|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Возможная классификация объекта «Коммерческие тайны»
Квалификация персонала С активным внедрением в экономику информационных технологий (ИТ) проблема экономической безопасности организаций приобрела новое звучание. Информация наряду с финансовыми, материальными, трудовыми ресурсами превратилась в действенный фактор производства, определяющий во многом экономическое положение организаций. С другой стороны, информация - товар, имеющий реальную стоимость. Все это побуждает организации принимать соответствующие меры защиты информации. Акцент делается на организационно-технические мероприятия. Не умаляя эффективность такого подхода, отметим, что носители и пользователи информации - люди. Следовательно, актуален учет человеческого фактора, особенностей мотивации и поведения персонала в организации. Основным параметром, определяющим ценность трудовых ресурсов в организации, является квалификация персонала. Несоответствие реального и требуемого уровня квалификации работника чаще всего лежит в основе неудовлетворенности его трудом, оплатой труда, определяет характер его поведения в организации. Более того, уровень квалификация персонала - показатель использования информационных технологий. Формируя заданный уровень квалификации работников, можно обеспечить эффективную защиту организации от рисков, связанных с персоналом. Квалификационный уровень работников зачастую не поспевает за процессами информатизации экономики. 1. Если функции «классических» специалистов достаточно четко прописаны в нормативных документах, то функции специалистов по ИТ далеко не так формализованы. Квалификационные справочники, действующие в РФ, классифицируют должности специалистов по ИТ в едином ключе со специалистами прочих профессий. Для справки: в РФ - это 10-15 специальностей и должностей, в США - 170. 2. В должностных инструкциях в большинстве своем отсутствуют упоминания об ИТ. Так, в первом разделе тарифно-квалификационных характеристик должностей служащих - «Общеотраслевые квалификационные характеристики должностей работников, занятых на предприятиях, в учреждениях и организациях» — требования к знанию ИТ есть в 51,9% общеотраслевых характеристик должностей руководителей, 50,6% специалистов, 29,7% технических исполнителей. 3. В нормативных документах, да и в практике внедрения ИТ акцент делается на технических исполнителях. Таким образом, используются технические возможности программ (сводка, группировка, редактирование), а интеллектуальные (что свойственно уровню руководителя) нет. На лицо противоречие: нормативно в первую очередь автоматизируется труд технических исполнителей, затем специалистов и только после этого элементы автоматизации вводятся в труд руководителя. 4. Взаимоотношения специалистов ИТ с руководителями не четко регламентированы или не определены. Так, с появлением информационных технологий возникла потребность в специалистах, устанавливающих и обслуживающих информационные системы в организациях. Основная проблема администрирования ИТ в организации — неопределенность должностных обязанностей системного администратора. Часто причина ухода из организации системного администратора именно в загрузке работой не по специальности без дополнительной оплаты. Значительная часть социально-трудовых проблем администрирования ИТ возникает по причине неосведомленности руководителя об ИТ. Конфликт руководителя с системным администратором с последующим увольнением администратора - потенциальная угроза информационной безопасности организации. Причины проблем согласования интересов руководителя и системного администратора следует искать в специфике их работы. Руководитель работает с людьми, а системный администратор — с техникой. Руководитель и системный администратор приходят друг к другу с разным багажом профессионального опыта: опыт управления людьми и опыт управления информационными системами. В рамках управления персоналом возникает вопрос: эффективно обучать системного администратора разговору на языке менеджера или менеджера вводить в субкультуру специалистов по информационным технологиям? На Западе решение этой проблемы возлагается на отдел технической коммуникации. Сотрудник отдела технической коммуникации - это посредник между менеджером и специалистом по информационным технологиям, задача которого обеспечивать эффективную деловую коммуникацию. Вместо целого отдела иногда работает один человек, его должность называется «медиатор» (посредник). Частой причиной неудовлетворенности своей работой является неопределенность статуса системного администратора в организации. С одной стороны, без него любой сбой в технике может привести к экономическому ущербу для организации. С другой стороны, сам системный администратор не приносит прибыли, а наоборот, все время требует денег на новое оборудование. Многие сотрудники относятся к системному администратору как к «прислуге», обеспечивающей условия для их труда, однако боятся испортить с ним отношения, т.к. понимают, что в случае конфликта он может свести на нет все результаты их работы. 5. Персонал, квалифицированно работающий с ИТ, обладает некоторыми особенностями: ♦ высоким уровнем интеллекта; ♦ востребованностью на рынке труда; ♦ высоким уровнем притязаний. Указанные черты определяют характер трудового поведения и проявляются в высокой социально-профессиональной мобильности. На практике это выражается в относительно высокой текучести специалистов по ИТ и квалифицированных пользователей ИТ, а также завышенных требованиях по оплате труда. Так, на ОАО «Кировский завод» 80% высококвалифицированных специалистов, в том числе по ИТ, имеют стаж работы на предприятии менее 4 лет. При этом заработная плата специалистов по ИТ выше средней по группе этой должностной категории. 6. Документальное подтверждение квалификации не соответствует действительности. Здесь мы имеем дело с деформацией квалификационной структуры кадров, когда квалификация по сертификату (диплому) часто не соответствует сложности выполняемых работ. Нередки случаи, когда доступ к ИС организации получают специалисты, не наученные пользоваться собственным компьютером. В основе отмеченных фактов лежат такие явления, как: ♦ специфика самооценки пользователей (пользователи - это специфическая профессиональная субкультура, каста со своими неформальными правилами, нормами, ценностями, сленгом); ♦ неправильное понимание руководителями места ИТ (это не обслуживающая отрасль, а инструмент менеджмента, в равной степени необходимый на любом уровне управления: руководитель - пользователь интеллектуальной составляющей, ♦ позволяющей принять управленческое решение, специалист - пользователь аналитической составляющей, позволяющей дать информацию для принятия решения, исполнитель - первичная обработка информации для ее последующего анализа); ♦ отсутствие на государственном уровне системы сертификации пользователей ИТ. Как результат, в организациях практикуется найм неквалифицированных и некомпетентных работников. Это у части персонала влечет за собой страх, угодничество, боязнь принятия