Целесообразно использовать две независимые консоли удаленного администрирования: одна в сегменте сети с информацией, доступ к которой не ограничен, другая в сегменте с конфиденциальной информацией. В сегмент ИСПДн устанавливать консоль удаленного администрирования нет необходимости в связи с небольшим количеством компьютеров.

Для хранения резервных копий используется сервер в сегменте сети с открытой информацией, в другие сегменты добавлены компьютеры, на эти компьютеры также предлагается установить средства защиты информации он несанкционированного доступа, а также консоль удалённого администрирования Paragon Remote Manager 2.0.

От компьютеров, предназначенных для хранения резервных копий, не требуется высокой производительности, основное требование - относительно большой объем дискового пространства. Рекомендуется использовать ПК с объемом дискового пространства больше 1 ТБ.

Администратор безопасности настраивает расписание задач резервного копирования для каждой машины с помощью консоли управления, или создает расписания задач для отдельных рабочих групп. Управление контрольными точками резервирования и дисковым пространством, выделенным под резервные копии, происходит автоматически.

Администратор безопасности должен регулярно просматривать отчеты задач, которые формируются удалёнными клиентами, и следить за состоянием резервных архивов.

2.2 Контрольный пример реализации проекта и его описание

В результате аудита информационной безопасности предприятия, были выявлены основные проблемы и рассчитан средний риск по всем объектам защиты, который составил 34 %. При этом наибольший показатель риска уязвимости определён у рабочего места сотрудника - 74%. Все это потребовало проведения определенных мероприятий по обеспечению информационной безопасности.

Учитывая вышеизложенное, в ходе выполнения дипломной работы была разработана определенная система мер для обеспечения информационной безопасности предприятия:

II. Технические

3. Аппаратные:

1) Приобрести источник бесперебойного питания для сервера.

2) Установить видеокамеры.

3) Приобрести сейфы и другие устройства для хранения документации.

4. Программные:

1) Установить систему КУБ.

2) Установить программное средство Secret Net 5.1.

3) Установить на рабочие места пользователей антивирусы. Наиболее удобной будет такая система: на сервере устанавливается антивирус-сервер, а на рабочих местах - клиентские приложения, работой которых управляет сервер. Это сравнительно недорогое решение, а главное, что администратор сможет управлять проверкой всех компьютеров с сервера.

4) Усовершенствовать политику паролей. Предлагать пользователю смену пароля раз в месяц, рекомендовать использование сложного пароля.

5) Выполнить разграничение доступа к документам на сервере;

6) Выделять разное количество трафика разным группам пользователей интернета, а также определить некоторый набор ресурсов, к которым можно получить доступ.

При введении этих мер нужно взять с работников письменное соглашение о соблюдении правил работы с информацией и техникой, которые могут быть изложены в трудовом договоре или отдельным документом.

Выполним пересчет рисков информационной безопасности после внедрения приведенных выше мер.

1. Объект защиты - автоматизированное рабочее место (АРМ) сотрудника. Критерий критичности (D) равен 48 337 рублей.

Стоит учитывать, что для защиты рабочего места сотрудников были предприняты такие меры:

? Установка автоматического блокирования компьютеров в режиме ожидания.

? Покупка камер видео наблюдения, монтаж и подключение к сети.

? Установка сложных паролей

? Докупка антивирусных программ.

? Инструкции по работе с АРМ и отключение usb-портов.

? Докупка антивирусных программ.

? Создание ограничений пользованием сети

Применение этих контрмер для снятия угроз представлено в таблице 2.1.

Таблица 2.1

Таблица угроз и уязвимостей после принятия контрмер.

Угроза	Уязвимости	Контрмеры
1.Физический доступ нарушителя к АРМ	1. Отсутствие системы контроля доступа служащих к чужим АРМам (пользователи могут оставить свой компьютер без присмотра с введенным паролем)	Установка автоматического блокирования компьютеров в режиме ожидания.
	2.Отсутствие системы видеонаблюдения в кабинетах (имеются только в производственных цехах)	Покупка камер видео наблюдения, монтаж и подключение к сети.
	3.Отсутствие политики паролей	Установка сложных паролей
2.Сбои в работе АРМ	1. Отсутствие антивирусного ПО на самих АРМ	Докупка антивирусных программ.
	2. Человеческий фактор	Инструкции по работе с АРМ и отключение usb-портов.
3.Разрушение конфиденциальной информации при помощи специальных программ и вирусов	1.Отсутствие антивирусного ПО на самих АРМ	Докупка антивирусных программ.
	2.Отсутствие ограничения доступа пользователей к внешней сети	Создание ограничений пользованием сети

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V)) и критичности реализации угрозы (ER). В резуьате применения мер по обеспечению информационной безопасности снизится вероятность возникновения угроз (таблица 2.2).



