Школа Профессионального Фрачайзинга
Главная О школе О франчайзинге Трудоустройство Услуги Публикации Контакты En De
Записаться на обучение
Обучение
Программы обучения
Реестр
Мероприятия
Задать вопрос
Подкомитет по фрнчайзингу TПП РФ ПОДКОМИТЕТ ПО
ФРАНЧАЙЗИНГУ ТПП РФ
  Институт экономики РАН ИНСТИТУТ
ЭКОНОМИКИ РАН
Организация информационной безопасности при франчайзинге.

Организация информационной безопасности торгового предприятия при осуществлении франчайзинговых сделок практически ни чем не отличается от обеспечения информационной безопасности при любых других торговых сделках. Вместе с тем, можно выделить три особенности обеспечения их безопасности. Они касаются безопасности сделки в целом и информационной безопасности, в том числе. Первая особенность - полномасштабная проверка потенциального партнера, особенно на предмет мошенничества, корректности ведения бизнеса, законопослушности, платежеспособности, принятой политики управления персоналом, кадрового потенциала. Вторая - организации системы контроля использования переданных технологий, материалов, комплектующих и прочее. Третья - в договорах о передаче технологий обязательно должен быть пункт, касающийся ответственности за разглашение данных, составляющих коммерческую тайну, ответственности за неправомерное использование преданных технологий и материалов. На рис.1 показана модель построения системы информационной безопасности (ИБ). Основная задача, которая решается при организации системы ИБ состоит в минизации уязвимости, потенциала риска и обеспечение сохранности информационных ресурсов.



Рис.1 Модель построения системы информационной безопасности.



Угрозы, действующие на систему информационной безопасности представлены на рис.2.


Для того чтобы построить эффективную систему информационной безопасности необходимы три вещи:
    - четкое представление о том, что нуждается в защите;
    - осведомленность о соответствующих угрозах;
    - способность предотвратить угрозы.

Условно, всю информацию, за исключением той, которая составляет государственную, военную и служебную тайны, а также сведений, представляющих интерес для иностранных спецслужб, по вопросу о необходимости защиты, можно разделить на три группы:
• информация, которая не может составлять коммерческую тайну;
• группа сведений, которые невыгодно скрывать от окружения самому предпринимателю. Это касается, прежде всего, рекламной информации;
• сведения, представляющие хозяйственную ценность для предпринимателя.

Третья группа информации может содержать коммерческую тайну и относится к защищаемой информации.


Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.


Рис.3 Модель организации защиты информационных ресурсов



Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.


Принципиальная модель обеспечения безопасности информационных ресурсов приведена на рис.3.


Очевидно, что только полное обследование поможет надежно защитить информационные ресурсы, устранить слабости в защите критичных объектов и оценить общий уровень безопасности. При этом аудит информационной безопасности может выступать как в качестве самостоятельного комплекса работ независимо от прочих видов деятельности, так и в качестве одного из этапов в общей технологии обеспечения информационной безопасности. При этом схема проведения работ может быть следующей:


Рис.4. Методы выявления "слабых" мест в обеспечении безопасности информации



Внедрение систем защиты от утечки должно сопровождаться комплексом организационных мероприятий, которые обеспечивают интеграцию мер безопасности в нормативную базу предприятия и минимизируют риск, связанный с человеческим фактором.

Что может создавать опасность для бизнесменов, заинтересованных, разумеется, в соблюдении коммерческой тайны? Как правило, это:
• разведывательная деятельность конкурентов;
• несанкционированные действия сотрудников собственной фирмы;
• неправильная политика фирмы в области безопасности.

Угрозы информационным ресурсам проявляются в виде:
• разглашения конфиденциальной информации;
• утечки конфиденциальной информации;
• несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований.

Наиболее критичной, с точки зрения финансовых потерь, угрозой является ущерб, причиняемый собственными сотрудниками, и, в частности, утечка конфиденциальной информации из сетей компаний и организаций.

Основные каналы утечки информации:
• Люди;
• Документы;
• Технические каналы утечки информации.


Люди. Миграция специалистов, особенно имевших дело с конфиденциальной информацией, - основной и трудно контролируемый канал утечки информации.
Не следует упускать из виду также устные доклады и выступления сотрудников. Трудно ожидать, что сотрудники, чьи профессиональные позиции и личные амбиции нередко находятся в противоречии с интересами предприятия по сохранению информации, объективно оценивают, что может быть открыто для всеобщего ознакомления. Как отмечают эксперты, "советская привычка сотрудников делиться друг с другом (так называемый традиционный обмен опытом) является одним из существенных факторов, способствующих утечке коммерчески значимой для фирм информации".



