Коммерческая тайна и конфиденциальная информация - не совсем одно и то же.

В целом, коммерческая тайна и конфиденциальная информация - это сведения, которые

предприятие имеет право не раскрывать, а его сотрудники обязанные не разглашать.

Коммерческая тайна предприятия:

 
- это сведения, связанные с производством, технологией, управлением, финансовой
и другой деятельностью предприятия, которое не является государственной тайной,
разглашение которых может нанести вред интересам субъекта ведения хозяйства (ч.
1 ст. 36 Хозяйственного кодекса Украины (дальше - "ГКУ"));

 
- это информация, какая имеет коммерческую ценность, в целом или в определенной
форме и совокупности ее составляющих является неизвестной и нет легкодоступной для
лиц, которые обычно имеют дело с видом информации, к которому она принадлежит была
предметом адекватных существующим обстоятельствам мероприятий по сохранению
секретности такой информации, употребленных лицом, которое законно контролирует эту
информацию (ч. 1 ст. 505 Гражданского кодекса Украины (дальше - "ЦКУ")).

 
Такое определение помогает отделить конфиденциальную информацию, как любую
информацию с ограниченным доступом, в том числе ту, которая касается коммерческой
деятельности предприятия, от коммерческой тайны - то есть информации, которая
имеет коммерческую ценность.

 
Состав и объем сведений, которые составляют коммерческую тайну, способ их
защиты определяются субъектом ведения хозяйства по закону (ст. 36 Хозяйственного
кодекса Украины (дальше - "ГКУ")). Сразу отметим: на сегодняшний день в Украине нет
специального закона, который регулирует правовой режим, порядок использования
коммерческой тайны. Таким образом, указанная норма отсылает к неопределенному
законодательному на сегодняшний день акту, в том числе к ЦКУ и к самому ГКУ.

 
В соответствии с ч. 2 ст. 505 ЦКУ, коммерческой тайной могут быть сведения
технического, организационного, коммерческого, производственного и другого
характера, за исключением тех, которые по закону не могут быть отнесены к
коммерческой тайне.
Как видно из содержания приведенной нормы перечень сведений, которые могут
составлять коммерческую тайну, неисчерпаем и ограничивается только
законом.
Конфиденциальная информация  - это сведения, которые находятся в
владении, пользовании или распоряжении отдельных физических или юридических
личностей и распространяются за их желанием в соответствии с предусмотренными ими
условиями

Приблизительный же перечень сведений (за исключением перечисленных в

постановлению КМУ от 09.08.93 г. N 611), какие могут составлять коммерческую
тайну/конфиденциальную информацию, будет включать:
Коммерческая тайна/Конфиденциальная информация
- оригинальная технологическая, управленческая, маркетинговая, организационная и тому подобное
информация, которая составляет секреты производства и других областей хоздеятельности ("ноу-
хау");

- сведения о структуре и масштабах производства, производственных мощностях, типе и

размещениях оборудования, запасах сырья, материалов, компонентов и готовой продукции;

- сведения о сути изобретения, полезной модели или промышленного образца к официальной

публикации информации о них;

- сведения о подготовке, принятии и выполнении отдельных решений руководства организации;

- сведения о планах расширения или свертывания производства разных видов продукции и их

технико-экономические обоснования, о планах инвестиций, закупок и продажи;

- сведения о фактах проведения, цели, предмете и результатах совещаний и заседаний органов

управления организации;

- сведения о результатах изучения рынка, рыночной стратегии организации, о эффективности

коммерческой деятельности организации;

- обобщенные сведения о внутренних и зарубежных потребителях, компаньонах, спонсорах,

посредниках, клиентах и других партнерах, которые находятся в деловых отношениях с организацией;

- обобщенные сведения о внутренних и зарубежных предприятиях как потенциальных конкурентов в

деятельности организации, оценка качества деловых отношений с предприятиями-конкурентами в
разных сферах деловой активности;

- сведения о подготовке, проведении и результатах переговоров с деловыми партнерами организации;

- сведения о целях, заданиях, программах перспективных научных исследований; ключевые идеи

научных разработок;

- сведения о методах защиты от подделки товарных и фирменных знаков, о порядке и состоянии

организации защиты коммерческой тайны;

- сведения, которые составляют коммерческую тайну организаций, предприятий - партнеров и

передаются ими в пользование на доверительной основе.   

- персональные данные сотрудников/клиентов (сведения о фактах, событиях и обстоятельствах

частной жизни гражданина, что дают возможность идентифицировать его лицо) и информация о их
личной жизни;

- сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская

тайна);

- сведения, доступ к которым ограничен в соответствии с Конституции (тайна переписки, телефонных

переговоров, почтовых отправлений, телеграфных или других сообщений и тому подобное);
- система технической защиты информации (сведения, которые раскрывают систему, средства и
методы защиты информации в автоматизированных системах от несанкционированного доступа,
значения действующих кодов и паролей и и тому подобное);

- режим безопасности на предприятии (сведения о порядке и состоянии организации охраны, системы

сигнализации, пропускной режим и т. д.);

- сведения, предоставленные третьими лицами на условиях конфиденциальности (например, о

источнике той или другой информации).

Информация, используемая в предпринимательской и иной деятельности весьма

разнообразна. Вся она представляет различную ценность для организации и ее
разглашение может привести к угрозам экономической безопасности различной степени
тяжести. Боязнь лишиться таких активов заставляет компании создавать иные формы
системы защиты, в том числе и организационную, а главное — правовую.

В связи, с чем информация разделяется на три группы:

•Первая — несекретная (или открытая), которая предназначена для

использования как внутри Организации, так и вне нее.

•Вторая — для служебного пользования (ДСП), которая

предназначена только для использования внутри Организации. Она
подразделяется, в свою очередь, на две подкатегории:

•Доступная для всех сотрудников Организации;

•Доступная для определенных категорий сотрудников
Организации, но данная информация может быть передана в
полном объеме другому сотруднику для исполнения трудовых
обязанностей.
•Третья — информация ограниченного доступа, которая
предназначена для использования только специально
уполномоченными сотрудниками Организации и не предназначена
для передачи иным сотрудникам в полном объеме или по частям.

На предприятии должны быть разработаны следующие документы:

1. Положение о конфиденциальной информации и коммерческой тайне.
2. Перечень сведений, которые составляют конф. инфо и коммерческую тайну.
3. Обязательство работника предприятия о сохранении коммерческой тайны и
конфиденциальной информации.
4. Обязательство о сохранении коммерческой тайны при освобождении из предприятия.
5. Соглашение о конфиденциальности с посетителем предприятия.
6. Включение вопросолв конф. В договора с контрагентами и NDA.

Вопросы неразглашения КИ и КФ должны быть отражены в:

- коллективном договоре;;
- правилах внутреннего трудового распорядка;
- должностных инструкциях;
- СТП

Меры:
1.Для каждого подразделения конкретизировать перечень сведений составляющих КИ и КТ
и исходя из специфики работы и дополнять Перечень.
2. Установить где «рождается» инфо, где и как хранится, как «перемещается» по
предприятию. Определение круга сотрудников, которые должны иметь доступ к той или иной
конфиденциальной информации,

Три уровня системы защиты конфиденциальной информации:

•Организационный уровень защиты информации содержит

меры управленческого, ограничительного и технологического
характера, определяющие основы и содержание системы
защиты, побуждающие персонал соблюдать правила защиты
конфиденциальной информации фирмы;

•Технический, который состоит из:

•Инженерно-технический элемент системы защиты
информации
•Программно-аппаратный элемент системы защиты
информации
 •Криптографический элемент системы защиты
информации

Исходя из этого:
- организовать специальное делопроизводство с бумажными носителями инфо,
которые содержат информацию с ограниченным доступом: ввести ограничительные грифы
на документах: "конфиденциальная информация" (КІ), "коммерческая тайна" (КТ).