самостоятельных решений. Во многих организациях можно отметить несоответствие системы оплаты количеству и качеству выполняемой работы, что, в свою очередь, вызывает недовольство, девиантное поведение работников. Перечислим специфические формы девиантного поведения, свойственные некоторым специалистам в области информационных технологий: ♦ предоставление пользователю заведомо ложных объяснений неполадок и содержания и объема своего труда; ♦ саботирование работы (пользуясь тем, что руководство не до конца осведомлено о содержании труда); ♦ некачественное выполнение работ в расчете на неосведомленность пользователей; ♦ сознательное завышение требований к материальным ресурсам организации на обслуживание ИС. ♦ Для нейтрализации вышеуказанных факторов работодатель вынужден: ♦ предпринимать тестирование работников, не защищающее, тем не менее, от принятия неверного решения; ♦ производить дополнительную проверку профессиональной пригодности, компетентности работников; ♦ проводить обязательное предварительное профессиональное обучение (реакция отторжения - «я это знаю»); ♦ верить работнику на слово с последующим жестким контролем (с вероятностью обмана) или без него (с вероятностью потерь). Ситуация может быть достаточно эффективно разрешена, если предложить следующие меры, повышающие безопасность работы с ИТ: Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, опытный пользователь, пользователь-специалист. Критерием здесь выступает опыт самостоятельного, успешного использования ИТ. Начинающим пользователем считается человек, который хотя бы раз в жизни работал на компьютере. Умение совершать элементарные действия (включить-выключить ПК и т. п.), разбираться во всех базовых (пользовательских) операциях — также уровень начинающего пользователя. Следующий уровень квалификации — пользователь, который характеризуется уверенным владением программным обеспечением общего назначения (Word, Excel) и т. д. Опытными пользователями считаются сотрудники, способные реализовать все возможности ИТ на своем участке работы. Для таких пользователей и создаются многофункциональные сложные программы. Они способны сами решить, какое программное обеспечение оптимально решит их задачи, могут самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов. Иногда квалификация пользователя в отдельных аспектах ИТ достигает специального уровня. Такой пользователь-специалист может осуществлять отдельные функции системного администратора или специалиста по технической поддержке. Например, может сам подобрать себе конфигурацию ПК, обслуживать свое автоматизированное рабочее место (АРМ), осуществлять несложный ремонт оргтехники, настраивать отдельные виды ПО. Соответственно, сотрудникам, самостоятельно использующим ПК для решения профессиональных задач, отличных от внедрения и обслуживания ИС в организации, может присваиваться четыре квалификационных категории: ♦ начинающий пользователь; ♦ пользователь; ♦ опытный пользователь; ♦ пользователь-специалист. Одна из наиболее серьезных угроз информационной безопасности — так называемые «ламеры» (от английского глагола to lame - калечить), оно обозначает пользователя, необоснованно считающего себя специалистом и пытающегося выполнять соответствующие функции, допуская грубейшие ошибки, порой выводя из строя ИС. Выражение активно используется специалистами по ИТ, его важно правильно понимать, но категорически не рекомендуется использовать применительно к сотрудникам, т.к. в субкультуре продвинутых пользователей и специалистов по ИТ «ламмер» - тяжкое оскорбление, вызывающее у собеседника состояние близкое к аффекту. В США наличие сертификата пользователя - обязательное условие для допуска работника к АРМ. Корпорация Microsoft проводит сертификацию по 300 различным программам. Из них около 200 сертификатов специалистов по ИТ (certified engineer), в том числе архитекторов баз данных и специалистов по информационной безопасности. Ведущим конкурентом Microsoft является разработчик операционных систем корпорация Novell. Интересно, что Microsoft и Novell поощряют самостоятельное изучение пользователями и специалистами своих программных продуктов. Novell практикует прием экзаменов через Интернет, причем бесплатно, оплачивается только сам сертификат. Российские производители ПО Best и 1C также проводят обучение и сертификацию пользователей своих программ, в основном это касается бухгалтеров, специалистов по складскому учету. Повышение квалификации пользователя ПК связано с некоторыми психологическими особенностями профессиональной жизни. Пользователь, как правило, демонстрирует один из двух стилей трудового поведения: адаптационный и саморазвивающийся. Адаптационное поведение свойственно всем начинающим пользователям. Впоследствии некоторые из них, систематизируя базовые знания, начинают демонстрировать инновационное поведение: создают собственные алгоритмы решения управленческих задач с помощью ИТ. Именно способность к саморазвитию - основной критерий профессионализма. Менее способные пользователи запоминают и воспроизводят последовательность действий, не осознавая, что означает каждое из них в отдельности, и испытывают трудности с комбинированием отдельных операций. К сожалению, чем старше пользователь, тем больше у него стремление перейти к адаптационному типу работы с ПК. Систематическое повышение квалификации может сгладить этот процесс, но качественных изменений добиться чрезвычайно сложно. Нельзя ставить статус специалиста, его продвижение в зависимость только от навыков работы с ПК. Обращаясь к традиционному японскому опыту менеджмента, заметим, что гармония как основная ценность организации позволяет избежать сопротивления инновациям и сохранить высокий статус старших коллег. Культура отношений между различными возрастными и профессиональными группами по поводу инноваций - важнейший пласт организационной культуры, лежащий стыке психологии и этики использования ИТ. Управление квалификацией пользователей ИТ можно построить по следующему алгоритму: ♦ оценка вакантного АРМа, составление квалификационных требований (сертификат пользователя, определенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной инструкции; Ф подбор персонала, анализ резюме на предмет соответствия заявленным требованиям, приглашение соискателей для профотбора: интервью, анкетирование, испытания; ♦ испытательный срок, установление критериев его прохождения (например, время освоения программного продукта или степень самостоятельности решения профессиональных задач с помощью ИТ); ♦ аттестация пользователей ИТ: ♦ предметом оценки является эффективность использования ИТ для решения профессиональных задач (можно реализовать в форме интервью, наблюдения, анализа протоколов, анкеты, тестовых заданий); ♦ повышение квалификации (обеспечение доступа к документации, к программам, к специальной литературе, организация обмена опытом между пользователями, специальные курсы); ♦ новые формы оплаты труда. Гибкие тарифные системы в основе формирования заработка имеют тариф, который дополняется различными премиями, доплатами, надбавками. Эти элементы отражают результативность труда работника по итогам работы. В моделях бестарифных систем отражается тенденция отказа от гарантированных тарифных ставок и окладов, делается попытка увязать заработную плату со спросом на продукцию предприятия, т.