Рис.5. Основные способы несанкционированного съема информации



1.Правовая защита.
2. Организационная защита.
3. Инженерно-техническая защита.
4. Охранная защита.
  Основным направлением противодействию утечке информации является обеспечение физической (технические средства, линии связи, персонал) и логической (операционная система, прикладные программы и данные) защиты информационных ресурсов. В целом, безопасность достигается комплексным применением аппаратных, программных и криптографических методов и средств защиты, а также организационных мероприятий. Организационные методы не требуют больших материальных затрат, но их эффективность подтверждена жизнью и что печально - часто недооценивается.


К числу организационных мер относятся:
• сохранность коммерческих секретов;
• организация специального делопроизводства, включающего в себя классификацию документов по степени и срокам их секретности, соответствующий учет, хранение, использование, уничтожение или рассекречивание;
• ограничение числа лиц, посвящаемых в коммерческие секреты фирмы, соблюдение ими правил пользования конфиденциальной информацией;
• наличие охраны на всех объектах фирмы, поддержание там, где это необходимо, пропускного и внутриобъектового режима;
• проведение мер, исключающих (либо существенно затрудняющих) использование конкурентами технических средств перехвата или съема информации с ее носителей.



Технические средства противодействия

    На каждый метод получения информации по техническим каналам ее утечки существует метод противодействия (часто не один), который может свести угрозу к минимуму. При этом успех зависит от двух факторов:
- от вашей компетентности в вопросах защиты информации (либо от компетентности тех лиц, которым это дело поручено) и от наличия оборудования, необходимого для защитных мероприятий. Первый фактор важнее второго, так как самая совершенная аппаратура останется мертвым грузом в руках дилетанта.
    В каких случаях целесообразно проводить меры защиты от технического проникновения? Прежде всего, такую работу необходимо осуществлять превентивно, не ожидая пока "грянет гром". Роль побудительного мотива могут сыграть сведения об утечке информации, обсуждавшейся в конкретном помещении узкой группой лиц, или обрабатывавшейся на конкретных технических средствах. Толчком к действию могут стать следы, свидетельствующие о проникновении в помещения вашей фирмы посторонних лиц, либо какие-то странные явления, связанные с используемой техникой (например, подозрительный шум в телефоне).
    Для создания системы защиты объекта от утечки информации по техническим каналам необходимо осуществить ряд мероприятий. Прежде всего, надо проанализировать специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подведенные коммуникации. Затем необходимо выделить те помещения, внутри которых циркулирует конфиденциальная информация, и учесть используемые в них технические средства.
    Далее следует осуществить такие технические мероприятия:


• проверить используемую технику на соответствие величины побочных излучений допустимым уровням;
• экранировать помещения с техникой или эту технику в помещениях; " перемонтировать отдельные цепи, линии, кабели;
• использовать специальные устройства и средства пассивной и активной защиты.



Осуществляя комплекс защитных мер, не стремитесь обеспечить защиту всего здания. Главное - ограничить доступ в те места и к той технике, где сосредоточена конфиденциальная информация (не забывая, конечно, о возможностях и методах дистанционного получения ее). В частности, использование качественных замков, средств сигнализации, хорошая звукоизоляция стен, дверей, потолков и пола, звуковая защита вентиляционных каналов, отверстий и труб, проходящих через эти помещения, демонтаж излишней проводки, а также применение специальных устройств (генераторов шума, засекречивающей аппаратуры связи (ЗАС) и др. серьезно затруднят или сделают бессмысленными попытки внедрения спецтехники. Именно поэтому для разработки и реализации мероприятий по защите информации от утечки по техническим каналам надо приглашать квалифицированных специалистов, либо готовить собственные кадры по соответствующим программам в соответствующих учебных центрах.



Правовое обеспечение информационной безопасности предприятия

    16 августа 2004 года вступил в силу Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне".
    Коммерческую тайну Закон определяет как конфиденциальность информации, позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Коммерческую тайну может составлять научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
    Право на отнесение информации к информации, составляющей коммерческую тайну, принадлежит лицу, осуществляющему предпринимательскую деятельность, - обладателю такой информации.
    Обладатель информации, составляющей коммерческую тайну, имеет право разрешать или запрещать доступ к ней, вводить ее в гражданский оборот на основании договоров, требовать от юридических и физических лиц, органов государственной власти и местного самоуправления, получивших доступ к коммерческой тайне (в том числе от лиц, получивших доступ к ней случайно или по ошибке), соблюдения обязанностей по охране ее конфиденциальности. В случае разглашения, незаконного получения или использования коммерческой тайны третьими лицами обладатель информации, содержащей коммерческую тайну, имеет право требовать возмещения убытков, причиненных нарушением его прав, а также защищать свои права иными законными способами.
    Для придания информации статуса коммерческой тайны обладатель информации должен установить режим коммерческой тайны, содержание которого определено Законом. Меры по охране конфиденциальности информации должны включать в себя:
а) определение перечня информации, составляющей коммерческую тайну;
б) ограничение доступа к ней путем установления порядка обращения с ней и контроля за его соблюдением;
в) учет лиц, получивших доступ к информации, содержащей коммерческую тайну, и лиц, которым такая информация была предоставлена или передана;
г) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
д) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество и место жительства).