Разработка аналитического обоснования необходимости создания системы защиты

конфиденциальной информации (СЗИ).
Процесс разработки аналитического обоснования включает этапы:
2.1. Определение перечня сведений, подлежащих защите (перечень сведений
конфиденциального характера утверждается руководителем организации).
2.2. Определение системы допуска персонала к конфиденциальной информации и
конфиденциальным документам.
2.3. Разработка матрицы доступа персонала к сведениям конфиденциального характера,
подлежащих защите.
2.4. Определение модели вероятного нарушителя.
2.5. Проведение классификации и категорирования объектов информатизации и
выделенных помещений.
2.6. Обоснование необходимости привлечения специализированных организаций,
имеющих необходимые лицензии на право проведения работ по защите информации, для
проектирования и внедрения СЗИ;
2.7. Проведения оценки материальных, трудовых и финансовых затрат на разработку и
внедрение СЗИ;
2.8. Определение сроков разработки и внедрения СЗИ.
Результаты аналитического обоснования необходимости создания СЗИ оформляются в
виде пояснительной записки, которая включает:
2.8.1. Перечень сведений конфиденциального характера с указанием их уровня
конфиденциальности;
2.8.2. Перечень сотрудников предприятия, допущенных до конфиденциальной
информации, с указанием их режима доступа;
2.8.3. Матрица доступа к конфиденциальной информации;
2.8.4. Информационную характеристику и организационную структуру объектов защиты;
2.8.5. Перечень объектов информатизации, подлежащих защите;
2.8.6. Перечень выделенных помещений, подлежащих защите;
2.8.7. Перечень и характеристики технических средств обработки конфиденциальной
информации с указанием их места установки;
2.8.8. Перечень и характеристики вспомогательных технических средств и систем с
указанием их места установки;
2.8.9. Предполагаемый уровень оснащения вероятного нарушителя;
2.8.10. Перечень технических каналов утечки информации, подлежащие закрытию
(устранению);
2.8.11. План организационных мероприятий по закрытию технических каналов утечки
информации;
2.8.12. Перечень и характеристики предлагаемых к использованию технических средств
физика. математика. информатика 143 защиты информации с указанием их места
установки;
2.8.13. Методы и порядок контроля эффективности защиты информации;
2.8.14. Обоснование необходимости привлечения специализированных организаций,
имеющих необходимые лицензии на право проведения работ по защите информации, для
проектирования;
2.8.15. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение
СЗИ; 2.8.16. Ориентировочные сроки разработки и внедрения СЗИ;
2.8.17. Перечень мероприятий по обеспечению конфиденциальности информации на
стадии проектирования СЗИ
Для обеспечения полноценной организационной и правовой защиты информации
необходимо разработать пакет документов, включающий в себя :

Положение о конфиденциальной информации предприятия;

Перечень документов предприятия, содержащих конфиденциальную информацию;
Инструкция по защите конфиденциальной информации в информационной системе
предприятия;
Предложения по внесению изменений в Устав предприятия;
Предложения по внесению изменений в трудовой договор, контракт с руководителем и
коллективный договор;
Соглашение о неразглашении конфиденциальной информации предприятия с
сотрудником;
Обязательство сотрудника о неразглашении конфиденциальной информации предприятия
при увольнении;
Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в
части регламентации мер физической защиты информации и вопросов режима);
Предложения о внесении изменений в должностное (штатное) расписание предприятия
(штат Службы защиты информации);
Предложения о внесении дополнений в должностные инструкции всему персоналу;
Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной
информации и Инструкцией по защите конфиденциальной информации в ИС предприятия;
План проведения занятий с персоналом по сохранению и неразглашению
конфиденциальной информации;
Предложения о внесении дополнений в стандартные договора с контрагентами.
 Положение о конфиденциальном делопроизводстве.

Подразделение программно-аппаратной защиты информации

Целями защиты информации, обрабатываемой и хранимой в ПЭВМ, являются:

1. Предотвращение потери и утечки информации, перехвата и вмешательства

злоумышленника на всех уровнях обработки данных и для всех объектов.

2. Обеспечение целостности данных на всех этапах их преобразования и сохранности

средств программного обеспечения.

Задачи подразделения:

Предотвращение несанкционированного доступа (НСД) к информации.

Предотвращение утечки информации за счет ПЭМИН.
Защита информации от компьютерных вирусов.
Защита информации от сбоев в системе питания.
Защита от копирования.
Программная защита каналов передачи данных.
 Инженерно-техническая защита информации

Инженерно-техническая защита информации предназначена для активно-пассивных

противодействий средствам технической разведки и формирования рубежей охраны
территории, зданий, помещений, оборудования с помощью комплексов технических
средств и включает себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на

территорию, в здания и помещения.
Средства защиты технических каналов утечки информации при работе ЭВМ, средств
связи, других приборов и офисного оборудования, при проведении совещаний, беседах с
посетителями и сотрудниками.
Средства защиты помещений от визуальных способов технической разведки.
Средства обеспечения охраны территорий, зданий, помещений.
Средства противопожарной охраны.
Технические средства и мероприятия, предотвращающие вынос персоналом из помещений
документов, дискет, дисков и других носителей информации.

Подразделение конфиденциального делопроизводства

Задачи:

обработка и хранение конфиденциальных документов.

контроль системы конфиденциального документооборота.