21 ноября, среда 07:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Коммерческая тайна

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Коммерческая тайна

    Как правильно организовать данный режим?
    Какие документы для этого нужно разработать и какие лицензии получить, если не осуществлять ТЗКИ ?

    я пока разработал:
    положение по КТ;
    Порядок работы с КТ.

    что еще не хватает)?

  • #2
    еще как минимум не хватает переченя информации, составляющей коммерческую тайну.

    А вообще вот цитата:

    Статья 10. Охрана конфиденциальности информации

    1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

    1) определение перечня информации, составляющей коммерческую тайну;

    2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

    3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

    4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

    5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

    2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.



    1.Т.е. надо разработать положение о КТ, ва котором описать как осущесляется допуск к КТ, как защищается на электронныз носителях, как на бумажных, кто контроллирует, порядок отнесения сведений КТ и т.д., кто будет метить документы в соттветсвтии с ФЗ.

    2. разработать сам перечень информации, составляющей КТ

    2. внести в трудовые договора соответсвующие разделы и ознакомить персонал под роспись

    Сообщение от Fox1k Посмотреть сообщение
    Как правильно организовать данный режим?
    Какие документы для этого нужно разработать и какие лицензии получить, если не осуществлять ТЗКИ ?

    я пока разработал:
    положение по КТ;
    Порядок работы с КТ.

    что еще не хватает)?

    Комментарий


    • #3
      Fox1k
      Подтверждаю - камарад virus всё верно обозначил...У меня сёння как раз утверждение на Правлении всего вышеперечисленного пакета документов.Буде интересно - подробностями поделюсь
      Всё в наших руках...(с)

      Комментарий


      • #4
        Сообщение от Пух575 Посмотреть сообщение
        Fox1k
        Подтверждаю - камарад virus всё верно обозначил...У меня сёння как раз утверждение на Правлении всего вышеперечисленного пакета документов.Буде интересно - подробностями поделюсь
        все интересно )

        Комментарий


        • #5
          Необходимо ли категорирование информации или просто будет одна категория "КТ" ?

          Комментарий


          • #6
            Fox1k
            Мы в проекте обозначили 3 категории - собственно КТ, СИ - служебная информация, и ОИ - открытая информация...Персональные данные "проходят" совершенно отдельно, т.к. у нас осуществляется обработка ПДн только сотрудников...
            Всё в наших руках...(с)

            Комментарий


            • #7
              Сообщение от Fox1k Посмотреть сообщение
              Необходимо ли категорирование информации или просто будет одна категория "КТ" ?
              Одна категория "КТ"
              Внутри этой категории вы можете определить классы, но с точки зрения режима КТ все это - одна категория.

              Комментарий


              • #8
                malotavr
                Внутри этой категории вы можете определить классы
                Сэр, не пугайте коллегу...Ему ж ещё с общей документарной базой ковыряццо...
                Всё в наших руках...(с)

                Комментарий


                • #9
                  Сообщение от Пух575 Посмотреть сообщение
                  malotavr
                  Внутри этой категории вы можете определить классы
                  Сэр, не пугайте коллегу...Ему ж ещё с общей документарной базой ковыряццо...
                  Ага, точно.
                  Короче, Fox1k, все это КТ, и не заморачиваайтесь

                  Комментарий


                  • #10
                    Сообщение от Пух575 Посмотреть сообщение
                    Fox1k
                    Мы в проекте обозначили 3 категории - собственно КТ, СИ - служебная информация, и ОИ - открытая информация...Персональные данные "проходят" совершенно отдельно, т.к. у нас осуществляется обработка ПДн только сотрудников...
                    Сообщение от malotavr Посмотреть сообщение
                    Ага, точно.
                    Короче, Fox1k, все это КТ, и не заморачиваайтесь
                    Зачем вводите человека в заблуждение
                    ОИ - открытая информация...
                    ОИ никоим боком к КТ не имеет
                    Персональные данные "проходят" совершенно отдельно, т.к. у нас осуществляется обработка ПДн только сотрудников...
                    ПД к конфиденциальной информации (КИ) относятся, но КТ могут не составлять.
                    СИ - служебная информация
                    СИ - это уже как Вы определите, что туда относится. Может быть КТ... А может быть информация не защищаемая Законом, но которую не желательно разглашать на каждом углу (естественно и режим защиты и ответственность за разглашение Законом не определена)

                    Комментарий


                    • #11
                      ну а документ определяющий категорирование всей информации требуется, или можно обойтись только категорией КТ?
                      и какого уровня етот документ, ниже положения КТ или вообще другим боком идет ?

                      Комментарий


                      • #12
                        Сообщение от Toparenko Посмотреть сообщение
                        Зачем вводите человека в заблуждение

                        ОИ никоим боком к КТ не имеет

                        ПД к конфиденциальной информации (КИ) относятся, но КТ могут не составлять.

                        СИ - это уже как Вы определите, что туда относится. Может быть КТ... А может быть информация не защищаемая Законом, но которую не желательно разглашать на каждом углу (естественно и режим защиты и ответственность за разглашение Законом не определена)
                        Да, нас почитать - запутаешься

                        У Пуха есть три категории информации: КТ, прочая конфиденциальная и открытая.

                        Я имел в виду, что КТ разбивать на более мелкие классы можно, но совсем не обязательно.

                        Так что мы одно и то же говорим, просто сумбурно

                        Комментарий


                        • #13
                          Сообщение от Fox1k Посмотреть сообщение
                          ну а документ определяющий категорирование всей информации требуется, или можно обойтись только категорией КТ?
                          и какого уровня етот документ, ниже положения КТ или вообще другим боком идет ?
                          Не требуется. Нужен только перечень сведений, на которых распространяется режим КТ.

                          Комментарий


                          • #14
                            Toparenko
                            Мы с вами, по ходу, изначальный вопрос
                            Необходимо ли категорирование информации или просто будет одна категория "КТ" ?
                            истолковали по-разному, отсюда и все "непонятки"...


                            Fox1k
                            Imho, определить порядок однозначного категорирования информации в каком-то одном документе малореально, тем более, по-большому счету, КТ может быть любая информация, удовлетворяющая законодательным требованиям:
                            - имеющая действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам
                            - к ней нет свободного доступа на законном основании
                            - обладателем предпринимаются меры по защите её конфиденциальности
                            Мы к вопросу категорирования подошли, имея на руках очень близкий к реальности перечень информационных активов и их владельцев, после чего предложили владельцам самим отнести свою информацию к той или иной категории, а для избежания "перекосов" при отнесении информации к категории КТ была создана экспертная комиссия под руководством одного из вице-президентов, которая и принимает окончательное решение об отнесении/не отнесении...
                            Всё в наших руках...(с)

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение
                              Да, нас почитать - запутаешься
                              Ага
                              Сообщение от malotavr Посмотреть сообщение
                              У Пуха есть три категории информации: КТ, прочая конфиденциальная и открытая.

                              Я имел в виду, что КТ разбивать на более мелкие классы можно, но совсем не обязательно.

                              Так что мы одно и то же говорим, просто сумбурно
                              Я выкладывал на securitypolicy "непричесанный" шаблон Положения по конфиденциальности.

                              Там реализован именно этот принцип

                              Комментарий


                              • #16
                                malotavr
                                Нужен только перечень сведений, на которых распространяется режим КТ.
                                Тогда такой вопрос:
                                Насколько методически верно сделать перечень сведений, который обозвать "Перечень конфиденциальной информации", если прописать в Положении, что любая информация, которая входит в этот перечень и содержит описание ноу-хау, имеет потенциальную или действительную коммерческую ценность и т.п. (перечисляется ряд критериев) охраняется в режиме КТ?
                                Если та же информация под перечисленные критерии не подпадает - это прочая конфиденциальная информация, обращение внутри организации не столь жесткое, как с КТ.

                                Комментарий


                                • #17
                                  Сообщение от Kutyrs Посмотреть сообщение
                                  malotavr

                                  Тогда такой вопрос:
                                  Насколько методически верно сделать перечень сведений, который обозвать "Перечень конфиденциальной информации", если прописать в Положении, что любая информация, которая входит в этот перечень и содержит описание ноу-хау, имеет потенциальную или действительную коммерческую ценность и т.п. (перечисляется ряд критериев) охраняется в режиме КТ?
                                  Если та же информация под перечисленные критерии не подпадает - это прочая конфиденциальная информация, обращение внутри организации не столь жесткое, как с КТ.
                                  Не знаю, на сколько это корректно юридически, но методически - неверно.

                                  Сказав "сведения об участниках тендеров - это КТ", вы четко проинформировали пользователя, что разглашать эти сведения нельзя, поскольку видите в них потенциальный источник экономии средств.

                                  Если вы внесли "сведения об участниках тендеров" в перечень конфиденциальной информации, вы вынуждаете пользователя самостоятельно решать, видите ли вы в этой информации потенциально коммерческую ценность или не видите. Он этого сделать не может, ибо не телепат. А состав преступления по разглашению КТ предполагает умысел на разглашение именно КТ. В итоге теряется смысл введения режима КТ как дубинки в виде уголовной ответственности.

                                  Комментарий


                                  • #18
                                    malotavr
                                    Не знаю, на сколько это корректно юридически, но методически - неверно.
                                    Вот с этим уже не соглашусь.

                                    Дело в том, что в банке, как и в любой организации, конфиденциальной информации (в общем виде) дофига: КТ, БТ, ПДн клиентов, ПДн сотрудников, прочая КИ, СИ... и на какие еще категории разбить желаете...
                                    Если под каждую защищаемую категорию конфиденциальной информации писать своё положение и свои меры защиты, то это уже перебор... лишний раход бумаги, куча документов, в которых надо ориентироваться и вам и работнику.
                                    При этом меры защиты и порядок обращения все равно будут одни и теже для каждой категории КИ! (врядли ли удастся придумать что-то более умное и простое, чем это прописано для КТ).

                                    Поэтому, видится мне, проще написать одно Положение по конфиденциальной информации, в котором явно прописать все категории КИ, и сделать такой же категорированный (!) перечень КИ, в котором уже явно будет указано, что у вас относится к КТ, БТ, ПДн, прочей КИ и тд.

                                    Работнику тогда думать ни о чем не надо: защищается вся информация (в рамках Перечня)одними мерами защиты, наказание - дифференцировано, в соотвествии с действующим законодательством. Тут как раз и пример про уголовную ответственность подходит - под которую попадает разглашение только КТ, НТ (налоговой тайны) и БТ, но никак не разглашение прочей КИ организации или ПДн (сотрудников или клиентов).
                                    Да пребудет с тобой Сила!

                                    Комментарий


                                    • #19
                                      на мой взгляд разбивать КТ на категории не верно. Тем более в законе уже написано, какой гриф должен быть у документов, составляющих коммерчскую тайну: "коммерческая тайна".

                                      Путать в одном документе КТ, ПДн, БТ - тоже не верно. ПОлучается один большой документ, который ни кто читать не будет. Не всеж работники имеют отношение ко всем видам защищаемой информации одновременно. Пусть читают только то, с чем имеют дело.

                                      Комментарий


                                      • #20
                                        Сообщение от Turkish Посмотреть сообщение
                                        и сделать такой же категорированный (!) перечень КИ, в котором уже явно будет указано, что у вас относится к КТ, БТ, ПДн, прочей КИ и тд.
                                        Включасть КТ в общий перечень нецелесообразно.

                                        Здесь нет жестких требований к тому, что относится к КТ и документ будет постоянно (во всяком случае в течении первых 5-7 лет) актуализироваться. Именно поэтому я всегда предлагаю делать его отдельным документом.

                                        Комментарий


                                        • #21
                                          Сообщение от Turkish Посмотреть сообщение
                                          Дело в том, что в банке, как и в любой организации, конфиденциальной информации (в общем виде) дофига: КТ, БТ, ПДн клиентов, ПДн сотрудников, прочая КИ, СИ... и на какие еще категории разбить желаете...
                                          Все правильно. Ключевой момент: "сделать такой же категорированный (!) перечень КИ, в котором уже явно будет указано, что у вас относится к КТ". В предложении Kutyrs этого явного указания не было, и пользователю предлагалось самому решить, что из перечня относится к КТ, а что - к другим категориям защищаемой информации. Это я и назвал методически неверным.

                                          Комментарий


                                          • #22
                                            malotavr, уточню: что именно относится к КТ, а что к прочей КИ должен определить владелец этой информации. Т.е. те должностные лица организации, которые имеют право на юридически значимые действия.
                                            Данный момент в Положении о КИ прописан четко.

                                            Комментарий


                                            • #23
                                              Сообщение от Kutyrs Посмотреть сообщение
                                              malotavr, уточню: что именно относится к КТ, а что к прочей КИ должен определить владелец этой информации. Т.е. те должностные лица организации, которые имеют право на юридически значимые действия.
                                              Данный момент в Положении о КИ прописан четко.
                                              Kutyrs, может быть, я вас неправильно понял?

                                              Увидев в перечне конфиденциальной информации строчку "методики оценки тендерных предложений", пользователь может понять, имеет ли эта категория сведений потенциальную или действительную коммерческую ценность?

                                              Комментарий


                                              • #24
                                                Мне понравилась идея, которую кто-то здесь год назад огласил, про "дискреционную" классификацию: уровень документа определяет его автор (для одиночных документов вроде разовых аналитических отчётов), владелец бизнес-процесса (для документирования стандартных операций), руководитель подразделения( если область действия - само подразделение). При этом разрабатывается набор пороговых значений (если документ содержит персональные данные, то классифицируется не ниже, чем "конфиденциально", если конкурент готов за него заплатить, чтобы получить - "коммерческая тайна" и т.д.)
                                                Но, руки попытаться это реализовать так и не дошли

                                                Комментарий


                                                • #25
                                                  Коллеги, а кому-нибудь приходилось видеть документ "Методические рекомендации по технической защите информации, составляющей коммерческую тайну от 25.12.2006 г. (документ ДСП)", о котором упоминается на сайте Информзащиты? http://zki.infosec.ru/law/commercial/
                                                  Интересует общая характеристика документа, а также оценка его применимости и полезности.
                                                  Последний раз редактировалось ramalla; 22.06.2009, 09:07.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от ramalla Посмотреть сообщение
                                                    Коллеги, а кому-нибудь приходилось видеть документ "Методические рекомендации по технической защите информации, составляющей коммерческую тайну от 25.12.2006 г. (документ ДСП)", о котором упоминается на сайте Информзащиты? http://zki.infosec.ru/law/commercial/
                                                    Интересует общая характеристика документа, а также оценка его применимости и полезности.
                                                    Он мало чем по сути и тексту отличается от документов по ПДн. Три отличия - там есть требование использовать сертифицированную стеганографию, вместо 4-х документов все всунули в один и ФСТЭК пока о них вообще никому не говорит.

                                                    Комментарий


                                                    • #27
                                                      Berckut
                                                      Идея хороша, но подойдёт отнюдь не всем.Во-первых, "опускаться" до уровня отдельных документов себе дороже выйдет (велик риск "утонуть" в бумагах, т.к. каждый бумажный документ подлежит учёту со всеми отсюда вытекающими "прелестями"), во-вторых - вопрос актуальности: например, наши конкуренты готовы заплатить за информацию (документы) об объемах и сроках отгрузки той или иной продукции тому или иному контрагенту, НО только пока они являются плановыми.После того как отгрузка осуществлена в реальности, они уже не представляют никакого интереса, а соответственно, и защищать их как комм.тайну уже не имеет смысла...
                                                      Всё в наших руках...(с)

                                                      Комментарий


                                                      • #28
                                                        Алексей Лукацкий, благодарю за ответ..)

                                                        Комментарий


                                                        • #29
                                                          ramalla, у меня этот документ есть
                                                          Такое впечатление, что это чья-то диссертация...

                                                          malotavr,
                                                          Увидев в перечне конфиденциальной информации строчку "методики оценки тендерных предложений", пользователь может понять, имеет ли эта категория сведений потенциальную или действительную коммерческую ценность?
                                                          да, может (скорее, это я вначале некорректно выразился)

                                                          Комментарий


                                                          • #30
                                                            Kutyrs, спасибо..) а практическое применение документу сему удалось найти? разумеется, по профилю..)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X