    В Законе отдельно и подробно регламентируются меры по охране конфиденциальности информации в рамках трудовых и гражданско-правовых отношений, в частности устанавливается обязанность ознакомления работника под расписку с перечнем информации, составляющей коммерческую тайну, и установленным работодателем режимом коммерческой тайны, а также обязанность урегулирования вопросов, касающихся режима коммерческой тайны, в гражданско-правовых договорах, в том числе государственных контрактах.
    Закон определил сведения, которые не могут составлять коммерческую тайну и к которым относятся, в частности, сведения, связанные с подтверждением статуса юридического лица или индивидуального предпринимателя, экологической, санитарной и технологической безопасностью, соблюдением трудового законодательства, сведения об имуществе государственного или муниципального унитарного предприятия, государственного учреждения, и т.д.
    Следует обратить внимание, что ранее перечень сведений, которые не могут составлять коммерческую тайну, в целом аналогичного содержания, был утвержден Постановлением Правительства РСФСР от 05.12.1991 N 35. Это Постановление на настоящий момент не отменено, так же, как и ссылка Гражданского кодекса РФ (статья 139) на "иные правовые акты", определяющие сведения, которые не могут составлять коммерческую тайну.
    В перечне сведений, которые не могут составлять коммерческую тайну, утвержденном данным Законом, можно отметить некоторые примечательные новшества. К коммерческой тайне не могут быть отнесены, например, также сведения о нарушениях законодательства и фактах привлечения за это к ответственности, сведения об имуществе и доходах некоммерческих организаций, сведения о перечне лиц, имеющих право действовать без доверенности от имени юридического лица.


В целом, в статье 5 ФЗ перечислены следующие сведения, которые не могут составлять коммерческую тайну:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.


    Обладатель информации, составляющей коммерческую тайну, обязан предоставлять ее государственным органам или органам местного самоуправления по мотивированному требованию, содержащему, в частности, указание цели и правового основания затребования информации. В случае отказа обладателя информации предоставить ее указанным органам они вправе затребовать такую информацию в судебном порядке.
    Государственные органы и органы местного самоуправления обязаны создать условия, обеспечивающие охрану конфиденциальности предоставленной им информации. Должностные лица этих органов не вправе разглашать ее или передавать другим лицам, государственным органам или органам местного самоуправления, а также использовать в корыстных или иных личных целях.
    Запрет на передачу государственными органами предоставленной информации другим государственным органам имеет естественное исключение. Государственные органы и органы местного самоуправления, получившие информацию, составляющую коммерческую тайну, обязаны предоставить ее (так же, как и обладатель информации) по запросу судов, органов прокуратуры, предварительного следствия и дознания.
    Вступил в действие Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
    Предыдущий закон, принятый в 1995 году, морально и юридически устарел. Появились новые информационные технологии, изменились и российское законодательство, и социально-экономическая среда.
    Закон устанавливает и детализирует базовые правовые понятия, касающиеся информации, информационных сетей и систем, устанавливает правовой статус обладателей и пользователей информации, определяет правовой режим функционирования различных информационных систем.
    Урегулированы вопросы поиска, хранения, обработки, предоставления и распространения информации и вопросов функционирования информационных систем. Вводится понятие "обладатель информации". Это позволяет в рамках законодательства РФ решить вопрос о принадлежности информации и правомочиях ее обладателя. Определен порядок передачи информации по договору другому лицу.
    Вводится классификация информации по категории доступа к ней и порядку предоставления, раскрываются различные формы использования современных информационных технологий, таких как информационные системы и информационно-телекоммуникационные сети. Внесена норма о функционировании государственных и муниципальных информационных систем на языках народов России.
    Принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных". (Вводится в действие с 25 января 2007 года) Принятие этого документа является неотъемлемым условием осуществления Россией мер в связи с ратификацией конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
    Закон предусматривает защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Устанавливается запрет на обработку специальных категорий данных, касающихся расовой и национальной принадлежности, политических, религиозных или философских взглядов, состояния здоровья и интимной жизни. Недавно из законопроекта были исключены положения о создании ЕГРН (Единого государственного регистра населения). С одной стороны, в нем должна была содержаться минимальная информация о каждом человеке (ФИО, пол, дата и место рождения), но, с другой стороны, он должен был стать основой для объединения многочисленных государственных баз данных. Именно поэтому данная идея встретила серьезное сопротивление со стороны правозащитников и религиозных деятелей, причем свое беспокойство высказал даже Президент России. Реализация положений закона потребует от бизнеса новых инвестиций - придется собрать разрешения граждан на хранение приватных сведений и обеспечить защиту соответствующих баз данных.
    За нарушение настоящего Закона предусматривается дисциплинарная (в отношении работника, разгласившего информацию, составляющую коммерческую тайну, при отсутствии в действиях такого работника состава преступления), гражданско-правовая (в частности, в отношении государственных органов и органов местного самоуправления), а также административная или уголовная ответственность.
    Кодекс РФ об административных правонарушениях (статья 13.14) предусматривает ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Это правонарушение влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда, а на должностных лиц - от сорока до пятидесяти МРОТ.