Таблица 2.2

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	0	50
1/2	0	50
1/3	0	90
2/1	1	80
2/2	5	20
3/1	1	80
3/2	0	60

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

На основе данной таблицы необходимо рассчитать уровень угроз по каждой уязвимости. Эти значения помогут оценить, какие уязвимости наиболее вероятны, а также рассчитать общее значение уязвимости ресурса.

Таблица 2.3

Таблица уровня угрозы

Угроза/уязвимость	Th	CTh
1/1	-	0
1/2	-
1/3	-
2/1	0,01	0,018
2/2	0,01
3/1	0,01	0,008
3/2	-

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)=0,026

Рассчитаем риск по ресурсу:

R= CThR*D=0,026*48 337=1 245, 97 (руб.).

Таким образом, уровень риска будет всего 2,6% и потери в год снизятся на 34 504, 39 руб.

Эффективность применения контрмер рассчитывается по формуле:

В нашем случает она равна 97%.

2. Объект защиты - сервер локальной сети.

Таблица угроз и уязвимостей после принятия контрмер.

Таблица 2.4

Таблица угроз и уязвимостей

Угроза	Уязвимости	Контрмеры
1.Разглашение, уничтожение или разглашение КИ, хранящейся на сервере	1. Доступ к информации с АРМ	Создание ограничений пользованием сети
	2. Наличие удаленного доступа	Создание ограничений пользованием сети
2.Выход сервера из строя	1.Большое количество подключений	Обновление опций сервера.
	2.Сбои электричества	Покупка источника бесперебойного питания

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).



Таблица 2.5

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	0	60
1/2	5	20
2/1	0	20
2/2	0	40

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 2.6

Таблица уровня угрозы по определённой уязвимости

Угроза/уязвимость	Th	CTh
1/1	-	0,01
1/2	0,01
2/1	-	0
2/2	-

Th=P(V)/100*ER/100 CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,01

Рассчитаем риск по ресурсу:

R=CTh*D=0,01*1 030 400 = 10 304 (руб.).

Общий риск принимает значение 1%, экономия в год на 145 309, 15 руб., эффективность контрмер - 93%.

3. Объект защиты - Конфиденциальная документация.



Таблица 2.7

Таблица угроз и уязвимостей после введения контрмер.

Угроза	Уязвимости	Контрмеры
1.Физический доступ нарушителя к документам	1.Беспорядок на рабочем месте	Покупка сейфов и других устройств для хранения документации, создание инструкций рабочего места.
	2.Отсутствие видеонаблюдения	Докупка камер видеонаблюдения, монтаж и подключение в сеть.
2.Несанкционированное копирование, печать и размножение КД	1.Нечеткая организация конфиденциального документооборота	Разработка правил работы с конфиденциальной информацией и доведение к сведенью сотрудников имеющих к ней доступ.
	2. Неконтролируемый доступ сотрудников к копировальной и множительной технике	Ограничение доступности, ведение учёта.

Критерий критичности (D) равен 300 000 рублей. Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).

Таблица 2.8

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	5	10
1/2	0	10
2/1	0	30
2/2	5	20

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).



Таблица 2.9

Таблица уровня угрозы

Угроза/уязвимость	Th	CTh
1/1	0,01	0,001
1/2	-
Угроза/уязвимость	Th	CTh
2/1	-	0,001
2/2	0,01

Th=P(V)/100*ER/100 CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,02

Рассчитаем риск по ресурсу:

R=CTh*D=0,02*300 000=5 970 (руб).

Общий риск принимает значение 2%, экономия в год на 31 377, 46 руб., эффективность контрмер - 84%. Можно сделать вывод, что все предложенные меры очень эффективны, средняя эффективность мер - 91%, экономия в результате их применения - 211 191, 01 руб. в год.



3. Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

Экономическая эффективность - базовая категория теории и практики принятия управленческих решений об инвестировании средств в развитие производства.

«Результаты» и «затраты» являются важнейшими понятиями, связанными с измерением экономической эффективности инвестиционных проектов.

Результаты отображают те глобальные задачи, которые должны быть решены в инвестиционном проекте для достижения главной цели экономического развития. Результаты напрямую связаны с преследуемыми инвесторами целями. В инвестиционном проектировании приходится иметь дело как с экономическими, так и внеэкономическими результатами.

Достижение намеченных в проекте целей и соответствующих результатов предполагает осуществление определенных единовременных и текущих затрат. Единовременные затраты, направляемые на закупку оборудования, транспортных средств, строительство зданий и сооружений и т.п., в конечном счете аккумулируются в основном капитале, а направляемые на создание запасов сырья, материалов, незавершенного производства и т.п. - в составе оборотного капитала.

Текущие затраты формируют себестоимость продукции (услуг).

Разность оценок результатов и затрат формируют эффект, позволяющий судить о том, что получит инвестор в результате реализации проекта.

Эффект можно представить в двух выражениях:

1) Разность совокупного результата и совокупных затрат.

2) Разность совокупных результатов и только текущих издержек.

