Возможная классификация объекта «Коммерческие тайны»

Квалификация персонала

С активным внедрением в экономику информационных технологий (ИТ) проблема экономической безо­пасности организаций приобрела новое звучание. Информация наряду с финансовыми, материальными, трудо­выми ресурсами превратилась в действенный фактор производства, определяющий во многом экономическое положение организаций. С другой стороны, информация - товар, имеющий реальную стоимость. Все это побу­ждает организации принимать соответствующие меры защиты информации. Акцент делается на организацион­но-технические мероприятия. Не умаляя эффективность такого подхода, отметим, что носители и пользователи информации - люди. Следовательно, актуален учет человеческого фактора, особенностей мотивации и поведе­ния персонала в организации.

Основным параметром, определяющим ценность трудовых ресурсов в организации, является квалифика­ция персонала. Несоответствие реального и требуемого уровня квалификации работника чаще всего лежит в основе неудовлетворенности его трудом, оплатой труда, определяет характер его поведения в организации. Бо­лее того, уровень квалификация персонала - показатель использования информационных технологий. Форми­руя заданный уровень квалификации работников, можно обеспечить эффективную защиту организации от рис­ков, связанных с персоналом.

Квалификационный уровень работников зачастую не поспевает за процессами информатизации экономики.

1. Если функции «классических» специалистов достаточно четко прописаны в нормативных документах, то функции специалистов по ИТ далеко не так формализованы. Квалификационные справочники, действующие в РФ, классифицируют должности специалистов по ИТ в едином ключе со специалистами прочих профессий. Для справки: в РФ - это 10-15 специальностей и должностей, в США - 170.

2. В должностных инструкциях в большинстве своем отсутствуют упоминания об ИТ. Так, в первом раз­деле тарифно-квалификационных характеристик должностей служащих - «Общеотраслевые квалификационные характеристики должностей работников, занятых на предприятиях, в учреждениях и организациях» — требова­ния к знанию ИТ есть в 51,9% общеотраслевых характеристик должностей руководителей, 50,6% специалистов, 29,7% технических исполнителей.

3. В нормативных документах, да и в практике внедрения ИТ акцент делается на технических исполните­лях. Таким образом, используются технические возможности программ (сводка, группировка, редактирование), а интеллектуальные (что свойственно уровню руководителя) нет. На лицо противоречие: нормативно в первую очередь автоматизируется труд технических исполнителей, затем специалистов и только после этого элементы автоматизации вводятся в труд руководителя.

4. Взаимоотношения специалистов ИТ с руководителями не четко регламентированы или не определены. Так, с появлением информационных технологий возникла потребность в специалистах, устанавливающих и об­служивающих информационные системы в организациях.

Основная проблема администрирования ИТ в организации — неопределенность должностных обязанно­стей системного администратора. Часто причина ухода из организации системного администратора именно в загрузке работой не по специальности без дополнительной оплаты. Значительная часть социально-трудовых проблем администрирования ИТ возникает по причине неосведомленности руководителя об ИТ.

Конфликт руководителя с системным администратором с последующим увольнением администратора - потенциальная угроза информационной безопасности организации.

Причины проблем согласования интересов руководителя и системного администратора следует искать в специфике их работы. Руководитель работает с людьми, а системный администратор — с техникой. Руководи­тель и системный администратор приходят друг к другу с разным багажом профессионального опыта: опыт управления людьми и опыт управления информационными системами. В рамках управления персоналом возни­кает вопрос: эффективно обучать системного администратора разговору на языке менеджера или менеджера вводить в субкультуру специалистов по информационным технологиям? На Западе решение этой проблемы возлагается на отдел технической коммуникации. Сотрудник отдела технической коммуникации - это посред­ник между менеджером и специалистом по информационным технологиям, задача которого обеспечивать эф­фективную деловую коммуникацию. Вместо целого отдела иногда работает один человек, его должность назы­вается «медиатор» (посредник).

Частой причиной неудовлетворенности своей работой является неопределенность статуса системного администратора в организации. С одной стороны, без него любой сбой в технике может привести к экономиче­скому ущербу для организации. С другой стороны, сам системный администратор не приносит прибыли, а на­оборот, все время требует денег на новое оборудование. Многие сотрудники относятся к системному админист­ратору как к «прислуге», обеспечивающей условия для их труда, однако боятся испортить с ним отношения, т.к. понимают, что в случае конфликта он может свести на нет все результаты их работы.

5. Персонал, квалифицированно работающий с ИТ, обладает некоторыми особенностями:

♦ высоким уровнем интеллекта;

♦ востребованностью на рынке труда;

♦ высоким уровнем притязаний.

Указанные черты определяют характер трудового поведения и проявляются в высокой социально-профессиональной мобильности.

На практике это выражается в относительно высокой текучести специалистов по ИТ и квалифицированных пользователей ИТ, а также завышенных требованиях по оплате труда. Так, на ОАО «Кировский завод» 80% высококвалифицированных специалистов, в том числе по ИТ, имеют стаж работы на предприятии менее 4 лет. При этом заработная плата специалистов по ИТ выше средней по группе этой должностной категории.

6. Документальное подтверждение квалификации не соответствует действительности. Здесь мы имеем дело с деформацией квалификационной структуры кадров, когда квалификация по сертификату (диплому) часто не соответствует сложности выполняемых работ. Нередки случаи, когда доступ к ИС организации получают специалисты, не наученные пользоваться собственным компьютером.

В основе отмеченных фактов лежат такие явления, как:

♦ специфика самооценки пользователей (пользователи - это специфическая профессиональная субкуль­тура, каста со своими неформальными правилами, нормами, ценностями, сленгом);

♦ неправильное понимание руководителями места ИТ (это не обслуживающая отрасль, а инструмент менеджмента, в равной степени необходимый на любом уровне управления: руководитель - пользователь ин­теллектуальной составляющей,

♦ позволяющей принять управленческое решение, специалист - пользователь аналитической состав­ляющей, позволяющей дать информацию для принятия решения, исполнитель - первичная обработка информа­ции для ее последующего анализа);

♦ отсутствие на государственном уровне системы сертификации пользователей ИТ.

Как результат, в организациях практикуется найм неквалифицированных и некомпетентных работников. Это у части персонала влечет за собой страх, угодничество, боязнь принятия самостоятельных решений. Во многих организациях можно отметить несоответствие системы оплаты количеству и качеству выполняемой ра­боты, что, в свою очередь, вызывает недовольство, девиантное поведение работников.