Уголовный кодекс РФ (статья 183) предусматривает ответственность за:
а) собирание сведений, составляющих коммерческую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом;
б) незаконное разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
    Перечисленные деяния наказываются, в зависимости от мотива, величины ущерба и тяжести последствий, штрафом разной величины, лишением права занимать определенные должности или заниматься определенной деятельностью, либо лишением свободы на срок до десяти лет.



Перечень основных сведений, составляющих коммерческую тайну предприятия

    Как уже говорилось, первый признак коммерческой тайны связан с определением сведений, которые имеют действительную или потенциальную стоимость в силу их неизвестности третьим лицам.
    Следующим признаком сведений, которые относятся к коммерческой и служебной тайне, является отсутствие свободного доступа к таким сведениям на законном основании. Если соответствующая информация может быть получена законным образом любым заинтересованным лицом, например, путем изучения открытых данных, анализа образцов выпускаемой продукции, знакомства с публикациями и т.п., она коммерческой тайной не признается. Поэтому возможности предприятия по отнесению сведений, связанных с их деятельностью, к коммерческой и служебной тайне ограничены.
    По мнению специалистов, занимающихся промышленным шпионажем, негосударственные организации в наибольшей степени заинтересованы в получении сведений о конкурирующих фирмах, банках и компаниях по таким вопросам, как:

• финансовые отчеты и прогнозы;
• маркетинг и стратегия ценообразования;
• техническая спецификация существующей и перспектив продукции;
• условия заключаемых контрактов;
• перспективные планы развития производства;
• финансовое положение фирмы;
• условия продажи, реорганизации или слияния компании;
• организационная структура фирмы; " основные элементы системы безопасности;
• процедуры доступа к средствам связи и информационным сетям.



Ответственность за нарушения правил сохранности коммерческой тайны

    Гражданским кодексом Российской Федерации (часть первая ст. 139, п. 2) установлено, что "информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
    Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору".
    УК РФ предусмотрено (ст. 183), что собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений наказывается штрафом в размере от 100 до 200 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от 1 до 2 месяцев либо лишение свободы на срок до 2 лет.
    Эта же статья Уголовного кодекса указывает, что незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, наказываются штрафом в размере от 200 до 500 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев либо лишением свободы на срок до 3 лет со штрафом в размере до 50 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.
    УК РФ (ст. 138) предусматривает также ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Подобные действия наказываются штрафом в размере от 5U до 100 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года. Если такое преступление совершено Лицом с использованием своего служебного положения или с применением специальных технических средств, предназначенных для негласного получения информации, то наказание ужесточается. В данном случае применяется штраф от 100 до 300 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до трех месяцев. Виновный также может быть лишен права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо может быть арестован на срок от 2 до 4 месяцев.
    Уголовно наказуемым преступлением являются также незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации.
В этом случае виновники наказываются штрафом в размере от 200 до 500 минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо ограничением свободы на срок до 3 лет, либо лишением свободы на срок до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.


Обеспечение информационной безопасности является важным элементом системы экономической безопасности предприятия. Эффективность защиты информации обеспечивается системным подходом и комплексным применением основных способов защиты:

1. Правовая защита.
2. Организационная защита.
3. Инженерно-техническая защита.
4. Охранная защита.




Генеральный директор ООО "Технологии Безопасности Бизнеса"
Комаров Вадим Николаевич, www.bisec.ru.

 














© "Школа профессионального франчайзинга" 2005-2011 Тел.+7(495)772-3069 Тел./факс +7 (499)161-0519  e-mail: profs@mail.ru, fpsr@bk.ru