Эффективность - синтетическая категория. Она позволяет судить о том, какой ценой достигается поставленная в проекте цель. Чаще всего ее трактуют как выражение соотношения результатов затрат, но можно трактовать и как соотношение эффекта и единовременных затрат.

Эффективность инвестиционного проекта определяется для решения ряда задач:

1) оценки потенциальной целесообразности реализации проекта, т.е. проверки условия, согласно которому совокупные результаты превышают затраты всех видов в приемлемых для инвесторов размерах;

2) оценки преимуществ рассматриваемого проекта в сравнении с альтернативными;

3) ранжирование проектов по принятой системе показателей эффективности с целью их последующего включения в инвестиционную программу в условиях ограниченных финансовых и других ресурсов.

Срок окупаемости (англ. Pay-Back Period) - период времени, необходимый для того, чтобы доходы, генерируемые инвестициями, покрыли затраты на инвестиции. Этот показатель определяют последовательным расчетом чистого дохода (англ. Present Value) для каждого периода проекта. Точка, в которой PV примет положительное значение, будет являться точкой окупаемости.

Для обозначения дисконтированного срока окупаемости проекта могут использоваться сокращения DPBP (англ. Discounted Pay-Back Period) или DPB (англ. Discounted Pay-Back).

PBP рассчитывается по формуле:

Окупаемость капитальных вложений, один из показателей эффективности капитальных вложений, отношение капитальных вложений к экономическому эффекту, получаемому благодаря этим вложениям.

Период окупаемости рассчитывается по формуле:

(1)

где T_ОК - период окупаемости (месяцев);

КЗ_А - капитальные затраты автоматизации;

Э_М - месячная экономия.

Капитальные затраты автоматизации рассчитываются следующим образом:

(2)

где Ц_ПО - капитальные затраты на покупку программного обеспечения;

К_ТЕХ - капитальные затраты на покупку технического обеспечения;

К_РМ - капитальные затраты на создание рабочего места пользователя;

К_ПР - капитальные затраты на приобретение и установку программы;

К_Н - капитальные затраты на настройку программы.

(3)

3.2 Предварительный расчет экономической эффективности и окупаемости

Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.

Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.

Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.

Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),

- во-первых, ожидаемые потери при нарушении защищенности информации;

- во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

- во-первых, полный перечень угроз информации;

- во-вторых, потенциальную опасность для информации для каждой из угроз;

- в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Уровень потерь по каждому объекту защиты был оценен в пункте 1.2. Сведем имеющиеся данные в таблицу.



Таблица 3.1.

Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
Утрата конфиденциальности	Персональные данные учеников	50
Утрата конфиденциальности	Данные об успеваемости	100
Утрата доступности, целостности	Документы школы (Устав, Положения, Локальные акты)	20
Утрата доступности, целостности	Перечень дополнительных образовательных услуг	10
Утрата доступности, целостности	Электронные пособия	250
Утрата целостности	Бухгалтерская и налоговая отчетность	500
Нарушение целостности	Программное обеспечение	300
Утрата доступности	Компьютерные средства	450
Итого:	1680

Таким образом, общий прогнозируемый объем потерь от реализации угроз информационной безопасности составляет 1680 тыс. руб.

Рассчитаем затраты на внедрение системы защиты. Не все мероприятия по защите требуют вложений, так как часть их входит в обязанности работников предприятия. Служба безопасности, отдел автоматизации и технического обеспечения выполнят такие работы как:

- подключение к системе камер видеонаблюдения;

- разграничение прав пользователей;

- разработка политику доступа в интернет;

- разработка правила работы с конфиденциальной информацией.

Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.

Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.

Наиболее общей формой представления ресурса является денежная мера.

Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.

Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.

Постоянный ресурс -- на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.

Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):

- расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;

- величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;

Таблица 3.2

Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел.час)	Стоимость, всего (тыс.руб.)
1	Доставка технических средств	120	10	1,2
2	Установка технических средств	130	120	15,6
Стоимость проведения организационных мероприятий, всего	16,8
Мероприятия инженерно-технической защиты
№ п/п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (тыс.руб)	Кол-во (ед.измерения)	Стоимость, всего (тыс.руб.)
1	ЖК-монитор	5,64	2	11,28
2	Видеокамера AS-1	2,15	7	15,05
3	Видеокамера AS-4	2,74	2	5,48
4	Видеокамера KPC-500	1,36	4	5,44
5	Видеоглазок KPC-190DV	1,539	2	3,078
6	Видеокамера KPC-S20	1,49	21	31,29
7	Коаксиальный кабель (м)	0,02	400	8
Стоимость проведения мероприятий	79,618
Объем разового ресурса, выделяемого на защиту информации	96,418

Постоянный ресурс на внедрение новых средств защиты информации не требуется, т.к. в компании уже имеются сотрудники, обеспечивающие информационную безопасность, поэтому выделения дополнительных средств не требуется.

Суммарное значение ресурса выделяемого на защиту информации составляет 96418 руб.