Перечислим специфические формы девиантного поведения, свойственные некоторым специалистам в области информационных технологий:

♦ предоставление пользователю заведомо ложных объяснений неполадок и содержания и объема сво­его труда;

♦ саботирование работы (пользуясь тем, что руководство не до конца осведомлено о содержании труда);

♦ некачественное выполнение работ в расчете на неосведомленность пользователей;

♦ сознательное завышение требований к материальным ресурсам организации на обслуживание ИС.

♦ Для нейтрализации вышеуказанных факторов работодатель вынужден:

♦ предпринимать тестирование работников, не защищающее, тем не менее, от принятия неверного ре­шения;

♦ производить дополнительную проверку профессиональной пригодности, компетентности работников;

♦ проводить обязательное предварительное профессиональное обучение (реакция отторжения - «я это знаю»);

♦ верить работнику на слово с последующим жестким контролем (с вероятностью обмана) или без него (с вероятностью потерь).

Ситуация может быть достаточно эффективно разрешена, если предложить следующие меры, повышаю­щие безопасность работы с ИТ:

Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользова­тель, пользователь, опытный пользователь, пользователь-специалист. Критерием здесь выступает опыт само­стоятельного, успешного использования ИТ.

Начинающим пользователем считается человек, который хотя бы раз в жизни работал на компьютере. Умение совершать элементарные действия (включить-выключить ПК и т. п.), разбираться во всех базовых (пользовательских) операциях — также уровень начинающего пользователя.

Следующий уровень квалификации — пользователь, который характеризуется уверенным владением про­граммным обеспечением общего назначения (Word, Excel) и т. д.

Опытными пользователями считаются сотрудники, способные реализовать все возможности ИТ на своем участке работы. Для таких пользователей и создаются многофункциональные сложные программы. Они спо­собны сами решить, какое программное обеспечение оптимально решит их задачи, могут самостоятельно уста­новить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов.

Иногда квалификация пользователя в отдельных аспектах ИТ достигает специального уровня. Такой поль­зователь-специалист может осуществлять отдельные функции системного администратора или специалиста по технической поддержке. Например, может сам подобрать себе конфигурацию ПК, обслуживать свое автоматизи­рованное рабочее место (АРМ), осуществлять несложный ремонт оргтехники, настраивать отдельные виды ПО.

Соответственно, сотрудникам, самостоятельно использующим ПК для решения профессиональных задач, отличных от внедрения и обслуживания ИС в организации, может присваиваться четыре квалификационных категории:

♦ начинающий пользователь;

♦ пользователь;

♦ опытный пользователь;

♦ пользователь-специалист.

Одна из наиболее серьезных угроз информационной безопасности — так называемые «ламеры» (от анг­лийского глагола to lame - калечить), оно обозначает пользователя, необоснованно считающего себя специали­стом и пытающегося выполнять соответствующие функции, допуская грубейшие ошибки, порой выводя из строя ИС. Выражение активно используется специалистами по ИТ, его важно правильно понимать, но катего­рически не рекомендуется использовать применительно к сотрудникам, т.к. в субкультуре продвинутых пользо­вателей и специалистов по ИТ «ламмер» - тяжкое оскорбление, вызывающее у собеседника состояние близкое к аффекту.

В США наличие сертификата пользователя - обязательное условие для допуска работника к АРМ. Кор­порация Microsoft проводит сертификацию по 300 различным программам. Из них около 200 сертификатов спе­циалистов по ИТ (certified engineer), в том числе архитекторов баз данных и специалистов по информационной безопасности. Ведущим конкурентом Microsoft является разработчик операционных систем корпорация Novell.

Интересно, что Microsoft и Novell поощряют самостоятельное изучение пользователями и специалистами своих программных продуктов. Novell практикует прием экзаменов через Интернет, причем бесплатно, оплачи­вается только сам сертификат.

Российские производители ПО Best и 1C также проводят обучение и сертификацию пользователей своих программ, в основном это касается бухгалтеров, специалистов по складскому учету.

Повышение квалификации пользователя ПК связано с некоторыми психологическими особенностями профессиональной жизни. Пользователь, как правило, демонстрирует один из двух стилей трудового поведения: адаптационный и саморазвивающийся. Адаптационное поведение свойственно всем начинающим пользовате­лям. Впоследствии некоторые из них, систематизируя базовые знания, начинают демонстрировать инновацион­ное поведение: создают собственные алгоритмы решения управленческих задач с помощью ИТ. Именно спо­собность к саморазвитию - основной критерий профессионализма. Менее способные пользователи запоминают и воспроизводят последовательность действий, не осознавая, что означает каждое из них в отдельности, и испы­тывают трудности с комбинированием отдельных операций. К сожалению, чем старше пользователь, тем боль­ше у него стремление перейти к адаптационному типу работы с ПК. Систематическое повышение квалифика­ции может сгладить этот процесс, но качественных изменений добиться чрезвычайно сложно.

Нельзя ставить статус специалиста, его продвижение в зависимость только от навыков работы с ПК. Об­ращаясь к традиционному японскому опыту менеджмента, заметим, что гармония как основная ценность орга­низации позволяет избежать сопротивления инновациям и сохранить высокий статус старших коллег. Культура отношений между различными возрастными и профессиональными группами по поводу инноваций - важней­ший пласт организационной культуры, лежащий стыке психологии и этики использования ИТ.

Управление квалификацией пользователей ИТ можно построить по следующему алгоритму:

♦ оценка вакантного АРМа, составление квалификационных требований (сертификат пользователя, оп­ределенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной ин­струкции;

Ф подбор персонала, анализ резюме на предмет соответствия заявленным требованиям, приглашение соискателей для профотбора: интервью, анкетирование, испытания;

♦ испытательный срок, установление критериев его прохождения (например, время освоения про­граммного продукта или степень самостоятельности решения профессиональных задач с помощью ИТ);

♦ аттестация пользователей ИТ:

♦ предметом оценки является эффективность использования ИТ для решения профессиональных задач (можно реализовать в форме интервью, наблюдения, анализа протоколов, анкеты, тестовых заданий);

♦ повышение квалификации (обеспечение доступа к документации, к программам, к специальной лите­ратуре, организация обмена опытом между пользователями, специальные курсы);

♦ новые формы оплаты труда.

Гибкие тарифные системы в основе формирования заработка имеют тариф, который дополняется различными премиями, доплатами, надбавками. Эти элементы отражают результативность труда работника по итогам работы.

В моделях бестарифных систем отражается тенденция отказа от гарантированных тарифных ставок и ок­ладов, делается попытка увязать заработную плату со спросом на продукцию предприятия, т.е. учесть фактор конкурентоспособности.

