Текст книги "Организация комплексной системы защиты информации"
Автор книги: Наталия Гришина
сообщить о нарушении
Текущая страница: 9 (всего у книги 12 страниц)
На этом этапе важно провести работу по следующим позициям:
– разъяснение сотрудникам смысла, значения и сфер применения кодекса;
– привлечение рядовых сотрудников к процессу создания Кодекса;
– создание позитивного общественного мнения в отношении кодекса среди персонала, а также подготовка менеджмента и квалифицированных сотрудников как ресурса по внедрению кодекса в практику ежедневной деятельности.
Процесс обсуждения включает в себя такие элементы, как:
– очная и заочная формы обсуждения проекта кодекса, которые позволяет сотрудникам стать соавторами кодекса;
– оригинальная методика групповой работы по обсуждению проекта кодекса, как с руководителями, так и с неформальными лидерами общественного мнения, которые бы инициировали дальнейшее обсуждение документа в трудовых коллективах;
– оперативная обработка и передача данных очного обсуждения для незамедлительного использования в параллельно идущем заочном обсуждении в корпоративных средствах массовой информации;
– интерактивная модульная схема информационной кампании, позволяющая вести в диалоговом режиме разъяснение ключевых смыслов кодекса и отвечать на самые актуальные вопросы.
Очное обсуждение ориентировано на включение в диалог работников, заинтересованных в будущем своей организации, у которых есть что высказать и предложить ради повышения общего морального климата.
Заочное обсуждение (информационная кампания в корпоративных и федеральных СМИ, а также в корпоративных виртуальных сетях) теоретически может охватить более высокий процент сотрудников, чем физически осуществимо при очном учете масштабов корпорации. В период обсуждения Кодекса должны быть задействованы все доступные средства, печатные издания, освещение темы на корпоративном сайте организации, в стенгазетах.
Обратная связь
Само обсуждение кодекса уже является началом его внедрения. Процесс обсуждения служит основой для поиска общих интересов сотрудников и руководства, построения единой ценностно-целевой картины и развития диалога между сотрудниками и руководством.
3-й этап. Интеграция. Этот этап включает анализ всех поступивших предложений, внесение изменений в содержание проекта, выработка механизмов исполнения и внедрения документа.
После обсуждения документа проводится анализ предложений, полученных от сотрудников, и на его основе корректируется содержание кодекса.
Кроме того, на этом этапе применяется схема построения механизмов внедрения и исполнения кодекса, основанная на изучении опыта других компаний, а также на предложениях сотрудников.
Итогом третьего этапа проекта становится создание окончательного варианта текста кодекса, его полиграфическое исполнение и распространение среди персонала.
Спустя некоторое время возможна ситуация, когда однажды принятый кодекс корпоративного поведения потеряет актуальность, морально устареет. В этом случае высшему руководству требуется созвать комиссию по его пересмотру, и в случае решения о неизбежности внесения изменений, разработать новый проект кодекса, с обязательным учетом прошлого опыта.
Формирование позитивной корпоративной культуры с учетом специфики безопасности затрагивает изменение таких существенных представлений, как внутренний психологический климат коллектива, фундаментальные ценности, устоявшиеся паттерны поведения, совокупность формальных и неформальных требований к персоналу в виде норм, и, наконец, общие представления представителей коллектива об окружающей среде, организации и индивидуальности каждого из сотрудников.
Все эти понятия являются составляющими организационной культуры и обусловливают деятельность, осуществляемую сознательно или неподконтрольно отдельными нормами субкультур организации, которые должны быть скорректированы таким образом, чтобы не противостоять первичным ценностям безопасности, установленным основной доминирующей культурой, не находиться в оппозиции к ним.
Чтобы действия, преследующие цели укрепления механизмов безопасности, были адекватно восприняты и приняты коллективом, они должны быть не только разумны, но и соответствовать базовым представлениям сотрудников о правильности, чему способствует изучение и понимание корпоративной культуры. Подсознательного неприятия или даже открытого противодействия политике безопасности можно избежать, если своевременно провести тщательное наблюдение, в ходе которого должен быть выявлен преобладающий тип корпоративной культуры каждого структурного подразделения, который может варьироваться в зависимости от функциональных, возрастных, профессиональных, географических или иных особенностей. Также крайне важно определить неформальных лидеров выявить наиболее авторитетные субкультуры, значительно влияющие на внутреннюю жизнедеятельность организации. Важно выбрать наиболее эффективно работающую субкультуру и использовать ее в качестве исходной позиции для введения инноваций.
9. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ
9.1. Значение нормативно-методического обеспечения
В целях обеспечения комплексного подхода к формированию законодательства по проблемам защиты информации и информатизации в России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации и защиты информации». В соответствии с этой Программой была намечена разработка базового Закона РФ в области информатизации «Об информации, информатизации и ЗИ» (кстати, который сегодня уже не актуален), а также еще ряда специальных законов.
Реализация Программы должна была позволить создать правовые основы процесса информатизации в России, нормативно закрепить права граждан, организаций и государства на информацию и системы автоматизации с учетом правил охраны государственной и коммерческих тайн, порядка правовой, организационной и технической защиты информации и информационного ресурса в целом, основ защиты и правовых гарантий прав потребителя информации, защитить права собственника и автора и решить многие другие проблемы.
Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.
К содержанию нормативно-методических документов по ЗИ предъявляются требования. ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для предприятия целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к конфиденциальной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи). Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:
– соответствовать структуре, целям и задачам предприятия;
– описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;
– перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;
– определять ответственных за внедрение и эксплуатацию всех средств защиты;
– определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.
Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:
– принадлежность информации; об информации обязан заботиться тот, кому она принадлежит;
– определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней;
– значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?
Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?
9.2. Состав нормативно-методического обеспечения
Состав нормативно-методического обеспечения может быть определен следующим образом: законодательная база, руководящие методические документы и информационно-справочная база. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), госты. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных. Нормативно-методическая документация должна содержать следующие вопросы защиты информации:
– какие информационные ресурсы защищаются;
– какие программы можно использовать на служебных компьютерах;
– что происходит при обнаружении нелегальных программ или данных;
– дисциплинарные взыскания и общие указания о проведении служебных расследований;
– на кого распространяются правила;
– кто разрабатывает общие указания;
– точное описание полномочий и привилегий должностных лиц;
– кто может предоставлять полномочия и привилегии;
– порядок предоставления и лишения привилегий в области безопасности;
– полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;
– особые обязанности руководства и служащих по обеспечению безопасности;
– объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);
– дата ввода в действие и даты пересмотра;
– кто и каким образом ввел в действие эти правила.
План защиты информации может содержать следующие сведения:
– назначение ИС;
– перечень решаемых ИС задач;
– конфигурация;
– характеристики и размещение технических средств и программного обеспечения;
– перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
– требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
– список пользователей и их полномочий по доступу к ресурсам системы;
– цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
– перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
– основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
– требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
– основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
– цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;
– перечень и классификация возможных кризисных ситуаций;
– требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов. и т. п.);
– обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
– разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
– определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
– определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
– определение порядка разрешения споров в случае возникновения конфликтов.
9.3. Порядок разработки и внедрения документов
В статье 7 Закона РФ «О государственной тайне» заранее установлен состав сведений, которые не могут быть засекречены, т. е. отнесены к государственной тайне.
Не подлежат отнесению к государственной тайне и засекречиванию сведения:
– о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствия, а также о стихийных бедствиях и их официальных прогнозах и последствиях;
– о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
– о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
– о фактах нарушения прав и свобод человека и гражданина;
– о размерах золотого запаса и государственных валютных резервах РФ;
– о состоянии здоровья высших должностных лиц РФ;
– о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решение о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную и дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба.
Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений положениями ст. 5 и ст. 7 закона о государственной тайне.
Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий засекречивания исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
Полномочиями по отнесению сведений к государственной тайне обладают следующие органы государственной власти и должностные лица:
1. Палата Федерального собрания;
2. Президент Российской Федерации;
3. Правительство РФ;
4. Органы государственной власти РФ, органы государственной власти субъектов РФ и органы местного самоуправления во взаимодействии с органами защиты государственной тайны, расположенными в пределах соответствующих территорий;
5. Органы судебной власти.
Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с Законом о государственной тайне.
Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует по предложениям органов государственной власти и в соответствии с Перечнем сведений, составляющих государственную тайну, Перечень сведений, отнесенных к государственной власти. Указанный Перечень утверждается президентом РФ, подлежит открытому опубликованию и пересматривается по мере необходимости.
Органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, в соответствии с Перечнем сведений, отнесенных к государственной тайне, разрабатываются развернутые перечни сведений, подлежащих засекречиванию. В эти перечни включаются сведения, полномочиями по распоряжению которых наделены указанные органы, и устанавливается степень секретности. В рамках целевых программ по разработке и модернизации образцов вооружения и военной техники, опытно-конструкторских и научно-исследовательских работ по решению заказчиков указанных образцов и работ могут разрабатываться отдельные перечни сведений, подлежащих засекречиванию. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Целесообразность засекречивания таких перечней определяется их содержанием.
Основаниями для рассекречивания сведений являются:
– взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими в РФ государственную тайну;
– изменение объективных обстоятельств, вследствие которых дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной.
Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание действующих в органах государственной власти, на предприятиях, учреждениях и организациях перечней сведений и их соответствия установленной ранее степени секретности.
Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.
Правом изменения действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за принятые ими решения по рассекречиванию сведений. Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к государственной тайне, подлежат согласованию с межведомственной комиссией по защите государственной тайны, которые вправе приостанавливать и опротестовать эти решения.
Сведения, отнесенные к государственной тайне, по степени секретности подразделяются на сведения особой важности, совершенно секретные и секретные.
К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контр-разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей.
К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контр-разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересами министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.
К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной области деятельности.
Руководители органов государственной власти, наделенные полномочиями по отнесению сведений к государственной тайне, организуют разработку перечня и несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.
Для разработки перечня создается экспертная комиссия, в состав которой включаются компетентные специалисты, работающие со сведениями, составляющими государственную тайну.
В ходе подготовки проекта перечня экспертные комиссии в соответствии с принципами засекречивания сведений, установленными Законом Российской Федерации «О государственной тайне», проводят анализ всех видов деятельности соответствующих органов государственной власти, предприятий учреждений и организаций с целью определения сведений, распространение которых может нанести ущерб безопасности Российской Федерации. Обоснование необходимости отнесения сведений к государственной тайне с указанием соответствующей степени секретности осуществляется собственниками этих сведений и оформляется в виде предложений для включения в проект соответствующего перечня.
Степень секретности сведений, находящихся в распоряжении нескольких органов государственной власти, устанавливается по взаимному согласованию между ними.
В перечень могут быть включены сведения, которые получены (разработаны) другими органами государственной власти, органами местного самоуправления, предприятиями, организациями или гражданами, не состоящими в отношении подчиненности к руководителю органа государственной власти, утверждающему перечень. Степень секретности таких сведений устанавливается по согласованию между органами государственной власти, разрабатывающим перечень, и собственником сведений.
Проект перечня, разработанный экспертной комиссией, представляется на утверждение руководителю органа государственной власти, наделенному полномочиями по отнесению сведений к государственной тайне, который также решает вопрос о целесообразности засекречивания самого перечня.
Утвержденные перечни в целях координации работ по защите государственной тайны направляются в Межведомственную комиссию.
После утверждения перечни доводятся до
– заинтересованных органов государственной власти в полном объеме либо в части, их касающейся;
– предприятий, учреждений и организаций, действующих в сфере ведения органов государственной власти, в части, их касающейся, по решению должностного лица, утвердившего перечень;
– предприятий, учреждений и организаций, участвующих в проведении совместных работ, в объеме, определенном заказчиком этих работ.
Еще Закон РСФСР «О предприятиях и предпринимательской деятельности» юридически закреплял понятие «коммерческая тайна». Так, в п. 2 ст. 28 закона говорилось, что «предприятие имеет право не предоставлять информацию, содержащую коммерческую тайну». Перечень сведений, которые не могут составлять коммерческую тайну, определяется постановлением Правительства Российской Федерации № 35 от 05.12.1991 г.
В главе 6 Гражданского кодекса РФ (ст. 128, 138) среди объектов гражданских прав предусмотрена интеллектуальная собственность, в том числе исключительные права на нее, а также защита информации, составляющей служебную или коммерческую тайну (ст. 139).
Согласно ст. 139 действующего ГК РФ, информация составляет служебную или коммерческую тайну в том случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании; обладатель информации принимает меры к охране ее конфиденциальности. Эта статья ГК в отличие от упомянутой выше ст. 28 Закона РСФСР «О предприятии и предпринимательской деятельности», усиливает возможность запрета отнесения к коммерческой тайне тех или иных сведений, поскольку в ней содержится норма, согласно которой «сведения не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами».
Согласно этой же статье ГК РФ, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая обязанность возлагается на работников, разгласивших коммерческую тайну, вопреки трудовому договору и на контрагентов, сделавших это вопреки гражданско-правовому договору.
Из упомянутых правовых норм следует, что коммерческой тайной предприятия может быть все, что не запрещено законом или иными правовыми актами, охраняется предприятием и имеет ценность для предпринимательской деятельности, давая преимущество перед конкурентами, не владеющими ею.
Таким образом, фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство.
Реализация этого права осуществляется в соответствии с Законом о КТ РФ путем создания и поддержания на договорной основе с другими физическими и юридическими лицами защиты коммерческой информации, включающая в себя комплекс правовых, организационных, инженерно-технических, социально-психологических и других мер, основывающихся на административно-правовых нормах РФ и организационно-распорядительных документах руководства предприятия. Введение их в действие на предприятии приказом руководства является необходимым условием функционирования систем защиты конфиденциальной информации, поскольку эти документы представляют собой основной пакет нормативных документов, регулирующих правовые отношения в процессе обеспечения безопасности.
Однако не стоит забывать, что любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.
Серьезное значение для обеспечения безопасности информационных ресурсов приобретают документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе.
К таким основополагающим документам можно отнести:
– устав предприятия, закрепляющий условия обеспечения безопасности деятельности и защиты информации;
– трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению защиты сведений, составляющих коммерческую тайну и др.;
– правила внутреннего трудового распорядка рабочих и служащих;
– должностные обязанности руководителей, специалистов и обслуживающего персонала.
Эти документы играют важную роль в обеспечении безопасности предприятия.
Для предприятия необходимо внести в устав следующие дополнения:
– предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;
– обязано обеспечить сохранность коммерческой тайны;
– состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем предприятия;
– имеет право не предоставлять информацию, содержащую коммерческую тайну;
– руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.
Внесение этих дополнений дает право администрации:
– создавать организационные структуры по защите коммерческой тайны;
– издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
– включать требования по защите коммерческой тайны в договора по всем видам деятельности;
– требовать защиты интересов фирмы перед государственными и судебными органами;
– распоряжаться информацией, являющейся собственностью, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства.
Кроме этого, предприятию нужно разработать «Перечень сведений, составляющих коммерческую тайну».
Начало работы по защите коммерческой тайны связано с разработкой перечня сведений составляющих коммерческую тайну. Перечень должен разрабатываться специальной комиссией, в которую включаются квалифицированные специалисты по всем направлениям деятельности предприятия. В состав комиссии должны входить руководители службы защиты информации (службы безопасности) и лицо, ответственное за конфиденциальное делопроизводство. Комиссия назначается приказом руководителя предприятия. В этом же приказе устанавливаются общий механизм и сроки разработки перечня. Разработка перечня может быть возложена и на экспертную комиссию предприятия, осуществляющую экспертизу ценности документов, если ее состав отвечает требованиям, предъявляемым к комиссии по составлению перечня.
На первом этапе работы комиссия должна на основе анализа всех направлений деятельности предприятия установить весь состав циркулирующей на предприятии информации, отображенной на любом носителе, любым способом и в любом виде, а также с учетом перспектив развития предприятия и его взаимоотношений с партнерами определить характер дополнительной информации, которая может возникнуть в результате деятельности предприятия. Эта информация классифицируется по тематическому признаку.
На втором этапе определяется, какая из установленной информации должна быть конфиденциальной, и отнесена к коммерческой тайне.
В соответствии со ст. 139 ГК РФ и другими нормами федеральных законов информация может составлять коммерческую тайну, если она отвечает следующим требованиям (критерии правовой охраны):
– имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам;
– не подпадает под перечень сведений, доступ к которым не может быть ограничен, и перечень сведений, отнесенных к государственной тайне;
– к ней нет свободного доступа на законном основании;
– обладатель информации принимает меры к охране ее конфиденциальности.
Также следует заметить, что нецелесообразно относить информацию к коммерческой тайне, если затраты на ее защиту превысят количественные и качественные показатели преимуществ, получаемых при ее защите.
В то же время, наряду с общим перечнем сведений, доступ к которым по закону не может быть ограничен, в действующем законодательстве установлен специальный перечень в отношении сведений, которые не могут составлять коммерческую тайну (ст. 5 закона о КТ).
Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;