Внедряемая система защита экономически эффективна, т.к. затраты на ее внедрение существенно ниже, чем потери от угроз информационной безопасности. Расчет прогнозируемых данных о величине потерь (рисков) для критичных информационных ресурсов после модернизации системы защиты информации приведены в таблице 3.3.

Таблица 3.3

Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
Утрата конфиденциальности	Персональные данные учеников	40
Утрата конфиденциальности	Данные об успеваемости	85
Утрата доступности, целостности	Документы школы (Устав, Положения, Локальные акты)	5
Утрата доступности, целостности	Перечень дополнительных образовательных услуг	5
Утрата доступности, целостности	Электронные пособия	210
Утрата целостности	Бухгалтерская и налоговая отчетность	450
Нарушение целостности	Программное обеспечение	250
Утрата доступности	Компьютерные средства	410
Итого:	1455

После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Т_ок). Это выполняется аналитическим способом, с использованием формулы:

Т_ок = R_? / (R_ср - R_прогн)

Это также выполняется графическим способом, как это представлено на рис. 3.1.

Рис. 3.1. Динамика потерь

Срок окупаемости проекта составит менее полугода (около 5 месяцев). Таким образом, предложенные средства защиты очень эффективны.



Заключение

Внедрение системы информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности. Этапы построения политики безопасности - это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, а также определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим определённую степень ценности.

Правовые меры обеспечения сохранности коммерческой тайны являются первоочередными, т.к. они призваны обеспечить эффективное функционирование остальных мер обеспечения конфиденциальности информации. С этой точки зрения правовые меры являются первичными по отношению к остальным мерам.

Все документы должны пройти согласование с юридической службой предприятия, утверждены руководством и введены в действие приказомпо предприятию. При этом необходимо также учитывать, что документы должны соответствовать законам и другим правовым документам РФ в этой области, так как на работников накладываются определённые ограничения и ответственность, вплоть до уголовной, за нарушения правил работы с коммерческой тайной.

На предприятии предлагается внедрить программный комплекс КУБ. Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа. Именно эти задачи являются ключевыми для комплексного управления доступом.

По результатам анализа объекта защиты и обзора технических средств разработаны проект модернизации существующей системы видеонаблюдения. Модернизированная система обеспечивает надежную защиту объекта от несанкционированного проникновения и полностью отвечает требованиям банка в сфере видеонаблюдения. При выборе технических средств особое внимание уделялось их функциональным характеристикам и технической совместимости устройств друг с другом. Разработанная система полностью отвечает требованиям технического задания и готова к внедрению на данном объекте.

Таким образом, в дипломной работе были предложены меры по защите информации, которые позволят избежать рисков и потерь. Затраты на реализацию мер составляют 1 455 000 рублей. Разработанная система принятия мер по обеспечению информационной безопасности оправдает себя через 5 лет.



Список литературы

1. Искусство управления информационными рисками. [Электронный ресурс] - Режим доступа: http://анализ-риска.рф/

2. Анализ рисков в управлении информационной безопасностью. [Электронный ресурс] - Режим доступа: http://www.iso27000.ru/

3. Гражданский кодекс РФ. [Электронный ресурс] - Режим доступа: http://www.grazkodeks.ru/

4. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. [Электронный ресурс] - Режим доступа:http://www.opengost.ru/iso/13_gosty_iso/13110_gost_iso/4958-gost-r-iso_mek-to-13335-3-2007-it.-metody-i-sredstva-obespecheniya-bezopasnosti.-chast-3.-metody-menedzhmenta-bezopasnosti-informacionnyh-tehnologiy.html

5. Функции Сервера 1С. [Электронный ресурс] - Режим доступа: http://howknow1c.ru/nastroika-1c/1s-server.html.

6. Система «Ареал CRM». [Электронный ресурс] - Режим доступа: http://www.arealcrm.ru/features#part1

7. Система «CRM клиенты и продажи». [Электронный ресурс] - Режим доступа: http://www.megaplan.ru/products/crm.html

8. 1С: Предприятие 8. Управление торговлей и взаимоотношениями с клиентами (CRM). [Электронный ресурс] - Режим доступа: http://www.1service.com.ua/price/sale.php

9. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности. Основные термины и определения. [Электронный ресурс] - Режим доступа: http://www.opengost.ru/iso/35_gosty_iso/35020_gost_iso/11522-gost-r-53114-2008-zaschita-informacii.-obespechenie-informacionnoy-bezopasnosti.-osnovnye-terminy-i-opredeleniya.html

10. Кустов Г.А. Управление информационными рисками организации на основе логико-вероятностного метода: автореф. дис. канд. тех. наук. - Уфа, 2008. - 18 с.

11. Симонов С. Технологии и инструментарий для управления рисками // Jet Info. - 2003. - № 2 (117). - С. 3-32.

12. Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002).