Появление бестарифной системы связано со стремлением преодолеть уравнительность в оплате труда и противоречия между интересами групп работников и администрации предприятия. Практика показывает, что в большинстве случаев на предприятии квалификация работников не соответствует сложности выполняемых работ.

Квалификационная оценка различных рабочих мест затруднена, поскольку на каждом рабочем месте вы­полняется не одна работа (как по ЕТКС), а комплекс работ различной сложности.

Для устранения деформации квалификационной структуры персонала используются коэффициенты ква­лификационного уровня, как обязательный элемент любой бестарифной системы. Квалификационные коэффи­циенты по сравнению с системой тарифных разрядов располагают значительно большими возможностями для оценки роста квалификации работника.

Основные требования по защите информации

Защита информации в компьютерных сетях основывается на выявлении, оценке и парировании возмож­ных угроз безопасности информации с учетом частоты их проявления и вероятности потери информации, воз­можности по противодействию и ликвидации последствий проявления этих угроз.

Режим защиты конфиденциальной информации в соответствии с действующим законодательством уста­навливается законным обладателем (собственником, владельцем) информационных ресурсов.

При отнесении сведений к информации конфиденциального характера следует руководствоваться Граж­данским кодексом Российской Федерации, федеральным законом «Об информации, информатизации и защите информации», соответствующими указами президента и постановлениями правительства РФ.

К информации конфиденциального характера в системе административного управления в соответствии с действующим законодательством относятся сведения:

♦ о гражданах, подпадающие под категорию персональных данных;

♦ отнесенные к категории коммерческой или служебной тайны;

♦ ограниченного распространения федеральных органов исполнительной власти.

Кроме того, в перечень сведений ограниченного распространения целесообразно внести:

♦ информацию, связанную непосредственно с функционированием конкретных компьютерных сетей и систем;

♦ служебную организационно-распорядительную документацию органов управления, организаций и учреждений;

♦ штатное расписание и функциональные обязанности сотрудников учреждений, организаций;

♦ схемы размещения оборудования компьютерных сетей, служебных помещений и их закрепление за должностными лицами;

♦ служебную и деловую переписку;

♦ сведения о разграничении доступа пользователей к конфиденциальной информации и их полномочиях;

♦ сведения о закреплении служебных автомобилей за должностными лицами, маршруты их движения, места стоянки, пункты технического обслуживания;

♦ данные о размещении баз данных, банков информации служебного характера, обеспечении их средст­вами безопасности и порядке доступа к ним;

♦ сведения о мерах, принятых для обеспечения безопасности информации, имущества и персонала уч­реждений и организаций.

К конфиденциальной информации в соответствии с действующим законодательством не могут быть от­несены следующие сведения:

♦ учредительные документы организаций и документы, дающие право заниматься определенной дея­тельностью (лицензии, патенты);

♦ сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления налогов и других обязательных платежей в го­сударственную бюджетную систему Российской Федерации, а также документы об их уплате;

♦ данные о численности, составе работающих в организациях, заработной плате и условиях труда, а также о наличии свободных рабочих мест;

♦ сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несо­блюдении безопасных условий труда, а также о других нарушениях законодательства Российской Федерации и размерах причиненного ущерба.

Конфиденциальная информация оформляется в виде Перечня сведений, отнесенных к информации огра­ниченного распространения. Порядок оформления определяется собственником информационных ресурсов.

Целесообразно конфиденциальные сведения ранжировать по степени ограничения их распространения:

♦ строго конфиденциальные сведения - персональные данные, сведения, разглашение которых может нанести значительный экономический ущерб организации (учреждению), существенно ухудшить социально­-психологическую обстановку в коллективе;

♦ конфиденциальные сведения — сведения, разглашение которых может отрицательно повлиять на взаимоотношения с партнерами, подорвать престиж и деловой авторитет организации (учреждения);

♦ служебные сведения ^ сведения, разглашение которых может затруднить решение повседневных за­дач организации (учреждения).

Объектам компьютерных сетей присваивается различная степень защищенности для определения тре­буемых организационно-технических мероприятий по защите информации в зависимости от ее важности, ре­альных условий размещения элементов компьютерных сетей, возможных каналов утечки информации, а также для минимизации затрат на защиту информации.

Допускается присваивать различные степени защищенности по отдельным элементам компьютерных се­тей при обработке ими информации различной степени конфиденциальности.

Целесообразно установить следующие степени (категории) защищенности объектов компьютерных сетей в соответствии со степенью конфиденциальности обрабатываемой информации:

♦ 1 степень (категория) — объекты, связанные с обработкой строго конфиденциальной информации;

♦ 2 степень (категория) - объекты, связанные с обработкой конфиденциальной информации;

♦ 3 степень (категория) — объекты, связанные с обработкой служебной информации.

Организация защиты информации

Компьютерная безопасность и конфиденциальность - это основные заботы не только для разработчиков, но и для каждого, кто пользуется компьютером.

Однако не следует путать понятие «компьютерная безопасность» с более общим понятием (по термино­логии компании Microsoft) «защищенная информационная система».

Защищенные информационные системы стоят на четырех столпах:

♦ безотказность;

♦ безопасность;

♦ конфиденциальность;

♦ бизнес-этика.

Безотказность означает, что на компьютерную систему можно положиться, она готова к работе в любой момент, когда в этом возникает необходимость, и функционирует, как и ожидается, на соответствующем уровне.

Безопасность говорит о том, что система устойчива к атакам, и секретность и целостность ее данных на­ходятся под защитой.

Конфиденциальность подразумевает, что у пользователей есть возможность контролировать данные о самих себе, а те, кто добропорядочно использует эти данные, следуют принципам честного использования ин­формации.

Бизнес-этика предполагает, что компании-разработчики несут ответственность перед клиентами, помо­гают им найти решения, отвечающие их потребностям, и в отношениях с клиентами действуют открыто.

Рассмотрим вопросы безопасности компьютерных сетей.

Защита конфиденциальной информации в компьютерных сетях обеспечивается проведением комплекса организационно-технических мероприятий, которые можно сгруппировать по следующим направлениям:

♦ предотвращение несанкционированного доступа (НСД) к компьютерной информации с целью ее уничтожения, модификации, блокирования или копирования;

♦ блокирование каналов утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН);

♦ предотвращение специальных программно-технических воздействий, вызывающих уничтожение, мо­дификацию, блокирование информации или сбои в работе средств вычислительной техники;

♦ выявление внедренных в технические средства и помещения специальных устройств негласного съе­ма информации (закладных устройств).

