно, так как получить со шпиона хоть сколько-нибудь значимое возмещение убытков весьма проблематично. Кроме того, работодатель должен создать работнику необходимые условия для соблюдения им режима коммерческой тайны, например, обеспечить сейфом.

Но если все меры предосторожности были напрасны и нерадивый сотрудник все-таки «унес» информацию, фирма вправе расторгнуть с ним ТД по причине «разглашения работником охраняемой законом коммерческой тайны, ставшей ему известной в связи с исполнением трудовых обязанностей (п.6 ст.81 ТК РФ). Если уволенный работник захочет оспорить это основание в суде, то фирма-работодатель должна будет представить в суд доказательства, свидетельствующие о том, что сведения, которые работник разгласил, относятся к коммерческой тайне в соответствии с действующим законодательством, и данные сведения стали известны ему в рамках исполнения им трудовых обязанностей. Доказывать придется и то, что он обязывался не разглашать такие сведения (постановление пленума Верховного суда от 17.03.2004 № 2). Поэтому кадровая служба любого предприятия должна сохранять все документы, свидетельствующие о выполнении работодателем необходимых мер, которые предписаны к исполнению Законом о коммерческой тайне. В противном случае, судебная тяжба рискует закончиться не в пользу работодателя.

  1.  Нанесение на материальные носители (документы), содержащие коммерчески ценную информацию грифа «Коммерческая тайна» с указанием полного наименования и места нахождения компании-владельца (для юридических лиц), для индивидуального предпринимателя – ФИО гражданина – индивидуального предпринимателя и место его жительства. При хранении секретной информации в виде электронного документа, нанесение грифа «коммерческая тайна» не всегда является технически возможным. Получается, что такой способ хранения «нематериальных сведений» – вне закона, так как данная мера названа в числе обязательных для установления режима коммерческой тайны. На практике эту проблему решают обходным путем. Гриф наносится на сопроводительные документы, представленные в бумажной форме и передаваемые вместе с носителем коммерческой тайны работнику или партнеру по сделке.

Организация должна обеспечить меры по сохранению коммерческой тайны, следуя букве закона. В противном случае будет проблематично привлечь к ответственности человека, который ее разгласил, поскольку ни суд, ни правоохранительные органы не поддержат компанию, сославшись на нарушение правил.6 

Если исходить из зарубежного опыта, то с волной компьютерных преступлений, пока для нас новых и, не в полном объеме, пока урегулированных на законодательном уровне, нам придется столкнуться в недалеком будущем. Субъектами этих преступлений, как правило, являются высокообразованные специалисты, имеющие доступ к секретным программам, шифрам, кодам. В банковских системах, например, совершается мошенничество (снимаются деньги со счетов клиентов вымышленным лицом, занимаются спекуляцией, используя банковский капитал, на валютных биржах, оплачивают собственные счета и т. д.). Развитию данного вида преступлений способствует также и то, что фирмы и банки не стремятся оглашать факты компьютерных краж, чтобы не отпугнуть клиентов. Преступники, зная такое положение, шантажируют владельцев банков, угрожают раскрыть секретные коды и шифры, что может повлечь миллионы расходов для их замены. Зарубежные фирмы, например, используют для хранения секретной информации сейфы (шкафы), открываемые с помощью специальной магнитной карты или других сложных сигнальных электронных устройств. Следует отметить, что и эта мера значительно затрудняет к ним доступ. Особенно при наличии комплекса защитных (физических и технических) мер здания, где расположен сейф, иное хранилище.

Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. В этой связи, предпринимателю целесообразно обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Здесь предприниматель сам решает, что ему выгоднее: мириться с утечкой информации или привлекать частные службы безопасности к ее защите. Вопрос состоит в том, какой из убытков меньший: при утечке секретов или их охране.

Зарубежные крупные и состоятельные фирмы вводят в свой штат дополнительную должность – сотрудника, занимающегося противодействием хищению ценной информации. Другие же фирмы постоянно или периодически пользуются услугами частных служб, специализирующихся на сыске и охране. Штатная численность этих служб насчитывает десятки тысяч сотрудников. Тенденция роста их рядов не сокращается. В действиях частных служб и полиции возникают противоречия, но их пытаются уладить с помощью закона или на паритетной основе. Существует договоренность об обмене информацией, если на охраняемой территории совершается преступление.7 

Действенный механизм защиты коммерческой тайны от ее разглашения, как инструмента недобросовестной конкуренции на рынке, состоит из трех основных элементов:

  •  организационные меры;
  •  технические меры;
  •  правовые меры.

Организационные меры защиты информации подразумевают ограничение доступа к сведениям, важным для компании. Это означает, что каждый сотрудник компании получает возможность работать лишь с теми данными, которые необходимы ему для выполнения своих обязанностей.

К примеру, менеджеру по продажам не обязательно знать о планируемых заключениях контрактов с поставщиками, а вот начальнику юридического отдела эти сведения необходимы. Таким образом, данные стратегического развития компании будут известны лишь топ-менеджменту и ключевым работникам организации.

Технические меры защиты информации подразумевают использование специальных программ и оборудования, запрещающих просмотр и/или копирование важной электронной информации. Для этого блокируют доступ к жесткому диску или возможность использования сменных цифровых носителей.

Такие меры возлагают на системного администратора дополнительные обязанности: сотрудник фирмы обращается к нему, если требуется доступ к секретной информации, мотивируя свой запрос. Таким образом, в случае «утечки» какой-либо информации, системный администратор или другой уполномоченный сотрудник без труда очертит круг подозреваемых.

В процессе внедрения технических мер защиты информации, последнюю следует разбить на категории, по уровню важности (сведения, которые предпочтительно сохранить в максимально полной тайне; информация, огласка которой возможна, но не слишком желательна; повседневная рабочая информация) и составить список сотрудников, имеющих доступ к каждой группе информации.8

Правовые, юридические меры защиты информации предполагают оформление права субъекта предпринимательской деятельности на коммерческую тайну посредством внесения соответствующих дополнений в следующие документы:

  •  устав организации (прописать о вводе режима коммерческой тайны);
  •  учредительский договор;
  •  коллективный договор;
  •  внутреннее положение «О коммерческой тайне и правилах ее сохранения»;
  •  внутренние положения «О разрешительной системе доступа исполнителей к документам и сведениям, которые являются коммерческой тайной предприятия», «О режиме работы с коммерческой тайной сотрудников»; возможно создание и иных, подобных названным, нормативов.