13. Информационная безопасность (2-я книга социально-политического проекта "Актуальные проблемы безопасности социума"). М.: "Оружие и технологии", 2009.

14. Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006).

15. Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799-2005).

16. Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 - 2006).

17. Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р 50.1.053-2005).

18. Рекомендации по стандартизации "Техническая защита информации. Основные термины и определения" (Р 50.1.056-2005).

19. Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи

20. Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. М.: 2001.

21. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. - М.: ПЕР СЭ-Пресс, 2005.

22. Доктрина информационной безопасности Российской Федерации / Чернов А.А. Становление глобального информационного общества: проблемы и перспективы. Приложение 2. М.: "Дашков и К", 2003.

23. Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004. - 992 с.

24. Ильюшенко В.Н. Информационная безопасность общества. Учебное пособие. - Томск, 1998.

25. Кулаков В.Г. Региональная система информационной безопасности: угрозы, управление, обеспечение. - Автореф. дисс. … д-ра техн. наук. - Воронеж, 2005.

26. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.

27. Уткин А.И. Глобализация: процесс осмысления. М.: "Логос", 2001.

28. Фролов Д.Б. Государственная информационная политика в условиях информационно-психологической войны. - М.: Горячая линия - Телеком, 2003.



Приложение 1

Положение о коммерческой тайне и режиме ее обеспечения

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Целью настоящего Положения является защита законных прав и интересов ООО «Рапидо» (далее - Общество) как субъекта предпринимательской деятельности, а также организация мероприятий по недопущению распространения среди третьих лиц информации, составляющей коммерческую тайну Общества.

1.2. Настоящее Положение о коммерческой тайне и режиме её обеспечения (далее - «Положение») разработано и принято в соответствии со ст. 139 Гражданского кодекса РФ, Федеральным законом от 29.07. 2004 г. №98-ФЗ «О коммерческой тайне» с изм. и доп., иными нормативно-правовыми актами РФ.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. Под коммерческой тайной понимается конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

2.2. Под информацией, составляющей коммерческую тайну, понимается научно-техническая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании, и в отношении которой Обществом введен режим коммерческой тайны.

2.3. Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые Обществом как обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

2.4. Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

2.5. Доступ к информации, составляющей коммерческую тайну - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.

2.6. Разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

2.6.1. Сведения, составляющие коммерческую тайну Общества, могут быть представлены работниками Общества согласно выполняемых ими функциональных обязанностей только по требованию правоохранительных, государственных надзорных и контролирующих органов, иных органов государственной власти, иных государственных органов, органов местного самоуправления в соответствии с действующим законодательством Российской Федерации.

2.6.2. Работник Общества имеет право разглашать коммерческую тайну Общества только с предварительного письменного согласия генерального директора Общества, в объемах, предварительно согласованных данным работником с генеральным директором Общества в письменной форме, и только тем лицам, с которыми работник Общества уполномочен общаться в своем официальном качестве (во исполнение своих непосредственных служебных обязанностей).

3. ИНФОРМАЦИЯ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ ОБЩЕСТВА

3.1. Коммерческой тайной Общества является следующая информация:

3.1.1. сведения о структуре производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, готовой продукции;

3.1.2. объекты интеллектуальной деятельности и научно-технической разработки (открытия, изобретения, рационализаторские предложения, полезные модели, конструкции, промышленные образцы, не запатентованные по каким-либо причинам; программы ЭВМ, базы данных; секреты производства (ноу-хау);

3.1.3. конструкционные характеристики продукции Общества;

3.1.4. сведения, содержащиеся в нормативно-технологической и конструкторской документации;

3.1.5. сведения об особенностях конструкторско-технологического, художественно-технического решения изделия, дающих положительный экономический эффект;

3.1.6. сведения о материалах, из которых изготовлены отдельные детали, части изделий;

3.1.7. сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономических обоснованиях, планируемых изменениях номенклатуры продукции;

3.1.8. сведения о планах внедрения новых технологий;

3.1.9. сведения о подготовке, принятии и исполнении отдельных решений руководства Общества по производственным, коммерческим, организационным и иным вопросам;

3.1.10. сведения о составе поставщиков и покупателей продукции Общества;

3.1.11. ведения о планах инвестиций, закупок и продаж;

3.1.12. сведения о методах расчета, структуре, уровне цен на продукцию и размерах скидок;

3.1.13. сведения о маркетинговых проектах, о применяемых оригинальных методах изучения рынка;

3.1.14. сведения о направлениях маркетинговых исследований, результатах изучения рыночной конъюнктуры;

3.1.15. сведения о рыночной стратегии Общества;

3.1.16. сведения о рынках сбыта продукции;

3.1.17. сведения о применяемых оригинальных методах осуществления продаж;

3.1.18. сведения об условиях работы с клиентами;

3.1.19. сведения о товарообороте Общества, в т. ч. о размере ежегодной выручки и о размере продаж за отдельный период;

3.1.20. сведения о наличии товарных запасов, об ассортименте товаров, пользующихся повышенным спросом.

