Преподаватель который помогает студентам и школьникам в учёбе.

«Система защиты коммерческой тайны малого коммерческого предприятия»

Содержание:

Введение

Актуальность выбранной темы связана с тем, что понятие «коммерческая тайна» прочно вошло в жизнь современных предприятий. Предприятиям сложно выжить в условиях жесткой конкуренции без организации защиты коммерческой тайны. Коммерческая тайна в самом общем виде означает конфиденциальные сведения особой тактической или потенциальной важности. Раскрытие информации, составляющей коммерческую тайну, приводит к финансовым убыткам и может стать причиной банкротства. В обстоятельствах, когда угрозой становятся не только действия конкурентов, но и хакерские атаки, и вирусные эпидемии, защита коммерческой тайны – главное условие успешного ведения бизнеса.

Информационная безопасность является частью защиты коммерческой тайны. Она предполагает наличие состояния сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере. Таким образом, информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

Тесно связано с понятием коммерческой тайны понятие конфиденциальности, т.е. обеспечения доступа к информации только авторизованным пользователям.

Информационная безопасность включает в себя все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки. Следовательно, безопасность информации — это состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Интенсивное развитие информационных технологий предопределило повышенный интерес общества к проблемам информации, информационной безопасности и повлекло резкое увеличение общеотраслевой научной активности в данной сфере. Работы таких ученых, как Л. Б. Венгеров, Э. П. Гаврилов, О. Л. Городов, В. Л. Дозорцев, В. О. Калятин, В. Л. Копылов, Д. В. Огородов, Л. П. Сергеев и др. стали базисом для разработки теоретических основ правового регулирования общественных отношений в информационной сфере.

Непосредственно проблему коммерческой тайны в своих работах исследовали B. Н. Лопатин, Г. Малышева, В. В. Рачковский, Свит, В. Л. Северин, А. Л. Фатьянов, В. Ярочкин и др.

Цель данной курсовой работы - изучить систему защиты коммерческой тайны на примере конкретного предприятия (ООО «Мебель+»).

Задачи работы:

- изучить теоретические аспекты информационной безопасности;

- провести анализ системы защиты коммерческой тайны конкретного предприятия.

Методы исследования, использованные в данной работе - анализ документов и нормативных актов, системный подход и др.

Работа состоит из введения, теоретической главы, аналитической главы, заключения и списка литературы.

Глава 1. Теоретические аспекты информационной безопасности в малом предприятии

1.1. Понятие коммерческой тайны

В настоящее время понятие коммерческой тайны достаточно хорошо проработано в отечественной нормативной практике. Так, федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам [2].

Закон определяет, что коммерческая тайна - это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [2].

Информация, составляющая коммерческую тайну, может представлять собой сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны [2].

Обладателем информации, составляющей коммерческую тайну, согласно закону, является лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

Доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.

Передачей информации, составляющей коммерческую тайну, будет являться передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.

Важным в коммерческой деятельности является понятие контрагента. Так, контрагент - это сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.

Предоставлением информации, составляющей коммерческую тайну, согласно действующим нормам права, является передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

При этом разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений действующего законодательства на федеральном уровне.

Законодательство определяет, что информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом.

При этом информация, которая составляет коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации. Также будет незаконным, если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.

Многие предприятия пытаются скрывать различную информацию о своей деятельности, ссылаясь на понятие коммерческой тайны. Однако режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Статья 6 ФЗ «Об информации», закрепляет положения о предоставлении информации, составляющей коммерческую тайну. Так, обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну. При этом мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами.

Закон также определяет, что в случае отказа обладателя информации, составляющей коммерческую тайну, предоставить ее органу государственной власти, иному государственному органу, органу местного самоуправления данные органы вправе затребовать эту информацию в судебном порядке.

В свою очередь, обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, иные государственные органы, органы местного самоуправления, получившие такую информацию в соответствии с ФЗ, обязаны предоставить эту информацию по запросу судов, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации.

При раскрытии информации, содержащей коммерческую тайну, на документах, предоставляемых указанным в частях 1 и 3 статьи 6 ФЗ, органам и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф "Коммерческая тайна" с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Также ФЗ в статье 6.1. закрепляет права обладателя информации, составляющей коммерческую тайну. Так согласно ст.6.1., права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны в соответствии со статьей 10 настоящего Федерального закона.

При этом обладатель информации, составляющей коммерческую тайну, имеет право:

1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в соответствии с настоящим Федеральным законом и гражданско-правовым договором;

2) использовать информацию, составляющую коммерческую тайну, для собственных нужд в порядке, не противоречащем законодательству Российской Федерации;

3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;

4) требовать от юридических лиц, физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;

5) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой информации;

6) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Таким образом, понятие коммерческой тайны является строго определенным в нормативных документах, где закреплены также и правила обращения с информацией, составляющей коммерческую тайну.

1.2. Защита коммерческой тайны

Рассмотрим положения о защите коммерческой тайны в соответствии с действующим российским законодательством. В статье 10 ФЗ «Об информации» закрепляются положения об охране конфиденциальности информации.

Так, указанная статья закрепляет меры по охране конфиденциальности информации, принимаемые ее обладателем. Данные меры должны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Согласно ст.10 ФЗ «Об информации», режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, определенных мер.

Статья закрепляет положение о том, что индивидуальный предприниматель, являющийся обладателем информации, составляющей коммерческую тайну, и не имеющий работников, с которыми заключены трудовые договоры, самостоятельно принимает меры по охране конфиденциальности информации.

Также обладатель информации, которая составляет коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

При этом меры по охране конфиденциальности информации могут быть признаны разумно достаточными, если:

1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Также в ФЗ «Об информации» определяется, что режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Помимо указанных выше положений, в статье 11 ФЗ «Об информации» рассматриваются вопросы охраны конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений.

Так, в п.1 ст.11 отмечается, что в целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:

1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;

2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;

3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

П.2.ст.11 говорит о том, что доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

Согласно п.3.ст.11, в целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан:

1) выполнять установленный работодателем режим коммерческой тайны;

2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;

3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;

4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну.

При этом, согласно п.4.ст.11 ФЗ «Об информации» работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны.

Работодатель должен учитывать, что причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.

В целях защиты коммерческой тайны на каждом конкретном предприятии трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.

При нарушении конфиденциальности руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.

Согласно законодательству работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей.

ФЗ «Об информации» в ст.13 раскрывает правила охраны конфиденциальности информации при ее предоставлении. Так, органы государственной власти, иные государственные органы, органы местного самоуправления в соответствии с данным Федеральным законом и иными федеральными законами обязаны создать условия, обеспечивающие охрану конфиденциальности информации, предоставленной им юридическими лицами или индивидуальными предпринимателями.

При этом должностные лица органов государственной власти, иных государственных органов, органов местного самоуправления, государственные или муниципальные служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам, органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, за исключением случаев, предусмотренных Федеральным законом, а также не вправе использовать эту информацию в корыстных или иных личных целях.

В том случае, если происходит нарушение конфиденциальности информации должностными лицами органов государственной власти, иных государственных органов, органов местного самоуправления, государственными и муниципальными служащими указанных органов эти лица должны нести ответственность в соответствии с законодательством Российской Федерации.

Также в ст.14 ФЗ «Об информации» закрепляются положения об ответственности за нарушение данного Федерального закона. В статье отмечается, что нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

В случае, если работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

Согласно закону, органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, несут перед обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей.

Закон отмечает, что лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим Федеральным законом быть привлечено к ответственности.

По требованию обладателя информации, составляющей коммерческую тайну, ответственные лица обязаны принять меры по охране конфиденциальности информации. При отказе ответственных лиц принять меры по охране, обладатель информации, составляющей коммерческую тайну, вправе требовать в судебном порядке защиты своих прав.

В ст.15.ФЗ «Об информации» устанавливается ответственность за не предоставление органам государственной власти, иным государственным органам, органам местного самоуправления информации, составляющей коммерческую тайну.

Невыполнение обладателем информации, составляющей коммерческую тайну, законных требований органов государственной власти, иных государственных органов, органов местного самоуправления о предоставлении им информации, составляющей коммерческую тайну, а равно воспрепятствование получению должностными лицами этих органов указанной информации влечет за собой ответственность в соответствии с законодательством Российской Федерации.

В целях обеспечения деятельности государственной налоговой службы, правоохранительных и контролирующих органов устанавливается перечень документов, содержащих коммерческую тайну.

Так, установлено, что коммерческую тайну предприятия и предпринимателя не могут составлять:

учредительные документы (решение о создании предприятия или договор учредителей) и Устав;
документы, дающие право заниматься предпринимательской деятельностью (документы, подтверждающие факт внесения записей о юридических лицах в Единый государственный реестр юридических лиц, свидетельства о государственной регистрации индивидуальных предпринимателей, лицензии, патенты);
сведения по установленным формам отчетности о финансово - хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему;
документы о платежеспособности;
сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
документы об уплате налогов и обязательных платежах;
сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Законодательство запрещает государственным и муниципальным предприятиям до и в процессе их приватизации относить к коммерческой тайне данные:

о размерах имущества предприятия и его денежных средствах;
о вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;
о кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства РФ и заключенных им договоров;
о договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.

Предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять сведения по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РФ, а также трудового коллектива предприятия [3].

1.3. Система информационной безопасности малого коммерческого предприятия

Сегодня существует два подхода авторов к определению безопасности. Первый подход основывается на использовании понятия угрозы. Второй – уклоняется от употребления понятия «угрозы» в определении безопасности, базируется на экономических понятиях связанных с достижением цели, функционирования предприятия. В узком понимании информационная и экономическая безопасность предприятия – это состояние недопущения убытков и объемов и сроков по платежам кредиторов, т.е. недоведения до несостоятельности.

Согласно действующим стандартам, информация - это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса [23].

Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.

Информационная безопасность должна иметь разработанный механизм защиты, обеспечивающий:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными [23].

Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.

Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

В стандартах закрепляются требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью, согласно ГОСТу, должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности [10]. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.

Оценка риска должна происходит в виде систематического анализа:

- вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;

- вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.

Результаты этой оценки помогут руководству предприятия в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью. Также они будут способствовать внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.

На малом предприятии, как и на крупном, может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.

Малому предприятию важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:

- изменения требований и приоритетов бизнеса;

- появление новых угроз и уязвимостей;

- снижение эффективности существующих мероприятий по управлению информационной безопасностью.

Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски.

После того, как определены требования к информационной безопасности, следует выбрать и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня. Эти мероприятия могут быть выбраны из настоящего стандарта, других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации. Имеется множество различных подходов к управлению рисками; в настоящем стандарте приводятся примеры наиболее распространенных методов. Однако следует отметить, что некоторые из мероприятий по управлению информационной безопасностью неприменимы к отдельным информационным системам и средам и могут оказаться неприемлемыми для конкретных организаций.

В небольших организациях, в отличие от крупных, может оказаться невозможным разделение всех должностных обязанностей; тогда для достижения той же цели может быть необходимо принятие альтернативных мероприятий по управлению информационной безопасностью.

Проведение мониторинга использования системы и сбора доказательств. Указанные мероприятия по управлению информационной безопасностью, такие, как регистрация событий в системе, могут вступать в конфликт с законодательством, действующим, например, в отношении защиты от вторжения в личную жизнь клиентов или сотрудников.

Поэтому выбор мероприятий по управлению информационной безопасностью на малом предприятии должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности. Также руководителю малого предприятия следует учитывать факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.

Некоторые мероприятия по управлению информационной безопасностью, приводящиеся в стандартах, могут рассматриваться как руководящие принципы для управления информационной безопасностью и применяться для большинства организаций.

Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.

Ключевыми мерами контроля для малых предприятий с точки зрения действующего российского законодательства являются [25]:

- обеспечение конфиденциальности персональных данных;

- защита учетных данных организации;

- права на интеллектуальную собственность.

Так, мероприятия по управлению информационной безопасностью, которые рассматриваются как общепринятая практика в области информационной безопасности, включают:

- наличие документа, описывающего политику информационной безопасности;

- распределение обязанностей по обеспечению информационной безопасности;

- обучение вопросам информационной безопасности;

- информирование об инцидентах, связанных с информационной безопасностью;

- управление непрерывностью бизнеса.

Перечисленные мероприятия применимы для большинства организаций и информационных сред. Важно отметить, что, хотя все приведенные мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается малое предприятие. Поэтому, несмотря на то, что данный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.

Практика показывает, что для успешного внедрения информационной безопасности на малом предприятии решающими могут стать следующие факторы:

- соответствие целей, политик и процедур информационной безопасности целям бизнеса;

- согласованность подхода к внедрению системы безопасности с корпоративной культурой;

- видимая поддержка и заинтересованность со стороны руководства;

- четкое понимание требований безопасности, оценка рисков и управление рисками;

- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;

- передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;

- обеспечение необходимого обучения и подготовки;

- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.

Таким образом, малое коммерческое предприятие также как и крупное сталкивается с вопросами защиты коммерческой тайны, однако обладает меньшими ресурсами по ее защите. Ответственность руководства и работников в области защиты коммерческой тайны малого предприятия определяется в федеральным законодательством и в тех же рамках, что и для крупного или среднего предприятия.

Глава 2. Анализ системы защиты коммерческой тайны ООО «Мебель+»

2.1. Организационно-экономическая характеристика предприятия

ООО "Мебель Плюс" зарегистрирована 13 ноября 2012 г. регистратором Межрайонная инспекция Федеральной налоговой службы № 46 по г. Москве. Руководитель организации: генеральный директор Бокин В.И.. Юридический адрес ООО "Мебель Плюс" - 117105, город Москва, Варшавское шоссе, дом 16 корпус 1, кв. 26.

Основным видом деятельности является «Торговля розничная мебелью, осветительными приборами и прочими бытовыми изделиями в специализированных магазинах», зарегистрировано 15 дополнительных видов деятельности. Организации ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МЕБЕЛЬ ПЛЮС" присвоены ИНН 7720766017, ОГРН 1127747141400, ОКПО 14256819.

Исходя из особенностей Интернет-торговли мебелью, организационная структура фирмы может быть линейно-функциональной (см. Рисунок 1).

Рисунок 1. Организационная структура «Мебель+»

Данная структура предполагает совместное решение основных вопросов специалистами по логистике, менеджером продаж и специалистом по поддержке сайта.

Профессиональная поддержка процесса интернет-продаж мебели заключается в привлечении специалистов-консультантов по логистике, страховой компании (страхование перевозок), специалистов по маркетингу и продвижению сайтов.

Фирмы поставщики, их репутация и местоположение:

Компания «Феликс», г. Москва, улица Розанова, д. 10, стр. 1 . Крупнейший производитель российской офисной мебели.

Фабрика офисной мебели. Москва, Щелковское шоссе дом 100 корпус 1. Фабрика офисной мебели – это разнообразие офисных интерьеров и стилей, это широкий выбор возможности сделать свой офис отражением политики компании и ее стиля работы с клиентами и партнерами по бизнесу.

Компания «Проспект». Москва, Варшавское шоссе, д. 9, стр. 1Б.

Контроль организации и качества предоставления услуг, а также правильностью взимания платы будут осуществлять бухгалтер предприятия, а также менеджеры по направлениям. Кроме того функция контроля возлагается на экспедиторов, как сотрудников, напрямую оказывающих услуги по доставке мебели.

Прямые деловые отношения с крупнейшими производителями мебели обязывают следовать современным принципам бизнеса. Фирма ручается за каждый проданный элемент мебели и предоставляет всем клиентам возможность гарантийного обслуживания.

Гарантия на всю корпусную мебель составляет 3 года. На кресла, стулья и мягкую мебель гарантия составляет 1 год.

Товарная стратегия ООО «Мебель+» – это определенный курс действий, обеспечивающий эффективное с коммерческой точки зрения формирования ассортиментов товаров.

В настоящее время сформирован оптимальный перечень оказываемых торговых услуг, который постоянно корректируется на основе постепенного освоения работниками различных видов услуг.

В условиях кризисной ситуации в целях снижения издержек торгового предприятия (издержки на торговый зал, торговый персонал, офис, склад) организация переходит в формат интернет-магазина мебели («Мебель+») — мебель с доставкой на дом.

Таблица 1 - SWOT-анализ интернет-магазина мебели «Мебель+»

Сильные стороны

- использование информационных технологий

- экономия на торговых площадях

- экономия на торговом персонале

Слабые стороны

- необходимость вложений в создание интернет-магазина

- необходимость поиска персонала

- необходимость отладки логистических процессов

Возможности компании

- востребованность на рынке

- рынок только начинает заполняться торговлей в таком формате

- ограниченное количество конкурентов

Угрозы компании

- рост конкуренции

- кризисная ситуация в стране

- сворачивание бизнеса

- необходимость защиты коммерческой тайны.

Выделим основные внутренние и внешние угрозы предприятия «Мебель+».

Слабые стороны предприятия - это:

- необходимость вложений в развитие и продвижение интернет-магазина;

- необходимость поиска персонала;

- необходимость отладки логистических процессов.

Угрозы компании

- рост конкуренции;

- кризисная ситуация в стране;

- необходимость защиты коммерческой тайны;

- сворачивание бизнеса в условиях экономического кризиса.

Отдача от Интернет-магазина зависит от:

От суммы вложений в создание Интернет-магазина. При этом предполагается, что Интернет-магазин разработан не просто веб-дизайнерами, а веб-дизайнерами, разбирающимися в бизнесе по тематике данного Интернет-магазина.

От правильности выбранной идеологии (концепции) создания Интернет-магазина и качества ее реализации.

От суммы вложений в развитие, поддержку и рекламу Интернет-магазина.

От наличия товаров на складе фирмы-владельца Интернет-магазина (фирма-владелец торгует не «воздухом», а реально имеет не менее 85% представленных на сайте товаров или возможность оказания не менее 95% указанных на сайте услуг).

От того, насколько конкурентоспособны цены на товары и услуги, предлагаемые в Интернет-магазине.

От конъюнктуры, сложившейся на данном сегменте рынка.

От того, насколько профессионально фирма-владелец Интернет-магазина общается с клиентами, обратившимися через сайт.

Нет потребности в производственных помещениях. Однако требуется небольшой офис, в котором возможна координация деятельности основных специалистов – логистика, менеджера и специалиста по поддержке сайтов.

Как показала практика, основная проблема - это работа курьеров и службы доставки в целом.

Проблема в том, что на начальном этапе сложно обеспечить курьеров нормальной загруженностью и гарантировать конфиденциальность информации.

Иметь большой штат курьеров тоже невыгодно - им нужно платить, обеспечивая заказами и контролируя конфиденциальность информации. Кроме того, курьер может разбить товар, его могут обокрасть или даже ограбить. Нередки случаи, когда курьеры просто скрывались с товаром.

На сегодняшний день собственники компаний, топ-менеджеры, специалисты, отвечающие за безопасность бизнеса, признают, что кадровая безопасность – это непременная и основная составная часть любой системы, которую организация формирует для своей защиты.

На рынке традиционно ощущается нехватка высококвалифицированных специалистов, особенно это чувствительно для компаний, старающихся работать по современным европейским стандартам качества.

Кадровая безопасность, как составляющая информационной безопасности в рамках обеспечения защиты коммерческой тайны «Мебель+» представляет собой комплекс мероприятий, направленных на локализацию угроз, исходящих от персонала. Кадровая безопасность представляет собой процесс предотвращения негативных воздействий на предприятие, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом. Мероприятия кадровой безопасности в «Мебель+» направлены на достижение оптимального использования человеческих ресурсов и минимизацию рисков, связанных с этими ресурсами. Такими мероприятиями могут быть выявление положительных и отрицательных мотивов в деятельности сотрудников, соответствующее стимулирование или нейтрализация таковых, а также анализ их воздействия.

Можно выделить следующие угрозы в области кадровой безопасности:

Угрозы, связанные с личностью сотрудника:

угроза жизни и здоровью владельцев предприятий и ключевых сотрудников;
деструктивные конфликты с участием ключевых сотрудников;
дискредитация системы управления; внезапное увольнение ключевого сотрудника;
причинение вреда репутации компании;
разглашение информации по неосторожности;
хищение.

Угрозы, обусловленные особенностями коллектива:

сопротивление нормам, ценностям и требованиям компании;
имитация профессионального поведения; забастовка;
массовые увольнения; саботаж; неподчинение.

Мероприятия по локализации угроз кадровой безопасности – это регламентированные действия, направленные на локализацию угроз. Мероприятия можно классифицировать по следующим критериям:

по источнику угроз; по виду угроз;
по объектам безопасности;
по лицам, осуществляющим мероприятия.

Работа с действующим персоналом

Социально-психологическое исследование структуры коллектива;
Социально-психологическое исследование климата в коллективе;
Исследование стиля руководства коллективом;
Социально-психологическое исследование уровня лояльности сотрудников коллектива;
Специальные профилактические мероприятия для повышения лояльности персонала;
Психодиагностическое обследование сотрудника;
Психофизиологическое обследование сотрудника;
Специальные технические мероприятия.

Увольнение:

Мероприятия по выявлению намерений увольнения
Мероприятия по формированию лояльности при увольнении сотрудников.

2.2. Система информационной безопасности ООО «Мебель+»

Интернет торговля, которой занимается в настоящее время ООО «Мебель+» - это популярный способ совершения покупок, которому отдает предпочтение множество покупателей. Вместе с активным ростом и развитием таких площадок, растет интерес к интернет-магазинам со стороны киберпреступников. Интернет-магазины привлекательная мишень для кражи информации и получения незаконной прибыли от выполнения «заказов» недобросовестных конкурентов ресурса. Это могут быть DDOS-атаки, взлом, заражение вирусным ПО.

Угрозы информационной безопасности для интернет-магазина мебели «Мебель+» заключаются в следующем:

Во-первых, утечка данных пользователей. Совершая покупки в интернет-магазинах, пользователи передают ООО «Мебель+» большой объем персональных и финансовых данных, хищение которых представляет интерес для злоумышленников. Для завладения такими данными используется заражение вирусным кодом интернет-магазина или перенаправление на поддельные фишинговые сайты.

Во-вторых, заражение программного кода. Внедрение вредоносного кода в программную платформу интернет-магазина отрицательно влияет на его работоспособность и рейтинг в поисковых системах. В результате заражения замедляется работа, появляются ошибки, пустые окна, посторонний текст и реклама. Поисковые системы самостоятельно обнаруживают угрозы внутри сайта, после чего относят его к потенциально опасным, вносят в свой «черные списки» и не отображают при запросах пользователей.

В-третьих, атаки, направленные на отказ в обслуживании. Это еще одна угроза от деятельности хакеров – проведение DDOS атаки (Distributed Denial of Service), направленной на отказ в обслуживании. При DDOS атаке интернет-магазину направляется большой поток ложных запросов из разных точек. Ресурс не может справиться с таким лавинообразным потоком обращений, в результате это приводит к остановке его работы и как следствие простоям в бизнесе.

В-четвертых, воровство трафика. В результате внедрения в программный код сторонних включений и ссылок, злоумышленники могут проводить редирект (перенаправление) пользователей, заходящих в интернет-магазин «Мебель+», на сторонние, конкурентные или поддельные фишинговые сайты.

Поэтому руководство данного интернет-магазина занимается вопросами его защиты. Повысить надежность работы интернет-магазина и предотвратить проникновение вредоносного кода специалистам предприятия помогает комплексный и превентивный подход к вопросам безопасности.

Специалисты обеспечивают безопасность сервера или хостинг платформы. Независимо от выбора варианта размещения интернет-магазина, локально на собственном оборудовании или в облаке с использованием услуг хостинга, повышенное внимание должно уделяться мерам защиты. Специалисты используют антивирусные средства и регулярно проводят обновление их модулей и баз, выполнять резервное копирование данных, следить за настройкой веб-сервера с открытием функцией и прав доступа только в объеме необходимым для работы сайта, использовать сложные пароли доступа и регулярно их менять.

Также специалисты ООО «Мебель+» проводят обновление программного ядра, поскольку проникновение вредоносного ПО на сайт в большинстве случае становится возможным благодаря уязвимостям в программном коде. Обновление программной платформы сайта «Мебель+» помогает закрыть уже обнаруженные потенциальные бреши в безопасности.

Помимо этого специалисты используют дополнительные средства защиты интернет-трафика у «Мебель+».

Создание системы многоуровневой защиты интернет-магазина помогает значительно повысить устойчивость сайта «Мебель+» к хакерским атакам и проникновению вредоносного ПО на сайт. Достигается она путем внедрения дополнительных барьеров в виде сетевых экранов, фильтрующих и проверяющих входящий интернет-трафик.

ООО «Мебель+» организует защиту от DDOS атак. Предотвратить и отразить DDOS атаку при попытке ее проведения на данном предприятии помогает использование специализированных программно-аппаратных решений или онлайн сервисов, направленных на обнаружение и защиту от данного вида атак.

Защита интернет-магазина «Мебель+» включает комплекс непрерывных, постоянно действующих и развивающихся мер. Высокий уровень защиты интернет-магазина от внешних угроз помогает предотвратить и минимизировать потенциальные риски простоя, падения рейтинга и потери репутации. Такое повышенное внимание к безопасности интернет-магазина является залогом успешного функционирования и развития бизнеса.

Для интернет-магазина ООО «Мебель+» можно выделить семь основных типов угроз безопасности:

похищение базы данных клиентов (для снятия денег с их счетов, передачи конкуренту и т. д.);
мошенничество с электронными платежами;
внесение злонамеренных изменений в каталог товаров (например, изменение цен или описаний товарных позиций);
вмешательство в процесс работы магазина (перенаправление потока клиентов на другие ресурсы, дефейсинг (замена главной страницы интернет-магазина на другую страницу, выгодную мошеннику и т. д.);
внедрение вредоносного кода в страницы магазина (для кражи реквизитов кредитных карт, создания сети зараженных компьютеров и т. д.);
вывод магазина из строя путем прямого вмешательства, осуществления DDoS-атак (направление многочисленных запросов на сайт магазина, приводящих к остановке его работы) и т. д.;
появление «сайта-паразита», использующего ресурсы и известность магазина, что приводит к замедлению его работы и снижению его места в поисковой выдаче.

Для нейтрализации данных угроз требуется серьезный анализ защищенности интернет-магазина, который большинство владельцев относительно небольших магазинов не могут себе позволить.

2.3. Рекомендации по формированию системы защиты коммерческой тайны малого коммерческого предприятия ООО «Мебель+»

Для того, чтобы в дальнейшем ООО «Мебель+» системно подходило к защите коммерческой тайны и обеспечивало свою информационную безопасность, руководству можно предложить разработать комплект типовых документов по информационной безопасности на основе стандартов безопасности.

GTS 1035v2 - представляет собой наиболее полный и универсальный комплект документов, предоставляющий средства для документирования всех ключевых областей обеспечения информационной безопасности и подходит для любой организации осуществляющей документирование вопросов защиты информации в соответствии с требованиями международных стандартов, законодательства и нормативной базы. В том числе, он позволяет обеспечить соответствие ISO 27001, СТО БР ИББС, PCI DSS, СТР-К, 382-П, 161-ФЗ и прочим нормативам, актуальным для российских компаний.

Схема взаимодействия данных документов наглядно показана в приложении (Приложение 1).

В содержание комплекта GTS 1035 v2 входят:

GTS 0001 Политика информационной безопасности;
GTS 0002 Концепция обеспечения информационной безопасности;
GTS 0003 Положение о службе информационной безопасности;
GTS 0004 План защиты информационных активов от несанкционированного доступа;
GTS 0005 Правила обеспечения безопасности при работе пользователей в корпоративной сети;
GTS 0006 План обеспечения непрерывности бизнеса и Аварийные процедуры;
GTS 0007 Политика резервного копирования и восстановления данных;
GTS 0008 Политика управления доступом к ресурсам корпоративной сети;
GTS 0009 Политика управления инцидентами информационной безопасности;
GTS 0010 Политика обеспечения безопасности удаленного доступа;
GTS 0011 Политика обеспечения безопасности при взаимодействии с сетью Интернет;
GTS 0012 Политика антивирусной защиты;
GTS 0013 Парольная политика;
GTS 0014 Политика аудита информационной безопасности;
GTS 0015 Политика контроля состояния СУИБ со стороны руководства;
GTS 0016 Политика контроля эффективности СУИБ;
GTS 0017 Процедура планирования и реализации превентивных и корректирующих мер;
GTS 0018 Политика обеспечения безопасности платежных систем организации;
GTS 0019 Политика установки обновлений программного обеспечения;
GTS 0020 Руководство по защите конфиденциальной информации;
GTS 0021 Процедура управления документами и записями;
GTS 0022 Регламент использования мобильных устройств;
GTS 0023 Регламент работы с цифровыми носителями конфиденциальной информации;
GTS 0024 Политика контроля защищенности корпоративной сети;
GTS 0025 Политика инвентаризации информационных активов;
GTS 0026 Политика обеспечения физической безопасности помещений и оборудования;
GTS 0027 Политика обеспечения пропускного и внутри объектового режима;
GTS 0028 Политика в области обучения и повышения осведомленности персонала по ИБ;
GTS 0029 Политика обеспечения ИБ при взаимодействии с третьими сторонами;
GTS 0030 Политика предотвращения утечки информации по каналам связи;
GTS 0031 Политика обеспечения безопасности электронного документооборота;
GTS 0032 Политика обеспечения целостности информационных активов;
GTS 0033 Технический стандарт безопасности ИТ-инфраструктуры;
GTS 0034 Политика регистрации и мониторинга событий ИБ;
GTS 0035 Политика обеспечения безопасности при разработке ПО;
GTS 0036 Политика обеспечения безопасного хранения защищаемой информации;
GTS 0037 Регламент администрирования сетевого оборудования.

В основе организационных мер защиты информации лежат политики безопасности. В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения безопасности при взаимодействии с сетью Интернет» и т.п.

Эти документы необходимы любой организации для разработки локальной нормативной базы в области информационной безопасности (политик, процедур, инструкций, концепций, положений, стандартов, регламентов, планов, протоколов и т.п.) при внедрении системы управления информационной безопасностью, документировании процессов и требований безопасности, распределении ролей и назначении ответственных за безопасность.

Все действия, связанные с привлечением третьей стороны к средствам обработки информации организации, должны быть основаны на официальном контракте, содержащем или ссылающемся на них, и должны обеспечиваться в соответствии с политикой и стандартами безопасности организации. Контракт должен обеспечивать уверенность в том, что нет никакого недопонимания между сторонами. Организации также должны предусмотреть возмещение своих возможных убытков со стороны контрагента.

Таким образом, рассматриваемое малое предприятие - ООО «Мебель+» сможет в дальнейшем обеспечить свою информационную безопасность и защиту коммерческой тайны.

Заключение

В рамках проведенного исследования различных аспектов защиты коммерческой тайны малого коммерческого предприятия были изучены различные нормативные и теоретические источники по теме. Также рассматривались статьи специалистов в области защиты информации. Анализ данных источников показал, что вопросы обеспечения защиты коммерческой тайны для предприятий в России имеют нормативное регулирование.

В действующую нормативную базу в области защиты коммерческой тайны включаются такие документы, как ФЗ «Об информации», ФЗ «О коммерческой тайне, Постановления Правительства, а также различные стандарты по защите информации (ГОСТы). Действующие в РФ ГОСТы разработаны на основе международных документов.

В федеральных законах дается понятие коммерческой тайны, раскрывается состав информации, которая может составлять коммерческую тайну, а также состав информации, которая не может составлять коммерческую тайну. Также действующая нормативная база определяет меру ответственности за защиту коммерческо тайны.

В рамках теоретической главы были рассмотрены вопросы, раскрывающие систему информационной безопасности малого предприятия и особенности функционирования малого предприятия.

Во второй главе курсовой работы был рассмотрен пример формирования системы защиты коммерческой тайны малого предприятия - ООО «Мебель+», которое работает на рынке интернет-продаж мебели.

Ранее данное малое предприятие осуществляло продажу мебели в торговой точке и с развитием информационных технологий на рынке перешло в формат интернет-продаж. Это потребовало от руководства предприятия создания системы информационной защиты для своего интернет-сайта.

В рамках курсовой работы были проанализированы сильные и слабые стороны деятельности предприятия на рынке. Одной из слабых сторон является необходимость вложений в развитие и продвижение интернет-магазина. Одной из внешних угроз ООО «Мебель+» является необходимость защиты коммерческой тайны.

Составляющей информационной безопасности и системы защиты коммерческой тайны данного малого предприятия является его кадровая безопасность. Мероприятия кадровой безопасности в «Мебель+» направлены на достижение оптимального использования человеческих ресурсов и минимизацию рисков, связанных с этими ресурсами.

Специалисты ООО «Мебель+» проводят обновление программного ядра, поскольку проникновение вредоносного ПО на сайт в большинстве случае становится возможным благодаря уязвимостям в программном коде. Обновление программной платформы сайта «Мебель+» помогает закрыть уже обнаруженные потенциальные бреши в безопасности.

В рамках исследования были сформулированы рекомендации по формированию системы защиты коммерческой тайны ООО «Мебель+» и его системы информационной безопасности, которые заключаются в разработке типовых документов по информационной безопасности на основе действующих стандартов безопасности. Данные стандарты актуальны как для крупных, так и для малых коммерческих предприятий.

Список литературы

Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ Редакция от 25.11.2017 (с изм. и доп., вступ. в силу с 01.01.2018)
Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ (Редакция от 12.03.2014)
Постановление Правительства РСФСР от 05.12.1991 N 35 (ред. от 03.10.2002) "О перечне сведений, которые не могут составлять коммерческую тайну"
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
"Техническая защита информации. Основные термины и определения. Р 50.1.056-2005" (утв. Приказом Ростехрегулирования от 29.12.2005 N 479-ст)
ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология, ГОСТ Р от 15 ноября 2012 года №ИСО/МЭК 27000-2012.
ГОСТ Р ИСО/МЭК 27001-2006 — "СМИБ. Требования" (Опубликован в 2005)
ГОСТ Р ИСО/МЭК 27002-2012 — "СМИБ. Свод норм и правил менеджмента информационной безопасности"
ГОСТ Р ИСО/МЭК 27004-2011 — "СМИБ. Измерения" (Опубликован в январе 2010)
ГОСТ Р ИСО/МЭК 27003-2012 —"СМИБ. Руководство по реализации системы менеджмента информационной безопасности" (Опубликован в январе 2010)
ГОСТ Р ИСО/МЭК 27005-2010 — "СМИБ. Менеджмент риска информационной безопасности." На основе BS7799-3 (опубликовано в 2008)
ГОСТ Р ИСО/МЭК 27006-2008 — "СМИБ. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27002:2011)
ГОСТ Р ИСО/МЭК 27007-2014 — "СМИБ. Руководства по аудиту систем менеджмента информационной безопасности"
ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011 — "СМИБ. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью"
ГОСТ Р ИСО/МЭК 27011-2012 — "СМИБ. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002"
ГОСТ Р ИСО/МЭК 27013-2014 — "СМИБ. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1"
ГОСТ Р ИСО/МЭК 27031-2012 — "СМИБ. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса"
ГОСТ Р ИСО/МЭК 27033-1-2011 — "СМИБ. Безопасность сетей. Часть 1. Обзор и концепции"
ГОСТ Р ИСО/МЭК 27033-3-2014 — "СМИБ. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления"
ГОСТ Р ИСО/МЭК 27034-1-2014 — "СМИБ. Безопасность приложений. Часть 1. Обзор и общие понятия"
ГОСТ Р ИСО/МЭК 27037-2014 — "СМИБ. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме"
ГОСТ Р ИСО/МЭК 27038-2016 — "СМИБ. Требования и методы электронного цензурирования"
ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью" (ISO/IEC 17799:2000 "Information technology. Code of practice for security management")
Черкасов В.Н. Бизнес и безопасность. Комплексный подход/ В.Н.Черкасов. – М.: Армада - пресс, 2014. – 384 с.
Елизарова А.С., Поздеева О.Г. Особенности обеспечения экономической безопасности предприятий малого бизнеса // Экономика и менеджмент инновационных технологий. 2017. № 7 [Электронный ресурс]. URL: http://ekonomika.snauka.ru/2017/07/15094 (дата обращения: 20.02.2018).
Кизим А.А., Солахов П.А., Лукьянцева К.А. Экономическая безопасность малого бизнеса в условиях кластеризации // Государственное и муниципальное управление. Ученые записки СКАГС. 2016. №3. URL: https://cyberleninka.ru/article/n/ekonomicheskaya-bezopasnost-malogo-biznesa-v-usloviyah-klasterizatsii (дата обращения: 15.04.2018).

Приложение 1