Во внутренних положениях компании о коммерческой тайне следует отобразить:

  •  функции руководства в сфере защиты информации;
  •  порядок определения и учета информации;
  •  механизм обеспечения сохранности информации;
  •  механизм доступа к коммерческой тайне органов государственной власти;
  •  порядок распространения коммерческой тайны;
  •  меру ответственности за разглашение коммерческой тайны;
  •  конкретный срок, на который информация приобретает статус коммерческой тайны.9

Помимо общезаконодательного толкования термина «коммерческая тайна», предпринимателю необходимо лично составить и утвердить перечень информации, который в его компании подлежит неразглашению со стороны сотрудников, а также ознакомить с ним сотрудников, владеющих этими данными.

Меры защиты информации должны быть обоснованы как с финансовой, так и с организационной точки зрения. Перед тем как вводить режим коммерческой тайны руководству компании нужно оценить экономический эффект. Может случиться так, что все применяемые методы могут стоить дороже тех сведений, которые защищаются.

В первую очередь нужно определить:

  •  Какие сведения попадут под защиту, какова их ценность для компании и для конкурентов.
  •  Сколько времени информация под грифом «секретно» будет актуальной.
  •  Сколько будет стоить защита информации.
  •  Количество сотрудников, имеющих право доступа к информации, попадающей под режим коммерческой тайны.
  •  Условия работы сотрудников, чтобы обеспечить конфиденциальность.

Чаще всего неразглашению подлежит следующая информация:

  •  уровень прибыли и ценовая политика;
  •  финансовые и административные планы развития организации;
  •  сведения о заключенных или запланированных контрактах;
  •  данные о контрагентах (поставщиках и клиентах).
  •  собственные изобретения и рационализаторские предложения, которые еще не защищены авторским или патентным правом; собственные аналитические обзоры рынка, маркетинговые исследования.10 

Следует учесть, что неразглашению обычно подлежит не только суть и текст договоров компании, но и сам факт их заключения.

С организационной точки зрения, специальная комиссия, созданная учредителем компании, прописывает механизм защиты коммерческой тайны во внутренних документах и определит степень ответственности за нарушение. На этой основе создается приказ руководителя.

За нарушение прав предпринимателя в части сохранение коммерческой тайны законодательством Украины предусмотрены следующие виды ответственности: ответственность в рамках трудовых отношений; гражданско-правовая ответственность; административная ответственность; уголовная ответственность.

Главная сложность привлечения к ответственности состоит в том, чтобы доказать, что информация, которая представляла коммерческую ценность, действительно держалась в тайне – и не было многочисленных простых в реализации лазеек доступа к ней для любых заинтересованных лиц, помимо разгласившего и использовавшего ее сотрудника.

Судебная практика свидетельствует о том, что привлечение к материальной ответственности бывших топ-менеджеров компаний является практически невозможным по причине сложности получения доказательств разглашения конфиденциальной информации, а также определения размера убытков. В ходе большинства подобных судебных процессов ответчикам пока что удавалось доказать отсутствие кражи коммерческой тайны.11


2.Защита коммерческой тайны в ООО «Астра-ком»

2.1.Общая характеристика ООО «Астра-ком»

Компания ООО «АСТРА-КОМ» основана в 2004 г., портал в 2006 г. Основным направлением является обеспечение горнопромышленного комплекса горно-шахтным и буровым оборудованием, инструментом.

Сферы деятельности компании: продажа оборудования для производства, станков, горного оборудования.

Общество с ограниченной ответственностью «Астра-ком» – это юридическое лицо, учрежденное несколькими лицами, уставной капитал которого разделен на определенные доли (размер которых устанавливается учредительными документами). Участники ООО несут риск убытков только в пределах стоимости внесенных ими вкладов. Учредительными документами общества являются: учредительный договор (если учредителей несколько, в нашем случае двое – Генеральный директор и Управляющий) и устав, в которых указываются участники, размер уставного капитала, доля каждого участника и др. Поэтому, если один из участников продает свою долю, это неминуемо влечет изменения в уставе общества, с обязательной регистрацией этих изменений в органах государственной власти.

В сравнении с государственными и муниципальными унитарными предприятиями, на имущество которых их учредители имеют право собственности или иное вещное право, общества с ограниченной ответственностью (равно как и иные виды хозяйственных обществ, хозяйственных товариществ и производственных кооперативов) характеризуются тем, что их участники имеют в отношении них обязательственные права.

В частной экономической практике ООО является наиболее востребованной организационно-правовой формой среди коммерческих организаций.

При этом общество с ограниченной ответственностью характеризуется тем, что текущее (оперативное) управление в обществе (в отличие от товариществ) передается исполнительному органу, который назначается учредителями либо из своего числа, либо из числа иных лиц. За участниками общества сохраняются права по стратегическому управлению обществом, которые осуществляются ими путем проведения периодических общих собраний участников. В отличие от акционерных обществ компетенция общего собрания участников общества с ограниченной ответственностью может быть расширена по усмотрению самих участников; также отдельным участникам могут быть предоставленные дополнительные права.

2.2.Анализ обеспечения информационной безопасности деятельности ООО «Астра-ком»

Проанализируем информационное и правовое обеспечение информационной безопасности ООО «Астра-ком».

Работа с данными на предприятии осуществляется следующим образом. Форму запроса в службу технической поддержки Официального сайта компании можно получить на Официальном сайте в подразделе «Техническая поддержка» раздела «Вопросы для заказчиков и поставщиков», первая ссылка сверху.

Работа с источником информации подразумевает выполнение следующих действий:

– Добавить сайт в список доверенных узлов;

– Установить ПО CryptoPro CSP версии не ниже 3.0.;

– Установить корневой сертификат Уполномоченного удостоверяющего центра федерального казначейства, расположен по адресу: вкладка «Информация для Заказчиков и поставщиков»/Руководство пользователя и инструкции/ссылка «Корневой сертификат Уполномоченного удостоверяющего центра федерального казначейства»;

– Установить Серверный сертификат, расположенный по адресу: вкладка «Информация для Заказчиков и поставщиков»/Руководство пользователя и инструкции/ссылка « Серверный сертификат»;

– Установить компонент подписи sign.cab:

а) Загрузить компонент подписи;

б) Распаковать архив;

в) Запустить файл SetupProject.msi;

г) Нажать на всех страницах «Далее»

д) Перезапустить браузер.

е) Компонент формирования подписи установлен;

ж) Настроить считыватели в CryptoPro CSP;

– Explorer должен быть версии не ниже 7.0. для работы в закрытой части сайта.

Основное ПО, используемое оператором ООО «Астра-ком»: «КриптоПро CSP», Internet Explorer, средства ЭЦП.

КриптоПро – линейка криптографических утилит (вспомогательных программ) – так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.

В частности, КриптоПро CSP используются в программах для налоговой отчетности, а также в различных клиент-банках (например, в клиент-банках Сбербанка

КриптоПро CSP прошел сертификацию ФАПСИ.

Средство криптографической защиты КриптоПро CSP разработано по согласованному с ФАПСИ техническому заданию в соответствии с криптографическим интерфейсом фирмы Microsoft – Cryptographic Service Provider (CSP). КриптоПро CSP имеет сертификаты соответствия ФАПСИ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.

– КриптоПро CSP 1.1;

– КриптоПро CSP 2.0;

– КриптоПро CSP 2.0 Solaris;

– КриптоПро CSP 3.0;

– КриптоПро CSP 3.6;

– Атликс HSM;

– КриптоПро JCP;

– КриптоПро Sharpei.

Средства криптографической защиты информации со смарткартами и USB ключами:

– Магистра – CSP;

– КриптоПро Рутокен CSP;

– КриптоПро eToken CSP;

– Инфраструктура открытых ключей;

– Удостоверяющий центр КриптоПро УЦ;

– КриптоПро TSP;

– КриптоПро OCSP;

– АРМ разбора конфликтных ситуаций;

КриптоПро Revocation Provider;

крипто КриптоПро ЭЦП;

КриптоПро PDF.

Защита от несанкционированного доступа с использованием КриптоПро CSP, криптоПро TLS, криптоПро Winlogon, криптоПро EAP-TLS, криптоПро IPSec, secure Pack Rus.

Так же по их информации данный модуль - не критичное дополнение и по умолчанию не устанавливается. Его можно установить отдельно по желанию пользователей.

Если у пользователя стоит КриптоПро другой версии Пользователю необходимо направить заполненную форму запроса в службу технической поддержки.

Также в ООО «Астра-ком» применяются следующие методы защиты:

Простейшим примером рассматриваемых алгоритмов шифровки служит алгоритм RSA. Все другие алгоритмы этого класса отличаются от него непринципиально. Можно сказать, что, по большому счету, RSA является единственным алгоритмом с открытым ключом.

Алгоритм RSA12

RSA (назван по имени авторов - Rivest, Shamir и Alderman) - это алгоритм с открытым ключом (public key), предназначенный как для шифрования, так и для аутентификации (цифровой подписи). Разработан в 1977 году. Он основан на трудности разложения очень больших целых чисел на простые сомножители (факторизации).

RSA - очень медленный алгоритм. Для сравнения, на программном уровне DES по меньше мере в 100 раз быстрее RSA; на аппаратном - в 1 000-10 000 раз, в зависимости от выполнения.

Алгоритм RSA заключается в следующем.

1. Берутся два очень больших простых числа p и q, и находятся их произведение n=pq и функция Эйлера от n:

M = (p-1)*(q-1)

2. Выбирается случайное целое число D, взаимно простое с M, и вычисляется E, такое, что:

E*D≡1*(mod M)

3. Публикуется D и n как открытый ключ, E сохраняется в тайне (оно вместе с n составляет секретный ключ).

4. Пусть S - сообщение, длина которого должна быть в интервале (1..n); если длина его больше, то оно разбивается на части. Шифровка производится возведением в степень D по модулю n:

=SD (mod n)

5. Для расшифровки производится аналогичная операция - возведение в степень E по модулю n:

S2 = S΄E*(mod n) = SDE*(mod n) = S

В последнем равенстве нетрудно убедиться, используя малую теорему Ферма.

Таким образом, сообщение, зашифрованное открытым ключом, может быть расшифровано только секретным и наоборот.

Задача получения из открытого ключа {D, n} секретного ключа {E, n} сводится к задаче факторизации (разложения на простые сомножители) большого числа n. Такая задача для чисел длиной 100-150 десятичных разрядов пока не решена, и перспектив ее решения в ближайшем будущем не видно. Однако, с другой стороны, пока не доказана и невозможность факторизации таких чисел (иначе, чем прямым перебором).

Алгоритм RSA запатентован в США. Его использование другими лицами не разрешено (при длине ключа свыше 56 бит). Справедливость такого установления можно поставить под вопрос: как можно патентовать обычное возведение в степень? Но, тем не менее, RSA защищен законами об авторских правах.

Алгоритм DES

DES (Data Encryption Standart) - это алгоритм с симметричными ключами. Разработан фирмой IBM и утвержден правительством США в 1977 как официальный стандарт для защиты информации, не составляющей государственную тайну.

DES имеет блоки по 64 бит, основан на 16-кратной перестановке данных, для шифрования использует ключ длиной 56 бит. Существует несколько режимов DES, например Electronic Code Book (ECB) и Cipher Block Chaining (CBC).

56 бит - это 8 семибитовых ASCII-символов, т.е. пароль не может быть больше чем 8 букв. Если использовать только буквы и цифры, то количество возможных вариантов будет существенно меньше максимально возможных 256.

Один из шагов алгоритма DES.

Входной блок данных делится пополам на левую (L') и правую (R') части. После этого формируется выходной массив так, что его левая часть L'' представлена правой частью R' входного, а правая R'' формируется как сумма L' и R' операций XOR. Далее, выходной массив шифруется перестановкой с заменой. Можно убедиться, что все проведенные операции могут быть обращены и расшифровывание осуществляется за число операций, линейно зависящее от размера блока.

После нескольких таких повторений алгоритма каждый бит выходного блока шифровки может зависеть от каждого бита сообщения.

В России есть аналог алгоритма DES, работающий по тому же принципу секретного ключа. ГОСТ 28147 разработан на 12 лет позже DES и имеет более высокую степень защиты.

Хэш-функции31

Шифр с открытым ключом может использоваться в двух режимах: шифровки и цифровой подписи. Во втором случае не имеет смысла шифровать весь текст (данные) при помощи секретного ключа. Текст оставляют открытым, а шифруют некую «контрольную сумму» этого текста, в результате чего образуется блок данных, представляющий собой цифровую подпись, которая добавляется в конец текста или прилагается к нему в отдельном файле.

Упомянутая «контрольная сумма» данных, которая и «подписывается» вместо всего текста, должна вычисляться из всего текста, чтобы изменение любой буквы отражалось на ней. Во-вторых, указанная функция должна быть односторонняя, то есть вычислимая лишь «в одну сторону». Это необходимо для того, чтобы противник не смог целенаправленно изменять текст, подгоняя его под имеющуюся цифровую подпись.

Такая функция называется хэш-функцией. К ее выбору следует отнестись тщательно. Неудачная хэш-функция позволит противнику подделать подписанное сообщение. Хэш-функция, так же, как и криптоалгоритмы, подлежит стандартизации и сертификации. В нашей стране она регламентируется ГОСТ Р-3411.

Кроме цифровой подписи хэш-функции используются и в других приложениях.

Например, при обмене сообщениями удаленных компьютеров, когда требуется аутентификация пользователя, может применяться метод, основанный на хэш-функции. Предположим, что один из компьютеров - клиент - должен несколько раз обратиться с запросами с компьютеру-серверу. Каждый раз проводить аутентификацию пользователя было бы неудобно. В то же время нельзя ограничиться проверкой лишь при первом контакте, поскольку злоумышленник может воспользоваться этим, подменив клиента после успешной проверки. Используется следующий метод. Компьютер-клиент генерирует случайное число (1) и вычисляет от него одностороннюю функцию (хэш-функцию) (2), затем эту же функцию от результата и так далее.

X0=Rnd();          (1)

X1=Hash(X0);         (2)

X2=Hash(X1);

X3=Hash(X2);

...

Эта последовательность X0...XN хранится в памяти клиента во время сеанса связи. При первом соединении и аутентификации на сервере клиент пересылает серверу последнее число последовательности XN. При следующем контакте в качестве подтверждения, что запрос исходит от уже прошедшего проверку клиента, пересылается предыдущее число - XN-1. Поскольку хэш-функция односторонняя, легко проверить, что XN=Hash(XN-1). При следующем обращении к серверу пересылается XN-2 и так далее. Но для злоумышленника, даже если он перехватит соединение, станет непосильной задачей из XN-1 вычислить XN, то есть, взять обратную функцию от Hash().

PGP

PGPPretty Good Privacy– это семейство программных продуктов, которые используют самые стойкие из существующих криптографических алгоритмов. В основу их положен алгоритм RSA. PGP реализует технологию, известную как «криптография с открытыми ключами». Она позволяет как обмениваться зашифрованными сообщениями и файлами по каналам открытой связи без наличия защищенного канала для обмена ключами, так и накладывать на сообщения и файлы цифровую подпись.

PGP была разработана американским программистом и гражданским активистом Филиппом Циммерманном, обеспокоенным эрозией личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих «черного хода», используя который, спецслужбы могли бы беспрепятственно читать зашифрованные сообщения. Тогда Циммерманн бесплатно распространил PGP в Интернет. В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а Циммерманн подвергся трехлетнему преследованию властей по подозрению в «незаконном экспорте вооружений».

Непрофессиональное ПО для защиты информации13

К таким программным средствам относится ПО, доступное (бесплатно или за небольшую цену) всем пользователям, не требующее специальной лицензии на использование и не имеющее авторитетных подтверждений своей стойкости (сертификаций). К ним относятся: PGP freeware; файловые системы с разграничением доступа: WinNT, Unix, NetWare; архивация с паролем; парольная защита в MS Office.

Шифровка в Word и Excel

Фирма Майкрософт включила в свои продукты некоторое подобие криптозащиты. При этом, алгоритм шифровки не описан, что является показателем ненадежности. Кроме того, имеются данные, что Майкрософт оставляет в используемых криптоалгоритмах «черный ход»14. Если необходимо расшифровать файл, пароль к которому утрачен можно обратиться в фирму. По официальному запросу, при достаточных основаниях буден проведена расшифровка файлов Word и Excel.

Шифрованные диски (каталоги)

Шифровка – достаточно надежный метод защиты информации на жестком диске. Однако если количество закрываемой информации более двух-трех файлов, будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования – зашифровывать. При этом на диске могут остаться страховочные копии файлов, которые создают многие редакторы.

Поэтому созданы специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи ее на диск и чтении с диска.

Шифрованные архивы

Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надежны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Все это не позволяет всерьез рассчитывать на такую защиту.

Сертифицированные средства защиты

В данном разделе перечислены наиболее распространенные профессиональные средства ЗИ, имеющие сертификаты той или иной степени солидности.

Secret Net

Клиентская часть системы защиты

Клиент Secret Net (как автономный вариант, так и сетевой) устанавливается на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе и сервер безопасности).

Основное назначение клиента Secret Net: защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей; регистрация событий, происходящих на рабочей станции или сервере сети, и передача информации на сервер безопасности; выполнение централизованных и децентрализованных управляющих воздействий администратора безопасности; клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носителей).

Сервер безопасности

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач: ведение центральной базы данных (ЦБД) системы защиты, функционирующей под управлением СУБД Oracle 8.0 Personal Edition и содержащей информацию, необходимую для работы системы защиты; сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления; взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.

Подсистема управления Secret Net

Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности: централизованное управление защитными механизмами клиентов Secret Net; контроль всех событий, имеющих отношение к безопасности информационной системы; контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД; планирование запуска процедур копирования ЦБД и архивирования журналов регистрации

Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности.

Что касается аппаратных средств защиты, то в настоящий момент наиболее известным является продукт ОКБ САПР семейств Аккорд и Шипка.

СКЗИ «Верба»

Сертифицированная ФАПСИ система ЗИ, доступная обычному пользователю. С одной стороны, такой солидный сертификат дает гарантию о недоступности ваших секретов вероятному противнику. В версии, предназначенной для государственных учреждений пары ключей (и открытый, и секретный) генерируются не владельцем системы, а ее разработчиком. «Верба» в основном решает задачу не столько защиты информации, сколько защиты хозяина этой информации от возможных претензий со стороны контролирующих органов. Поэтому СКЗИ «Верба» может быть рекомендована всем государственным организациям, имеющим дело с информацией, содержащей государственную тайну.

«Лексикон-Верба»

Данный «гибрид» текстового процессора и сертифицированного средства ЗИ обладает всеми достоинствами интегрированного решения. Избавляет от многих проблем настройки и сопряжения. Поставляется в комплекте со всеми необходимыми документами для оформления сертификации.

Электромагнитная защита

Любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен дистанционный съем информации с компьютеров и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обертка из фольги могут стать защитой от электромагнитных волн.