3.1.21. сведения о структуре цен на выпускаемую продукцию;

3.1.22. нормативы, используемые в составлении бухгалтерских отчетов;

3.1.23. содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности;

3.1.24. материалы анализа финансово-хозяйственной деятельности Общества за любой период времени;

3.1.25. сведения о фонде развития Общества;

3.1.26. рабочие документы органов управления Обществом;

3.1.27. сведения об источниках финансирования, финансовой устойчивости Общества;

3.1.28. сведения о размерах и составе имущества Общества, ее денежных средствах и прочих активах, об открытии и закрытии счетов Общества, о наличии и движении средств на этих счетах, о каких-либо операциях по этим счетам;

3.1.29. сведения о вложении средств Общества в доходные активы, банковские депозиты, уставной капитал других предприятий, ценные бумаги, процентные облигации и займы, фонды совместной деятельности без образования юридического лица по договорам о совместной деятельности, любое движимое и недвижимое имущество;

3.1.30. сведения о размерах, расположении, техническом состоянии движимого и недвижимого имущества, находящегося в собственности, аренде, владении, доверительном управлении, коммерческой или технической эксплуатации, временном пользовании Общества или иным образом принадлежащего Обществу либо переданного Обществом другим организациям в аренду/субаренду, временное пользование, владение, доверительное управление, коммерческую или техническую эксплуатацию или иным образом, а также какие-либо сведения об арендаторах, субарендаторах и иных организациях, занимающих, использующих или эксплуатирующих указанное имущество, в том числе о тех организациях, которым соответствующие помещения предоставлены исключительно в качестве юридического адреса;

3.1.31. сведения о переговорах и коммерческой корреспонденции (деловой переписке), ведущихся Обществом со страховыми организациями на предмет страхования Обществом имущества, строительно-монтажных работ, доходов от предпринимательской деятельности, иных видов страхования, о заключении Обществом договоров и соглашений со страховыми организациями, о страховых суммах и ставках страховых премий по этим договорам, а также о каких-либо выплатах страховых премий или страхового возмещения по этим договорам;

3.1.32. сведения о заказчиках, подрядчиках, поставщиках, покупателях, компаньонах, спонсорах, посредниках и других партнерах деловых отношений Общества, а также о его конкурентах, которые не содержатся в открытых источниках (справочниках, каталогах и т.п.);

3.1.33. сведения о целях, задачах, тактике переговоров с деловыми партнерами Общества; о подготовке и результатах проведения переговоров с деловыми партнерами Общества; обо всех переговорах и коммерческой корреспонденции (деловой переписке), ведущихся Обществом на предмет заключения договоров (контрактов) касательно реализации товаров, работ и услуг, аренды, пользования имуществом, привлечения инвестиций в форме денежных и иных материальных средств, создания совместных предприятий, организации совместной деятельности без создания юридического лица, залога прав и имущества, выселения арендаторов, оказания финансовой помощи, обмена денежными средствами, получения, выдачи и возврата кредитов и ссуд, выплаты процентов и комиссии по кредитам/ссудам, и так далее;

3.1.34. сведения о договорах (контрактах) Общества с другими предприятиями, организациями, индивидуальными предпринимателями, а также отдельными физическими лицами, об их условиях, а также о местонахождении оригиналов, ксерокопий и текстов этих договоров и контрактов и доступе к ним, в том числе в виде записей на магнитных носителях информации и в электронных (компьютерных) базах данных Общества (здесь и далее понятие «договоры (контракты)» включает не только сами договоры и контракты, но также любые изменения, дополнения, поправки, акты, протоколы, приложения, корреспонденцию, платежные поручения и требования, относящиеся к этим договорам, контрактам);

3.1.35. сведения о состоянии компьютерного и программного обеспечения деятельности Общества;

3.1.36. сведения о паролях, кодах доступа к сведениям, составляющим коммерческую тайну Общества, на электронных носителях;

3.1.37. сведения о местонахождении печатей, чистых бланков, бланков платежных поручений Общества и доступе к ним, а также о порядке подписания платежных и иных официальных документов Общества, включая договоры (контракты), а также любые изменения, дополнения, поправки, акты, протоколы, приложения, корреспонденцию, платежные поручения и требования, относящиеся к этим договорам и контрактам;

3.1.38. сведения о порядке и состоянии организации защиты коммерческой тайны;

3.1.39. сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации;

3.1.40. сведения, составляющие коммерческую тайну фирм-партнеров и переданные на доверительной основе Обществу.

3.2. В соответствии с положениями ст. 5 Федерального закона «О коммерческой тайне» не могут составлять коммерческую тайну следующие сведения:

3.2.1. содержащиеся в учредительных документах юридического лица, документах, подтверждающие факт внесения записей о юридическом лице в соответствующие государственные реестры;

3.2.2. содержащиеся в документах, дающих право на осуществление предпринимательской деятельности;

3.2.3. о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

3.2.4. о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

3.2.5. о задолженности по выплате заработной платы и по иным социальным выплатам;

3.2.6. о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

3.2.7. об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

3.2.8. о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

3.2.9. обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

3.3. Общество предоставляет информацию, составляющую коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления на безвозмездной основе. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами.