Основные методы решения перечисленных задач Предотвращение несанкционированного доступа к ин­формации обеспечивается применением специальных программно-аппаратных средств защиты от НСД, исполь­зованием криптографических средств защиты информации и организационными мероприятиями.

Средства защиты информации от несанкционированного доступа должны обеспечивать управление дос­тупом к ресурсам вычислительной системы, регистрацию и учет входа и выхода из системы, процессов печати документов, сигнализацию и регистрацию попыток несанкционированного доступа к ресурсам, контроль цело­стности программной среды и обрабатываемой информации.

Предотвращение несанкционированного доступа к информации, осуществляемого с помощью программ­ных средств, реализуется определением для каждой программы перечня санкционируемых функций, примене­нием средств и технологий программирования, обеспечивающих минимальную вероятность наличия дополни­тельных возможностей, которые могут быть использованы для осуществления НСД, предупреждением внесе­ния несанкционированных изменений в программы при их разработке и эксплуатации, регулярной проверкой неизменности и целостности системного, сетевого и прикладного программного обеспечения.

На рабочие места целесообразно установить специальные программы блокировки клавиатуры, диска или каталога при временном оставлении рабочего места пользователем, а также программы, обеспечивающие унич­тожение фрагментов данных в ОЗУ, регистрах процессора и ЗУ принтера.

Защита от несанкционированного копирования программ и данных обеспечивается: подключением к па­раллельному порту специальных электрически программируемых заглушек, к которым программа обращается в первую очередь для считывания кода запуска программы (например, электронными ключами HASP для компь­ютеров, открытых систем на базе UNIX-платформ и сетей NOVELL), преднамеренными искажениями магнит­ного диска, на котором размещаются часть программ или данные, и введением в программу специального пере­мещаемого модуля декодирования, программными средствами, искажающими реальное число дорожек магнит­ного диска, шифрованием кодов программы, размещением части программы в закрытых от пользователя облас­тях внутренней и внешней памяти.

Защита информации, передаваемой по каналам связи между элементами компьютерных сетей, обеспечи­вается шифрованием. Обеспечение подлинности сведений, их защита от искажений и идентификация отправи­теля осуществляется за счет применения электронной цифровой подписи.

Организационные мероприятия направлены на затруднение доступа к техническим средствам компью­терных сетей и обрабатываемой информации. Это достигается организацией режима ограниченного доступа в помещения, предназначенные для размещения элементов компьютерных сетей, размещением таких помещений в пределах контролируемой зоны на максимальном удалении от ее границ, размещением печатающих уст­ройств, видеотерминалов, графопостроителей в местах, максимально затрудняющих визуальный просмотр ин­формации посторонними лицами, а также применением дополнительных мер, исключающих подобный про­смотр (штор, жалюзи, непрозрачных экранов и т.д.).

Подключение компьютерных сетей к другим информационным системам и сетям производится через межсетевые экраны не ниже 3 класса защищенности, сертифицированные по требованиям Руководящего доку­мента Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Показатели защищен­ности от несанкционированного доступа к информации».

Блокирование каналов утечки информации за счет побочных электромагнитных излучений и наводок обеспечивается применением защищенных технических средств, аппаратных средств защиты информации, ус­тановлением контролируемой зоны необходимого размера вокруг средств вычислительной техники. В случае применения средств шифрования и электронной цифровой подписи величины соответствующих параметров устанавливаются, исходя из условий сертификатов на эти средства. При этом на границе контролируемой зоны должны выполняться отношения сигнал/шум не более:

♦ для объектов 1 степени защищенности - 0,2;

♦ для объектов 2 степени защищенности - 0,8;

♦ для объектов 3 степени защищенности — 1,4.

В случае невыполнения требований по отношению сигнал/шум применяются активные средства защи­ты - генераторы шума.

Для обеспечения безопасности информации при отключении или бросках питающего напряжения необ­ходимо использовать источники бесперебойного питания.

Предотвращение вредоносных программно-технических воздействий, вызывающих уничтожение, иска­жение информации или сбои в работе средств информатизации, обеспечивается применением специальных про­граммных и аппаратных средств защиты (антивирусных процессоров, антивирусных программ), а также средств криптографической защиты информации.

Предотвращение или существенное снижение вероятности проникновения в компьютерные сети вирусов достигается также за счет:

♦ блокировки запуска исполняемых программных файлов с дискет;

♦ использования только дистрибутивов программных продуктов, приобретенных через официальных дилеров фирм-разработчиков этих продуктов;

♦ обязательного контроля целостности программной среды;

♦ организации постоянного антивирусного контроля.

Для организации защиты процесса обработки информации в компьютерных сетях в составе структуры информационных систем организуется служба администраторов безопасности, являющаяся, как правило, под­разделением службы информационной безопасности.

Администратор информационной безопасности обеспечивает регистрацию пользователей, формирование матрицы доступа к вычислительным и информационным ресурсам сети, учет наступления системных событий, связанных с инициализацией функций сети, изменением ее конфигурации и прав доступа, формирование пара­метров входа в сеть (идентификаторов) и шифр-ключей, контроль текущего функционального состояния сети.

Организационно-технические мероприятия по защите информации выполняются на всех этапах жиз­ненного цикла информационных систем и со временем, а также по результатам работы могут уточняться и изменяться.

Типовые программно-технические средства защиты информации

Требования к программно-техническим средствам защиты информации сформулированы в руководящих документах Государственной технической комиссии (ГТК) при Президенте Российской Федерации. Основой всего набора таких документов является «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации».

Этим документом вводится понятие «штатные средства», под которыми понимается совокупность про­граммного, микропрограммного и технического обеспечения средств вычислительной техники и компьютер­ных сетей.

Главным средством защиты считается система разграничения доступа (СРД) субъектов к объектам доступа.

Технические средства защиты от НСД должны оцениваться по степени полноты охвата правил разграни­чения доступа реализованной СРД и ее качеству, составу и качеству обеспечивающих средств для СРД, гаран­тии правильности функционирования СРД и обеспечивающих ее средств.

Как уже отмечалось, основным программно-техническим средством защиты вычислительных сетей яв­ляются межсетевые экраны. В связи с этим более подробно рассмотрим вопросы их построения и функциони­рования.

Гостехкомиссией разработан руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации Показатели защищенности от несанкциониро­ванного доступа к информации». В указанном документе межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в компьютерную сеть или выходящей из нее. Межсетевой экран обеспечивает защиту компьютерной сети посредством фильтрации информации (как мини­мум на сетевом уровне), т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) компьютерной сети на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной компьютерной сети к объектам другой. Каждое правило запрещает или разрешает передачу информа­ции определенного вида между субъектами и объектами. Как следствие, субъекты из одной компьютерной сети получают доступ только к разрешенным информационным объектам из другой компьютерной сети. Интерпре­тация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачи данных (пакетов) на следующий фильтр или уровень протокола.