Подведем итоги. Существует три вида защиты электронного документа: программный, аппаратный и смешанный. Программные средства ЗИ – это формы представления совокупности данных и команд, предназначенных для функционирования компьютерных устройств. Аппаратные средства – это технические средства, используемые для обработки данных. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Что касается отношения пользователей компьютерных систем компании к состоянию информационной защиты организации – вопрос «Как Вы оцениваете уровень компьютерной безопасности в Вашей организации» отражает субъективную оценку респондентов системы защиты своей организации. Результаты: а) достаточен, но существует риск утечки информации – 29%; слишком высок (нет необходимости столь строгих ограничений) – 8 %; в) недостаточен – 27 %; г) какая бы ни была защита – кто захочет, тот найдет способ ее нарушить – 36 %. Как видим, большинство респондентов справедливо полагают, что защиту можно нарушить.

В 8 случаях из 10 дыры в системе безопасности обусловлены тем, что пользователи пренебрегают базовыми принципами защиты информации. То есть метауровнем контроля над системой. Пренебрегают, потому что считают принципы банальными, очевидными и поэтому не заслуживающими внимания. Рядовой пользователь ошибочно полагает: «если просто, значит, неэффективно». Это стандартное умозаключение, свойственное новичкам в любой области знаний и умений. Они просто не принимают в расчет тот факт, что в основе работы любой системы лежат именно «банальные» принципы.

Также оценивалось доверие респондентов к сотрудникам своих организаций. Вероятность атак со стороны работников, по мнению респондентов, составила 49 %, вероятность внешних атак – 51 %. Опрос показал, что ненамного, но все же, больше сотрудники опасаются внешних атак.

Рисунок 1. – Какова наибольшая опасность атак – внешних или внутренних

Согласно результатам исследования спама опасаются 4 % респондентов, утечки данных – 14 %, искажения данных – 14 %, кражи оборудования – 10 %, саботажа – 1 %, сбоев информационных систем – 15 %, заражения вредоносным ПО (вирусы, черви) – 14 % опрошенных, за опасность hack-атак было отдано 10 % голосов. Отдельно была отмечена опасность атак на сервер и взлом ISQ, опасность низкоуровневых DDOS-атак, т.е. атак нарушающих работу системы.

Рисунок 2 – Наиболее опасные угрозы внутренней информационной безопасности

Спам (англ. – Spam) – рассылка по электронной почте сообщений какого-либо характера без согласия на это получателя. Периодически повторяющийся спамминг может нарушить работу пользователей из-за перегрузки сервера электронной почты, вызвать переполнение почтовых ящиков, что приведет к невозможности получения и отправки обычных сообщений, увеличит время нахождения получателя «на линии», а это дополнительные расходы времени и трафика15.

Hack – класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером для осуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки16.

Следует помнить, что антивирусные программы, как и любое другое программное обеспечение, не застраховано от ошибок, троянских программ и др. Также не следует преувеличивать надежность защиты с помощью антивирусных программ.

Как и в большинстве других случаев организации защиты, оптимальной стратегией защиты от компьютерных вирусов является многоуровневая. Такую защиту обеспечивают современные профессиональные пакеты антивирусного программного обеспечения. Такие пакеты содержат резидентную программу-страж, выполняющую роль ревизора системы и главную программу-антибиотик для тотальной очистки от вирусов. Характерной чертой этих пакетов является наличие программы оперативного обновления антивирусных баз с использованием локальной или глобальной компьютерной сети. Такой антивирусный пакет должен быть установлен на каждый компьютер локальной сети. Компьютер-сервер же снабжается специализированным антивирусным пакетом для серверов. Такой пакет программ дополнен программным межсетевым экраном, что обеспечивает улучшенную комплексную защиту.

Самой же надежной защитой от известных вирусов для изолированного от сети компьютера следует считать терапию – тотальную проверку на вирусы всех файлов, в том числе архивов, системных и текстовых файлов, на данном компьютере. Программы-антибиотики производят проверку, лечение, а при невозможности лечения – удаление зараженных всеми известными вирусами файлов.

Выполнять тотальную проверку и лечение необходимо часто и систематически, а также перед каждым резервированием и архивированием.

На мнение респондентов о наиболее подверженной утечке информации в организации, несомненно, оказала влияние специфика организации. Например, для издательств и научных организаций, несомненно, больше ценится интеллектуальная собственность. А для сферы, где уровень конкуренции достаточно высок – детали конкретных сделок. Финансовые отчеты, согласно ФЗ «О коммерческой тайне», таковой не являются17. Здесь респонденты дополнительно выделили информацию о клиентах и поставщиках: а) персональные данные – 29 %; б) финансовые отчеты – 16 %; в) детали конкретных сделок – 26 %; г) интеллектуальная собственность – 16 %; д) бизнес-планы – 10 %.

Рисунок 3 – Наиболее подверженная утечке информация

Как показывает исследование, в качестве наиболее действенных средств защиты информации респонденты отдельно отметили регулярное резервное копирование (бэкап) и организационные средства защиты. За антивирус отдали голоса 22,9% респондентов.

Респондентами отдельно была отмечена опасность низкоуровневых DDOS-атак.

Согласно исследованию, планы организаций компании по наращиванию систем информационной безопасности в ближайшие три года выглядит следующим образом. Часть респондентов заявила, что у них нет никаких планов, часть, что секретная информация не предвидится и «к тому, что есть, не требуется особых дополнений»: а) система защиты от утечек – 11 %; б) шифрование данных при хранении – 14 %; в) системы контроля идентификации и доступа – 19 %; г) ИТ-системы физической безопасности – 9 %; д) защита от внешних вторжений (IDS/IPS) – 19 %; е) система резервного копирования – 19 %. Интересным показалось предложение поменять бухгалтера.

Рисунок 4 – Планы организаций по наращиванию систем информационной безопасности

Российские и международные ГОСТы, предъявляющие требования к управлению документами и построению систем защиты информации, позволяют классифицировать риски электронных систем следующим образом: защита от несанкционированного доступа утечки информации, защита от физической порчи, утраты, защита от изменений, защита от не правильного использования, защита от невозможности использования. Каждый из этих рисков имеет цену. В сумме они могут составить цифру, способную разорить любую организацию18.

Возможность пользоваться с работы электронной почтой относится к организационным мерам информационной защиты: а) только корпоративной почтой (внутри организации) – 19 %; б) только корпоративной почтой (в том числе переписываться с внешними абонентами) – 31 %; в) почтовыми ящиками любых сайтов – 44 %; г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места – 6 %.

Перлюстрация – тайное вскрытие и просмотр пересылаемой по почте корреспонденции. Фактически – предупреждение различных преступных деяний. В исследуемых организациях перлюстрация – это: а) нормальная практика – 19%; б) нарушение прав человека – 60 %; в) бесполезное занятие – 21 %.

При изучении принципов защиты информации также исследовались права пользователей. Так, доступ в Интернет в организации: а) свободный для всех без ограничений по ресурсам – 29 %; б) свободный за исключением некоторых сайтов – 29 %; в) разрешен только руководителям и некоторым специалистам – 42 %. Дело в том, что путешествие по сети Интернет может привести к заражению компьютера вредоносным ПО. Ограничение прав пользователей способно ограничить риск заражения.

Рисунок 5 – Права сотрудников организации на доступ в Интернет

Телефонные разговоры по личным вопросам на работе. Их ограничение сокращает утечку коммерческой информации. Итог: телефонные разговоры а) запрещены и контролируются – 8 %; б) запрещены и не контролируются – 58 %; в) не ограничены – 34 %.

Брать работу на дом (практически означает выносить защищаемую информацию за пределы организации, что, конечно, не способствует повышению уровня безопасности: а) невозможно – 29 %; б) обычная практика – 47 %; в) запрещено формально – 34 %.

Личное отношение к ограничениям, связанным с обеспечением информационной безопасности – опять же, субъективная оценка, показывающая отношение к защите информации – принятие-непринятие установленных мер, привычка. Личное отношение к ограничениям: а) несущественны – 36 %; б) неприятно, но терпимо – 20 %; в) причиняют значительные неудобства, и при этом часто бессмысленны – 0 %; г) причиняют значительные неудобства, но без этого не обойтись – 18 %; д) у меня нет никаких ограничений – 26 %.

Рисунок 6 – Личное отношение к ограничениям, связанным с обеспечением информационной безопасности

При формировании системы информационной защиты необходимо учитывать специфику каждой отдельной организации. Для каждого случая надо формировать свой комплекс мер по защите от подделки. Стоимость производства документа должна оправдывать экономический эффект от мероприятия. Также как доход от производства подделки должен превышать затраты на его изготовление. Следует ограничивать документы по периодам обращения: новый дизайн бланков, новые логотипы и прочие ротационные изменения могут предупредить часть подделок. В зависимости от применяемых технологий защиты следует определиться, целесообразно ли применения программно-аппаратного комплекса защиты, обеспечивающего диагностику подлинности экземпляра выбранного документа. Новые алгоритмы сравнения изображений в дополнение к комбинации компонентов программного продукта способны определить подлинность документа.

Прежде всего, необходимо разработать и утвердить организационные документы, закрепляющие порядок работы сотрудников с документами, подлежащими защите. Например, политику безопасности. Для этого необходимо составить перечень документов, подлежащих защите, идентифицировать угроз безопасности, оценить риски, т.е. провести аудит информационной безопасности.

На основе собранной в процессе аудита безопасности информации разрабатывается проект политики безопасности. Для этого может быть использован типовой проект политики, с адаптацией его к специфическим особенностям организации.

После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе.

По итогам проведенного исследования можно сделать следующие выводы:

Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.

Документы, представляющие наибольший интерес для злоумышленников – договоры, документы, содержащие персональные данные.

Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.

ООО «Астра-ком» характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения принимаемых мер недостаточно.

Итак, очевидно, что ООО «Астра-ком» учтены принципы защиты информации на компьютере.


Глава 3. Выводы и мероприятия по обеспечению сохранности коммерческой тайны ООО «Астра-ком» 

3.1 Организационно-технические мероприятия по обеспечению сохранности коммерческой тайны

Для обеспечения защиты коммерческой информации на ООО «Астра-ком» введен определенный порядок работы с информацией и доступа к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах республики или на организационно-распорядительных положениях руководителя предприятия (фирмы). Эффективная защита коммерческой тайны возможна при обязательном выполнении ряда условий:

единство в решении производственных, коммерческих, финансовых и режимных вопросов;

координация мер безопасности между всеми заинтересованными подразделениями предприятия;

научная оценка информации и объектов, подлежащих классификации (защите). Разработка режимных мер до начала проведения режимных работ;

персональная ответственность (в том числе и материальная) руководителей всех уровней, исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.

Включение основных обязанностей рабочих, специалистов и администрации по соблюдению конкретных требований режима в коллективный договор, контракт, трудовое соглашение, правила трудового распорядка.

На анализируемом предприятии ООО «Астра-ком» организована служба безопасности. В службу предприятия входят: подразделение защиты информации, подразделение технических средств связи и противодействия техническим средствам разведки, подразделение охраны.

Службе безопасности ООО «Астра-ком» при организации защиты коммерческой тайны необходимо учитывать следующие возможные методы и способы сбора информации: опрос сотрудников изучаемой фирмы при личной встрече; навязывание дискуссий по интересующим проблемам; рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет; ведение частной переписки научных центров и ученых со специалистами.

Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий.

Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.

Наиболее вероятно использование следующих способов добывания информации: визуальное наблюдение; подслушивание; техническое наблюдение; прямой опрос, выведывание; ознакомление с материалами, документами, изделиями и т.д.; сбор открытых документов и других источников информации; хищение документов и других источников информации; изучение множества источников информации, содержащих по частям необходимые сведения.

Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СБ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности КТ.

Планируемые мероприятия должны: способствовать достижению определенных задач, соответствовать общему замыслу; являться оптимальными.

В практике работы с персоналом работникам службы безопасности ООО «Астра-ком» можно порекомендовать проверять не только хранение сотрудниками коммерческой тайны, но и отношение их своим служебным обязанностям, аккуратность в обращении с документами, излишний “интерес” к другим подразделениям. Кроме того, для выявлении конкретных работников, осуществляющих разглашение конфиденциальной информации, занимающихся хищением денег, либо совершающих другие неправомерные действия, угрожающие экономическому положению фирмы необходимо обратить внимание на следующее: внезапный активный интерес к конфиденциальной информации, деятельности других подразделений; изменение поведения работника в общении с коллегами, в разговорах, появление неуверенности, страха; резкое увеличение расходов работника, приобретение дорогостоящих товаров, недвижимости.

Для поддержания высокого уровня защищенности экономических интересов фирмы службе безопасности целесообразно проводить проверки лиц, которые могут, пользуясь своим служебным положением, представлять угрозы безопасности.

Кроме того, директору ООО «Астра-ком» необходимо проводить такую внутреннюю политику, чтобы минимизировать количество недовольных работников (служебным положением, оплатой труда и пр) и особенно стараться сохранять хорошие отношения с увольняющимися работниками. В этом случае вероятность утечки информации будет снижена.

Обязательным условием эффективной системы экономической безопасности является формирование собственной картотеки клиентов с разбивкой по степени их надежности, а также участие в формировании межсубъектных региональных и общероссийских банков данных, использование их информации о контрагентах.

Организация системы защиты вписывается в обстановку на фирме. В связи с этим крайне важен учет принципиальных проходящих в ней и предполагаемых изменений.

Таким образом, система организации защиты коммерческой тайны ООО «Астра-ком»включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.


Заключение

Коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ максимизации прибыли предприятия. Утечка коммерческих секретов может привести к снижению доходов предприятия или к его банкротству.

Использование конфиденциальной информации, полученной в других компаниях, является инструментом недобросовестной конкуренции на рынке любой страны мира.

Регулирование режима коммерческой тайны – одна из важнейших задач для любой солидной компании. В период экономического кризиса важность сохранения в тайне значимых «секретов фирмы» значительно возрастает.

Меры защиты информации должны быть обоснованы как с финансовой, так и с организационной точки зрения. Перед тем как вводить режим коммерческой тайны руководству компании нужно оценить экономический эффект. Может случиться так, что все применяемые методы могут стоить дороже тех сведений, которые защищаются.

Наиболее действенными методами защиты коммерческой тайны являются превентивные меры, которые включают грамотный подход к заключению трудовых контрактов, кадровую политику, а также установление надежной системы технической защиты информации.


Список литературы

  1.  Конституция (Основной Закон) Российской Федерации – России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ).
  2.  УК РФ от 13.06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.03.2011).
  3.  ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.04.2011).
  4.  ФЗ от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.07.2007).
  5.  ФЗ от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года (в редакции от 08.11.2007).
  6.  Федеральный закон от 25.06.2002 N 73-ФЗ «Об объектах культурного наследия (памятниках истории и культуры) народов Российской Федерации» (в редакции от 30.11.2010).
  7.  Федеральный закон от 08.08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (принят ГД ФС РФ 13.07.2001) (в редакции от 29.12.2010).
  8.  Постановление Совмина СССР от 16.09.1982 № 865 «Об утверждении положения об охране и использовании памятников истории и культуры» (в редакции от 29.12.1989, с изменениями от 25.06.2002).
  9.  Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» (в редакции от 21.04.2010).
  10.  ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. М.: Госстандарт России, 1998.
  11.  ГОСТ Р ИСО 15489-1-2007. Управление документами. Общие требования.
  12.  ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
  13.  ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.
  14.  ОСТ 4.071.030 «Нормативы трудоемкости при разработке автоматизированных систем».
  15.  ГОСТ 34.602.89 «Разработка технического задания на автоматизированные системы».
  16.  ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
  17.  Брюханов, М.Ю. Экономическая природа фальсификации финансовой отчетности / М.Ю. Брюханов // Вестник финансовой академии. – 2008. – № 1. – С. 121.
  18.  Владимир Андреев: Текущие результаты говорят о реальной конкурентоспособности отечественных систем управления документами и бизнес-процессами (http://www.cnews.ru)
  19.  Гознак [Электронный ресурс]: Официальный сайт. – Режим доступа: http://www.goznak.ru/.
  20.  Документооборот как средство правового оформления хозяйственных операций / коммент., советы и рекомендации М.А. Климовой, [отв. ред. вып. Т.В. Кузнецов, А.Т. Гаврилов, ред.-сост. А.Т. Гаврилов, М.И. Посошкова]. – М., 2008. – 175 с.
  21.  Евроменеджмент [Электронный ресурс]: Компания «Евроменеджмент». − Режим доступа: http://soft.emd.ru/pers/.
  22.  Зиновьев, П.В. К вопросу повышения защищенности существующих и перспективных автоматизированных систем электронного документооборота / П.В. Зиновьев // Вестник Воронежского государственного технического университета. – 2010. Т. 6. – № 12. – С. 173-174.
  23.  Информационные системы в экономике / Под. ред. Г.А. Титоренко. − М.: Юнити, 2009. − 453с.
  24.  Киви Берд Конфликт криптографии и бюрократии [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 09 июля 2010 г. – Режим доступа: http://www.computerra.ru/own/kiwi/546005/.
  25.  Киви Берд Атака с воздуха [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 10 октября 2009 г. – Режим доступа: http://www.computerra.ru/system/466302/.
  26.  Киви Берд Простые истины [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 07 марта 2008 г. – Режим доступа: http://www.computerra.ru/think/kiwi/350683/.
  27.  Киви Берд Google великий и ужасный [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 03 февраля 2009 г. – Режим доступа: http://www.computerra.ru/399316/?phrase_id=10718673.
  28.  Киви Берд Атака на Skype [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 31 марта 2009 г. – Режим доступа: http://www.computerra.ru/414976/?phrase_id=10718676.
  29.  Киви Берд Европа у руля [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 19 ноября 2008 г. – Режим доступа: http://www.computerra.ru/382212/?phrase_id=10718678.
  30.  Киви Берд Из жизни пиратов [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 20 января 2009 г. – Режим доступа: http://www.computerra.ru/395752/?phrase_id=10718679.
  31.  Крупин, А. Тонкости анонимного серфинга в Сети [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 17 ноября 2008г. – Режим доступа: http://www.computerra.ru/381931/?phrase_id=10718681.
  32.  Лукацкий, А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009 г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.
  33.  Мотив: система оперативного управления компанией. Руководство пользователя. – Белгород.: Институт высоких технологий БелГУ, б.г.
  34.  Муравьева, А.А. Оценка обеспечения защиты электронного документа в организациях г. Барнаула Научный руководитель – к.и.н., доцент О.Г. Черкасова / Молодежь – Барнаулу. Материалы XI научно-практической конференции молодых ученых (17-20 ноября 2009 г.): в 2 т. / отв. Ред. Б.А. Черниченко. – Барнаул, 2010. – Т. 1 – 624 с.
  35.  Нечта, И.В., Фионов, А.Н. Цифровые водяные знаки в программах на С/С++ / И.В. Нечта, А.Н. Фионов А.Н. // Известия Южного федерального университета. Технические науки. – 2010. – Т. 112. – № 11. С. 175-182.
  36.  Практика сферы ИТ [Электронный ресурс]: Электронное издание от 7 апреля 2011. – Режим доступа: http://ithappens.ru/story/5896.
  37.  Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: Электронное издание. – HackZone Ltd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5962/.
  38.  Рожнов В. С., Бегоцкая Г. К. «Автоматизированные системы обработки финансово-кредитной информации». – М.: Финансы и статистика, 2000.
  39.  Рынок систем электронного документооборота в России. Аналитический отчет – М.: РосБизнесКонсалтинг, 2008.
  40.  Способы авторизации [Электронный ресурс]: Электронное издание. – HackZone Ltd 07.01.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/4078/.
  41.  Стародымов, А. Пелепец, М. Стираем память. Быстро, дистанционно [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 23 июля 2009г. – Режим доступа: http://www.computerra.ru/443845/?phrase_id=10718685.
  42.  Теория информационной безопасности [Электронный ресурс]: Электронное издание. – HackZone Ltd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5961/.
  43.  Федосеева, Н.Н. Сущность и проблемы электронного документооборота / Н.Н. Федосеева // Юрист: Научн.–практ. Журн / Изд. гр. «Юрист». – М.: 2008. – № 6. – С. 61-64.
  44.  Харинов, М.B. Способ защиты документов на основе модели изображения с цифровой памятью / М.В. Харинов // Труды СПИИРАН. – 2008. – № 7. С. 136-142.
  45.  Храмцовская, Н.А.. «Моя профессия – престижная». (http://eos.ru/eos/189299).
  46.  Docflow [Электронный ресурс]: Информационный портал. − Режим доступа: http://www.docflow.ru/catalogInfo.asp?option=product.
  47.  «Google’s Gatekeepers» by Jeffrey Rosen // The NYT Magazine, November 28, 2008.
  48.  «Googling Security: How Much Does Google Know About You?» by Gregory Conti, Addison–Wesley Professional, 2008.
  49.  Human Resource zone [Электронный ресурс]: Периодическое издание. − Режим доступа: http://www.hr-zone.net/index.php?mod=articles&go=show&id=1329.
  50.  NauDoc (версия 3.2). Руководство пользователя. Часть 2 – Екатеринбург: NAUMEN, 2004.

1 Федеральный закон РФ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ (ред. от 11.07.2011 № 200-ФЗ) // http://internet-law.ru/intlaw/laws/comtain.htm

2 Пугинский Б.И. Коммерческое право России. – М.: Юрайт, 2008. – с. 122.

3 Жилинский С.Э. Предпринимательское право (правовая основа предпринимательской деятельности): Учебник для вузов. 5-е изд., перераб. и доп. – М.: Норма, 2008. – с. 88.

4 Литягин Н.Н. Предпринимательское право: Учебное пособие. – М.: МГИУ, 2009. – с. 112.

5 Федеральный закон РФ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ (ред. от 11.07.2011 № 200-ФЗ) // http://internet-law.ru/intlaw/laws/comtain.htm

6 Клюева Л.А. Предпринимательские риски и тайная информации в условиях современного рынка // Управление персоналом. – 2011. – № 11. – с. 118.

7 Якушенко Н.Н. Правомерность доступа к информации // Предпринимательское право. – 2011. – № 2. – с. 23.

8 Прошкин А.В. Должностные обязанности топ-менеджеров // Российская газета. – 2011. – № 12. – с. 55.

9 Петренко А.С. Проблема защиты и сохранения коммерческой тайны организации // Коммерсант. – 2012. – № 8. – с. 95.

10 Белых В.С. Предпринимательское право России. –  М.: Юрайт, 2009. – с. 211.

11 Лапский В.В. Коммерческая тайна на предприятии: вопросы судебной практики // Безопасность бизнеса. – 2012. – № 5. – с. 107.

12 Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML-версия). / «ФИЗИКОН», 2001-2004. – Режим доступа: http://www.college.ru/UDP/texts/zi04.html

13 Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML-версия). / «ФИЗИКОН», 2001-2004. – Режим доступа: http://www.college.ru/UDP/texts/zi06.html.

14Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML-версия)./«ФИЗИКОН»,2001-2004.–Режим доступа:http://www.college.ru/UDP/texts/zi06.html

15 Киви Берд Из жизни пиратов [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 20 января 2009г. – Режим доступа: http://www.computerra.ru/395752/?phrase_id=10718679.

16 Виды (типы) угроз и атак в сети Internet [Электронный ресурс]: Электронный журнал. – HackZone Ltd 2007. – Режим доступа: http://www.hackzone.ru/articles/view/id/5971/.

17 ФЗ от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.07.2007).

18 ГОСТ Р ИСО 15489-1-2007 Управление документами. Общие требования; ИСО/МЭК 27001 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; Скиба  О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. – № 12. – С. 24.

PAGE   \* MERGEFORMAT 12


 

А также другие работы, которые могут Вас заинтересовать

79833. ПОНЯТИЕ И СУЩНОСТЬ ИННОВАЦИИ КАК СРЕДСТВА ЭКОНОМИЧЕСКОГО РАЗВИТИЯ 86 KB
  В ней речь шла о новых комбинациях изменений в развитии выходящих за рамки процесса обновления производства в замкнутом кругу обновления выше уровня простого воспроизводства. Ученый выделил пять типичных факторов обуславливающих новые комбинации в развитии производства и рынка. Использование новой техники новых технологических процессов или нового рыночного обеспечения производства. Изменения в организации производства и его материально-техническом обеспечении.
79835. КЛАССИФИКАЦИОННЫЕ ПОДХОДЫ К ГРУППИРОВКЕ И ОРГАНИЗАЦИИ ИННОВАЦИЙ 64 KB
  ИН структуры предприятия Целевые качественные или количественные изменения в выборе и использовании материалов сырья информации оборудования информации работников и других ресурсов Целевые изменения в производственных обслуживающих и вспомогательных процессах как по качеству так и по количеству а так же по организации и способу ее обеспечения. То есть изменения отдельных элементов и их взаимных связей в структуре предприятия как системе Целевые качественны или количественные изменения в результатах производственно хозяйственной...
79836. Анализ использования основных производственных фондов и производственных мощностей 218.5 KB
  Цели и задачи анализа использования основных производственных фондов При анализе использования основных производственных фондов решаются следующие задачи: изучение структуры состава и движения основных производственных фондов; их распределение по местам использования и назначения; оценка технического состояния фондов степени их обновления и технического совершенства; изучение эффективности использования основных производственных фондов; определение технического состояния машин и оборудования; оценка уровня использования производственной...