3.4. Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, иные государственные органы, органы местного самоуправления, получившие такую информацию, обязаны предоставить эту информацию по запросу судов, органов прокуратуры, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации.

3.5. На документах, предоставляемых указанным в п.п. 3.3. и 3.4. органам и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф «Коммерческая тайна» с указанием ее обладателя (Общества) (полное наименование и юридический адрес Общества).

3.6. Внесение любых изменений и дополнений в настоящее Положение возможно в следующих случаях:

3.6.1. если какая-либо информация может иметь действительную или потенциальную коммерческую ценность в силу неизвестности её посторонним (третьим) лицам, но по любым причинам оказалась вне сферы охвата настоящего Положения;

3.6.2. в законодательство Российской Федерации о коммерческой тайне будут внесены изменения и дополнения.

4. ПОРЯДОК ОТНЕСЕНИЯ СВЕДЕНИЙ К КОММЕРЧЕСКОЙ ТАЙНЕ ОБЩЕСТВА

4.1. Отнесение сведений к коммерческой тайне осуществляется путем внесения их в перечень информации, составляющей коммерческую тайну Общества, и установления ограничений на разглашение и доступ к ее носителям.

4.2. Отнесение сведений к коммерческой тайне осуществляется генеральным директором Общества в соответствии с принципами обоснованности и своевременности. Обоснованность заключается в установлении целесообразности отнесения конкретных сведений к коммерческой тайне. Своевременность заключается в установлении ограничений на разглашение этих сведений с момента их получения (разработки) или заблаговременно до указанного момента.

4.3. В исключительных случаях, не терпящих отлагательства, отнесение сведений к коммерческой тайне осуществляется путем проставления генеральным директором Общества грифа «Коммерческая тайна», с последующим оформлением этих сведений в порядке, предусмотренном настоящим Положением. В данном случае указанные сведения приобретают статус коммерческой тайны с момента проставления указанного грифа.

5. НОСИТЕЛИ КОММЕРЧЕСКОЙ ИНФОРМАЦИИ

5.1. Носителями коммерческой тайны являются следующие документы:

5.1.1. заключенные Обществом договоры, контракты, соглашения и т.п.;

5.1.2. проекты договоров, контрактов, соглашений и т.п.;

5.1.3. аналитические записки руководителей структурных подразделений о деятельности возглавляемых ими структурных подразделений;

5.1.4. расчеты, справки, иные документы бухгалтерии Общества о калькуляции издержек производства Общества, о себестоимости выпускаемой продукции, структуре цен на продукцию, а также об уровне прибыли Общества, материалы анализа финансово-хозяйственной деятельности;

5.1.5. иные носители, содержащие информацию, отнесенную пунктом 3.1. настоящего Положения к коммерческой тайне;

а также:

a рукописи, черновики указанных документов;

a чертежи;

a диски, дискеты и т.п.;

a модели, материалы, изделия и пр.,

содержащие в себе информацию, составляющую коммерческую тайну Общества.

5.2. Носителями коммерческой тайны являются также следующие работники Общества:

5.2.1. генеральный директор Общества;

5.2.2. главный бухгалтер Общества;

5.2.3. заместитель главного бухгалтера Общества;

5.2.4. финансовый директор Общества;

5.2.5. коммерческий директор Общества;

5.2.6. директор по маркетингу Общества;

5.2.7. директор отдела сбыта Общества;

5.2.8. руководители структурных подразделений Общества, которые в порядке исполнения трудовых обязанностей организуют либо непосредственно создают носители коммерческой тайны;

5.2.9. специалисты Общества, которые в порядке исполнения трудовых обязанностей создают носители коммерческой тайны;

5.2.10. иные работники Общества, которые в порядке исполнения трудовых обязанностей осуществляют технические и организационные функции по созданию носителей коммерческой тайны.

5.3. Перечень должностей работников Общества, которым доступ к сведениям, составляющим коммерческую тайну Общества, необходим для исполнения ими своих трудовых обязанностей, установлен в Приложении № 1 к настоящему Положению.

6. ОХРАНА КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В РАМКАХ ТРУДОВЫХ ОТНОШЕНИЙ

6.1. Обладателем сведений, составляющих коммерческую тайну, полученных в рамках трудовых отношений, является работодатель - Общество.

6.2. В случае получения работником Общества в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя результата, способного к правовой охране в качестве изобретения, полезной модели, промышленного образца, программы для электронных вычислительных машин или базы данных, отношения между работником и работодателем регулируются в соответствии с законодательством Российской Федерации об интеллектуальной собственности.

