Оценка безопасности ИС

6. Федеральный закон от 21 ноября 1996 г. N 129-ФЗ "О бухгалтерском учете" (с изменениями от 3 ноября 2006 г.)

Статья 10. Регистры бухгалтерского учета (п. 4)

7. Федеральный закон от 26 июля 2006 г. N 135-ФЗ "О защите конкуренции"

Статья 14. Запрет на недобросовестную конкуренцию

Статья 25. Обязанность представления  информации в антимонопольный орган 

Статья 26. Обязанность антимонопольного органа по соблюдению коммерческой, служебной, иной охраняемой законом тайны

8. Налоговый кодекс Российской Федерации часть первая от 31 июля 1998 г. N 146-ФЗ и часть вторая от 5 августа 2000 г. N 117-ФЗ

(с изменениями от 30 декабря 2006 г.)

Глава 14. Налоговый контроль

Статья 102. Налоговая тайна

9. Арбитражный процессуальный кодекс РФ от 24 июля 2002 г. N 95-ФЗ (с изменениями от 27 декабря 2005 г.)

Глава 1. Основные положения

Статья 11. Гласность судебного разбирательства

10. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ

(с изменениями от 30 июня 2006 г.)

Глава 6. Коллективные переговоры

Статья 37. Порядок ведения коллективных переговоров

Статья 57. Содержание трудового договора

Глава 39. Материальная ответственность работника

Статья 358. Обязанности государственных  инспекторов труда

11. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ (КоАП РФ) (с изменениями 30 декабря 2006 г.)

Глава 24.Общие положения

Статья 24.3. Открытое рассмотрение дел об административных правонарушениях

1.5.3 Ответственность за разглашение КТ

1) Дисциплинарная ответственность

В соответствии со ст. 192 ТК РФ, от 30.12.2001 г., за совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей директор ООО «Вектор» имеет право применить к работнику следующие виды дисциплинарных взысканий: замечание, выговор, увольнение по соответствующим основаниям. В частности, подпункт "в" п. 6 ст. 81 ТК РФ предусматривает увольнение работника по инициативе работодателя в случае разглашения работником коммерческой тайны работодателя, ставшей известной работнику в связи с исполнением последним трудовых обязанностей. При этом в соответствии с п. 6 вышеназванной статьи ТК РФ для увольнения работника достаточно установления факта однократного нарушения работником трудовых обязанностей.

Трудовой договор с руководителем  ООО «Вектор» может быть расторгнут по решению уполномоченного органа юридического лица либо собственника имущества организации на основании того же п/п "в" п.6 ст.81 ТК РФ, т.е за разглашение коммерческой тайны организации, независимо от того, включено ли это условие в трудовой договор с работником (руководителем организации) или нет.

2) Гражданско-правовая ответственность

Согласно ст. 12 ГК РФ защита гражданских  прав осуществляется в том числе  путем взыскания с виновного  лица неустойки. Согласно п. 1 ст. 15 ГК РФ лицо, право которого нарушено, вправе потребовать полного возмещения убытков, включая упущенную выгоду. Под неустойкой в соответствии со ст. 330 ГК РФ понимают определенную законом или договором денежную сумму, которую должник обязан уплатить кредитору в случае неисполнения или ненадлежащего исполнения обязательств.

3) Уголовная ответственность

Разглашение сведений, составляющих коммерческую тайну фирмы, может повлечь за собой применение мер уголовной ответственности в соответствии со ст. 183 УК РФ. Данная статья включает два состава преступления:

1. В соответствии с ч. I ст. 183 УК РФ собирание сведений, составляющих коммерческую тайну путем хищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения или незаконного использования этих сведений, наказывается штрафом в размере от 100 до 200 минимальных размеров оплаты труда или заработной платы или иного дохода осужденного за период от 1 до 2 месяцев либо лишением свободы на срок до 2 лет.

2. В соответствии с ч. II ст. 183 УК РФ незаконное разглашение  или использование сведений, составляющих коммерческую тайну, без согласия ее владельца, совершенное из корыстной или иной личной заинтересованности и причинившее крупный ущерб, наказываются штрафом в размере от 200 до 500 минимальных размеров оплаты труда или заработной платы осужденного за период от 2 до 5 месяцев либо лишением свободы на срок до 3 лет со штрафом в размере до 50 минимальных размеров оплаты труда, или в размере заработной платы, или иного дохода осужденного за период от одного месяца или без такового.

Понятие "крупного" ущерба в соответствии со ст. 183 УК РФ является оценочным, суд признает причиненный ущерб крупным исходя из конкретных обстоятельств уголовного дела.

1.5.4 Правовое обеспечение системы противодействия экономическому шпионажу

Экономический шпионаж – важнейшая  угроза безопасности предприятия.

Система противодействия экономическому шпионажу - представляет собой комплекс целей, задач и основных направлений  деятельности службы контрразведки  предприятия, а также различных  видов, форм, методов и соответствующего механизма управления, направленных на обеспечение экономической безопасности предприятия.

Правовые аспекты мероприятий  по противодействию экономическому шпионажу:

• режим коммерческой тайны – как способ противодействия экономическому шпионажу,
• правовые основы и критерии установления режима коммерческой тайны,
• порядок отнесения сведений к коммерческой тайне,
• перечень лиц, допущенных к сведениям, отнесенным к коммерческой тайне.

1.5.5 Порядок обеспечения сохранности документов, дел и изданий

Все имеющие гриф "КТ" документы, дела и издания должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах. Помещения должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.

Дела с грифом "КТ", выдаваемые исполнителю, подлежат возврату в подразделение делопроизводства службы безопасности (СБ) в тот же день. При необходимости, с разрешения начальника подразделения делопроизводства СБ или уполномоченного СБ они могут находиться у исполнителя в течении срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.

С документацией с грифом "КТ" разрешается работать только в служебных  помещениях. Для работы вне служебных  помещений необходимо разрешение руководителя предприятия или структурного подразделения.

Документы, дела и издания с грифом "КТ" могут передаваться другим сотрудникам, допущенным к этим документам, только через делопроизводство СБ или  уполномоченного СБ.

Изъятия из дел или перемещение документов с грифом "КТ" из одного дела в другое без санкции руководителя делопроизводства СБ или уполномоченного СБ, осуществляющего их учет, запрещается.

Смена сотрудников, ответственных  за учет и хранение документов, дел  и изданий с грифом "КТ", оформляется распоряжением начальника подразделения. При этом составляется по произвольной форме акт приема-передачи этих материалов, утверждаемый указанным руководителем.

Уничтожение документов "КТ" производится комиссией в составе не менее  трех человек с составлением акта.

Печатание документов "КТ" разрешается  в машинописном бюро или непосредственно  в подразделениях. Для учета отпечатанных документов ведется специальный  журнал.

1.5.6 Порядок допуска к сведениям, составляющим коммерческую тайну предприятия

Допуск сотрудников к сведениям, составляющим коммерческую тайну, осуществляется руководителем предприятия или  руководителями его структурных подразделений.

Руководители подразделений и  службы безопасности обязаны обеспечить систематический контроль за допуском к этим сведениям только тех лиц, которым они необходимы для выполнения служебных обязанностей.

К сведениям, составляющим коммерческую тайну, допускаются лица, личные и  деловые качества которых обеспечивают их способность хранить коммерческую тайну, и только после оформления в службе безопасности письменного обязательства по сохранению коммерческой тайны.

Допуск сотрудников к работе с делами "КТ" осуществляется согласно оформленному не внутренней стороне  обложки дела или на отдельном  листе списку за подписью руководителя предприятия структурного подразделения, а к документам - в соответствии с указаниями, содержащимися в резолюциях руководителей предприятия и подразделений.

Представители сторонних организаций  и частные лица могут быть допущены к ознакомлению и работе с документами и изданиями с грифом "КТ" с письменного разрешения руководителей предприятия или подразделений, в ведении которых находятся эти материалы.

Выписки из документов и изданий, содержащих сведения с грифом "КТ", производятся в блокнотах (или тетрадях ), которые имеют такой же гриф. После окончания работы они высылаются в адрес той организации, которая будет указана данным представителем.