Что же такое межсетевой экран (брандмауэр)?

Брандмауэр — это совокупность аппаратных средств и программного обеспечения, которая связывает две и большее число сетей и одновременно является центральным пунктом управления безопасностью. Брандмау­эры могут реализовываться как программно, так и аппаратно-программно. В последнее время все большее вни­мание уделяется вопросам применения аппаратных брандмауэров. Они являются специализированными ком­пьютерами, как правило, встраиваемыми в стойку с сетевой ОС, адаптированной под выполняемые функции.

Обычно брандмауэр устанавливается между корпоративной сетью организации и Интернетом как способ закрыть доступ остальному миру к корпоративной сети. Сразу следует сказать, что брандмауэр не может защи­тить корпоративную сеть от вирусов - для этой цели служат специальные антивирусные программы.

Для удовлетворения потребностей широкого диапазона пользователей имеются три типа брандмауэров: сетевого уровня, уровня приложения и уровня соединения. В брандмауэрах каждого типа используется не­сколько различных подходов для защиты корпоративных сетей. Сделав наиболее оптимальный выбор, можно лучше разработать брандмауэр.

Брандмауэр сетевого уровня - это обычно маршрутизатор или специальный компьютер, который иссле­дует адреса пакетов и затем решает, передать ли пакет в (из) корпоративную сеть или отклонить его. Как из­вестно, пакеты наряду с другой информацией содержат IP-адреса отправителя и получателя. Можно было бы, например, сконфигурировать свой брандмауэр сетевого уровня так, чтобы он блокировал все сообщения из того или иного узла. Обычно пакеты блокируются с помощью файла, который содержит набор IP-адресов некоторых узлов. Брандмауэр (или маршрутизатор) должен блокировать пакеты, в которых эти адреса фигурируют как ад­реса отправителя или получателя. Обнаружив пакет, который содержит подобный IP-адрес, маршрутизатор отклонит его, не позволяя попасть в корпоративную сеть. Подобное блокирование конкретных узлов иногда называется занесением в черный список. Обычно программное обеспечение маршрутизатора позволяет поме­щать в черный список весь узел, но не конкретного пользователя.

Пакет, пришедший на маршрутизатор, может содержать сообщение электронной почты, запрос на услугу типа HTTP (доступ к Web-странице), ftp (возможность пересылки или загрузки файла) или даже запрос lelnel; на вход в корпоративную систему (удаленный доступ к компьютеру). Маршрутизатор сетевого уровня распо­знает каждый тип запроса и выполняет конкретные ответные действия. Так, можно запрограммировать маршру­тизатор, разрешив пользователям Интернета просматривать Web-страницы организации, но не позволять им использовать ftp, чтобы передавать файлы на корпоративный сервер или из него.

Правильно установленный и сконфигурированный брандмауэр сетевого уровня будет очень быстродей­ствующим и «прозрачным» для пользователей. Конечно, для пользователей, помещенных в черный список, маршрутизатор оправдает свое название (брандмауэр) с точки зрения эффективности задержания нежелатель­ных посетителей.

Как правило, маршрутизаторы поставляются с соответствующим программным обеспечением. Для про­граммирования маршрутизатора в специализированный файл вводятся соответствующие правила, которые ука­зывают маршрутизатору, как обрабатывать каждый входящий пакет.

В качестве брандмауэра уровня приложения обычно используется главный компьютер сети, выпол­няющий программное обеспечение, известное как сервер-посредник (proxy- или прокси-сервер). Сервер- посредник - это программа, управляющая трафиком между двумя сетями. При использовании брандмауэра уровня приложения корпоративная сеть и Интернет физически не соединены. Трафик одной сети никогда не смешивается с трафиком другой, потому что их кабели разъединены. Работа прокси-сервера заключается в передаче изолированных копий пакетов из одной сети в другую. Этот тип брандмауэра эффективно маскиру­ет происхождение инициализации соединения и защищает корпоративную сеть от пользователей Интернета, пытающихся раздобыть информацию из этой сети.

Прокси-серверы понимают сетевые протоколы, поэтому можно конфигурировать такой сервер и устано­вить набор услуг, предоставляемых корпоративной сетью.

При установке прокси-сервера уровня приложения пользователи должны применять клиентские про­граммы, которые поддерживают режим посредника.

Таким образом, брандмауэры уровня приложения позволяют контролировать тип и объем трафика, по­ступающего на узел. Они обеспечивают надежный физический барьер между корпоративной сетью и Интерне­том и потому являются хорошим вариантом в ситуациях, когда требуется высокая безопасность. Однако, по­скольку программа должна анализировать пакеты и принимать решения по управлению доступом, брандмауэры уровня приложения могут уменьшать эффективность сети. Если планируется использовать такой брандмауэр, то для установки прокси-сервера необходимо использовать самый быстро действующий компьютер.

Брандмауэр уровня соединения подобен брандмауэру уровня приложения - оба они являются серверами - посредниками. Однако для брандмауэра уровня соединения не нужно использовать специальные приложения, поддерживающие режим посредника для клиента.

Брандмауэр уровня соединения устанавливает связь между клиентом и сервером, не требуя, чтобы каж­дое приложение знало что-либо о сервисе.

Преимущество брандмауэра уровня соединения заключается в том, что он обеспечивает сервис для ши­рокого класса протоколов, в то время как брандмауэр уровня приложения требует посредника этого уровня для всех и каждого вида сервиса. Так, используя брандмауэр уровня соединения для HTTP, ftp или, например, telnet:, нет необходимости принимать какие-либо специальные меры или вносить изменения в приложения — можно просто выполнять существующее программное обеспечение. Другая полезная особенность брандмауэров уровня соединения связана с тем, что можно работать только с одним сервером-посредником, что проще, чем регистрировать и контролировать несколько серверов.

Создавая брандмауэр, необходимо определить, какой трафик надо пропустить через свою корпоративную сеть. Как отмечалось выше, можно выбрать маршрутизатор, который будет фильтровать выбранные пакеты, или использовать некоторый тип программы посредника, которая будет выполняться на главном компьютере сети. В свою очередь, архитектура брандмауэра может включать обе эти конфигурации. Другими словами, можно максимально повысить безопасность корпоративной сети, объединяя в брандмауэре и маршрутизатор, и сервер- посредник.

Существует три наиболее популярных типа архитектуры брандмауэра:

♦ двусторонний главный брандмауэр;

♦ фильтрующий главный брандмауэр;

♦ фильтрующий брандмауэр подсети.

В фильтрующем главном брандмауэре и фильтрующем брандмауэре подсети используется комбинация маршрутизатора и сервера-посредника.

Двусторонний главный брандмауэр— это простая, но обеспечивающая очень высокую степень безопасно­сти конфигурация, в которой один главный компьютер играет роль разделительной линии между корпоратив­ной сетью и Интернетом. В главном компьютере используются две отдельные сетевые платы для соединения с каждой сетью. Используя двусторонний главный брандмауэр, необходимо блокировать возможности маршру­тизации компьютера, потому что он не «соединяет» две сети. Один из недостатков этой конфигурации заключа­ется в том, что можно просто по неосторожности разрешить доступ к внутренней сети.

Двусторонний главный брандмауэр работает, выполняя программу сервера-посредника уровня приложе­ния либо уровня соединения. Как уже говорилось, программа-посредник управляет передачей пакетов из одной сети в другую. Будучи двусторонним (соединенным с двумя сетями), главный компьютер брандмауэра видит пакеты в обеих сетях, что позволяет ему выполнять программу-посредник и управлять трафиком между сетями.

Фильтрующий главный брандмауэр обеспечивает более высокую степень безопасности, чем двусторонний. Добавляя маршрутизатор и помещая этим главный компьютер дальше от Интернета, можно получить очень эф­фективный и простой в работе брандмауэр. Маршрутизатор соединяет Интернет с корпоративной сетью и одно­временно фильтрует типы проходящих через него пакетов. Можно конфигурировать маршрутизатор так, чтобы он видел только один главный компьютер. Пользователи корпоративной сети, желающие соединиться с Интернетом, должны делать это только через главный компьютер. Таким образом, для внутренних пользователей имеется пря­мой доступ в Интернет, но доступ внешних пользователей ограничен главным компьютером.

Фильтрующий брандмауэр подсети еще более изолирует корпоративную сеть от Интернета, включая между ними промежуточную периферийную сеть. В фильтрующем брандмауэре подсети главный компьютер помещается на этой периферийной сети, к которой пользователи имеют доступ через два отдельных маршрути­затора. Один из них управляет трафиком корпоративной сети, а второй — трафиком Интернета.

Фильтрующий брандмауэр подсети обеспечивает чрезвычайно эффективную защиту от нападения. Он изолирует главный компьютер в отдельной сети, что уменьшает вероятность успешного нападения на главный компьютер и дополнительно понижает шансы нанесения ущерба корпоративной сети.

Из всего вышесказанного можно сделать следующие выводы:

1. Брандмауэр может быть весьма простым - единственным маршрутизатором, или же весьма сложным - системой маршрутизаторов и хорошо защищенных главных компьютеров.

2. Можно установить брандмауэры внутри корпоративной сети, чтобы усилить меры безопасности для отдельных ее сегментов.

3. Кроме обеспечения безопасности, необходимо обнаруживать и предотвращать проникновение компь­ютерных вирусов. Брандмауэры этого делать не могут.

Применяя межсетевые экраны, нельзя недооценивать возможности защиты, предоставляемые системным программным обеспечением. Необходимо использовать следующие технологии и методы защиты:

♦ разграничение доступа (применяя возможности файловой системы NTFS);

♦ правильная бюджетная и парольная политика;

углубленная идентификация и аутентификация;

♦ аудит, контроль и защита средствами Windows NT;

♦ правильно сконфигурированное программное обеспечение. Не останавливаясь подробно на перечис­ленных методах, коротко рассмотрим вопросы криптозащиты и защиты от вирусов.

Криптография, ранее являвшаяся стратегической технологией, теперь благодаря быстрому развитию корпоративных сетей и Интернета проникла в широкие сферы деятельности и стала применяться большим ко­личеством пользователей.

Технология криптографии и протоколы шифрования данных специально созданы для применения в ус­ловиях, когда принимающая и передающая стороны не уверены в том, что переданная информация не будет перехвачена третьей стороной. Конфиденциальность переданной информации будет обеспечена, т. к. хотя она и перехвачена, но без расшифровки использовать ее невозможно.

Рассмотрим основные понятия шифрования, применяемые для защиты данных при их передаче в корпо­ративных сетях, в электронных и цифровых платежных системах Интернета.

1. Шифрование закрытым ключом

Шифрование по какому-либо алгоритму означает преобразование исходного сообщения в зашифрованное. Это подразумевает создание секретного ключа - пароля, без которого невозможно раскодировать сообщение.

Такой ключ должен быть засекречен, иначе сообщение легко будет прочитано нежелательными лицами.

Наиболее известные и применяемые в США и Европе криптографические алгоритмы шифрования дан­ных закрытым ключом - DES, IDEA, RC2 - RC5.

2. Шифрование открытым ключом

Шифрование сообщения открытым ключом подразумевает создание двух полностью независимых друг от друга ключей — открытого и закрытого. С помощью открытого ключа можно зашифровать сообщение, но расшифровать его возможно, только применяя закрытый ключ. Свободно распространяя открытый ключ, вы даете возможность шифровать и посылать вам шифрованные сообщения, которые кроме вас никто расшифро­вать не сможет.

Для осуществления двусторонней коммуникации стороны создают каждая свою пару ключей и затем обме­ниваются открытыми ключами. Передаваемые сообщения шифруются каждой стороной с применением открытых ключей партнера, а расшифровка производится при использовании своих собственных закрытых ключей.

3. Алгоритм открытого распределения ключей

Другой вариант с открытыми ключами - алгоритм открытого распределения ключей (алгоритм Диффи - Хеллмана). Он позволяет сформировать один общий секретный ключ для шифрования данных без передачи его по каналу связи. Этот алгоритм также основан на использовании пары ключей (открытый / закрытый) и форми­руется так:

♦ обе стороны создают свои пары ключей;

♦ после этого они обмениваются открытыми ключами;

♦ из комбинации двух ключей - свой (закрытый) и чужой (открытый),- применяя данный алгоритм, ге­нерируется одинаковый и единственный для двух сторон закрытый (секретный) ключ;

♦ после этого сообщения шифруются и расшифровываются единственным закрытым ключом.

4. Технология цифровой подписи

Эта технология позволяет однозначно определить владельца передаваемой информации. Это необходимо в электронных и цифровых платежных системах и применяется в электронной коммерции.

