Большая энциклопедия промышленного шпионажа - Юрий Федорович Каторин
Шрифт:
Интервал:
Закладка:
>• разрабатывать и осуществлять совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Инструкции по защите коммерческой тайны»;
>• изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;
>• организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;
>• разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
>• обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;
>• осуществлять руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговоренных в договорах и условиях по защите коммерческой тайны;
>• организовывать и регулярно проводить учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был достигнут глубоко обоснованный подход;
>• вести учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;
>• вести учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
>• поддерживать контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).
При наличии подобной службы безопасности процесс организации защиты информации, описанный в подразделе 2.2.1, проходит по следующим этапам.
Первый этап (анализ объекта защиты) состоит в определении, что нужно защищать.
Анализ проводится по следующим направлениям:
>• какая информация в первую очередь нуждается в защите;
>• наиболее важные элементы (критические) защищаемой информации;
>• определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);
>• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;
>• классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т. д.).
Второй этап сводится к выявлению угроз:
>• определяется — кого может заинтересовать защищаемая информация;
>• оцениваются методы, используемые конкурентами для получения этой
информации;
>• оцениваются вероятные каналы утечки информации;
>• разрабатывается система мероприятий по пресечению действий
конкурента.
Третий — анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д.).
Четвертый — определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.
Пятый — рассматриваются руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.
Шестой — реализация дополнительных мер безопасности с учетом установленных приоритетов.
Седьмой — осуществление контроля и доведение до персонала фирмы реализуемых мер безопасности.
Преимущества создания собственной службы безопасности очевидны:
отлично зная объект, сотрудников, возможные угрозы, т. е. владея обстановкой, своя служба постоянно находится на объекте, поэтому всегда готова отразить всевозможные угрозы...
Главная проблема заключается в том, что на создание и поддержание ее должного уровня (подбор и обучение сотрудников, закупка техники, лидензирование...) необходимо затратить много времени и выделить серьезные средства. Достаточно отметить, что только на приобретение минимума технических средств контроля защищенности с учетом всего многообразия средств промышленного шпионажа требуется единовременное выделение не менее 20 000 $. Однако одной аппаратуры недостаточно, так как необходимо и знание специальных методик оценки опасности различных каналов утечки информации. В качестве образца такого методического обеспечения в Приложении 1 приведены рекомендации по оценке защищенности конфиденциальной информации от ее утечки за счет побочных электромагнитных излучений.
Следует особо отметить, что даже при наличии финансовой возможности приобрести специальную аппаратуру и наличии методик все равно требуется участие группы консультантов из числа опытных специалистов как в области защиты информации, так и в тех областях, знания которых необходимы для проведения квалифицированного анализа.
Таким образом, наиболее действенным должен быть третий, комбинированный вариант, а именно совместная работа службы безопасности и специализированных предприятий по защите информации. В этом случае общими усилиями разрабатывается некий план по защите информации, основные моменты которого приведены ниже.
План мероприятий по защите коммерческих секретов предприятия
1. Определение целей плана по защите коммерческой тайны. Ими могут быть:
>• предотвращение кражи коммерческих секретов;
>• предотвращение разглашения коммерческих секретов сотрудниками или их утечки через технические каналы.
2. Анализ сведений, составляющих коммерческую тайну, для чего надо:
>• определить, какие сведения на предприятии (технологические и деловые) являются коммерческой тайной;
>• установить места их накопления и хранения;
>• оценить возможности по перекрытию каналов утечки;
>• проанализировать соотношение затрат на защиту и возможных потерь при утере информации, если использованы различные технологии, обеспечивающие защиту коммерческой тайны;
>• назначить сотрудников, персонально ответственных за каждый участок системы обеспечения безопасности.
3. Обеспечить реализацию деятельности системы по следующим направлениям:
>• контроль сооружений и оборудования предприятия (обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений предприятия и т. п.);
>• работа с персоналом предприятия, в том числе проведение бесед при приеме на работу; инструктаж вновь потупивших на работу по правилам и процедурам, принятым для защиты коммерческой тайны на предприятии; обучение сотрудников правилам сохранения коммерческих секретов; стимулирование соблюдения конфиденциальности;
беседы с увольняющимися;
>• организация работы с конфиденциальными документами (установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами, контроль за публикациями, контроль и учет технических носителей конфиденциальных сведений, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов);
>• работа с конфиденциальной информацией, циркулирующей в технических средствах и системах, которые обеспечивают трудовую деятельность (создание системы предотвращения утечки информации через технические каналы);
>• работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за использованием ЭВМ);
>• защита коммерческой тайны предприятия в организационно-правовых документах, в процессе заключения контрактов и договоров с коллективом, сотрудниками, смежниками, поставщиками и т. д. Здесь важно четко определить круг лиц, имеющих отношение к этой работе.
После составления определяются те мероприятия плана, которые выполняются специализированной организацией (наличие квалифицированных специалистов в конкретной области, техническая и методическая оснащенность) и те из них, которые осуществляются силами и средствами собственной службы безопасности (знание оперативной обстановки, динамичность...). При такой работе достигаются оптимальные результаты с точки