е. учесть фактор конкурентоспособности. Появление бестарифной системы связано со стремлением преодолеть уравнительность в оплате труда и противоречия между интересами групп работников и администрации предприятия. Практика показывает, что в большинстве случаев на предприятии квалификация работников не соответствует сложности выполняемых работ. Квалификационная оценка различных рабочих мест затруднена, поскольку на каждом рабочем месте выполняется не одна работа (как по ЕТКС), а комплекс работ различной сложности. Для устранения деформации квалификационной структуры персонала используются коэффициенты квалификационного уровня, как обязательный элемент любой бестарифной системы. Квалификационные коэффициенты по сравнению с системой тарифных разрядов располагают значительно большими возможностями для оценки роста квалификации работника. Основные требования по защите информации Защита информации в компьютерных сетях основывается на выявлении, оценке и парировании возможных угроз безопасности информации с учетом частоты их проявления и вероятности потери информации, возможности по противодействию и ликвидации последствий проявления этих угроз. Режим защиты конфиденциальной информации в соответствии с действующим законодательством устанавливается законным обладателем (собственником, владельцем) информационных ресурсов. При отнесении сведений к информации конфиденциального характера следует руководствоваться Гражданским кодексом Российской Федерации, федеральным законом «Об информации, информатизации и защите информации», соответствующими указами президента и постановлениями правительства РФ. К информации конфиденциального характера в системе административного управления в соответствии с действующим законодательством относятся сведения: ♦ о гражданах, подпадающие под категорию персональных данных; ♦ отнесенные к категории коммерческой или служебной тайны; ♦ ограниченного распространения федеральных органов исполнительной власти. Кроме того, в перечень сведений ограниченного распространения целесообразно внести: ♦ информацию, связанную непосредственно с функционированием конкретных компьютерных сетей и систем; ♦ служебную организационно-распорядительную документацию органов управления, организаций и учреждений; ♦ штатное расписание и функциональные обязанности сотрудников учреждений, организаций; ♦ схемы размещения оборудования компьютерных сетей, служебных помещений и их закрепление за должностными лицами; ♦ служебную и деловую переписку; ♦ сведения о разграничении доступа пользователей к конфиденциальной информации и их полномочиях; ♦ сведения о закреплении служебных автомобилей за должностными лицами, маршруты их движения, места стоянки, пункты технического обслуживания; ♦ данные о размещении баз данных, банков информации служебного характера, обеспечении их средствами безопасности и порядке доступа к ним; ♦ сведения о мерах, принятых для обеспечения безопасности информации, имущества и персонала учреждений и организаций. К конфиденциальной информации в соответствии с действующим законодательством не могут быть отнесены следующие сведения: ♦ учредительные документы организаций и документы, дающие право заниматься определенной деятельностью (лицензии, патенты); ♦ сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления налогов и других обязательных платежей в государственную бюджетную систему Российской Федерации, а также документы об их уплате; ♦ данные о численности, составе работающих в организациях, заработной плате и условиях труда, а также о наличии свободных рабочих мест; ♦ сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, а также о других нарушениях законодательства Российской Федерации и размерах причиненного ущерба. Конфиденциальная информация оформляется в виде Перечня сведений, отнесенных к информации ограниченного распространения. Порядок оформления определяется собственником информационных ресурсов. Целесообразно конфиденциальные сведения ранжировать по степени ограничения их распространения: ♦ строго конфиденциальные сведения - персональные данные, сведения, разглашение которых может нанести значительный экономический ущерб организации (учреждению), существенно ухудшить социально-психологическую обстановку в коллективе; ♦ конфиденциальные сведения — сведения, разглашение которых может отрицательно повлиять на взаимоотношения с партнерами, подорвать престиж и деловой авторитет организации (учреждения); ♦ служебные сведения ^ сведения, разглашение которых может затруднить решение повседневных задач организации (учреждения). Объектам компьютерных сетей присваивается различная степень защищенности для определения требуемых организационно-технических мероприятий по защите информации в зависимости от ее важности, реальных условий размещения элементов компьютерных сетей, возможных каналов утечки информации, а также для минимизации затрат на защиту информации. Допускается присваивать различные степени защищенности по отдельным элементам компьютерных сетей при обработке ими информации различной степени конфиденциальности. Целесообразно установить следующие степени (категории) защищенности объектов компьютерных сетей в соответствии со степенью конфиденциальности обрабатываемой информации: ♦ 1 степень (категория) — объекты, связанные с обработкой строго конфиденциальной информации; ♦ 2 степень (категория) - объекты, связанные с обработкой конфиденциальной информации; ♦ 3 степень (категория) — объекты, связанные с обработкой служебной информации. Организация защиты информации Компьютерная безопасность и конфиденциальность - это основные заботы не только для разработчиков, но и для каждого, кто пользуется компьютером. Однако не следует путать понятие «компьютерная безопасность» с более общим понятием (по терминологии компании Microsoft) «защищенная информационная система». Защищенные информационные системы стоят на четырех столпах: ♦ безотказность; ♦ безопасность; ♦ конфиденциальность; ♦ бизнес-этика. Безотказность означает, что на компьютерную систему можно положиться, она готова к работе в любой момент, когда в этом возникает необходимость, и функционирует, как и ожидается, на соответствующем уровне. Безопасность говорит о том, что система устойчива к атакам, и секретность и целостность ее данных находятся под защитой. Конфиденциальность подразумевает, что у пользователей есть возможность контролировать данные о самих себе, а те, кто добропорядочно использует эти данные, следуют принципам честного использования информации. Бизнес-этика предполагает, что компании-разработчики несут ответственность перед клиентами, помогают им найти решения, отвечающие их потребностям, и в отношениях с клиентами действуют открыто. Рассмотрим вопросы безопасности компьютерных сетей. Защита конфиденциальной информации в компьютерных сетях обеспечивается проведением комплекса организационно-технических мероприятий, которые можно сгруппировать по следующим направлениям: ♦ предотвращение несанкционированного доступа (НСД) к компьютерной информации с целью ее уничтожения, модификации, блокирования или копирования; ♦ блокирование каналов утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН); ♦ предотвращение специальных программно-технических воздействий, вызывающих уничтожение, модификацию, блокирование информации или сбои в работе средств вычислительной техники; ♦ выявление внедренных в технические средства и помещения специальных устройств негласного съема информации (закладных устройств). Основные методы решения перечисленных задач Предотвращение несанкционированного доступа к информации обеспечивается применением специальных программно-аппаратных средств защиты от НСД, использованием криптографических средств защиты информации и организационными мероприятиями. Средства защиты информации от несанкционированного доступа должны обеспечивать управление доступом к ресурсам вычислительной системы, регистрацию и учет входа и выхода из системы, процессов печати документов, сигнализацию и регистрацию попыток несанкционированного доступа к ресурсам, контроль целостности программной среды и обрабатываемой информации. Предотвращение несанкционированного доступа к информации, осуществляемого с помощью программных средств, реализуется определением для каждой программы перечня санкционируемых функций, применением средств и технологий программирования, обеспечивающих минимальную вероятность наличия дополнительных возможностей, которые могут быть использованы для осуществления НСД, предупреждением внесения несанкционированных изменений в программы при их разработке и эксплуатации, регулярной проверкой неизменности и целостности системного, сетевого и прикладного программного обеспечения. На рабочие места целесообразно установить специальные программы блокировки клавиатуры, диска или каталога при временном оставлении рабочего места пользователем, а также программы, обеспечивающие уничтожение фрагментов данных в ОЗУ, регистрах процессора и ЗУ принтера. Защита от несанкционированного копирования программ и данных обеспечивается: подключением к параллельному порту специальных электрически программируемых заглушек, к которым программа обращается в первую очередь для считывания кода запуска программы (например, электронными ключами HASP для компьютеров, открытых систем на базе UNIX-платформ и сетей NOVELL), преднамеренными искажениями магнитного диска, на котором размещаются часть программ или данные, и введением в программу специального перемещаемого модуля декодирования, программными средствами, искажающими реальное число дорожек магнитного диска, шифрованием кодов программы, размещением части программы в закрытых от пользователя областях внутренней и внешней памяти. Защита информации, передаваемой по каналам связи между элементами компьютерных сетей, обеспечивается шифрованием. Обеспечение подлинности сведений, их защита от искажений и идентификация отправителя осуществляется за счет применения электронной цифровой подписи. Организационные мероприятия направлены на затруднение доступа к техническим средствам компьютерных сетей и обрабатываемой информации. Это достигается организацией режима ограниченного доступа в помещения, предназначенные для размещения элементов компьютерных сетей, размещением таких помещений в пределах контролируемой зоны на максимальном удалении от ее границ, размещением печатающих устройств, видеотерминалов, графопостроителей в местах, максимально затрудняющих визуальный просмотр информации посторонними лицами, а также применением дополнительных мер, исключающих подобный просмотр (штор, жалюзи, непрозрачных экранов и т.д.). Подключение компьютерных сетей к другим информационным системам и сетям производится через межсетевые экраны не ниже 3 класса защищенности, сертифицированные по требованиям Руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа к информации». Блокирование каналов утечки информации за счет побочных электромагнитных излучений и наводок обеспечивается применением защищенных технических средств, аппаратных средств защиты информации, установлением контролируемой зоны необходимого размера вокруг средств вычислительной техники. В случае применения средств шифрования и электронной цифровой подписи величины соответствующих параметров устанавливаются, исходя из условий сертификатов на эти средства. При этом на границе контролируемой зоны должны выполняться отношения сигнал/шум не более: ♦ для объектов 1 степени защищенности - 0,2; ♦ для объектов 2 степени защищенности - 0,8; ♦ для объектов 3 степени защищенности — 1,4. В случае невыполнения требований по отношению сигнал/шум применяются активные средства защиты - генераторы шума. Для обеспечения безопасности информации при отключении или бросках питающего напряжения необходимо использовать источники бесперебойного питания. Предотвращение вредоносных программно-технических воздействий, вызывающих уничтожение, искажение информации или сбои в работе средств информатизации, обеспечивается применением специальных программных и аппаратных средств защиты (антивирусных процессоров, антивирусных программ), а также средств криптографической защиты информации. Предотвращение или существенное снижение вероятности проникновения в компьютерные сети вирусов достигается также за счет: ♦ блокировки запуска исполняемых программных файлов с дискет; ♦ использования только дистрибутивов программных продуктов, приобретенных через официальных дилеров фирм-разработчиков этих продуктов; ♦ обязательного контроля целостности программной среды; ♦ организации постоянного антивирусного контроля. Для организации защиты процесса обработки информации в компьютерных сетях в составе структуры информационных систем организуется служба администраторов безопасности, являющаяся, как правило, подразделением службы информационной безопасности. Администратор информационной безопасности обеспечивает регистрацию пользователей, формирование матрицы доступа к вычислительным и информационным ресурсам сети, учет наступления системных событий, связанных с инициализацией функций сети, изменением ее конфигурации и прав доступа, формирование параметров входа в сеть (идентификаторов) и шифр-ключей, контроль текущего функционального состояния сети. Организационно-технические мероприятия по защите информации выполняются на всех этапах жизненного цикла информационных систем и со временем, а также по результатам работы могут уточняться и изменяться. Типовые программно-технические средства защиты информации Требования к программно-техническим средствам защиты информации сформулированы в руководящих документах Государственной технической комиссии (ГТК) при Президенте Российской Федерации. Основой всего набора таких документов является «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации». Этим документом вводится понятие «штатные средства», под которыми понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники и компьютерных сетей. Главным средством защиты считается система разграничения доступа (СРД) субъектов к объектам доступа. Технические средства защиты от НСД должны оцениваться по степени полноты охвата правил разграничения доступа реализованной СРД и ее качеству, составу и качеству обеспечивающих средств для СРД, гарантии правильности функционирования СРД и обеспечивающих ее средств. Как уже отмечалось, основным программно-техническим средством защиты вычислительных сетей являются межсетевые экраны. В связи с этим более подробно рассмотрим вопросы их построения и функционирования. Гостехкомиссией разработан руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации». В указанном документе межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в компьютерную сеть или выходящей из нее. Межсетевой экран обеспечивает защиту компьютерной сети посредством фильтрации информации (как минимум на сетевом уровне), т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) компьютерной сети на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной компьютерной сети к объектам другой. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной компьютерной сети получают доступ только к разрешенным информационным объектам из другой компьютерной сети. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачи данных (пакетов) на следующий фильтр или уровень протокола. Что же такое межсетевой экран (брандмауэр)? Брандмауэр — это совокупность аппаратных средств и программного обеспечения, которая связывает две и большее число сетей и одновременно является центральным пунктом управления безопасностью. Брандмауэры могут реализовываться как программно, так и аппаратно-программно. В последнее время все большее внимание уделяется вопросам применения аппаратных брандмауэров. Они являются специализированными компьютерами, как правило, встраиваемыми в стойку с сетевой ОС, адаптированной под выполняемые функции. Обычно брандмауэр устанавливается между корпоративной сетью организации и Интернетом как способ закрыть доступ остальному миру к корпоративной сети. Сразу следует сказать, что брандмауэр не может защитить корпоративную сеть от вирусов - для этой цели служат специальные антивирусные программы. Для удовлетворения потребностей широкого диапазона пользователей имеются три типа брандмауэров: сетевого уровня, уровня приложения и уровня соединения. В брандмауэрах каждого типа используется несколько различных подходов для защиты корпоративных сетей. Сделав наиболее оптимальный выбор, можно лучше разработать брандмауэр. Брандмауэр сетевого уровня - это обычно маршрутизатор или специальный компьютер, который исследует адреса пакетов и затем решает, передать ли пакет в (из) корпоративную сеть или отклонить его. Как известно, пакеты наряду с другой информацией содержат IP-адреса отправителя и получателя. Можно было бы, например, сконфигурировать свой брандмауэр сетевого уровня так, чтобы он блокировал все сообщения из того или иного узла. Обычно пакеты блокируются с помощью файла, который содержит набор IP-адресов некоторых узлов. Брандмауэр (или маршрутизатор) должен блокировать пакеты, в которых эти адреса фигурируют как адреса отправителя или получателя. Обнаружив пакет, который содержит подобный IP-адрес, маршрутизатор отклонит его, не позволяя попасть в корпоративную сеть. Подобное блокирование конкретных узлов иногда называется занесением в черный список. Обычно программное обеспечение маршрутизатора позволяет помещать в черный список весь узел, но не конкретного пользователя. Пакет, пришедший на маршрутизатор, может содержать сообщение электронной почты, запрос на услугу типа HTTP (доступ к Web-странице), ftp (возможность пересылки или загрузки файла) или даже запрос lelnel; на вход в корпоративную систему (удаленный доступ к компьютеру). Маршрутизатор сетевого уровня распознает каждый тип запроса и выполняет конкретные ответные действия. Так, можно запрограммировать маршрутизатор, разрешив пользователям Интернета просматривать Web-страницы организации, но не позволять им использовать ftp, чтобы передавать файлы на корпоративный сервер или из него. Правильно установленный и сконфигурированный брандмауэр сетевого уровня будет очень быстродействующим и «прозрачным» для пользователей. Конечно, для пользователей, помещенных в черный список, маршрутизатор оправдает свое название (брандмауэр) с точки зрения эффективности задержания нежелательных посетителей. Как правило, маршрутизаторы поставляются с соответствующим программным обеспечением. Для программирования маршрутизатора в специализированный файл вводятся соответствующие правила, которые указывают маршрутизатору, как обрабатывать каждый входящий пакет. В качестве брандмауэра уровня приложения обычно используется главный компьютер сети, выполняющий программное обеспечение, известное как сервер-посредник (proxy- или прокси-сервер). Сервер- посредник - это программа, управляющая трафиком между двумя сетями. При использовании брандмауэра уровня приложения корпоративная сеть и Интернет физически не соединены. Трафик одной сети никогда не смешивается с трафиком другой, потому что их кабели разъединены. Работа прокси-сервера заключается в передаче изолированных копий пакетов из одной сети в другую. Этот тип брандмауэра эффективно маскирует происхождение инициализации соединения и защищает корпоративную сеть от пользователей Интернета, пытающихся раздобыть информацию из этой сети. Прокси-серверы понимают сетевые протоколы, поэтому можно конфигурировать такой сервер и установить набор услуг, предоставляемых корпоративной сетью. При установке прокси-сервера уровня приложения пользователи должны применять клиентские программы, которые поддерживают режим посредника. Таким образом, брандмауэры уровня приложения позволяют контролировать тип и объем трафика, поступающего на узел. Они обеспечивают надежный физический барьер между корпоративной сетью и Интернетом и потому являются хорошим вариантом в ситуациях, когда требуется высокая безопасность. Однако, поскольку программа должна анализировать пакеты и принимать решения по управлению доступом, брандмауэры уровня приложения могут уменьшать эффективность сети. Если планируется использовать такой брандмауэр, то для установки прокси-сервера необходимо использовать самый быстро действующий компьютер. Брандмауэр уровня соединения подобен брандмауэру уровня приложения - оба они являются серверами - посредниками. Однако для брандмауэра уровня соединения не нужно использовать специальные приложения, поддерживающие режим посредника для клиента. Брандмауэр уровня соединения устанавливает связь между клиентом и сервером, не требуя, чтобы каждое приложение знало что-либо о сервисе. Преимущество брандмауэра уровня соединения заключается в том, что он обеспечивает сервис для широкого класса протоколов, в то время как брандмауэр уровня приложения требует посредника этого уровня для всех и каждого вида сервиса. Так, используя брандмауэр уровня соединения для HTTP, ftp или, например, telnet:, нет необходимости принимать какие-либо специальные меры или вносить изменения в приложения — можно просто выполнять существующее программное обеспечение. Другая полезная особенность брандмауэров уровня соединения связана с тем, что можно работать только с одним сервером-посредником, что проще, чем регистрировать и контролировать несколько серверов. Создавая брандмауэр, необходимо определить, какой трафик надо пропустить через свою корпоративную сеть. Как отмечалось выше, можно выбрать маршрутизатор, который будет фильтровать выбранные пакеты, или использовать некоторый тип программы посредника, которая будет выполняться на главном компьютере сети. В свою очередь, архитектура брандмауэра может включать обе эти конфигурации. Другими словами, можно максимально повысить безопасность корпоративной сети, объединяя в брандмауэре и маршрутизатор, и сервер- посредник. Существует три наиболее популярных типа архитектуры брандмауэра: ♦ двусторонний главный брандмауэр; ♦ фильтрующий главный брандмауэр; ♦ фильтрующий брандмауэр подсети. В фильтрующем главном брандмауэре и фильтрующем брандмауэре подсети используется комбинация маршрутизатора и сервера-посредника. Двусторонний главный брандмауэр— это простая, но обеспечивающая очень высокую степень безопасности конфигурация, в которой один главный компьютер играет роль разделительной линии между корпоративной сетью и Интернетом. В главном компьютере используются две отдельные сетевые платы для соединения с каждой сетью. Используя двусторонний главный брандмауэр, необходимо блокировать возможности маршрутизации компьютера, потому что он не «соединяет» две сети. Один из недостатков этой конфигурации заключается в том, что можно просто по неосторожности разрешить доступ к внутренней сети. Двусторонний главный брандмауэр работает, выполняя программу сервера-посредника уровня приложения либо уровня соединения. Как уже говорилось, программа-посредник управляет передачей пакетов из одной сети в другую. Будучи двусторонним (соединенным с двумя сетями), главный компьютер брандмауэра видит пакеты в обеих сетях, что позволяет ему выполнять программу-посредник и управлять трафиком между сетями. Фильтрующий главный брандмауэр обеспечивает более высокую степень безопасности, чем двусторонний. Добавляя маршрутизатор и помещая этим главный компьютер дальше от Интернета, можно получить очень эффективный и простой в работе брандмауэр. Маршрутизатор соединяет Интернет с корпоративной сетью и одновременно фильтрует типы проходящих через него пакетов. Можно конфигурировать маршрутизатор так, чтобы он видел только один главный компьютер. Пользователи корпоративной сети, желающие соединиться с Интернетом, должны делать это только через главный компьютер. Таким образом, для внутренних пользователей имеется прямой доступ в Интернет, но доступ внешних пользователей ограничен главным компьютером. Фильтрующий брандмауэр подсети еще более изолирует корпоративную сеть от Интернета, включая между ними промежуточную периферийную сеть. В фильтрующем брандмауэре подсети главный компьютер помещается на этой периферийной сети, к которой пользователи имеют доступ через два отдельных маршрутизатора. Один из них управляет трафиком корпоративной сети, а второй — трафиком Интернета. Фильтрующий брандмауэр подсети обеспечивает чрезвычайно эффективную защиту от нападения. Он изолирует главный компьютер в отдельной сети, что уменьшает вероятность успешного нападения на главный компьютер и дополнительно понижает шансы нанесения ущерба корпоративной сети. Из всего вышесказанного можно сделать следующие выводы: 1. Брандмауэр может быть весьма простым - единственным маршрутизатором, или же весьма сложным - системой маршрутизаторов и хорошо защищенных главных компьютеров. 2. Можно установить брандмауэры внутри корпоративной сети, чтобы усилить меры безопасности для отдельных ее сегментов. 3. Кроме обеспечения безопасности, необходимо обнаруживать и предотвращать проникновение компьютерных вирусов. Брандмауэры этого делать не могут. Применяя межсетевые экраны, нельзя недооценивать возможности защиты, предоставляемые системным программным обеспечением. Необходимо использовать следующие технологии и методы защиты: ♦ разграничение доступа (применяя возможности файловой системы NTFS); ♦ правильная бюджетная и парольная политика; углубленная идентификация и аутентификация; ♦ аудит, контроль и защита средствами Windows NT; ♦ правильно сконфигурированное программное обеспечение. Не останавливаясь подробно на перечисленных методах, коротко рассмотрим вопросы криптозащиты и защиты от вирусов. Криптография, ранее являвшаяся стратегической технологией, теперь благодаря быстрому развитию корпоративных сетей и Интернета проникла в широкие сферы деятельности и стала применяться большим количеством пользователей. Технология криптографии и протоколы шифрования данных специально созданы для применения в условиях, когда принимающая и передающая стороны не уверены в том, что переданная информация не будет перехвачена третьей стороной. Конфиденциальность переданной информации будет обеспечена, т. к. хотя она и перехвачена, но без расшифровки использовать ее невозможно. Рассмотрим основные понятия шифрования, применяемые для защиты данных при их передаче в корпоративных сетях, в электронных и цифровых платежных системах Интернета. 1. Шифрование закрытым ключом Шифрование по какому-либо алгоритму означает преобразование исходного сообщения в зашифрованное. Это подразумевает создание секретного ключа - пароля, без которого невозможно раскодировать сообщение. Такой ключ должен быть засекречен, иначе сообщение легко будет прочитано нежелательными лицами. Наиболее известные и применяемые в США и Европе криптографические алгоритмы шифрования данных закрытым ключом - DES, IDEA, RC2 - RC5. 2. Шифрование открытым ключом Шифрование сообщения открытым ключом подразумевает создание двух полностью независимых друг от друга ключей — открытого и закрытого. С помощью открытого ключа можно зашифровать сообщение, но расшифровать его возможно, только применяя закрытый ключ. Свободно распространяя открытый ключ, вы даете возможность шифровать и посылать вам шифрованные сообщения, которые кроме вас никто расшифровать не сможет. Для осуществления двусторонней коммуникации стороны создают каждая свою пару ключей и затем обмениваются открытыми ключами. Передаваемые сообщения шифруются каждой стороной с применением открытых ключей партнера, а расшифровка производится при использовании своих собственных закрытых ключей. 3. Алгоритм открытого распределения ключей Другой вариант с открытыми ключами - алгоритм открытого распределения ключей (алгоритм Диффи - Хеллмана). Он позволяет сформировать один общий секретный ключ для шифрования данных без передачи его по каналу связи. Этот алгоритм также основан на использовании пары ключей (открытый / закрытый) и формируется так: ♦ обе стороны создают свои пары ключей; ♦ после этого они обмениваются открытыми ключами; ♦ из комбинации двух ключей - свой (закрытый) и чужой (открытый),- применяя данный алгоритм, генерируется одинаковый и единственный для двух сторон закрытый (секретный) ключ; ♦ после этого сообщения шифруются и расшифровываются единственным закрытым ключом. 4. Технология цифровой подписи Эта технология позволяет однозначно определить владельца передаваемой информации. Это необходимо в электронных и цифровых платежных системах и применяется в электронной коммерции. Для создания цифровой подписи применяется алгоритм хеширования — специальный математический алгоритм, используя который формируют из какого-либо файла другой небольшой хеш-файл. После этого осуществляются следующие действия: ♦ полученный хеш-файл шифруется с помощью закрытого ключа и полученное зашифрованное сообщение является цифровой подписью; ♦ исходный незашифрованный файл вместе с цифровой подписью отсылается другой стороне. Теперь принимающая сторона может проверить подлинность принимаемого сообщения и передающую сторону. Это можно сделать: ♦ с помощью открытого ключа получатель расшифровывает цифровую подпись, восстанавливает хеш-файл; ♦ используя алгоритм хеширования, создает свой хеш-файл из исходного полученного файла; ♦ сравнивая две копии хеш-файлов. Совпадение этих файлов означает подлинность передающей стороны и полученной информации. 5. Слепая подпись (blind signature) Этот важный алгоритм применяется в системах электронных платежей и является разновидностью цифровой подписи. Данный алгоритм подразумевает обмен сообщениями таким образом, что принимающая сторона не может расшифровать полученное сообщение, но может быть вполне уверена, с кем имеет дело. Например, клиенту электронного магазина нежелательно передавать свой номер кредитной карты, а продавцу необходимо точно знать, с кем он имеет дело. Посредником в коммерческих операциях выступает банк, который проверяет подлинность и продавца, и покупателя и затем производит перевод денег со счета клиента на счет продавца. Соответствующие протоколы шифрования и интерфейсы прикладного программирования входят в состав системного программного обеспечения компьютерных сетей. Рассмотрим теперь проблему компьютерных вирусов. Эта проблема возникла давно и сразу же получила широкое распространение. В 1988 г. с появлением в сети «вируса Морриса» фактически началось более - менее целенаправленное развитие антивирусных средств. Термин «вирус» в применении к компьютерам был придуман Фредом Когеном из Университета Южной Каролины. Слово «вирус» латинского происхождения и означает «яд». Компьютерный вирус - это программа, которая пытается тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с инфицированного диска, происходит скрытое инфицирование. Вирусы представляют собой достаточно сложные и своеобразные программы, выполняющие несанкционированные пользователем действия. Способ функционирования большинства вирусов - это такое изменение системных файлов компьютера пользователя, чтобы вирус начинал свою деятельность либо при каждой загрузке, либо в один прекрасный момент, когда происходит некоторое «событие вызова». При разработке современных компьютерных вирусов используется много технических новшеств, однако большая часть вирусов является имитацией и модификацией нескольких классических схем. Вирусы можно классифицировать по типу поведения следующим образом: 1. Вирусы, поражающие загрузочный сектор, пытаются заменить или инфицировать часть дискеты (или жесткого диска), зарезервированную только для операционной системы и хранения файлов запуска. Они особенно коварны, т. к. загружаются в память при каждом включении компьютера. Тем самым вирусу дается полная возможность контролировать любой выполняемый компьютером процесс. Эти вирусы обладают наибольшей способностью к размножению и могут постоянно распространяться на новые диски. 2. Вирусы, инфицирующие файлы. Чтобы остаться необнаруженными, множество вирусов пытается инфицировать исполняемые файлы. Обычно вирусы отдают предпочтение EXE- и COM-файлам, однако в связи с растущей популярностью Windows некоторые авторы вирусов стараются инфицировать файлы библиотек динамической связи (DLL). Файловые вирусы распространяются более медленно, чем вирусы, поражающие загрузочный сектор, вирус активизируется и начинает размножаться, только когда инфицированный файл запущен на выполнение. Единственное условие распространения вируса - это выполнение инфицированного программного файла. При этом он будет загружаться в память и сможет приступать к работе. 3. Многофункциональные вирусы. Некоторые вирусы используют для инфицирования компьютерной системы как загрузочный сектор, так и метод заражения файлов. Это несколько затрудняет выявление и идентификацию вируса специальными программами и ведет к быстрому его распространению. 4. Вирусы-невидимки. Один из способов выявления и идентификации вируса антивирусными программами - проверка контрольных сумм. Первоначально этот метод использовался в связи. Контрольная сумма - это результат выполнения математического алгоритма, проверяющего соответствие длины полученного файла длине его первоначальной копии. Ряд антивирусных программ создает списки контрольных сумм файлов, находящихся на вашем диске. Вирусы-невидимки используют ряд методов для маскировки своего присутствия - они фальсифицируют фактические значения контрольных сумм, что затрудняет их обнаружение. 5. Системные вирусы. Пытаясь остаться незамеченными, системные вирусы поражают не загрузочный сектор, а операционные системы. Основные жертвы этих вирусов — это таблица размещения файлов (оглавление диска), таблицы разделов, драйверы устройств и системные файлы. Наилучший способ защитить свою систему от вирусов — регулярно использовать антивирусные программы, предназначенные для проверки памяти и файлов системы, а также поиска сигнатур вирусов. Вирусная сигнатура — это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. При выполнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных. В самом хорошем антивирусном программном обеспечении не только ищется соответствие с сигнатурами в базе данных, но используются и другие методы. Такие антивирусные программы могут выявить новый вирус даже тогда, когда он еще не был специально идентифицирован. Однако большинство вирусов обезвреживается все же путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться вычистить обнаруженный вирус. Важно постоянно пополнять имеющуюся базу вирусных сигнатур. Большинство поставщиков антивирусного программного обеспечения распространяет файлы обновлений через Интернет. Имеется три основных метода поиска вирусов с помощью антивирусных программ. В первом методе поиск вируса производится при начальной загрузке. При этом команду запуска антивирусной программы включают в AUTOEXEC.BAT. Бесспорно, этот метод эффективен, но при его использовании увеличивается время начальной загрузки компьютера, и многим пользователям он может показаться слишком обременительным. Преимущество же его в том, что просмотр при загрузке происходит автоматически. Второй метод заключается в том, что пользователь вручную выполняет сканирование системы с помощью антивирусной программы. Этот метод может быть столь же эффективным, как и первый, если он выполняется добросовестно, как и резервное копирование. Недостатком этого метода является то, что могут пройти недели, а то и месяцы, пока небрежный пользователь удосужится провести проверку. Третий метод поиска вирусной инфекции заключается в просмотре каждого загружаемого файла, при этом не придется слишком часто проверять всю систему. Однако следует иметь в виду, что иногда встречаются вирусы, идентификация которых затруднена либо из-за их новизны, либо из-за большого промежутка времени перед их' активизацией (у вирусов имеется некоторый инкубационный период и они некоторое время скрываются, прежде чем активизироваться и распространиться на другие диски и системы). Поэтому следует обращать внимание на следующее: 1. Изменения размера файла. Файловые вирусы почти всегда изменяют размер зараженных файлов, поэтому если вы заметите, что объем какого-либо файла, особенно СОМ или EXE, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой. 2. Необъяснимые изменения в доступной памяти. Для эффективного распространения вирус должен находиться в памяти, что неизбежно уменьшает количество оперативной памяти (RAM), остающейся для выполнения программ. Поэтому если вы не сделали ничего, что изменило бы объем доступной памяти, однако обнаружили ее уменьшение, необходимо также запустить антивирусную программу. 3. Необычное поведение. При загрузке вируса, как и любой новой программы, в компьютерную систему происходит некоторое изменение в ее поведении. Может быть, это будет либо неожиданным изменением времени перезагрузки, либо изменением в самом процессе перезагрузки, либо появлением на экране необычных сообщений. Все эти симптомы говорят о том, что следует незамедлительно запустить антивирусную программу. Если вы обнаружили в компьютере какой — либо из указанных выше симптомов, а антивирусная программа не в состоянии обнаружить вирусную инфекцию, следует обратить внимание на саму антивирусную программу - она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. Поэтому надо запустить надежную антивирусную программу. О защите интеллектуальной собственности В условиях современного информатизированного общества особое значение приобретает организация и соблюдение условий, обеспечивающих конфиденциальность сведений, составляющих секреты производства (ноу-хау) или коммерческую (служебную) тайну в академии. Поэтому рассмотрим основные правовые аспекты этого вопроса. 1. Коммерческая тайна Коммерческая тайна - охраняемое законом право предприятия на ограниченный доступ к информации по производственным, технологическим, торговым, финансовым и другим хозяйственным операциям и документации по ним. Ноу-хау — технические знания, опыт, секреты производства, необходимые для решения технической задачи. Чаще всего под ноу-хау понимается результат технического творчества, хотя этот термин может применяться к технической и иной информации, необходимой для производства какого-либо изделия. Усиление роли ноу-хау в условиях рынка связано с тем, что многие организации вместо патентования принадлежащих им изобретений прибегают к использованию этой формы охраны. Одним из основных признаков ноу-хау является элемент конфиденциальности передаваемой научно-технической информации. Понятие «ноу-хау» является более узким и входит составной частью в понятие «коммерческая тайна», при этом оба понятия содержат признаки, относящиеся к конфиденциальной информации, которая является ценной в силу неизвестности ее третьим лицам и характеризуется отсутствием свободного доступа к ней на законном основании, а также необходимостью принятия обладателем информации мер по ее охране. Информация, которая не может составлять коммерческую тайну, определяется законом или иными правовыми актами (ст. 139 гражданского кодекса РФ). В соответствии с Постановлением Правительства РСФСР от 5.12.91 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну», коммерческую тайну и, следовательно, ноу-хау не могут составлять: ♦ учредительные документы и устав; ♦ документы, дающие право заниматься предпринимательской деятельностью; ♦ сведения по установленным формам отчетности о финансово-хозяйственной деятельности; ♦ документы о платежеспособности; ♦ сведения о численности, составе работающих, их заработной плате и условиях труда, о наличии свободных рабочих мест; ♦ документы об уплате налогов и обязательных платежах; ♦ сведения о загрязнении окружающей среды; сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах. Перечень сведений, относящихся к объектам коммерческой тайны, определяется руководителем организации. По уголовному законодательству России незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну, являются преступлениями в сфере экономической деятельности и влекут уголовную ответственность в соответствии со ст. 183 УК РФ. 2. Правовые формы зашиты ноу-хау Проблемы защиты ноу-хау решаются путем создания различных правовых форм недопущения или пресечения посягательств на имущественные интересы обладателя в силу того, что обладатель ноу-хау имеет лишь фактическую монополию на обладание незащищенной охранными документами конфиденциальной информацией. В соответствии со ст. 151 Основ гражданского законодательства (1991 г.) обладатель технической, организационной или коммерческой информации, составляющей секрет производства (ноу-хау), имеет право на защиту от незаконного использования этой информации третьими лицами при условии, что: ♦ эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; ♦ к этой информации нет свободного доступа на законном основании; ♦ обладатель информации принимает надлежащие меры охраны ее конфиденциальности. Срок охраны ноу-хау ограничивается временем действия названных условий. Рекомендуется: 1. При заключении письменных гражданско-правовых договоров, например, лицензионный договор об использовании объекта промышленной собственности, коммерческой концессии и др.) наряду с необходимыми требованиями, предусмотренными гражданским законодательством для каждого из вида договоров, устанавливать следующие дополнительные условия: обязательства сторон по установлению и соблюдению режима конфиденциальности для сведений, перечень которых определяется сторонами при заключении договора и может быть оформлен в качестве дополнительного приложения к основному договору; объем и способы использования этих сведений; порядок выплаты и размер вознаграждения владельцу сведений. 2. Организациям при передаче в органы государственной власти и органы местного самоуправления документов, содержащих сведения о секретах производства (ноу-хау) или коммерческую тайну организации, устанавливать гриф «коммерческая тайна». Следует учитывать, что установленный режим конфиденциальности не распространяется на доступ государственных органов, их должностных лиц, действующих в пределах их компетенции, получающих соответствующие сведения при выполнении ими контрольных, надзорных и иных функций. 3. Правовые формы передачи ноу-хау Основным правовым основанием передачи ноу-хау пользователю является договор. Основные виды договоров, в соответствии с которыми осуществляется передача ноу-хау, следующие: ♦ договор о конфиденциальности; Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.061 сек.) |