Выдача дел и изданий с  грифом "КТ" исполнителям и прием  от них производится под расписку в "Карточке учета выдаваемых дел и изданий"

Дела и издания непосредственно  представителям сторонних организаций  и частным лицам не выдаются. При  необходимости с их содержанием  они ознакомятся только с разрешения руководителя предприятия через  уполномоченного службы безопасности или представителя заинтересованного подразделения.

1.5.7 Контроль за выполнением требований внутри объектного режима при работе со сведениями содержащими коммерческую тайну

Под внутри объектовым режимом при  работе с коммерческой тайной подразумевается соблюдение условий работы, исключающих возможность утечки информации о сведениях, содержащих коммерческую тайну.

Контроль над соблюдением указанного режима осуществляется в целях изучения и оценки состояния сохранности коммерческой тайны, выявления и установления причин недостатков, и выработки предложений по их устранению.

Контроль над обеспечением режима при работе со сведениями, содержащими коммерческую тайну, осуществляют служба безопасности предприятия и руководитель структурного подразделения путем текущих и плановых проверок.

При проведении проверок создается  комиссия, которая комплектуется  из опытных и квалифицированных  работников в составе не менее  двух человек, допущенных к работе с  материалами "КТ".

Участие в проверке не должно приводить к необоснованному увеличению осведомленности в этих сведениях.

Плановые проверки проводятся не реже одного раза в год комиссиями на основании приказа или распоряжения руководителя предприятия (подразделения).

Проверяющие имеют право знакомиться со всеми документами, журналами (карточками) и другими материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы, консультироваться со специалистами и исполнителями, требовать представления письменных объяснений, справок и отчетов по всем вопросам, входящим в компетенцию комиссии.

При проверках присутствует руководитель структурного подразделения или  его заместитель.

По результатам проверок составляется акт или справка с отражением в нем наличия документов, состояния  работы с материалами "КТ", выявленных недостатков и предложений по их устранению. Акт утверждается руководителем предприятия (подразделения).

При выявлении случаев утраты документов или разглашения сведений, составляющих коммерческую тайну, ставятся в известность  руководитель предприятия и его заместитель (помощник) по безопасности. Для расследования указанных случаев приказом руководителя предприятия создается комиссия, которая определяет соответствие содержания утраченного документа проставленному грифу "КТ" и выявляет обстоятельства утраты (разглашения). По результатам работы комиссии составляется акт.

Как показывает практика, основной причиной утечки информации с организации  являются сотрудники. Поэтому для  обеспечения защиты от экономического шпионажа необходимо максимально жестко, но, не нарушая закон, обезопасить себя от подобных действий сотрудников. Для защиты конфиденциальной информации в ООО «Вектор» от экономического шпионажа разработаны следующие нормативно-правовые документы:

1) Перечень сведений, составляющих конфиденциальную информацию фирмы.

2) В перечень должны включаться все сведения, являющиеся собственностью ООО «Вектор».  Под сведениями (и их носителями) понимаются:

• данные, полученные в результате обработки информации с помощью технических средств (оргтехники);
• информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками фирмы для работы в служебных целях;
• документы (носители), образующие в результате мыслительной деятельности сотрудников фирмы, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования фирмы.

Сведения, включенные в Перечень, имеют  ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих конфиденциальную информацию, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности персонала ООО «Вектор», а также при их сотрудничестве с работниками других предприятий.

3) Договорное обязательство о неразглашении КИ.

4) Инструкция по защите конфиденциальной информации.

1.6. Лицензирование деятельности и сертификация продукции

В соответствии с Федеральным законом "О лицензировании отдельных видов  деятельности" от 08.08.2001 N 128-ФЗ, реализация программно-аппаратных средств ЗИ в банках не относится к виду деятельности подлежащему обязательной сертификации.

Однако, для повышения авторитета фирмы и возможности более  продуктивной работы с возможными зарубежными  партнерами возможно осуществление сертификации по международным стандартам серии ISO 9000 «Менеджмент качества» и по международным стандартам  серии ISO 27000 «Менеджмент информационной безопасности».