6.3. В целях охраны конфиденциальности информации Общество обязано:

6.3.1. ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;

6.3.2. ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;

6.3.3. создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

6.4. Доступ работника к информации, составляющей коммерческую тайну Общества, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

6.5. В целях охраны конфиденциальности информации работник обязан:

6.5.1. выполнять установленный Обществом режим коммерческой тайны;

6.5.2. выполнять относящиеся к нему требования приказов, инструкций и настоящего Положения по обеспечению сохранности сведений, составляющих коммерческую тайну Общества, и ее носителей, соблюдать порядок работы и хранения в отношении документов, содержащих коммерческую тайну, порядок сдачи помещений под охрану и приема из-под охраны, порядок доступа и работы с персональными компьютерами и иной электронной техникой;

6.5.3. сохранять коммерческую тайну контрагентов Общества;

6.5.4. не использовать коммерческую тайну Общества для занятий другой деятельностью, а также в процессе работы для другой организации, предприятия, учреждения, по заданию физического лица или в ходе осуществления предпринимательской деятельности без образования юридического лица, которая в качестве конкурентного действия может нанести ущерб Обществу;

6.5.5. не использовать сведения, составляющие коммерческую тайну Общества, в научной и педагогической деятельности, в ходе публичных выступлений, интервью;

6.5.6. не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются Общество и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и Обществом, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;

6.5.7. возместить причиненный Обществу ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;

6.5.8. передать Обществу при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.

6.6. Общество вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении информации, составляющей коммерческую тайну, доступ к которой это лицо получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение срока, предусмотренного соглашением между этим лицом и Обществом, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось.

6.7. Работник, который в связи с исполнением трудовых обязанностей получил доступ к сведениям, составляющим коммерческую тайну, обладателями которой являются Общество и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

7. ПОРЯДОК ДОПУСКА К ДОКУМЕНТАЛЬНЫМ НОСИТЕЛЯМ КОММЕРЧЕСКОЙ ТАЙНЫ

7.1. К носителям коммерческой тайны имеют свободный (несанкционированный) доступ следующие работники Общества:

7.1.1. генеральный директор Общества;

7.1.2. главный бухгалтер Общества;

7.1.3. заместитель главного бухгалтера Общества;

7.1.4. финансовый директор Общества;

7.1.5. коммерческий директор Общества;

7.1.6. директор отдела сбыта Общества;

7.1.7. руководители структурных подразделений Общества (к документальным носителям, подготовленным работниками этого подразделения).

7.2. Работники Общества, которым доступ к сведениям, составляющим коммерческую тайну Общества, необходим для исполнения ими своих трудовых обязанностей (перечень должностей установлен в Приложении № 1 к настоящему Положению) имеют доступ к носителям информации только после заключения письменного соглашения о неразглашении сведений, составляющих коммерческую тайну Общества.

7.3. Все иные лица допускаются к носителям информации только с письменного разрешения генерального директора Общества.

8. ОБЯЗАННОСТИ РАБОТНИКОВ, ЯВЛЯЮЩИХСЯ НОСИТЕЛЯМИ КОММЕРЧЕСКОЙ ТАЙНЫ

8.1. Работники Общества, указанные в пункте 5 настоящего Положения, обязаны не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель (Общество) и его контрагенты в какой бы то ни было форме, не использовать без их согласия эту информацию в личных целях.

8.2. Разглашение информации, составляющей коммерческую тайну, работниками возможно только в порядке, установленном настоящим Положением.

8.3. Работник обязан работать только с той информацией и носителями, содержащими коммерческую тайну, к которым он получил доступ в силу своих трудовых отношений с Обществом или в ином порядке, установленном настоящим Положением, знать какие конкретно сведения подлежат защите, а также строго соблюдать правила пользования ими.

8.4. Работник должен знать также, кому из работников Общества разрешено работать с информацией, составляющей коммерческую тайну, к которым он сам допущен, и в каком объеме эта информация может быть доведена до этих работников.

8.5. Об утрате или недостаче носителей, содержащих коммерческую тайну Общества, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов, металлических шкафов, печатей, а также о причинах и условиях возможной утечки такой информации работник обязан немедленно сообщить руководителю структурного подразделения, начальнику отдела безопасности и генеральному директору Общества.

8.6. В случае попытки посторонних физических или юридических лиц получить информацию, составляющую коммерческую тайну, работник обязан сообщить об этом руководителю структурного подразделения, начальнику отдела безопасности и генеральному директору Общества.

8.7. Работник обязан передать работодателю (Обществу) при прекращении или расторжении трудового договора имеющиеся в его распоряжении материальные носители сведений, составляющих коммерческую тайну Общества.

9. ОТВЕТСТВЕННОСТЬ ЗА НЕСАНКЦИОНИРОВАННОЕ РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ ТАЙНЫ

9.1. Нарушение настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

9.2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

9.3. Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну Общества, несут перед Обществом гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей.