Исследование системы защиты конфиденциальных документов на примере ООО "МидиОкна"

Размещено на http://www.allbest.ru/

Содержание

Введение

Глава 1. Защита информации

1.1 Утечка конфиденциальной информации

1.2 Зарубежный опыт

Глава 2. Защита конфиденциальных документов на примере ООО «МидиОкна»

2.1 Конфиденциальные документы в организации

2.2 Система защиты документов

Заключение

Список использованных источников

ВВЕДЕНИЕ

В XXI веке проблема защиты конфиденциальной деловой информации становится все более масштабной. Современная компания, стремясь стать более конкурентоспособной на рынке, особенно на рынке Беларуси, должна проводить некоторые работы по защите конфиденциальной и иной «секретной» информации. Многие фирмы в нашей стране сформировали подразделения экономической разведки (то есть - экономического шпионажа), их целью является получение конфиденциальной информации от компании-конкурента.

В целях обеспечения безопасности информации современного коммерческого предприятия были разработаны организационно-технические меры, которые выполняются в меру оснащенности организации средствами защиты и согласно уровню понимания проблемы ее руководством и сотрудниками.

Иногда возникает вопрос, как выбрать ту информацию, которую следует защищать, так как подвергать этой процедуре всю информацию, циркулирующую по локально-вычислительной сети компании, не имеет смысла хотя бы по экономическим соображениям. Вот здесь и возникает необходимость разделения информации по уровням.

Тема дипломной работы является актуальной на данный период времени, поскольку в достаточно бурном развитии экономики Беларуси и в условиях ужесточения конкурентной борьбы на рынке, организации всё чаще подвергаются различным видам коммерческих шпионажей, и им просто необходимо разрабатывать систему защиты конфиденциальной информации. Как правило, в большинстве случаев, организации и предприятия используют бумажные носители информации (в том числе и конфиденциальной) из-за их более удобного, практичного и долговечного хранения. Однако бумажные носители не имеют никаких специальных степеней безопасности, как электронные и другие виды носителей, поэтому вся ответственность за сохранность бумажных документов ложится на правильную организацию конфиденциального документооборота.

Документы могут нести информацию открытую и информацию с ограниченным доступом, помеченную грифами «Конфиденциально», «Для служебного пользования», «Коммерческая тайна», «Секретно» и т.п. Коммерческая тайна - это конфиденциальная информация, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

К информации, составляющей коммерческую тайну, относится: научно - техническая, технологическая, производственная, финансово - экономическая, иная информация (в том числе составляющая секреты производства (ноу - хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Одним из критериев отнесения информации к коммерческой тайне является возможность получения экономической выгоды от её разглашения или использования. [3, c.26]

К коммерческой тайне относятся, прежде всего, идеи, изобретения, открытия, технологии, индивидуальные детали коммерческой деятельности, позволяющие успешно конкурировать и т.п.

Информация предприятия может быть отнесена к коммерческой тайне при наличии следующих условий:

Действительная или потенциальная коммерческая ценность информации в силу неизвестности её третьим лицам;

Отсутствие свободного доступа к этой информации на законном основании;

Принятие обладателем информации необходимых мер к охране её конфиденциальности.

Обеспечение сохранности такой информации требует соблюдения следующих условий:

Определение сведений, составляющих коммерческую тайну предприятия;

Обеспечение порядка их защиты;

Обеспечение строго контроля за допуском персонала к секретным документам;

Точное установление того, кто конкретно из руководства или служащих предприятия организует и контролирует секретное делопроизводство, наделение их соответствующими полномочиями;

Разработка инструкции (памятки) по работе с секретными документами, ознакомление с нею соответствующих работников организации;

Контроль за принятием соответствующими служащими письменных обязательств о сохранении коммерческой тайны предприятия;

Введение системы материального и иного стимулирования служащих предприятия, имеющих доступ к её секретам;

Внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны организации;

Личный контроль со стороны руководителя организации, внутренней службы безопасности и секретного делопроизводства.

Если эти условия не будут выполнены, то у предприятия не будет законных оснований для привлечения к ответственности работников за разглашение или передачу сведений, составляющих коммерческую тайну, так как владелец информации, составляющей коммерческую тайну, вправе потребовать в судебном порядке возмещения убытков, причинённых её разглашением или выплату компенсации в размере, установленном решением суда.

Цель данной дипломной работы - исследовать систему защиты конфиденциальных документов на примере ООО «МидиОкна». Исходя из цели, можно поставить следующие задачи:

1. Проанализировать составляющие конфиденциальной документации;

2. Рассмотреть способы защиты конфиденциальных документов;

3. Исследовать систему защиты конфиденциальных документов на примере ООО «МидиОкна»;

При написании данной работы были использованы нормативно-правовые документы, монографии и материалы периодической печати по делопроизводству; были использованы ссылки на следующие стандарты: Положение о коммерческой тайне (утверждено постановлением Совета Министров Республики Беларусь от 06.11.1992 № 670); Закон Республики Беларусь от 29 ноября 1994 г. № 3410-ХII (в редакции Закона Республики Беларусь от 4 января 2003 г. № 172-З) "О государственных секретах"; Кодекс об административных правонарушениях (извлечения).

Известно, что поиски путей получения конфиденциальной информации ведется с целью завоевания рынков сбыта за счет выброса на него новых товаров и продукции повышенного качества и более экономной и совершенной технологии их изготовления, а также путем дискредитации и устранения на нем своих конкурентов любыми методами и средствами. С этой целью и ведется шпионаж.

Очевидно, что объектами конфиденциальных интересов со стороны служб шпионажа выступают производственные структуры, фирмы, корпорации, ассоциации, заводы, предприятия и организации, выпускающие (разрабатывающие) продукцию или изделия организации. Это могут быть отдельные цехи, лаборатории, испытательные площадки, технологические линии, станочный парк, технологическая оснастка и т.п., сведения о которых могут характеризовать состояние производства (включая и систему управления, финансов и т.п.) и выпускаемую продукцию, позволяет оценить качество выпускаемой продукции, уровень издержек производства, его производственные мощности и другие параметры и характеристики, связанные не только с производством и его организационными особенностями и финансовым состоянием.

Злоумышленник имеет дело с информацией, освещающей те или иные стороны объекта его конфиденциальных интересов. Естественно, его интересует информация о производстве и производимой продукции, об организационных особенностях и финансах, о товарном обороте и системе сбыта, о ценах, рекламе, обслуживании и т.п. информация о фирме, предприятии, которая позволит ему найти решение для успешной борьбы со своими конкурентами. В своих противоправных действиях он всегда выступает субъектом, действия которого направлены на то, что противостоит ему или является объектом его интересов. Известно, что объект - философская категория, выражающая то, что противостоит субъекту в его предметно-практической и познавательной деятельности.

В практике шпионажа объектами конфиденциальных интересов выступают предприятия, организации, фирмы, компании, банки, конторы, сведения о которых, как потенциальных конкурентах, представляют значительный интерес с позиции анализа производства и производственной, научной, торгово-финансовой, посреднической и другой деятельности, а также ее продукции или услуги. Любая информация, совмещающая эти направления, представляет большой интерес в плане изучения возможных направлений коммерческой деятельности. Итак, объектом злоумышленных действий могут выступать организации, продукция, технология (технология - это способ производства), производство, сведения о которых стремится получить конкурент (субъект) с целью успешной борьбы на рынке сбыта. Следовательно, информация - это сведения о предметах, объектах, явлениях, процессах (независимо от формы их представления), отображаемые в сознании человека, или на каком-либо носителе, для последующего восприятия их человеком.

Предпринимательская деятельность тесно взаимосвязана с получением, накоплением, обработкой и использованием разнообразных информационных потоков, поступающих от различных источников.

Итак, предметом в данной дипломной работе будут являться конфиденциальные документы, предметом - субъект хозяйствования.

Рассмотрим некоторые формулировки источников информации. В многочисленной литературе встречаются самые различные формулировки понятия “источник ”.

Очевидно, что в любой из формулировок будет иметься в виду какой-то объект, обладающий определенной информацией, которую можно получить одноразово или многократно интересующимися ею лицами. Источник связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Источник в этой паре выступает как бы пассивной стороной, а получатель - субъект - активной. Тогда под источником конфиденциальной информации будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников.

С учетом изложенного, с некоторой степенью обобщения и с определенным допущением можно привести следующие категории источников, обладающих, владеющих или содержащих в себе конфиденциальную информацию:

1. Люди.

2. Документы.

3. Публикации.

4. Технические носители.

5. Технические средства обеспечения производственной и трудовой деятельности.

6. Продукция.

7. Промышленные и производственные отходы.

ГЛАВА 1. ЗАЩИТА ИНФОРМАЦИИ

1.1 Утечка конфиденциальной информации

Утечка информации - неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа.

В соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения (Утверждено Постановлением Совета Министров Республики Беларусь от 15.02.1999 №237) [50], необходимость соблюдения режима конфиденциальности информации может касаться тех сведений, распространение которых в соответствии с действующими законодательными актами организации считают нежелательным в интересах обеспечения своей деятельности.

Утечка конфиденциальной информации может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т. п. Несмотря на то, что несанкционированное раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство Республики Беларусь еще полностью не сформировано, а процессы законотворчества сильно отстают от уровня развития информационных технологий, возникают существенные трудности в обеспечении юридической защиты интересов собственников конфиденциальной информации. [43, c. 14]

Следует отметить, что для организаций государственной и негосударственной форм собственности способы защиты конфиденциальных сведений могут различаться не только в силу существующей в них делопроизводственной практики, но и в силу того, что защищаемая информация может попадать под действие законодательных актов, имеющих различную силу для организаций и предприятий государственного и негосударственного профиля. К примеру, Положение об обращении со служебной информацией ограниченного распространения (Утверждено Постановлением Совета Министров Республики Беларусь от 15.02.1999 №237) [44, c.18] имеет отношение только к документации государственных организаций. Правила же защиты конфиденциальных сведений в коммерческих организациях устанавливаются в большинстве случаев их собственником (владельцем) и основываются на других нормативных правовых актах, таких как, например, Положение о коммерческой тайне.

Количество потенциальных каналов утечки информации достаточно велико. Наиболее распространенные из них относятся к категории неумышленного раскрытия информации сотрудниками по причине неосведомленности или недисциплинированности. Отсутствие представлений о правилах работы с конфиденциальными документами, неумение определить, какие документы являются конфиденциальными, и просто обычные разговоры между сотрудниками -- все это может привести к рассекречиванию данных.

Умышленный «слив» информации встречается значительно реже, зато осуществляется целенаправленно и с наиболее опасными последствиями для организации. [25, c. 16]

С учетом множественности категорий и каналов утечки информации становится очевидно, что в большинстве случаев проблему утечки нельзя решить каким-либо простым способом, тем более избавиться от нее окончательно. Кроме того, реализация любых мер по ограничению доступа к информации или ее распространению потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть основные каналы утечки информации с определенной степенью надежности и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы права на юридическую защиту интересов организации как собственника информации нереализуемы.

Система предотвращения утечки конфиденциальной информации включает в себя три основных составляющих: работу с персоналом, политику безопасности, сервисы безопасности. [29, c. 43]

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом -- главный механизм защиты.

Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

При работе с персоналом необходимо соблюдать следующие требования безопасности:

1. Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.

2. Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность.

3. Подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу.

4. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности.

В некоторых организациях существуют отделы по работе с конфиденциальной документацией. Для начальника такого отдела разрабатывается специальная должностная инструкция. (Приложение 3)

Также в организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности и предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры воздействия.

При определении мер пресечения следует ориентироваться на положения действующего законодательства. [14, c 25]

Иногда “обиженные” бывшие работники с целью отомстить работодателю размещают ценную информацию предприятия в Интернете или в СМИ, делают ее общедоступной иными способами. Кстати, личная неприязнь (в случаях применения к работнику дисциплинарных взысканий либо желания лица отомстить за что-либо) и экономическая выгода работника и/или конкурента -- наиболее типичные мотивы утечки информации. Бывают случаи, когда работник вольно распоряжается ценной информацией, считая, что именно он, а не его работодатель имеет на нее права.

Ценную информацию необходимо охранять (предпринимать юридические, организационные, технические меры), причем, начиная с момента ее постижения, так как в силу ст. 140 Гражданского кодекса Республики Беларусь [3, c.43] ценную информацию можно защитить только тогда, когда к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. [24, c. 68]

Конкретный перечень сведений, которые могут быть защищены с помощью норм законодательства о нераскрытой информации, не установлен. Согласно статье 140 ГК Республики Беларусь [7, c.68], защищаться может информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и обладатель которой принимает меры к охране ее конфиденциальности. В статье 1010 ГК Республики Беларусь говорится, что техническая, организационная или коммерческая информация, в том числе секреты производства (“ноу-хау”), может защищаться от незаконного использования, если она неизвестна третьим лицам и если соблюдены условия, установленные пунктом 1 статьи 140 ГК Республики Беларусь.

Из этих норм видно, что достаточно широкий спектр сведений может быть охраняем законодательством. При отнесении той или иной информации к охраняемой целесообразно исходить из ее свойства быть полезной. Вместе с тем необходимо учитывать, что, согласно п. 3 ст. 1010 ГК Республики Беларусь, правила о защите нераскрытой информации не применяются в отношении сведений, которые, в соответствии с законодательством, не могут составлять служебную или коммерческую тайну (сведения о юридических лицах, правах на имущество и сделках с ним, подлежащие госрегистрации, и др.).

В пункте 4 ст. 1010 ГК Республики Беларусь установлено, что право на защиту нераскрытой информации действует до тех пор, пока информация будет иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней не будет свободного доступа на законном основании и обладатель информации будет принимать меры к охране ее конфиденциальности.

Относительно последнего условия, то должен быть предпринят комплекс юридических и фактических мер. К первым относится, прежде всего, создание системы локальных нормативных актов, в которых конкретизируется сама конфиденциальная информация или признаки отнесения информации к конфиденциальной, кто вправе ею пользоваться, и т. п. Соответствующие условия и требования нужно предусмотреть в трудовом договоре или контракте с работником. Возможно определение соответствующих условий и в гражданско-правовом договоре.

Возможность принятия юридических мер вытекает непосредственно из трудового и гражданского законодательства. В соответствии с п. 10 ст. 53 Трудового кодекса Республики Беларусь, работник обязан “хранить государственную и служебную тайну, не разглашать без соответствующего разрешения коммерческую тайну нанимателя”. Согласно части 2 пункта 2 ст. 140 ГК Беларуси, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. [14, c.46]

Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Необходимо отметить, что недостаточно поставить на документе штамп “конфиденциально” или “не для копирования”, так как фактически ознакомиться с его содержанием при желании может любой сотрудник. Понятно, что в данном случае фактические меры к охране информации не приняты. Таким образом, возникает необходимость создания на предприятии так называемого “конфиденциального делопроизводства” и системы технических мер, с помощью которых можно было бы контролировать доступ к ценной информации.

Возможность применить меры ответственности за разглашение или незаконное использование нераскрытой информации предусмотрена ч. 2 ст. 53 Трудового кодекса Беларуси и п. 2 ст. 140, ст. 1011 ГК Республики Беларусь, ст. 167-9 Кодекса об административных правонарушениях Республики Беларусь, ч. 2-3 ст. 201, статьями 254, 255, 375 Уголовного кодекса Беларуси. [3, c. 28]

В большинстве случаев речь может идти о возмещении убытков либо взыскании неустойки (если она предусмотрена договором), в случае совершения административного правонарушения или преступления -- о штрафах или лишении свободы.

Возможности по доказыванию фактов неправомерного разглашения или использования охраняемой информации, причинения убытков, а также причинно-следственной связи между ними такие же, как и в любом другом правовом деликте -- показания свидетелей, объяснения сторон, заключения экспертов и т. д.

Любопытно законодательство некоторых стран в данной сфере. Например, в ряде государств наниматель имеет право установить для своих сотрудников запрет на работу в фирмах, прямо конкурирующих с их компанией (причем могут быть перечислены конкретные фирмы) в течение определенного срока после увольнения работника, а также запрет на предоставление определенной информации данным фирмам (например, список клиентов, партнеров).

Как уже было сказано, в организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации. [43, c. 28]

Особое внимание следует уделить защите электронной конфиденциальной информации. Для электронных документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах может быть вызвана следующими факторами:

· непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (далее - службы КД), системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);

· кражи и подлоги информации;

· угрозы, исходящие от стихийных ситуаций внешней среды;

· угрозы заражения вирусами.

В настоящее время в Беларуси и за рубежом ведутся большие работы по созданию автоматизированных систем обработки данных с применением машиночитаемых документов (МЧД), одной из разновидностей которых являются документы со штриховыми кодами. К машиночитаемым относятся товаросопроводительные документы, ярлыки и упаковки товаров, чековые книжки и пластиковые карточки для оплаты услуг, магнитные носители. В связи с этим появились термины "электронные ведомости", "электронные деньги" и т. д.

Наибольшее распространение получают графические шрифты предназначенные для кодирования и регистрации информации в оптическом диапазоне. Здесь имеются три вида: отметки графические, шрифты стилизованные, шрифты кодирования (штриховые коды).

Штриховой код представляет собой чередование темных и светлых полос разной ширины. Информацию несут относительные ширины светлых и темных полос и их сочетания, при этом ширина этих полос строго определена. Темные полосы называют штрихами, а светлые - пробелами (промежутками).

Штриховые коды считываются специальными оптическими считывателями (читающими устройствами) различных типов, включая лазерные, которые, воспринимая штрихи, пробелы и их сочетания, декодируют штриховой код с помощью микропроцессорных устройств, осуществляют заложенные в кодах методы контроля и выдают на табло, в ЭВМ или другие устройства значения этих кодов в определенном алфавите (цифровом, алфавитно-цифровом и пр.).

В настоящее время штриховые коды широко используются в производстве и в торговле товарами, во многих отраслях промышленного производства для идентификации заготовок, изделий, упаковок, обозначения мест хранения, в почтовых ведомствах, транспорте и пр.

Для защиты электронной информации должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа.

Ответственность за информационную безопасность организации несет ее руководитель, который делегирует эту ответственность одному из менеджеров.

Решение о предоставлении доступа к конкретным информационным ресурсам должны принимать владельцы этих ресурсов, назначаемые из числа руководителей подразделений, формирующих и использующих эти ресурсы. Кроме того, вопросы предоставления доступа конкретным сотрудникам должны быть согласованы с их непосредственными руководителями.

Подводя итоги, можно сделать следующие выводы:

- Основным источником утечки информации из организации является ее персонал;

- За целенаправленное разглашение конфиденциальной информации работник может быть привлечен к административной либо уголовной ответственности;

- Ответственность за информационную безопасность в организации возлагает на себя руководитель.

1.2 Зарубежный опыт

На сегодняшний день практически по всему миру стало почти массовым явлением беззастенчивое заимствование интеллектуальной и промышленной собственности: сотрудники предприятий, являясь одновременно членами кооператива, малых предприятий или совместных предприятий, используют методики, программы и технологии, разработанные на отечественных предприятиях и являющиеся их интеллектуальным капиталом. Западные партнеры стремятся незаконным путем получить закрытую информацию, представляющую для них экономический интерес. Поэтому обеспечение экономической безопасности предприятия, фирмы и любой другой формы хозяйствования в условиях рыночной экономики требует защиты коммерческой тайны.

В США, Германии, КНР, Японии и других странах защита коммерческой тайны обеспечивается системой промышленной секретности, которая базируется на соответствующей правовой базе. При этом основную роль в обеспечении ее сохранности играют не сами фирмы, а негосударственные органы. [32, c. 68]

В Соединенных Штатах, имеющих наиболее совершенное законодательство в области защиты информации, Закон о коммерческой тайне или, по принятой там терминологии, - фирменных секретах (секретах производства) был принят только в 1979г. и то не всеми штатами. Согласно этому закону коммерческую тайну составляет информация, которая:

- имеет самостоятельную экономическую стоимость благодаря тому, что не является общеизвестной и доступной людям, которые могут использовать ее в коммерческих целях;

- является объектом разумных усилий по защите;

Разумеется, если что-то названо коммерческой тайной, то это действительно должно ею быть, что бывает непросто доказать юридически. Поэтому закон рекомендует:

- указать ценность информации(какие средства затрачены на получение информации и во что обойдется Вам ее несанкционированное обнародование);

- назвать, какие меры защиты данного секрета были предприняты.

В Германии действует закон о недобросовестной конкуренции [33, c. 46], в котором выделяются два вида тайн - производственная и коммерческая. Данный закон устанавливает уголовную ответственность до 3 лет тюремного заключения за сообщение коммерческой или производственной тайны посторонним лицам, а также ее выведывание. К производственной тайне в Германии относятся сведения организационного и технического характера, которые касаются способа производства, технологии, организации труда, а также технического открытия, изобретения либо сведения о характере и целях исследовательских работ и т.д.

Коммерческой тайной, в отличие от производственной, являются сведения, которые касаются торговых отношений фирм: организация и размер оборота, состояние рынков сбыта, сведения о поставщиках и потребителях, сведения о банковских операциях. [10, c. 54]

Госсовет КНР в 1988 году утвердил положение о коммерческих службах безопасности [34, c. 64], не входящих в структуру государственных правоохранительных органов. Коммерческие службы безопасности являются хозрасчетными организациями и выполняют определенные виды работ и услуг согласно контрактам, заключаемым с госучреждениями, кооперативами, частными предприятиями, а также предприятиями, основанными на смешанном китайском и иностранных капиталах. Решение о том, какие секреты необходимо защищать на каждом предприятии, в каждой организации принимается на основе договоренности и строится на экономическом расчете.

В Японии нет ни законов, ни каких-либо других нормативных актов, предусматривающих ответственность за разглашение коммерческой тайны. Там эта необходимость решается следующим образом: на департаменты кадров, имеющихся в каждой японской фирме, возлагается контроль за неукоснительным соблюдением режима секретности, который основывается на кодексе поведения служащих. В нем содержатся положения, запрещающие:

- передавать посторонним лицам сведения, содержащие коммерческую тайну;

- заключать сделки, которые могут подорвать доверие к компании со стороны клиентов;

- устраиваться без разрешения руководства на работу по совместительству;

- умышленно наносить экономический ущерб;

- давать и получать взятки.

Следует отметить, что японский бизнес менее всего страдает от утечки информации. Это связано с присущей этой стране системой пожизненного найма и воспитанием у сотрудников чувства патернализма, когда они считают себя членами одной семьи. [16, c. 37]

Руководитель фирмы Сони Акио Морита утверждает, что когда нет преданности, которая приходит с долгосрочной занятостью, то нет возможности положить конец утечкам информации и воровству, от которых повседневно страдает бизнес на Западе.

Разглашение коммерческой тайны может ухудшить экономическое положение предприятия или фирмы. Чтобы этого не произошло, следует перевести такую информацию в разряд охраняемой. У нас это делается приказом руководителя фирмы, в котором перечисляются сведения, относящиеся к коммерческой тайне. Однако он не вправе отнести к ней сведения, подпадающие под категорию государственной тайны, так как они имеют свой, специальный режим охраны. [17, c. 36]

При засекречивании информации надо исходить из принципа экономической выгоды и безопасности фирмы. Причем, объявляя ту или иную информацию коммерческой тайной, важно соблюсти золотую середину. Чрезмерное засекречивание деятельности фирмы может обернутся потерей прибылей, так как условия рынка требуют широкой рекламы производимой продукции и услуг. Те же результаты может вызвать пренебрежительное отношение к коммерческой тайне, так как рынок это всегда конкуренция. Американские предприниматели считают, что утрата 20 % информации приводит к разорению фирмы в течение месяца в 60 случаях из 100. [28, c. 24]

Информация типа ноу-хау, безусловно, должна быть отнесена к разряду коммерческой тайны. Ее надо охранять и от собственного персонала, ибо всегда существует опасность, что тот или иной сотрудник уволится и устроится на работу в конкурирующую фирму. Сведения же, которыми он владеет, не могут быть у него изъяты.

За рубежом существует практика подписания с сотрудником соглашения, по которому ему после увольнения запрещается работать в конкурирующей фирме. Правда, такого рода соглашения действуют лишь в течение определенного срока после расторжения договора о найме. Кроме того, во время действия подобного ограничения этому лицу должно выплачиваться вознаграждение. В нашей практике такие соглашения пока неизвестны. [40]

Информация о рационализаторском предложении, изобретении и т. п., находящиеся н стадии разработки, несомненно, относится к коммерческой тайне. Рационализаторское предложение даже после его оформления и выдачи авторского свидетельства может оставаться коммерческой тайной, поскольку представляет собой техническое решение задачи, новое для данной фирмы. Изобретение после выдачи на него патента имеет специальную правовую охрану и поэтому не нуждается в защите как коммерческая тайна. Другое дело, если по соглашению с автором изобретения фирма примет не подавать заявку в Госпатент Российской Федерации. Тогда охрана информации полностью возлагается на фирму. Следует подчеркнуть, что решение не подавать заявку на изобретение на патентоспособное техническое решение возможно только по договоренности с автором, так как по существующему правилу, если работодатель в течение трех месяцев с момента уведомления его автором о сделанном изобретении не подаст заявку на него, автор вправе сам подать заявку и получить патент. До недавнего времени 90 % авторских свидетельств получали гриф для служебного пользования. Вместо авторских свидетельств теперь выдают патент. Основным принципом патента является его обязательная открытость, что способствует ускорению научно- технического прогресса. Патент- тот же товар изобретателя, но государство продолжает засекречивать патенты, т.е. нарушает права изобретателей. Государство же должно не отбирать у человека право на его интеллектуальную собственность, а выкупать его, причем по рыночной стоимости. [26, c. 245]

Особое внимание следует уделить охране договоров, заключаемым предприятием. Большая их часть, безусловно, относится к коммерческой тайне. Причем в определенных случаях охране подлежит не только текст договора, но и сам факт его заключения.

Разрабатывая меры по защите коммерческой тайны фирмы, необходимо экономически обосновать целесообразность засекречивания той или иной информации. В первую очередь выделяется информация, утечка которой может привести вашу фирму к банкротству. Это строго конфиденциальная информация. В мире бизнеса, это как правило, ноу-хау. К конфиденциальной информации относятся сведения о перспективах развития фирмы, ее клиентах, сроках и сумме кредитования. Огласка этих сведений, конечно же, не приведет к краху, но лишит фирму на какое-то время устойчивой прибыли. Также не подлежит огласке информация, раскрытие которой может привести к неблагоприятным последствиям. К ней относятся: номера домашних телефонов, адреса руководителей и сотрудников фирмы, текущие планы работы, информация о конфликтных ситуациях и т.п. Остальные сведения относятся к открытым, то есть доступным всем. Но следует иметь в виду, что неправильно поданная информация может помочь аналитикам из конкурирующей фирмы обнаружить ваши уязвимые места. Руководитель фирмы должен установить строгий порядок хранения первых экземпляров договоров и работы с ними. Их следует хранить в определенном месте у ответственного лица и выдавать только под расписку с письменного разрешения руководителя фирмы. [46]

На лица, ответственные за хранение договоров и работу с ними, возлагается персональная ответственность за утерю договоров или утечку информации из них. Все это необходимо потому, что деятельность коммерческих структур строится в большей степени на договорных началах, и конкурент или партнер по переговорам, обладая информацией в этой сфере, может составить довольно полную картину производственного и финансового положения фирмы. Пропажа (похищение) первых экземпляров договоров ведет к значительным затруднениям и даже невозможности доказывать те или иные положения при возникновении спора и его решении в судебном порядке. При подписании договора рекомендуется, чтобы представители сторон ставили подписи не только в конце договора, но и на каждом листе во избежание замены одного текста другим. Следует отметить, что затраты зарубежных фирм на охрану своей коммерческой тайны составляют 10-15 % всех расходов на процесс производства. Поэтому наиболее расчетливые предприниматели пытаются на этом сэкономить, переложив затраты на плечи государства путем получения госзаказов оборонного характера. Помимо прочих преимуществ, госзаказы позволяют пользоваться защитой государственных правоохранительных органов и, в первую очередь, контрразведки. [14, c.85]

Допуская служащих фирмы к госсекретам, контрразведка с присущей ей тщательностью проверяет благонадежность каждого из них. Традиционная проверка граждан США, получающих доступ к секретной информации, обычно включает :

- обязательную проверку на детекторе лжи (полиграфе). В число проверяемых включают также сотрудников служб безопасности и персонал фирм подрядчиков. Отказ от прохождения проверки на детекторе лжи влечет автоматическое лишение допуска или увольнение с работы;

- глубокое и всестороннее изучение досье кандидата на работу;

- проверка его биографических данных за последние 10 лет;

- выяснение целей и обстоятельств поездок за рубеж;

- исследование финансового положения

В ходе проверки служащего полученные сведения сопоставляются с данными Национального банка информации о секретоносителях, где на каждого из них существует электронное досье. В нем содержатся данные предыдущих проверок, его фотография, фонограмма его голоса, сведения об изменении в его финансовом положении, о поездках за границу. Помимо проверки на благонадежность сотрудников коммерческой фирмы, получающих доступ к государственным секретам, контрразведывательные органы формируют систему безопасности фирмы, включая программу защиты, вводят ее в штаб своих сотрудников. [34, c.69]

Наша экономика находится лишь на этапе становления рыночных отношений, поэтому для коммерческих структур, не связанных с выполнением оборонных заказов, состояние защиты от промышленного шпионажа выглядит удручающим.

Таким образом, утечка информации - неправомерный выход конфиденциальной информации за пределы зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа.

Необходимость соблюдения режима конфиденциальности информации может касаться тех сведений, распространение которых в соответствии с действующими законодательными актами организации считают нежелательным в интересах обеспечения своей деятельности.[46, c.14]

ГЛАВА 2. Защита конфиденциальных документов на примере ООО «МидиОкна»

2.1 Документооборот конфиденциальной документации на примере ООО «МидиОкна»

ООО «МидиОкна» - одна из крупных компаний, которая занимается производством и поставкой окон.

Производство «МидиОкна» является одним из первых (с 2000 года) производителей окон ПВХ в Республике Беларусь.

ООО «МидиОкна» обеспечивает собственное производство окон автоматизированным оборудованием самых последних разработок мировых производителей. На сегодняшний день производство предприятия обладает самой современной высокоточной линией-автомат для производства окон и других ПВХ конструкций от лучших мировых производителей оборудования. Производственная мощность позволяет изготавливать до 4500 окон в месяц. Производство окон и дверей ПВХ расположено в г. Минске, что позволяет осуществлять своевременные доставки от производства до конечного заказчика в любой город Беларуси. Только производственные площади компании занимают более 1300 квадратных метров.

Существует программа и полностью автоматизированный процесс раскроя заготовок, что позволяет на 100% исключить ошибки ручного ввода размеров окна.

Установка фурнитуры осуществляется на столе-полуавтомате, который производит автоматическое фиксирование и центровку изготавливаемой створки и позволяет точно и аккуратно устанавливать фурнитуру. А это - годы качественной и надежной работы окна.

Стеклопакеты для «МидиОкна» производятся на высокоточной полуавтоматической линии мирового лидера в производстве - LISEC (Австрия). Стенд для установки стеклопакетов и контроля качества исключает возможность неправильной установки стеклопакета и позволяет эмитировать установку конструкции в проём.

Каждое окно проходит строгий контроль качества готового изделия до того момента, когда окно попадет в дом или на объект клиента. Окна из ПВХ «МидиОкна» прошли все необходимые испытания и их качество подтверждено сертификатами соответствия.

На предприятии ООО «МидиОкна» утверждены правила документооборота, устанавливающие принятую классификацию документов, регламентирующие порядок хранения и уничтожения документов, а также устанавливающие основные правила пользования электронной почтой.

В соответствии с данными правилами документооборота документы на предприятии распределяются на четыре основные группы: для ограниченного пользования, личные и конфиденциальные, конфиденциальные и прочие.

К документам для ограниченного пользования относится особо важная информация, хранение которой контролируется секретарем-референтом. Несанкционированное раскрытие данной информации может нанести непоправимый вред компании. В соответствии с этим передача такой информации осуществляется только при наличии официального разрешения на передачу, доставку или вскрытие документов. На территории компании осуществляется передача с посыльным. Внутренние и внешние рассылки упаковываются в запечатанный конверт, внутри которого наносится маркировка «для ограниченного доступа» и заметка «лично в руки». При электронной коммуникации тщательно контролируется доступ к системе и паролю. Хранение таких документов обязательно в недоступном месте. [34, c. 67]

К личным и конфиденциальным документам относится информация, которая принадлежит одному человеку либо ограниченному кругу лиц. Несанкционированное раскрытие ее может значительным образом изменить отношения со служащими клиентами, или компанией в целом. Ограничения на эту информацию применяются в соответствии с законодательством Республики Беларусь.

К конфиденциальным документам в ООО «МидиОкна» относятся документы, которые являются важными для бизнеса компании и составляют собственность компании. Включают информацию о коммерческих клиентах, поставщиках материала, дилерах и продавцах. Несанкционированное раскрытие ее может повлечь негативные последствия для компании, деловых отношений, коммерческих клиентов, дилеров или продавцов. Доступ к такой информации осуществляется только по деловой необходимости при обязательном предупреждении об ответственности за документ. Необходимо разрешение от руководителя на раскрытие информации для других лиц.

К прочим документам относится информация, которая не требует особого хранения. Несанкционированное раскрытие практически не отражается на делах компании. Доступ к такой информации имеется у всех служащих, однако требуется наличие производственной необходимости. При передаче такой информации требуется разрешение руководства на обнародование информации в соответствии с принципами компании и авторского права. [29, c. 43]

При хранении документов в компании приняты следующие правила.

По степени важности документы делятся на три категории, для каждой из которых сформированы собственные требования к организации хранения.

К первой категории относятся документы, крайне необходимые для ведения дел компании или важные для ознакомления с ее прошлым. Их потеря повлияет на финансы компании, связи с общественностью, отношения со служащими, акционерами, клиентами или поставщиками; документы также могут быть запрошены по юридическому, законодательному или экологическому требованию.

Ко второй категории относятся документы, имеющие определенный период хранения и важные для совершения ежедневных операций, они могут быть конфиденциальными.

К третьей категории относятся документы, не требующие особого хранения. Их отсутствие не повлияет на работу компании. Они не являются важными для ознакомления с прошлым компании, не являются конфиденциальными, не затрагивают вопросы частного характера. Не имеют особой важности для выполнения ежедневных операций. [18, c. 42]

Наивысшие требования к организации хранения руководство ООО «МидиОкна» предъявляет к хранению документов первой категории, в соответствии с которыми:

· доступ к этим документам строго ограничен;

· контролируется температура и влажность в помещении с хранящимися документами;

· система с документами имеет резервную копию, которая может быть необходима при восстановлении потерянной информации.

Также разработаны общие требования к хранению документов первой и второй категории, которые соответствуют общепринятым и законодательно установленным требованиям к хранению документов.

Для документов третьей категории никаких требований к хранению не установлено.

Для успешного ведения дел необходимо, чтобы документы создавались, использовались и уничтожались в соответствии с Уставом Компании. Уничтожение документов является необходимым, и должно осуществляться разумно, следуя всем нормативным указаниям. Неаккуратное уничтожение документов может повлечь за собой раскрытие конфиденциальной информации.

Рассмотрим принципы, которые лежат в основе организации контроля исполнения служебных документов в ООО «МидиОкна»:

- заблаговременности;

- объективности: важно, чтобы контроль опирался на точные, объективные и научно обоснованные нормативы;

- открытости: подчиненные должны знать, что, как, и по каким решениям контролируют; о результатах контроля надо уведомлять подчиненного;

- системности: контроль должен касаться каждого участка работы, а не только предпочтительных, по мнению начальства;

- индивидуального подхода.

Игнорирование перечисленных принципов контроля приводит к снижению результатов работы органов предприятия, его аппарата. [46, c. 85]

Основными задачами, которые решает контроль в системе управленческой деятельности, являются повышение ответственности должностных лиц и эффективности управления и эффективное использование системы делопроизводства, обеспечение отлаженности, целесообразности и точности прохождения документов по адресам.

В практической деятельности предприятия применяется два метода контроля: внутренний и внешний контроль.

Внешний контроль осуществляется со стороны вышестоящих органов.

Каждую неделю в понедельник от контрольно-аналитического управления приходит информация с указанием документов, срок которых истекает через неделю.

В случае неисполнения документа, стоящего на контроле в Администрации предприятия в срок, и непредставления при этом в адрес контрольно-аналитического управления обоснования со стороны предприятия данный вопрос выносится на рассмотрение губернатора области.

Внутренний контроль в ООО «МидиОкна», проверку исполнения документов, а также постановлений и распоряжений осуществляет канцелярия предприятия. Ответственным является секретарь-референт. Также на предприятии издан Приказ о совершенствовании организации контроля в ООО «МидиОкна», в котором назначается ответственный за организацию контроля на предприятии, а также даются указания начальникам структурных подразделений о принятии мер по совершенствованию контрольной работы на предприятии ООО «МидиОкна».

В ООО «МидиОкна» обязательному контролю подлежат все распорядительные документы, особенно имеющие конкретные поручения о представлении отчетов, информации.

Директором утвержден перечень документов, подлежащих контролю.

При постановке документа на контроль на нем проставляется отметка о контроле, которую обозначают штампом "Контроль", и указывается дата истечения срока исполнения данного документа. [39, c. 46]

Каждую неделю работники канцелярии распечатывают отчет о выполнении контрольных поручений в подразделениях Предприятия, срок которых истекает через неделю, и раздают исполнителям в качестве напоминаний.

Все поручения исполняются в указанные в них сроки. Если в документе срок исполнения не указан, то ставятся типовые сроки, установленные законодательными и другими актами.

Если в тексте поручения содержится указание "Срочно", то документы исполняются в 3-дневный срок, а требующие дополнительного изучения поставленных вопросов - в течение 10 дней. Также в 10-дневный срок исполняются поручения, содержащие в тексте указание "Оперативно".

Продление сроков исполнения поручения производится на основании представления через канцелярию на имя руководителя, давшего поручение, мотивированной просьбы о продлении этого срока и о причинах отсрочки, причем не позднее чем за 5 дней до истечения ранее установленного срока.

Решение о продлении срока исполнения поручения принимается руководителем, установившим срок. Канцелярия сообщает о принятом решении исполнителю: возвращает ему для приобщения к делу рассмотренную записку о продлении срока.

Канцелярия несет полную ответственность за соблюдение исполнителями сроков ответа по документам, исполнители несут ответственность за разглашение конфиденциальной информации. Если исполнитель не предоставил ответ на документ и не написал промежуточного, с просьбой о продлении срока исполнения, заведующий канцелярией пишет служебную записку на имя директора с указанием нарушения.

Поручение считается исполненным, если представленная информация о выполнении предусмотренных в ней заданий принята и по ней не даны дополнительные поручения. Поручение снимается с контроля должностным лицом, давшим поручение. Отметка об исполнении документа также проставляется в журнале и контроль снимается. [42, c. 49]

Канцелярия обеспечивает контроль, сбор, обработку, хранение, обобщение поступающей информации о ходе и результатах выполнения контролируемых конфиденциальных документов и поручений, а также осуществляет взаимодействие по этим вопросам с контрольно-аналитическим управлением руководства.