Для создания цифровой подписи применяется алгоритм хеширования — специальный математический ал­горитм, используя который формируют из какого-либо файла другой небольшой хеш-файл.

После этого осуществляются следующие действия:

♦ полученный хеш-файл шифруется с помощью закрытого ключа и полученное зашифрованное сооб­щение является цифровой подписью;

♦ исходный незашифрованный файл вместе с цифровой подписью отсылается другой стороне.

Теперь принимающая сторона может проверить подлинность принимаемого сообщения и передающую

сторону. Это можно сделать:

♦ с помощью открытого ключа получатель расшифровывает цифровую подпись, восстанавливает хеш-файл;

♦ используя алгоритм хеширования, создает свой хеш-файл из исходного полученного файла;

♦ сравнивая две копии хеш-файлов. Совпадение этих файлов означает подлинность передающей сторо­ны и полученной информации.

5. Слепая подпись (blind signature)

Этот важный алгоритм применяется в системах электронных платежей и является разновидностью циф­ровой подписи.

Данный алгоритм подразумевает обмен сообщениями таким образом, что принимающая сторона не мо­жет расшифровать полученное сообщение, но может быть вполне уверена, с кем имеет дело. Например, клиенту электронного магазина нежелательно передавать свой номер кредитной карты, а продавцу необходимо точно знать, с кем он имеет дело. Посредником в коммерческих операциях выступает банк, который проверяет под­линность и продавца, и покупателя и затем производит перевод денег со счета клиента на счет продавца.

Соответствующие протоколы шифрования и интерфейсы прикладного программирования входят в состав системного программного обеспечения компьютерных сетей.

Рассмотрим теперь проблему компьютерных вирусов.

Эта проблема возникла давно и сразу же получила широкое распространение. В 1988 г. с появлением в сети «вируса Морриса» фактически началось более - менее целенаправленное развитие антивирусных средств.

Термин «вирус» в применении к компьютерам был придуман Фредом Когеном из Университета Южной Каролины. Слово «вирус» латинского происхождения и означает «яд». Компьютерный вирус - это программа, которая пытается тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с инфицированного диска, происходит скрытое инфицирование.

Вирусы представляют собой достаточно сложные и своеобразные программы, выполняющие несанкцио­нированные пользователем действия.

Способ функционирования большинства вирусов - это такое изменение системных файлов компьютера пользователя, чтобы вирус начинал свою деятельность либо при каждой загрузке, либо в один прекрасный мо­мент, когда происходит некоторое «событие вызова».

При разработке современных компьютерных вирусов используется много технических новшеств, однако большая часть вирусов является имитацией и модификацией нескольких классических схем.

Вирусы можно классифицировать по типу поведения следующим образом:

1. Вирусы, поражающие загрузочный сектор, пытаются заменить или инфицировать часть дискеты (или жесткого диска), зарезервированную только для операционной системы и хранения файлов запуска. Они осо­бенно коварны, т. к. загружаются в память при каждом включении компьютера. Тем самым вирусу дается пол­ная возможность контролировать любой выполняемый компьютером процесс. Эти вирусы обладают наиболь­шей способностью к размножению и могут постоянно распространяться на новые диски.

2. Вирусы, инфицирующие файлы. Чтобы остаться необнаруженными, множество вирусов пытается ин­фицировать исполняемые файлы. Обычно вирусы отдают предпочтение EXE- и COM-файлам, однако в связи с растущей популярностью Windows некоторые авторы вирусов стараются инфицировать файлы библиотек ди­намической связи (DLL).

Файловые вирусы распространяются более медленно, чем вирусы, поражающие загрузочный сектор, ви­рус активизируется и начинает размножаться, только когда инфицированный файл запущен на выполнение. Единственное условие распространения вируса - это выполнение инфицированного программного файла. При этом он будет загружаться в память и сможет приступать к работе.

3. Многофункциональные вирусы. Некоторые вирусы используют для инфицирования компьютерной сис­темы как загрузочный сектор, так и метод заражения файлов. Это несколько затрудняет выявление и идентифи­кацию вируса специальными программами и ведет к быстрому его распространению.

4. Вирусы-невидимки. Один из способов выявления и идентификации вируса антивирусными программа­ми - проверка контрольных сумм. Первоначально этот метод использовался в связи. Контрольная сумма - это результат выполнения математического алгоритма, проверяющего соответствие длины полученного файла дли­не его первоначальной копии. Ряд антивирусных программ создает списки контрольных сумм файлов, находя­щихся на вашем диске. Вирусы-невидимки используют ряд методов для маскировки своего присутствия - они фальсифицируют фактические значения контрольных сумм, что затрудняет их обнаружение.

5. Системные вирусы. Пытаясь остаться незамеченными, системные вирусы поражают не загрузочный сектор, а операционные системы. Основные жертвы этих вирусов — это таблица размещения файлов (оглавление диска), таблицы разделов, драйверы устройств и системные файлы.

Наилучший способ защитить свою систему от вирусов — регулярно использовать антивирусные програм­мы, предназначенные для проверки памяти и файлов системы, а также поиска сигнатур вирусов. Вирусная сиг­натура — это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов.

При выполнении антивирусная программа просматривает компьютерную систему на предмет наличия в ней сигнатур, подобных имеющимся в базе данных.

В самом хорошем антивирусном программном обеспечении не только ищется соответствие с сигнатура­ми в базе данных, но используются и другие методы. Такие антивирусные программы могут выявить новый вирус даже тогда, когда он еще не был специально идентифицирован.

Однако большинство вирусов обезвреживается все же путем поиска соответствия с базой данных. Когда программа находит такое соответствие, она будет пытаться вычистить обнаруженный вирус. Важно постоянно пополнять имеющуюся базу вирусных сигнатур. Большинство поставщиков антивирусного программного обес­печения распространяет файлы обновлений через Интернет.

Имеется три основных метода поиска вирусов с помощью антивирусных программ.

В первом методе поиск вируса производится при начальной загрузке. При этом команду запуска антиви­русной программы включают в AUTOEXEC.BAT.

Бесспорно, этот метод эффективен, но при его использовании увеличивается время начальной загрузки компьютера, и многим пользователям он может показаться слишком обременительным. Преимущество же его в том, что просмотр при загрузке происходит автоматически.

Второй метод заключается в том, что пользователь вручную выполняет сканирование системы с помо­щью антивирусной программы. Этот метод может быть столь же эффективным, как и первый, если он выполня­ется добросовестно, как и резервное копирование. Недостатком этого метода является то, что могут пройти не­дели, а то и месяцы, пока небрежный пользователь удосужится провести проверку.

Третий метод поиска вирусной инфекции заключается в просмотре каждого загружаемого файла, при этом не придется слишком часто проверять всю систему.

Однако следует иметь в виду, что иногда встречаются вирусы, идентификация которых затруднена либо из-за их новизны, либо из-за большого промежутка времени перед их' активизацией (у вирусов имеется некото­рый инкубационный период и они некоторое время скрываются, прежде чем активизироваться и распростра­ниться на другие диски и системы).

Поэтому следует обращать внимание на следующее:

1. Изменения размера файла. Файловые вирусы почти всегда изменяют размер зараженных файлов, по­этому если вы заметите, что объем какого-либо файла, особенно СОМ или EXE, вырос на несколько килобайт, необходимо немедленно обследовать жесткие диски антивирусной программой.

2. Необъяснимые изменения в доступной памяти. Для эффективного распространения вирус должен на­ходиться в памяти, что неизбежно уменьшает количество оперативной памяти (RAM), остающейся для выпол­нения программ. Поэтому если вы не сделали ничего, что изменило бы объем доступной памяти, однако обна­ружили ее уменьшение, необходимо также запустить антивирусную программу.

3. Необычное поведение. При загрузке вируса, как и любой новой программы, в компьютерную систему происходит некоторое изменение в ее поведении. Может быть, это будет либо неожиданным изменением вре­мени перезагрузки, либо изменением в самом процессе перезагрузки, либо появлением на экране необычных сообщений. Все эти симптомы говорят о том, что следует незамедлительно запустить антивирусную программу.

Если вы обнаружили в компьютере какой — либо из указанных выше симптомов, а антивирусная про­грамма не в состоянии обнаружить вирусную инфекцию, следует обратить внимание на саму антивирусную программу - она может быть устаревшей (не содержать новых вирусных сигнатур) или же сама может быть заражена. Поэтому надо запустить надежную антивирусную программу.

О защите интеллектуальной собственности

В условиях современного информатизированного общества особое значение приобретает организация и соблюдение условий, обеспечивающих конфиденциальность сведений, составляющих секреты производства (ноу-хау) или коммерческую (служебную) тайну в академии. Поэтому рассмотрим основные правовые аспекты этого вопроса.

1. Коммерческая тайна

Коммерческая тайна - охраняемое законом право предприятия на ограниченный доступ к информации по производственным, технологическим, торговым, финансовым и другим хозяйственным операциям и доку­ментации по ним.

Ноу-хау — технические знания, опыт, секреты производства, необходимые для решения технической за­дачи. Чаще всего под ноу-хау понимается результат технического творчества, хотя этот термин может приме­няться к технической и иной информации, необходимой для производства какого-либо изделия.

Усиление роли ноу-хау в условиях рынка связано с тем, что многие организации вместо патентования принадлежащих им изобретений прибегают к использованию этой формы охраны. Одним из основных призна­ков ноу-хау является элемент конфиденциальности передаваемой научно-технической информации.

Понятие «ноу-хау» является более узким и входит составной частью в понятие «коммерческая тайна», при этом оба понятия содержат признаки, относящиеся к конфиденциальной информации, которая является ценной в силу неизвестности ее третьим лицам и характеризуется отсутствием свободного доступа к ней на за­конном основании, а также необходимостью принятия обладателем информации мер по ее охране.

Информация, которая не может составлять коммерческую тайну, определяется законом или иными пра­вовыми актами (ст. 139 гражданского кодекса РФ).

В соответствии с Постановлением Правительства РСФСР от 5.12.91 г. № 35 «О перечне сведений, кото­рые не могут составлять коммерческую тайну», коммерческую тайну и, следовательно, ноу-хау не могут со­ставлять:

♦ учредительные документы и устав;

♦ документы, дающие право заниматься предпринимательской деятельностью;

♦ сведения по установленным формам отчетности о финансово-хозяйственной деятельности;

♦ документы о платежеспособности;

♦ сведения о численности, составе работающих, их заработной плате и условиях труда, о наличии сво­бодных рабочих мест;

♦ документы об уплате налогов и обязательных платежах;

♦ сведения о загрязнении окружающей среды;

сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товарище­ствах.

Перечень сведений, относящихся к объектам коммерческой тайны, определяется руководителем органи­зации.

По уголовному законодательству России незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну, являются преступлениями в сфере экономической деятельности и влекут уголовную ответственность в соответствии со ст. 183 УК РФ.

2. Правовые формы зашиты ноу-хау

Проблемы защиты ноу-хау решаются путем создания различных правовых форм недопущения или пре­сечения посягательств на имущественные интересы обладателя в силу того, что обладатель ноу-хау имеет лишь фактическую монополию на обладание незащищенной охранными документами конфиденциальной информа­цией.

В соответствии со ст. 151 Основ гражданского законодательства (1991 г.) обладатель технической, орга­низационной или коммерческой информации, составляющей секрет производства (ноу-хау), имеет право на за­щиту от незаконного использования этой информации третьими лицами при условии, что:

♦ эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвест­ности ее третьим лицам;

♦ к этой информации нет свободного доступа на законном основании;

♦ обладатель информации принимает надлежащие меры охраны ее конфиденциальности.

Срок охраны ноу-хау ограничивается временем действия названных условий.

Рекомендуется:

1. При заключении письменных гражданско-правовых договоров, например, лицензионный договор об использовании объекта промышленной собственности, коммерческой концессии и др.) наряду с необходимыми требованиями, предусмотренными гражданским законодательством для каждого из вида договоров, устанавли­вать следующие дополнительные условия: обязательства сторон по установлению и соблюдению режима кон­фиденциальности для сведений, перечень которых определяется сторонами при заключении договора и может быть оформлен в качестве дополнительного приложения к основному договору; объем и способы использова­ния этих сведений; порядок выплаты и размер вознаграждения владельцу сведений.

2. Организациям при передаче в органы государственной власти и органы местного самоуправления до­кументов, содержащих сведения о секретах производства (ноу-хау) или коммерческую тайну организации, ус­танавливать гриф «коммерческая тайна».

Следует учитывать, что установленный режим конфиденциальности не распространяется на доступ госу­дарственных органов, их должностных лиц, действующих в пределах их компетенции, получающих соответст­вующие сведения при выполнении ими контрольных, надзорных и иных функций.

3. Правовые формы передачи ноу-хау

Основным правовым основанием передачи ноу-хау пользователю является договор. Основные виды до­говоров, в соответствии с которыми осуществляется передача ноу-хау, следующие:

♦ договор о конфиденциальности;

Поиск по сайту: