- •Положение
- •2. Термины и определения
- •3. Общие требования к составлению перечня
- •4. Порядок формирования предварительного перечня
- •5. Порядок формирования окончательного перечня
- •6. Порядок и сроки пересмотра перечня
- •Универсальный перечень сведений конфиденциального характера
- •Перечень сведений, которые, в соответствии с законодательством рф, не могут относиться к конфиденциальным
- •Сведения о персонале компании “intech”
- •Оао “intech”
- •Об организации работы по формированию перечня защищаемых ир
- •_______________ №____1_______
- •Оао “intech”
- •Типовой перечень ир высокотехнологичного предприятия Анкета
4. Порядок формирования предварительного перечня
4.1. Предварительный Перечень формируется рабочей группой при осуществлении постоянного взаимодействия с руководством ОАО “INTECH” и начальниками структурных подразделений организации в ОАО “INTECH”.
4.2. После изучения универсального перечня сведений конфиденциального характера (Приложение 1), а также перечень сведений, которые, в соответствии с законодательством РФ, не могут относиться к конфиденциальным (Приложение 2), члены рабочей группы инициируют процесс сбора первоначальных данных:
4.2.1. Выявляется перечень всех бизнес-процессов на предприятии;
4.2.2. Далее для каждого бизнес-процесса (далее – БП):
4.2.2.1. Выявляется перечень реализующих БП подразделений:
Для каждого подразделения:
оформляется план помещения (помещений) где располагается подразделение.
По каждому сотруднику, имеющему доступ к ИР:
фиксируется необходимая личная информация (Приложение 3);
фиксируется перечень ИР, к которым сотрудник имеет доступ (Приложение 4);
4.3 На основании полученной информации формируется предварительный Перечень защищаемых информационных ресурсов – 1 тур опроса экспертов (Приложение 5).
В случае положительных решений по каждому из пунктов опроса на предыдущем шаге, ИР заносится в предварительный Перечень защищаемых информационных ресурсов – 2 тур опроса экспертов (Приложение 6).
4.4. Далее все сведения, которые, по мнению экспертов, относятся к коммерческой тайне, рассматриваться по следующим аспектам:
степень важности неразглашения сведений (информации) о порядке получения прибыли в борьбе с конкурентом, в том числе сведений о технико-экономических характеристиках изделия (продукции);
показатели выигрыша во времени при создании конкурентоспособного изделия (продукции) или предоставлении наукоемких услуг и работ;
получение организацией монополии на информацию о передовой технологии, являющейся ее собственностью;
вероятность использования информации конкурентом в случае ее рекламирования или опубликования;
другие вопросы производственной и финансовой безопасности.
5. Порядок формирования окончательного перечня
5.1. После подписания предварительного перечня генеральным директором, перечень подается на рассмотрение экспертной комиссии.
5.2. По предоставленному предварительному перечню экспертная комиссия формирует обобщенный вариант перечня.
5.3. В последствие экспертами определяется возможный ущерб в случае утечки информации или несанкционированном воздействиям на нее. Экспертами производится оценка стоимости сведений, по их мнению составляющих КТ и имеющих отношение хотя бы к одному из аспектов, описанных в п.4.4. Все остальные сведения необходимо исключить из предварительного Перечня.
5.4. В последствии эксперты определяют затраты на защиту рассматриваемых сведений. Если полученная стоимость ИР оказалась выше определенной руководством организации максимальной величины допустимых потерь от нарушения свойств безопасности информации (для ОАО «INTECH»), рабочей группой инициируется процесс оценки стоимости системы защиты данных ИР. Иначе ИР исключаются из предварительного перечня.
5.5. На данном этапе осуществляется принятие решений о включении сведений в окончательный вариант перечня. В обобщенный вариант Перечня включаются сведения конфиденциального характера, для которых величина морального и материального ущерба от несанкционированного распространения выше определенной руководством величины.
5.6. После составления обобщенного Перечня последний рассматривается на заседании экспертной комиссии. Если стоимость СЗ приемлема для руководства, ИР включается в окончательный Перечень защищаемых ИР. Иначе производится страхование выявленных рисков.
5.7. После формируется окончательный согласованный вариант обобщенного перечня
5.8. На заключительном этапе осуществляется оформление результатов работы по формированию Перечня. Результаты работы экспертной комиссии оформляются в виде окончательного варианта обобщенного Перечня, подписанного главным специалистом по безопасности и представленного на утверждение генерального директора. К окончательному варианта обобщенному Перечня могут прилагаться рабочие материалы, с обоснованием необходимости включения в него тех или иных сведений. Такие материалы должны подписываться всеми членами экспертной комиссии.
5.9. Перечень вводится в действие приказом генерального директора в виде приложения к нему.