«Утверждаю» Генеральный директор
_20_ г.
Переход к рыночным отношениям с присущей им остротой конкурентной борьбы ставит задачу защиты жизненно важных интересов ______________(далее — фирма) в разряд актуальных. Забота о безопасности фирмы становится необходимой.
С учетом опыта ведущих стран мира предпринимательские структуры Украины должны ожидать:
— рост числа и объемов банковских махинаций по неоднократному переводу средств из банка в банк, с одной статьи на другую для хищения на одном из этапов;
— махинаций по льготному кредитованию, снижение ставки ссудного процента с несвоевременным возвратом ссуд и их хищениями;
— махинаций с налоговыми декларациями;
— недобросовестную рыночную конкуренцию, связанную с обходом антимонопольного законодательства;
— спекуляций ценными бумагами, подделок акций, махинации с дивидендами;
— созданий «мыльных» акционерных обществ, хищений дивидендов их управленцами;
— махинаций на фондовых биржах.
Расширяются и появляются формы внешнеэкономических преступлений:
— подделка валюты;
— коррупция чиновников госорганов в процессе приватизации, завышение и занижение цен при взаимных расчетах с госсектором;
— хищение финансов с помощью ЭВМ в компьютерных сетях;
— хищение программ, отдельных видов информации из памяти ЭВМ;
— использование средств прослушивания и оптического проникновения для завладения коммерческой тайной и конфиденциальной информацией конкурентов и для изучения объектов предстоящего удара организованной преступности;
— поджоги, погромы офисов, квартир, как средство шантажа предпринимателей, налеты на предприятия, коммерческие магазины;
— внедрение своих людей, подкуп сотрудников фирмы;
— хищение средств информации, техники, продукции, в том числе с последующим выходом на конкурентов и криминальные структуры и группировки;
— массовые попытки совершать кражи того, что плохо охраняется.
Основной отличительной чертой современности является то, что права частной интеллектуальной собственности и информация экономического характера стали наиболее ценным и часто продаваемым товаром. Поэтому в условиях, когда такого рода информация непрерывно циркулирует в мире, а ее важность для различных сторон жизни общества резко возрастает, появляются исключительные возможности и беспрецедентная мотивация для усиления промышленного шпионажа.
Представляет интерес как для спецслужб других государств, так и для конкурентов в Украине и за границей следующая информация фирмы:
— экономические соглашениям, а также условия договоров в сфере торговли и финансовой деятельности;
— направления развития производственной и экономической политики фирмы;
— технологические трансферы и нормативные документы в области контроля за военными поставками;
— политика в области создания новых продуктов имеющих значение для укрепления гражданской обороны и обороноспособности страны в целом.
Безопасность фирмы в экономической сфере деятельности можно определить как состояние ее юридических, производственных отношений и организационных связей, материальных и интеллектуальных ресурсов, при котором гарантируется стабильность функционирования, финансово-коммерческий успех, прогрессивное научно-техническое и социальное развитие.
Сущность безопасности фирмы является ее способность противостоять дестабилизирующим факторам, нарушающим ее нормальную производственную, научно-техническую, коммерческую и иную деятельность.
В силу того, что факторов, представляющих угрозу для фирмы, достаточно много, целесообразно осуществлять работу по обеспечению безопасности на данном этапе при помощи фирмы «Альфа и К°» с последующим созданием с помощью этой фирмы единого исполнительно-распорядительного органам фирмы виде «Отдела безопасности и защиты экономических интересов фирмы». Указанный отдел должен обеспечивать принятие эффективных мер противодействия дестабилизирующим факторам, используя для этого не только свои силы, но и силы внешних организаций.
Деятельность по обеспечению безопасности фирмы должна строиться по следующим направлениям:
1. Обеспечение экономической и производственной безопасности фирмы.
На этом направлении службами, обеспечивающими безопасность фирмы, должны своевременно выявляться и пресекаться попытки конкурентов к ведению недобросовестной конкуренции. Недобросовестная конкуренция может выступать в таких формах, как промысленный шпионаж, заимствование товарного знака, фирменного наименования или маркировки товара без разрешения юридического лица — фирмы, на чье имя они зарегистрированы, нарушение прав патентообладателя, дискредитация репутации предприятия, сговор конкурентов с целью навязывания фирме заведомо невыгодных условий, дезорганизация производства путем подкупа или переманивания рабочих и служащих, особенно тех, кто имеет доступ к секретной и конфиденциальной информации, коммерческой тайне.
Деятельность по обеспечению экономической безопасности фирмы должна пресекать попытки государственных органов ограничивать самостоятельность фирмы, игнорируя действующее законодательство. Одновременно необходимо вести постоянную работу по сбору информации необходимой для анализа конъюнктуры рынка, надежности партнеров и возможностей конкурентов.
2. Режимно-секретная деятельность на фирме
Обеспечение безопасности фирмы предусматривает принятие мер к разделению прав владения, использования и распоряжения секретной и конфиденциальной информацией, коммерческой тайной фирмы. Государственные секреты определяются заказывающими государственными учреждениями и продукцией, составляющей государственную тайну. Руководство фирмы совместно со службой безопасности осуществляет согласование интересов фирмы и государства в процессе подготовки, размещения и выполнения государственных заказов на разработку и производство секретной продукции. Безопасность продукции и документации, составляющей коммерческую тайну и конфиденциальную информацию фирмы, обеспечивается отдельно разработанными мероприятиями.
3. Деятельность по предупреждению негативных процессов в трудовых коллективах
Служба безопасности организует работу по своевременному выявлению конфликтных ситуаций в трудовых коллективах, фактов осложнений их взаимоотношений с администрацией, социальной напряженности в отдельных структурах фирмы, выражающихся в развитии деструктивных тенденций решения возникающих проблем, экстремистских проявлений, угроз забастовки, групповых нарушений общественного порядка, создания угроз жизни и здоровью отдельных людей.
Деятельность службы безопасности и администрации фирмы ведется в строгом соответствии с действующим законодательством Украины и общественной моралью, не должна провоцировать конфликтные ситуации и вызывать непонимание в трудовом коллективе, строиться на основе заботы о правах и достоинстве каждого сотрудника фирмы.
4. Обеспечение физической безопасности
Взаимодействуя с различными подразделениями фирмы, служба безопасности фирмы направляет свою деятельность на обеспечение физической безопасности зданий и сооружений, оборудования и иного материального имущества фирмы, жизни и здоровья ее сотрудников. Совместно с органами МВД и охранной фирмой «Альфа и К0» осуществляет мероприятия по предупреждению и пресечению фактов хищения собственности фирмы. Служба безопасности выявляет факты нарушения технологической и трудовой дисциплины, которые могут привести к выходу из строя дорогостоящего оборудования, порче продукции, срыву поставок продукции в соответствии с заключенными договорами, используемого сырья и материалов.
Особое значение должно придаваться деловым связям фирмы с местными органами власти, СБУ и МВД. Интересы по обеспечению безопасности фирмы не должны находиться в противоречии с интересами по обеспечению безопасности государства и общества. Целесообразно придать таким контактам форму долговременные договорных отношений, определяя при этом порядок и объем взаимодействия в процессе борьбы с государственными, административно-хозяйственными уголовными и иными правонарушениями, имеющими место на фирме.
В своей деятельности сотрудники фирмы, выполняющие обязанности по обеспечению безопасности фирмы, подчиняются Генеральному директору и помощнику Генерального директора. Основными документами, регулирующими деятельность по вопросам безопасности, являются настоящая Концепция, Правила внутреннего трудового распорядка, инструкции и приказы по вопросам режима и безопасности на фирме, должностные инструкции сотрудников фирмы и Положения о структурных подразделениях фирмы.
Решение стоит не более того, что стоит информация, на основании которой оно принято. Этим определяется подход к сбору информации, который можно разделить на следующие этапы:
— определение стратегической цели;
— тактическая цель и выбор наилучшей дороги к достижению этой цели;
— оперативная цель для продвижения по выбранному направлению.
Стратегическая информация является обязательным сырьем для выработки решения, без чего самые прекрасные планы останутся самообманом. Без качественной информации невозможно принять правильное решение. Все эти условия имеют влияние на качество обеспечения безопасности фирмы и требуют постоянной систематизации информации, влияющей на совершенствование мер безопасности в зависимости от меняющейся экономической, оперативной, производственной, правовой и административной ситуаций в фирме и в ее окружении. С этой целью целесообразно организовать ведение картотеки со следующими базами данных:
— конкуренция. Ведется накопление по действующим и потенциальным конкурентам;
— рынок с учетом его потребностей, соотношений государственных и коммерческих заказов, заказчиков в ближнем и дальнем зарубежье;
— технология, применяемая на фирме; наличие данных о такой же технологии на других предприятиях, наличии более совершенных технологий в Украине и за границей. Влияние таких технологий на условия конкуренции на украинском рынке;
— законодательство в объеме работ фирмы и ее отношений с клиентурой в Украине и за границей;
— ресурсы, необходимые для функционирования производства фирмы и НИР по созданию новых и совершенствованию старых продуктов. Сбор информации на потенциальных поставщиков с целью изучения их состояния, связей и перспективы развития;
— общие тенденции развития фирмы, рынка, клиентуры, потребностей производимой фирмой продукции и оборудования;
— прочие факторы, влияющие на эффективность функционирования фирмы в пределах ее интересов и компетенции.
Даже ценная информация, которая добывается с большим трудом, должна вовремя поступать к тому, кому она необходима. Информация является ценной только тогда, когда она может быть использована. Если информация не служит для принятия решения, то она является беспредметной, а следовательно — несуществующей.
Информация называется свежей, если интервал между самим событием и сообщением о нем короткий. Свежесть и конфиденциальность — два качества, дополняющие друг друга, помогают судить о полезности источника. Нужно уметь пренебрегать предубеждениями, чтобы избегать ловушек необходимо запрашивать мнение совершенно различных лиц.
Для принятия любого решения необходимо вначале ответить на следующие вопросы:
— кто ваши конкуренты;
— какими товарами конкуренты представлены на рынке;
— в чем заключается стратегия конкурентов;
— в каких областях конкуренты имеют преимущества;
— в каких областях фирма является лидером;
— может ли продукция фирмы заменить товары конкурентов;
— какие позиции занимает на рынке каждый из конкурентов;
— существует ли в вашей отрасли фирма, которая задает тон;
— существует ли «порог», за которым следует реакция конкурента;
— какие фирмы реагировали с особой частотой и активностью и по каким вопросам или проблемам;
— существуют ли у фирмы дружеские связи с конкурентами;
— кто поставляет фирме информацию;
— как используется эта информация.
Для сбора информации о конкурентах может использоваться различная методика, которая может предусматривать:
— закупку товаров конкуренту;
— неизменное присутствие на ярмарках, выставках, конференциях;
— посещение подразделений фирмы под различными предлогами;
— направление опросных листов под видом социологических исследований;
— финансирование контрактов на выполнение НИР в Украине и за рубежом с целью проникновения в лаборатории конкурента;
— отправка на учебу студентов и стажеров в зоны наибольшей заинтересованности;
— бесконечные безрезультатные переговоры, в процессе которых постоянно запрашивается дополнительная информация;
— похищение чертежей и технической информации;
— шпионаж и просто воровство;
— объявление ложных конкурсов зарубежными фирмами с целью создания условий для копирования технологий, представленных на конкурс.
При создании службы безопасности необходимо признать:
— необходимо отказаться от мысли, что это будет малозатратное, дешевое мероприятие;
— надо смириться с мыслью о том, что руководитель службы безопасности будет посвящен во все тонкости и тайны бизнеса фирмы;
— придется согласиться с тем, что в сфере производства и его обеспечения будут введены особые защитные механизмы работы с информацией;
— систему безопасности фирмы будут создавать профессионально, сотрудничество с ними может быть плодотворным, только если оно долгосрочное.
Система обеспечения безопасности фирмы включает в себя работу по следующим направлениям:
а) контроль сооружения и оборудования фирмы, предусматривающий обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений фирмы;
б) мероприятия по защите коммерческой тайны и конфиденциальной информации, включающие в себя:
— предотвращение кражи секретной информации фирмы;
— придание коммерческим секретам максимально значащего внешнего вида;
— создание условий для предотвращения утечки секретной информации через персонал фирмы.
Для анализа коммерческой информации фирмы и создания программ ее защиты необходимо:
— определить приказом Генерального директора фирмы, какая коммерческая информация фирмы (технологическая или деловая) является коммерческой тайной и конфиденциальной информацией;
— установить места накопления и хранения документов, содержащих коммерческую тайну и конфиденциальную информацию фирмы, и лиц, ответственных за организацию работы с такой информацией; выявить потенциальные каналы утечки информации;
— на основании консультации со специалистами организовать комплекс мероприятий по перекрытию этих каналов;
— проанализировать соотношение затрат и доходов по использованию различных технологий, обеспечивающих защиту секретной информации;
— назначить сотрудников фирмы, ответственных за каждый участок системы обеспечения безопасности;
— подготовить график проверки состояния дел с секретной информацией на участках и в структурных подразделениях фирмы;
в) работа с персоналом фирмы, включающая в себя:
— беседы при приеме на работу;
— инструктаж вновь принятых с правилами и процедурами охраны информации на фирме;
— обучение служащих вопросам сохранения коммерческой тайны и конфиденциальной информации;
— работа с сотрудниками, подозреваемыми в хищении информации фирмы стимулирование соблюдения коммерческой тайны;
— беседы с увольняющимися;
г) организация работы с конфиденциальной информацией и документами, содержащими коммерческую тайну, в том числе:
— установления порядка делопроизводства на основании Инструкции по делопроизводству, утвержденной Генеральным директором фирмы;
— контроль за секретными документами всех уровней;
— контроль за публикациями сотрудников фирмы, а также публикациями других лиц, в информации которых содержатся элементы, составляющие коммерческую тайну или конфиденциальную информацию фирмы;
— установление порядка рассекречивания и уничтожения секретных, конфиденциальных документов, а также документов, содержащих коммерческую тайну;
— охрана секретов клиентуры и деловых связей фирмы;
д) обеспечение информационной безопасности, работа с конфиденциальной информацией и коммерческой тайной, накопленной в компьютерных сетях фирмы, а также в бумажных архивах; (рассматривается ниже отдельным разделом);
е) организация учета и проверки соблюдения Правил, Положений, инструкций и приказов по вопросам безопасности фирмы, наличия документов, содержащих коммерческую тайну и конфиденциальную информацию;
ж) обеспечение защиты коммерческой тайны и конфиденциальной информации в процессе заключения договоров (контрактов), ведения переговоров, для чего определить круг лиц, имеющих отношение к той работе. Подготовка указанной категории сотрудников осуществляется по специально утвержденному Генеральным директором плану в объеме настоящей Концепции.
Правила работы с документами, содержащими коммерческую тайну и конфиденциальную информацию, сводятся к следующим основным требованиям:
— строгий контроль за допуском персонала к секретным документам фирмы с фиксацией лиц, получивших допуск к работе с каждым конкретным документом или изделием;
— точное установление того, кто конкретно из руководства и служащих фирмы организует и контролирует секретное делопроизводство фирмы, наделение их соответствующими полномочиями;
— разработка инструкции по работе с секретными документами, ознакомление с ней соответствующих сотрудников фирмы;
— контроль за получением соответствующими служащими допуска с получением от них письменных обязательств о сохранении коммерческой тайны фирмы и ответственности в случае ее разглашения;
— введение системы материального и иного стимулирования служащих фирмы, имеющих допуск к секретам фирмы;
— внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны;
— личный контроль со стороны Генерального директора и его заместителей за соблюдением режимных требований и соблюдением требований к делопроизводству.
Для работы с секретными документами в фирме должно быть отведено специальное помещение с хорошей звукоизоляцией, капитальными стенами, надежными перекрытиями, прочными дверьми с патентованными замками и запорами, защитой на окнах от проникновения посторонних лиц. В такие помещения допускаются только сотрудники, имеющие допуск к работе с такими документами. Проведение ремонтных и других работ в этом помещении должно осуществляться только в присутствии службы охраны и помощника Генерального директора. Наблюдение за работающими людьми в этом помещении должно быть непрерывным.
Черновики секретных документов фирмы должны готовиться в тетрадях с пронумерованными листами. Черновики уничтожаются по акту уполномоченными на то сотрудниками фирмы. Число копий секретных документов фирмы должно строго учитываться, а копировальные машины — снабжаться счетчиком копий и ключом, запускающим машины в действие. Использованная копировальная бумага и лента уничтожаются под контролем ответственных лиц.
Вероятность утечки информации из документов особенно велика в процессе их пересылки. По возможности, доставку секретных документов фирмы следует организовывать собственными силами с привлечением службы охраны фирмы, или обращаться в те фирмы, которые такие услуги оказывают за плату.
Служащие фирмы, отвечающие за сохранность, использование и своевременное уничтожение секретных документов фирмы, должны быть защищены от соблазна торговли секретами фирмы хорошей платой за работу.
В процессе хранения информации, составляющей коммерческую тайну фирмы, ввести в использование средства защиты и сигнализации о несакционированном доступе к ним.
Для организации правильного взаимодействия с охранными фирмами Собственного комплекса защитных мер, необходимо различать понятия «промышленный шпионаж» и «корпоративная разведка». Под «промышленным шпионажем» понимается разведывательная деятельность, финансируемая или координируемая со стороны какого-либо государства, направленная против правительства страны или национальных компаний, учреждений или частных лиц. Составными частями такой деятельности могут являться:
— незаконное получение или планирование получения секретной информации по состоянию сферы финансов, торговли, по вопросам экономической политики или экономической информации, на которую распространяются права собственности, или передовых технологий;
— незаконное или тайное оказание влияния или планирование действий по оказанию такого влияния на принятие решений по вопросам экономической политики. В роли заказчика в этом случае выступает государство.
Под «корпоративной разведкой» понимается не столько кража торговых секретов или применение незаконных методов сбора информации. У корпоративной разведки стоят цели обеспечить сбор и анализ открытой информации (хотя при случае добываются и сведения секретного характера) в отношении конкурентов, что дает возможность руководству фирмы принимать адекватные решения.
Корпоративная разведка заимствует средства и методы стратегического планирования, что позволяет постоянно держать в поле зрения рынки и контролировать место фирмы на них.
В деловом мире абсолютной преданности не бывает, как не бывает абсолютной взаимной любви. Взаимоотношения складываются под влиянием стратегических, а чаще тактических интересов бизнеса. Отсекать службу безопасности от информации практически не только невозможно, но и опасно. По долгу службы она обязана знать все, иначе не сможет создать полнокровную систему ограждения фирмы и ее сотрудников от неприятностей.
Для обеспечения гарантированного принятия правильных решений необходимо научиться работать с информацией, поступающей с поля экономической битвы.
Для организации эффективных мер по борьбе с экономической разведкой необходимо иметь хотя бы общее представление о том, как она ведется. При ведении промышленного шпионажа редко используется только один способ или метод сбора информации. В большинстве случаев применяется комплекс методов: легальных и нелегальных, традиционных и новых. Эффективность достигается тогда, когда в компании или фирме, к которой проявляется разведывательный интерес, есть доверенное лицо, которое может получить информацию. Используя различные методы сбора информации — от так называемого «серфинга» в международной компьютерной сети «Интернет» до прозаического исследования мусорных баков — аналитики конкурентов могут извлекать на свет все сведения о фирме: о новой продукции, стоимости производства, личных делах руководящего состава и даже о методах выработки решений. Бесполезной информации не бывает. Среди других способов получения информации наиболее широко используется найм на работу сотрудников, которые работали или работают в компании конкурента, проведение опросов потребителей продукции, создание совместных предприятий. При этом технологии фирмы-компаньона как бы автоматически становятся достоянием обоих партнеров. Долевое участие в каком-либо проекте дает возможность конкурентам получить возможность совершенно легальной работы по сбору информации. По отношению к странам с переходной экономикой одна из методик ведения промышленного шпионажа проста и незамысловата: сотрудникам предприятия-конкурента, как правило, персоналу среднего звена управления производством, от имени вымышленной фирмы высылается вопросник, в котором затронуты все сферы деятельности фирмы — от характера выпускаемой продукции, способов организации производства до уровня оплаты сотрудников. В основном такой способ применяемся по отношению к объектам бывшего военно-промышленного комплекса.
Экономическая безопасность фирмы определяется прежде всего ее производственным потенциалом. При рассмотрении проблем безопасности необходимо выяснить, что является для фирмы универсальным инструментом, который позволяет фирме уверенно чувствовать себя в условиях рыночной экономики. Немаловажное значение для обеспечения экономической безопасности имеет наличие на фирме квалифицированных экономистов, финансистов и бухгалтеров.
Внешние угрозы экономической безопасности фирмы могут состоять в:
— утечке экономической информации;
— деятельности конкурентов в стране и за границей, направленной на создание влияния, выгодного им в плане использования источников сырья, необходимой для фирмы продукции в ущерб интересам фирмы, содействие ослаблению и даже свертыванию производства фирмы, имеющих возможность создавать конкурентоспособную продукцию, стимулировании «утечкиумов», попытки поставить фирму в зависимость от импортного сырья за счет продажи специфического оборудования;
— проникновении в экономику страны международных организованных преступных формирований и их капитала, различного рода авантюристов и мошенников из числа граждан Украины и иностранных государств;
— попытке введения экономических и других санкций против фирмы;
— расширении масштабов коррупции в органах государственной власти;
— развитии негативных тенденций в сферах приватизации внешнеэкономической и финансово-банковской деятельности;
— росте экономической преступности;
— незавершенной системе зашиты промышленных и научных секретов, научных разработок, обеспечивающих конкурентоспособность продукции, от промышленного шпионажа или несанкционированного приобретения их иностранными и отечественными фирмами;
— обмане фирмы недобросовестными партнерами;
— недобросовестной конкуренции;
— возможности диверсионно-террористических акций на объектах жизнеобеспечения фирмы.
Угрозу экономической безопасности фирмы представляет прямое вмешательство государственных структур в хозяйственно-финансовую деятельность фирмы. Экономическая безопасность фирмы может оказаться под угрозой из-за неправомерных или ошибочных действий ее филиалов, использующих для заключения договоров (контрактов) и сделок имя своей фирмы. Фирме следует учитывать опасность возможных расчетов со своими контрагентами, в отношении которых введены экономические санкции.
Система обеспечения экономической безопасности должна предусматривать наличие:
— правового комплекса;
— страхового комплекса;
— фондов финансовой поддержки правоохранительных мероприятий;
— охранного комплекса;
— технического комплекса, включающего в себя, наряду с техническими средствами защиты, систему сертификации управления качеством продукции и технических средств;
— редакционно-издательского, научно-исследовательского и образовательного комплексов;
— четкой системы судебной защиты интересов фирмы во всех сферах ее деятельности;
— усиление роли страхования предпринимательских рисков;
— формирования полноценного информационно-аналитического обеспечения научно-производственной деятельности фирмы и создания действенной системы управления инвестиционными и коммерческими рисками.
Экономическая безопасность фирмы включает в себя имущественную, расчетную, инвестиционную, производственную, правовую и другие составляющие. На экономическую безопасность фирмы накладывают свой отпечаток факторы как зависящие от нее непосредственно, так и вовсе независящие. Среди независящих факторов можно выделить наличие определенной правовой среды, невмешательство в хозяйственно-финансовую деятельность. В то же время конкуренто- и платежеспособность, уровень использования мощностей и ресурсов, финансовая и исполнительская дисциплина, диверсификация деятельности, сворачивание бесперспективных производств, продуманная политика ценообразования всецело зависят от фирмы.
Система функционирования информации в фирме предусматривает ее содержание, возможное использование и каналы движения в фирме и за ее пределами с учетом ответов на следующие вопросы:
— куда она может пойти?
— какая нужна информация?
— какие базы наблюдать?
— кто должен снабжать этой информацией?
— составные части информации;
— анализ информации;
— синтез;
— распределение информации;
— обратная связь, корректировка целей и потребностей.
Без хорошей оценки есть риск допустить ошибку. Поэтому первой и самой важной операцией является анализ. Эта операция состоит прежде всего в определении важности, точности и значимости информации.
Не всегда легко установить, является информация достоверной или ложной, если она содержит сведения о событиях, которые еще не произошли. Допускается два критерия, по которым можно судить о точности информации, надежности источника и самой информации. Главным критерием правдоподобия является поиск подтверждения по другим источникам, желательно по независимым. Если информация поступает от нового источника, необходимо прежде всего ответить на вопрос, позволяет ли положение лица, передающего сведения, иметь доступ к сообщаемым фактам.
При отсутствии надежности источника или информации не следует ее отбрасывать, если она производит впечатлен не важной. Ее необходимо отложить в ожидании новых элементов, позволяющих подтвердить ее или нет.
Синтез предусматривает соединение всех обрывков информации в единое целое. Поэтому о ценности любой информации можно и следует судить только после ее анализа с учетом уже ранее полученной информации по изучаемому вопросу.
Дезинформация — это пропаганда ложных новостей с целью навязывания ошибочного мнения в нужном вопросе. Информация — это продукция, она проходит длинный цикл — приобретение, обработка, распределение. За информацию часто платят информацией и она соединяется в неделимое целое. Информация имеет дополнительную ценность, когда она прямым или косвенным образом принимает участие в решении. «Информация — кровь предприятия» — гласит девиз Мицуи. Только при таких условиях фирма будет существовать и развиваться, избегая ложной информации или утечки нужной информации. Коль скоро информация оказывает влияние на принятие решения, удачно внедренная к конкурентам дезинформация может позволить фирме на определенном этапе получить возможность осуществлять свою деятельность в благоприятных условиях и с меньшими затратами для завоевания рынка сбыта своей продукции.
Дезинформация — это не пропаганда. В дезинформации содержится ложь по самой природе объекта, по тем или иным его качествам. Все это приводит к другому фундаментальному аспекту дезинформации: точка зрения адресата. Для него это сообщение должно быть получено как правдивая информация, а иначе маневр терпит неудачу и даже может нанести ущерб инициатору продвижения дезинформации. Адресата необходимо заранее настроить положительно по отношению к ложной информации. В ложной информации имеются две составляющие:
— сюжет, подпитывающийся определенным вниманием;
— сюжет ложный, который отвечает на это внимание, пропагандируя ложную информацию.
Все искусство лжи состоит из получения ответа, который немного должен быть близок к реальному для вероятности и в то же время должен содержать нечто отдаленное, чтобы ввести адресата в заблуждение. Часто информация получает свою надежность в силу того, что все ее повторяют, но никто не знает, откуда она взялась.
Первое правило: сохраняйте по отношению к информации хладнокровие. Вы должны контролировать ваши собственные интересы, чтобы не стать легкой добычей.
Второе правило: внимательно обрабатывайте информацию.
При засекречивании информации следует исходить из принципа экономической выгоды и безопасности фирмы. Объявляя ту или иную информацию коммерческой тайной, важно соблюсти «золотую середину». Чрезмерное засекречивание деятельности фирмы способно вызвать потерю прибылей. К этому также может привести и пренебрежительное отношение к коммерческой тайне. Все эти правила не используются при работе с информацией, являющейся государственной тайной и включенной в Свод секретной информации.
Информация «ноу-хау» относится к разряду коммерческих тайн, что порождает аспект охраны этих сведений от персонала самой фирмы, т. к. всегда существует опасность, что тот или иной сотрудник уволится и перейдет работать в конкурирующую фирму. При введении контрактной формы трудовых отношений фирма может включить в содержание контракта нераспространение информации, полученной сотрудником во время работы в фирме, в течение 1, 2, 3 и более лет. Для обеспечения выполнения этого условия фирма может выплачивать вознаграждение уволенному, что даст право фирме предъявить иск к виновному, если он разгласит коммерческую тайну или конфиденциальную информацию, нанеся таким образом материальный ущерб фирме.
Информация, которая подпадает под понятия рационализаторского предложения, изобретения и т. п., на стадии разработки и внедрения должна быть отнесена к коммерческой тайне. Принятие решения не подавать заявку на изобретение на патентоспособное техническое решение возможно только по договоренности с автором, которая выражается в письменном виде и подписывается обеими сторонами. Если работодатель в течение трех месяцев с даты уведомления его автором о созданном изобретении не подаст заявку на него и не согласует возможность задержки патентования с автором, автор вправе сам подать заявку и получить патент на свое имя.
Особое внимание должно уделяться охране договоров (контрактов), заключаемых фирмой. Охране подлежит не только текст договора, но и сам факт его заключения. Договоры (контракты) должны храниться у одного лица и выдаваться только под расписку с письменного разрешения руководителя фирмы. На лицо, ответственное за хранение договоров (контрактов) и работу с ними, возлагается персональная ответственность за утерю договоров (контрактов) или утечку информации из них. При подписании договора (контракта) представители сторон должны ставить подписи не только в конце договора (контракта), но и на каждом листе во избежание замены одного текста другим.
Организация защиты вычислительной техники диктует необходимость придерживаться следующих принципов обеспечения безопасности информации:
— простота защиты. Простые методы защиты, как привило, являются и наиболее надежными;
— открытость проектирования и функционирования средств безопасности. Эффективность защиты не должна зависеть от секретности разработки, т. к. это позволит быстрее выявить «узкие места» и не даст возможности злоумышленнику использовать их в своих интересах;
— минимизация привилегий по доступу к информации для всех, у кого нет необходимости ею обладать;
— независимость системы управления доступом от пользователей. Все лица, связанные с разработкой и функционированием защиты, не должны быть пользователями системы;
— установка ловушек для провоцирования несанкционированных действий, когда регистрируются все, кто попытается обойти систему защиты через специально оставленное «окно»;
— всеобщность применения средств разграничения доступа ко всему множеству контролируемых объектов и субъектов. Любое исключение из этого множества снижает безопасность;
— приемлемость защиты для пользователей, т. к. в противном случае будут предприниматься попытки ее обхода;
— устойчивость защиты по времени и при неблагоприятных обстоятельствах;
— подконтрольность системы защиты;
— особая личная ответственность лиц, обеспечивающих безопасность информации;
— глубина защиты, т. е. дублирование и перекрытие защиты;
— изоляция и разделение объектов защиты на группы таким образом, чтобы нарушение защиты для одной из групп не повлияло на безопасность других;
— минимизация общих механизмов защиты, что уменьшает возможность нарушения работоспособности всей системы защиты в результате выхода из строя такого общего механизма защиты, используемого различными пользователями;
— физическая защита, позволяющая предотвращать проникновение злоумышленника в те места, откуда возможны несанкционированные действия;
— запрещение доступа к информации в случае любого сбоя средства защиты, не предусмотренного разработчиками;
— надежность системы защиты: она должна быть полностью специфицирована, протестирована как по отдельным компонентам, так и в комплексе;
— гибкость и адаптивность системы защиты, в частности, невозможность целенаправленного изменения параметров системы со стороны администрации, что делает ее более эффективной;
— система защиты должна проектироваться в расчете на возможность несанкционированных действий;
— наиболее важные решения должны приниматься человеком, т. к. компьютерная система не может предусмотреть все возможные ситуации;
— существование средств контроля не должно бросаться в глаза и подлежит сокрытию от тех, к кому они применяются;
— разработка комплекса мер безопасности по каждому новому изделию, продукции еще на стадии начала их разработок в научно-исследовательских подразделениях.
Система защиты информации предусматривает два основных направления в области защиты информации: контроль доступа и засекречивание данных.
Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования любых ресурсов информационной системы. Контроль доступа должен осуществляться проверкой полномочий объектов по доступу к ресурсам информационной системы на основе идентификации и аутентификации.
Идентификация осуществляется на основе передачи открытого имени объекта. Аутентификация осуществляется на основе кодированной передачи контрольных параметров объекта и обеспечивается средствами криптообработки. На приемной стороне выполняется дешифрация криптосообщения на основе ключей, присваиваемых по его идентификатору, и сверка контрольных параметров объекта. При совпадении полученных контрольных параметров с известными принимается решение о прохождении контроля и соответствии объекта заявленному идентификатору. Весь процесс идентификации и аутентификации носит название авторизации.
Засекречивание данных (шифрование) направлено на их защиту от несанкционированного доступа модификации и навязывания ложной информации. Шифрование обеспечивается программными, аппаратными и аппаратно-программными средствами непосредственно на рабочих местах. Предпочтительно использовать стандартизованные алгоритмы шифрования.
Формы зашиты, используемые для систем на базе отдельного персонального компьютера, предусматривают:
— авторизацию пользователя, получающего доступ к данному персональному компьютеру (ПК);
— распознание прав доступа пользователя к ресурсам данного ПК;
— защиту программного обеспечения ПК от несанкционированных действий с ним;
— защиту данных, содержащихся на жестких и гибких носителях ПК, от несанкционированных действий;
— аудит доступа пользователя ПК к программам и данным.
Функции и возможности системы защиты компьютерной информации от несанкционированного доступа могут быть следующими:
— запрет загрузки ПК с жесткого диска неавторизированным пользователем;
— аппаратный метод — установка в ПК дополнительного аппаратного модуля;
— программный метод — процесс авторизации пользователя выполняется программным обеспечением системы защиты до загрузки операционной системы;
— запрет загрузки ПК с гибкого магнитного диска (ГМД) неавторизованным пользователям;
— аппаратный метод — выполняется блокировка возможности загрузки с дискеты при установленном модуле;
— программный метод — несанкционированная загрузка с дискеты приводит к «зависанию» ПК;
— обеспечение надежности авторизации пользователя:
а) идентификационная информация вводится с физического идентификатора и недоступна пользователю при модификации;
б) аутентификационная информация вводится с клавиатуры ПК непосредственно пользователем и доступна для изменения. В открытом виде идентификационная и аутентификационная информации не должны быть доступны даже администратору системы;
в) возможность установки авторизационных характеристик пользователя на нескольких ПК;
г) возможность использования одного ПК несколькими пользователями;
— количество уровней разграничения полномочий пользователя по доступу к ресурсам ПК;
— введение системных журналов;
— установка системной защиты сетевых элементов идентификации и аутентификации пользователя на основе ввода авторизационной информации с применением физического идентификатора;
— администрирование в системе;
— самоконтроль целостности системы;
— сохранность функций защиты при разрушении (удалении файлов) аппаратных модулей системы защиты;
— возможность восстановления системы защиты при ее частичном разрушении;
— помехоустойчивое кодирование информации;
— возможность постановки цифровой подписи на любой файл;
— возможность криптографического шифрования любого файла;
— блокировка работы клавиатуры с одновременным гашением экрана по «горячей» комбинации клавиш и/или по времени;
— «гостевой» режим доступа к ПК без предъявления информации авторизации с минимальным правом доступа к его ресурсам;
— возможность гарантированного стирания информации при удалении файлов.
Для защиты информации при ее передаче целесообразно обратиться к шифрованию: данные шифруются перед вводом в канал связи, а расшифровываются на выходе из него непосредственно тем, кому эта информация предназначена.
Примерный перечень мер безопасности предусматривает:
— информирование всех сотрудников фирмы об опасности и возможном ущербе в случае вирусных атак;
— не осуществление неофициальных связей с другими организациями по обмену (получению) программным обеспечением. Запрещение сотрудникам приносить программы «со стороны» для установки их в системах. Должны использования только официально распространяемые программы;
— запрещение сотрудникам использования и хранения компьютерных игр;
— предостережение сотрудников фирм от использования программ и дисков из вузов для выполнения домашних работ на ПК фирмы;
— если в процессе работы возникнет необходимость использовать сторонние информационные сети, то для этих целей целесообразно выделить специальное стендовое оборудование;
— создание архива копий программ и данных;
— регулярное просматривание «ранимых» в системе файлов и, по возможности, использование защиты «Только чтение» для предупреждения изменений в данных и копирования материалов;
— периодически проведение проверки контрольным суммированием или сравнением с «чистым» используемого программного обеспечения. По каждому факту проверки составляется акт с отражением результатов проверки;
— использование для электронной почты отдельного стендового компьютера или введение специального отчета. Запрещение использования программ, полученных через электронную почту;
— попытки получения по возможности исходных текстов программ и проведения компиляции на месте. Проявление особой осторожности, если исходный текст программы труден для понимания;
— установление системы защиты на особо важных II К. I Ірименепио специальных антивирусных средств;
— периодическое пересматривание правил обеспечения безопасности и определение возможности использования дополнительных мер защиты.
Необходимо разработать антивирусную программу действий, которую утвердить в виде Инструкции, с которой ознакомить всех сотрудников фирмы, имеющих доступ к работе на компьютерных сетях фирмы или имеющих специальную подготовку для такой работы.
В системах с единой схемой защиты для каждого файла необходимо создать список авторизованных пользователей. Применительно к каждому файлу указываются разрешаемые режимы его использования: чтение, запись или использование. В системах с программируемой схемой защиты следует предусмотреть ограничение календарного времени работы системы, доступ только к средним значениям файла данных, локальную защиту отдельных элементов массива данных. Учитывая высокую криптостойкость современных шифров, это даст возможность ликвидировать такие каналы утечки, как копирование информации, хищение носителей и несанкционированный доступ к секретной информации.
Безопасность данных может обеспечиваться, в случае признания необходимости, следующей дополнительной системой мероприятий:
— объекты данных идентифицируются и снабжаются информацией службы безопасности. Целесообразно эту информацию размещать не в отдельном каталоге, а вместе с информацией, имеющей метки;
— кодовые слова защиты размещаются внутри файла, что в значительной мере повышает эффективность защиты;
— доступ к данным целесообразен с помощью косвенных ссылок, например, списка пользователей, допущенных владельцем файла к размещенным в нем данным;
— данные и программы могут преобразовываться (кодироваться) внутренним способом для хранения;
— информация по отрицательным запросам не выдается;
— повторные попытки доступа после неудачных обращений должны иметь предел;
— при уменьшении конфигурации системы или при ее тестировании функции защиты сохраняются;
— никакие изменения таблиц безопасности, кроме изменения со специального устройства или пульта управления, не разрешаются.
В помещениях и на территориях фирмы вводится специальная система допуска сотрудников фирмы к своим рабочим местам во внерабочее время, а также в выходные и праздничные дни. Функционирование этой системы защиты определяется Инструкцией №_от «_»_20_года, утвержденной Генеральным директором фирмы.
Комплексная система защиты информации должна отвечать следующим требованиям:
— оперативно реагировать на изменение факторов, определяющих методы и средства защиты информации;
— базироваться на лучших алгоритмах закрытия информации, гарантирующих надежную криптографическую защиту;
— иметь важнейшие элементы идентификации пользователей и контроля подлинности передаваемой и хранимой информации;
— осуществлять защиту от несанкционированного доступа к информации в базах данных, файлах, на носителях информации, а также при передаче информации по линиям связи в локальных и глобальных сетях;
— обеспечивать режим специально защищенной электронной почты для обмена секретной информацией и информацией, содержащей коммерческую тайну, с высокой скоростью и достоверностью передачи информации адресату;
— иметь удобную и надежную ключевую систему, обеспечивающую гарантию безопасности при выработке и распределении ключей между пользователями;
— обеспечивать различные уровни доступа пользователей к защищаемой информации.
В уставе фирмы должно быть указано, что сведения, составляющие коммерческую тайну и конфиденциальную информацию, являются ее собственностью. В фирме должна быть проведена подготовка персонала в плане обучения исполнению своих обязанностей с одновременным выполнением требований по обеспечению защиты сведений, составляющих коммерческую тайну и конфиденциальную информацию, и предупреждения об ответственности за несоблюдение указанных требований.
Принимаемые меры противодействия с экономической точки зрения будут приемлемы, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. Можно выбрать или определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня.
Ввести обязательное правило аутентификации, т. е. проверки подлинности подписи и содержания, для всех документов, поступающих в фирму по различным информационным каналам, если этот документ определяет ответственность фирмы в связи с заключенными договорами (контрактами), другими финансовыми обязательствами. Особо следует обращать внимание при этом на сообщения о расторжении договоров, открытые документы, поступившие под электронной подписью. Необходимо предусматривать ситуацию, при которой личный код отправителя может быть у него украден, и злоумышленник может воспользоваться им от лица владельца, или сначала прислать фирме якобы верный открытый ключ, а потом присылать под него соответствующим образом подписанные сообщения.
Каналы утечки информации в случае запуска новой продукции разнообразны. К ним могут относиться следующие ситуации:
— мало кто знает, как запускать новую продукцию. Вы полагаете, что на этой стадии информация представляет собой тайну. Не следует заблуждаться. Большая часть информации уже прошла через те этапы, где утечка вероятна и даже возможна: решения финансистов, покупаемые или заявленные патенты и т. п. Во все эти операции вовлечено много людей, что делает совершенно невозможным полное соблюдение секретности;
— создается подразделение или команда для наблюдения за сбытом продукции. О ее существовании хорошо известно всем сотрудникам фирмы. Новые действия членов такой команды расширяют круг посвященных;
— делается сообщение, публикуется информация;
— выпускается продукция. Все могут ее купить. Общество защиты прав потребителей имеет право исследовать и сравнивать с другой подобной продукцией. Конкуренты в такой ситуации имеют возможность детально знакомиться с продукцией и изделиями фирмы. Все характеристики продукции и изделий становятся достоянием общественности;
— продукция фиксируется, классифицируется и, возможно, даже становится статистическим объектом;
— продукция исчезает, ее место занимает новая.
Выделение необходимого источника для получения информации позволяет в большинстве случаев добраться к информации напрямую.
Прежде чем представлять, что утечка информации происходит в результате подслушивающего устройства на телефонной линии, разумнее предусмотреть и проверить следующие возможности:
— проанализировать состояние архивов, информационных систем всех видов договорной практики, перечень клиентуры, привлекаемой фирмой для поставок, сбыта, разработки отдельных деталей и направлений при создании новой продукции, порядок размножения документов, методы сбора и уничтожения отходов производства и бумажных носителей информации;
— краны, управляющие выходом потока информации, чаще открыты больше, чем необходимо;
— центры распределения информации (телефонистки, секретариат, вспомогательный персонал руководства фирмы).
Это самые рискованные точки, они многочисленны и поддаются контролю с трудом.
Для обеспечения этих точек мероприятиями по обеспечению безопасности фирмы можно рекомендовать следующие меры:
— установить в фирме режущий аппарат и в обязательном порядке по окончании рабочего дня уничтожать в нем все ненужные документы;
— управлять конфиденциальностью данных в компьютерах, приняв специальный код;
— контролировать доступ к компьютеру извне, запретить на протяжении определенного времени пользование и задать сигнал тревоги, если введенный код неверен или введен ошибочно. Это способствует предотвращению кражи данных и защищает всю систему от разрушения;
— периодически делать копии охраняемой информации и помещать их в надежное место;
— ограничить выход информации до минимума;
— для введения в заблуждение лица, предпринимающего попытку несанкционированного доступа, информацию можно подвергнуть некоторой упаковке: подинформация дается информация правдивая, но разрозненная или неполная, или слишком общая, информация ложная; сверхинформация — дается большое количество информации, но часть ее является бесполезной или ложной, но все это делается так, чтобы невозможно было это обнаружить;
— ограничить места приема посетителей и не оставлять их одних от момента прихода до выхода из помещений фирмы;
— не злоупотреблять набором стажеров и временных сотрудников которые часто имеют доступ к огромному количеству информации. Следует остерегаться «студентов» в возрасте от 30 лет и старше;
— дать указание телефонистке, секретарям-референтам и другим техническим сотрудникам осаждать лиц, обнаруживающих интерес к информации, которая не относится к их выполняемым должностным обязанностям. Следует пользоваться правилом: каждый должен знать только то, что необходимо для выполнения полученного им задания;
— закрывать на ключ все важные документы в конце рабочего дня. Это правило должно применяться со всей строгостью во всех структурах, работающих с документами фирмы, содержащими секретную и конфиденциальную информации, коммерческую тайну;
— телефоны, факсы, телефаксы должны рассматриваться с точки зрения безопасности передачи информации, т. к. эти каналы легко подвергаются перехвату и могут служить каналом утечки важной для фирмы информации.
Источниками получения информации о фирме могут быть:
— сбор информации, содержащейся в средствах массовой информации;
— использование сведений, распространяемых служащими конкурирующих фирм;
— биржевые документы и отчеты консультантов, финансовые отчеты и документы, находящиеся в распоряжении маклеров, выставочные экспонаты и проспекты, брошюры конкурирующих фирм, отчеты коммивояжеров своей фирмы;
— изучение продукции конкурирующих фирм, использование данных, полученных во время бесед со служащими конкурирующих фирм без нарушения законов;
— замаскированные опросы и «выуживание» информации у служащих конкурирующих фирм на научно-технических конгрессах;
— непосредственное наблюдение, осуществляемое скрытно;
— беседы о найме на работу со служащими конкурирующих фирм, создавая при этом условия, требующие от кандидата показать максимально свое знание профессии на фоне деятельности в конкурирующей фирме. При этом опрашивающий совершенно может быть не намерен принимать данного человека на работу в свою фирму;
— так называемые ложные «переговоры» с фирмой-конкурентом относительно приобретения лицензии и по другим вопросам;
— наем на работу служащего конкурирующей фирмы или лица, занимающегося ключевой деятельностью в фирме-конкуренте;
— наем на работу служащего конкурирующей фирмы для получения требуемой информации;
— подкуп служащего конкурирующей фирмы для получения необходимой информации;
— использование агента для получения информации на основе платежной ведомости фирмы-конкурента;
— подслушивание переговоров в помещениях и по телефонным каналам;
— перехват телеграфных сообщений;
— кража чертежей, образцов, документации и т. п.;
— шантаж и вымогательство.
При этом каналами утечки информации могут быть:
— персонал, имеющий доступ к конкретной информации;
— документы, составленные на основе использования необходимой информации;
— технические средства системы обработки информации, в том числе линий связи, по которым она передается.
Необходимо отметить, что персонал — один из главных каналов утечки информации. Следует обращать внимание как на вновь пришедших на работу, так и на тех, кто подлежит увольнению. Эти люди нередко находятся в ситуациях, благоприятных для утечки информации. Объектами особой заботы фирмы при перекрытии каналов утечки информации являются:
— патентно-лицензионный отдел;
— отдел стандартизации и сертификации;
— отдел сбыта;
— научно-исследовательские и научно-производственные подразделения фирмы;
— архивы фирмы;
Сотрудники фирмы должны четко знать, что можно, а чего нельзя говорить. Нельзя забывать о поставщиках и контрагентах, у которых, как правило, отсутствуют необходимые меры по защите информации фирмы. Утечка может произойти и вследствие недостаточного контроля за посетителями.
Крайне опасно для фирмы повышенное внимание к ее коммерческим секретам со стороны специалистов, занимающихся промышленным шпионажем на регулярной основе. Обычной практикой для профессионалов подобного рода являются тайные противоправные вторжения в лаборатории и сейфы фирмы, конструкторские бюро, хранилища конфиденциальной информации и коммерческой тайны, бланки данных ПК и сферу руководства. Опытный промышленный шпион может сам проникнуть в фирму, но чаще всего для этого подбирается кто-либо из фирмы, владеющий ее секретами. Это ставит задачу как организации физической охраны фирмы, так и постоянную работу с кадрами с целью предотвращения возможной вербовки ее персонала или своевременного получения информации о попытках проникновения к секретам фирмы.
Если обнаруживается утечка информации из фирмы, следует обратить внимание на телефонные каналы и с учетом особенностей их функционирования (параллельное подключение, наличие в здании других структур) проанализировать ситуацию. При анализе сначала необходимо дать ответ на вопросы, кто может организовать прослушивание телефонных разговоров в вашем офисе и с какой целью, за кем из сотрудников фирмы может осуществляться телефонный контроль, какая информация может интересовать конкурентов фирмы, какие телефонные аппараты могут находиться на контроле и в какое время. После получения ответов на вышеперечисленные вопросы можно будет организовать эффективное противодействие конкурирующим фирмам и преступным группам. Прежде всего необходимо определить порядок ведения деловых разговоров по телефону, определить круг лиц, допускаемых к внутренним секретам фирмы, запретить сотрудникам вести служебные переговоры по домашним телефонам.
Необходимо разработать во время ведения разговоров по телефону систему условностей и сознательной дезинформации. Не следует называть фамилию или имя собеседника, если это возможно. Назначая время и место предстоящей встречи, переходите на условности. Следует приучить к определенному порядку ведения телефонных переговоров членов семьи руководящего состава фирмы и ключевых разработчиков продукции фирмы. Вышеуказанные руководители и сотрудники, а также члены их семей не должны по телефону сообщать информацию о том, где будут находиться и когда намерены возвращаться домой. О всех фактах, указывающих на ведение слежки за фирмой, следует немедленно сообщить руководству фирмы «Альфа и К°» и в дальнейшем поступать в соответствии с их указаниями и рекомендациями.
С целью затруднения конкурентам установить слуховой контроль за помещениями и телефонными линиями связи, используемыми фирмой, необходимо предусмотреть следующее:
— для защиты телефонных каналов связи телефонная распределительная коробка фирмы должна находиться в помещении фирмы и контролироваться периодически специалистами службы безопасности;
— для ремонта телефонных аппаратов следует приглашать проверенных специалистов. В случае, если прибывший специалист вам не знаком, необходимо попросить у него служебное удостоверение, после чего позвонить на узел связи и удостовериться, что у них действительно работает такой специалист и именно он получил наряд на выполнение конкретных работ в фирме;
— необходимо периодически привлекать специалистов для контроля телефонных аппаратов и линий связи.
Шифрование информации является достаточно приемлемым способом для перекрытия канала утечки информации на используемых фирмой каналах связи, но эта мера становится неэффективной в случае, если сотрудники фирмы будут нарушать правила ведения переговоров по телефонным каналам связи. Подробно по данному вопросу изложено в разделе «Информационная безопасность».
Необходимо учитывать, что в некоторых импортных факсаппаратах заложена возможность акустического контроля помещения. Зная определенный код доступа, можно позвонить с любого телефонного аппарата с тональным набором номера и послушать, что происходит в кабинете или в квартире. Наличие такого факса полностью освобождает злоумышленников от необходимости устанавливать в этом помещении подслушивающие устройства или контролировать телефонные каналы связи.
Значительная утечка коммерческой информации происходит в ходе ведения переговоров. Еще до начала переговоров сотрудник должен четко представлять, какую информацию он имеет право передавать или использовать в ходе переговоров.
В кабинетах Генерального директора и 1-го заместителя Генерального директора необходимо организовать противодействие техническим средствам получения несанкционированной информации (скрэмблеры). Вышеуказанные кабинеты, комната переговоров, патентно-лицензионный отдел и отдел стандартизации должны периодически проверяться на наличие в них специальной аппаратуры для несанкционированного получения информации фирмы. Перед началом совещания, на котором предполагается обсуждать основные производственные и научные проблемы, другие вопросы, представляющие интерес для конкурентов фирмы, необходимо тщательно проверить это помещение на наличие подслушивающих устройств. В этом помещении должны отсутствовать телефоны, факсы, все виды сигнализаций, заблокированы выходы электроснабжения, радиоточки, бытовые и специальные приемники и передатчики, электронное оборудование, которое можно использовать в микрофонном режиме или в качестве радиопередатчика с различными радиусами действия. Нет смысла тщательно проверять любое помещение перед заседанием, если кофе в помещение подается непроверенным сотрудником без соответствующего наблюдения.
Устав фирмы, коллективный договор, заключаемые контракты с сотрудниками, инструкции и положения должны предусматривать ответственность сотрудников фирмы за создание условий для утечки информации и ущерб, который может быть нанесен фирме в этом случае. В этом направлении должна быть проведена работа с персоналом фирмы, ограничен доступ к информации, составляющей коммерческую тайну или конфиденциальную информацию. Делопроизводство должно вестись с учетом возможных попыток хищения информации фирмы.
Сотрудник, приступая к выполнению своих обязанностей, должен быть проинформирован:
— о порядке и процедуре отнесения материалов, документов и изделий к коммерческой тайне предприятия;
— о правилах, связанных с доступом к информации, отнесенной к коммерческой тайне фирмы;
— об обязанностях и ограничениях, налагаемых на исполнителей, допущенных к сведениям, составляющим коммерческую тайну и конфиденциальную информацию фирмы;
— о правилах обращения с материалами, содержащими коммерческую тайну фирмы;
— о порядке приема представителей других предприятий и передачи им информации, отнесенной к коммерческой тайне и конфиденциальной информации фирмы;
— об ответственности за разглашение сведений, составляющих коммерческую тайну фирмы, нарушение установленного порядка обращения с ними.
Работа фирмы должна быть организована таким образом, чтобы каждый имел возможность получить лишь тот минимум информации, который необходим ему в ходе выполнения своих обязанностей. В любой ситуации решение о предоставлении права знакомиться с информацией, не входящей в круг повседневных обязанностей сотрудника должен принимать руководитель соответствующего уровня, который несет в соответствии с таким решением ответственность за последствия этого решения.
При организации делопроизводства следует ввести отличительные отметки, указывающие на степень секретности информации фирмы. Эти отметки:
— не должны совпадать с используемыми в сфере защиты государственных секретов;
— они должны быть понятны только сотрудникам фирмы и не привлекать к себе внимания посторонних лиц;
— количество грифов должно быть определено Генеральным директором, решение которого определяется приказом по фирме;
— фирма должна исповедовать правило «политики чистых столов».
Хранить тайну, в конце концов, должны сами люди. Никакая система кодирования ничего не стоит, если охраняемые секреты фирмы бесконтрольно сообщаются любому собеседнику в зависимости от настроения. Проведенные испытания показали, что если закрыть двух человек в комнате, то, о чем они будут говорить между собой, станет известно через несколько часов в радиусе ста километров. Это же правило относится к инженерам, которые обсуждают со своими связями повышение по службе, научному сотруднику, слишком много позволяющем говорить в ходе конференции, секретаре, которая делится со своими служебными и бытовыми связями ставшей ей известной информацией о фирме. Большая часть утечки информации происходит из-за небрежности. Так что защита — дело обучения.
Эксперты, благодаря глубоким познаниям, а также своим связям в кругах, близких к центрам принятия решений, могут сообщать конфиденциальную и очень свежую информацию. Необходимо получить желаемую информацию таким образом, чтобы не испортить отношений с экспертом с целью его использования в дальнейшем в качестве постоянного источника информации.
При организации противодействия промышленному шпионажу со стороны конкурентов фирмы следует:
— использовать любую возможность и ситуацию для пропаганды программ обеспечения режима секретности, применять специальные указатели, обозначения и напоминания, размещаемые в помещениях фирмы;
— не забывать периодически вознаграждать сотрудников фирмы за успехи в защите информации фирмы;
— всемерно стимулировать заинтересованность и участие сотрудников фирмы в выполнении программы секретности, регламентирующих ее документов фирмы;
— провести обучение сотрудников фирмы, предусматривающее:
а) четкое знание сотрудниками объемов охраняемой информации, за безопасность которой они несут личную ответственность; информации, утрата которой приведет фирму к банкротству и лишит всех сотрудников работы в условиях наличия безработицы в стране;
— понимание исполнителем секретных работ характера и ценности данных, с которыми он работает, возможных способов и методов проникновения к этим данным;
— обучение установленным в фирме правилам, инструкциям и процедурам хранения и защиты закрытых данных.
При проведении профотбора сотрудников для работы в фирме необходимо преследовать следующие цели:
— выявление судимостей, преступных связей, наклонностей;
— определение преступных наклонностей, предрасположенности кандидата к совершению противоправных действий;
— установление фактов, свидетельствующих о морально-психологической неустойчивости, ущербности, уязвимости кандидата;
— прохождение полной диспансеризации в определенной фирмой поликлинике.
Физическая защита помещений фирмы выполняется фирмой «Альфа и К°» по специальной программе, обеспечивающей безопасность помещений и сотрудников фирмы.
Физическая охрана, кроме того предусматривает:
— оборудование входных дверей в здание и служебных помещений фирмы таким образом, чтобы они могли в определенной степени защитить помещение от проникновения посторонних лиц;
— окна до третьего этажа должны быть оборудованы защитными средствами (решетки, пленочное покрытие, защищающее от проникновения, радиоподслушивания, съема конфиденциальной информации во время разговоров в помещениях фирмы);
— окна и форточки привлекают злоумышленника. Они должны быть закрыты при отсутствии в помещении работающих там сотрудников;
— периметр охраняемого помещения во всех точках возможного проникновения должен быть оборудован охранной сигнализацией;
— территория вокруг здания фирмы должна быть освещена, хорошо просматриваться охраной, для усиления плотности контроля целесообразно ввести систему телевизионного контроля за этажами здания, прилегающей территорией, кабинетами Генерального директора, 1-го заместителя Генерального директора, лабораториями, архивом, патентно-лицензионным отделом и отделом стандартизации;
— будьте осторожны с лицами, которые явились без предварительного вызова и отрекомендовались как лица, имеющие право получения информации о фирме. Таких посетителей необходимо направлять к помощнику Генерального директора или охране фирмы для выяснения их полномочий.
Фирма планирует в будущем монтаж систем санкционированного доступа в помещения фирмы.
Сейф рассматривается в качестве комплексного и эффективного решения проблем сохранения коммерческой тайны и конфиденциальной информации фирмы. Сейфы — это специально сконструированные, высокопрочные изделия с различными степенями защиты, предназначенные для надежного предохранения ценностей от попадания в чужие руки или уничтожения во время пожара. Наряду с «металлическими шкафами» в помещениях фирмы, сейфы устанавливаются в кабинетах по схеме, утвержденной Генеральным директором.
Настоящая Концепция предусматривает в дальнейшем разработку политики, программы обеспечения информационной безопасности. К системному подходу для обеспечения безопасности фирмы необходимо последовательно и настойчиво приучать, действуя методом последовательных приближений. В этих целях предусматривается следующая методика:
1. До руководства фирмы доводится проблематика информационной безопасности. Необходимо сделать все, чтобы классика этой проблемы была принципиально понята.
2. Следует показать, что классика проблематики основана на серьезных научных исследованиях и практическом опыте международного сообщества.
3. Необходимо сформулировать полный перечень классических аспектов безопасности и дать возможность осознать, что политика безопасности фирмы состоит в индивидуальной расстановке приоритетов этого набора аспектов.
4. Необходимо включить руководство фирмы в «соавторы» разработки политики.
5. Для гарантии успешности процесса по обеспечению безопасности фирмы необходим коллегиальный механизм, куда должны быть приглашены влиятельные по профильным направлениям специалисты фирмы. Члены этого органа должны быть проинформированы об угрозах информационной безопасности, стоимости их реализации, стоимости защиты по конкретным угрозам.
6. Необходимо обеспечить движение от простого к сложному. Необходимо, разъяснив, добиться официального утверждения, сделав его общепризнанным.
7. Определить с учетом требований настоящей Концепции «правила и процедуры», которые должны строго соблюдаться.
С позиций безопасности информационной инфраструктуры главные составляющие формулируются следующим образом:
— сохранность,
— целостность,
— доступность,
— конфиденциальность;
— законопослушность,
— доказательность,
— неотказуемость.
8. Терминология безопасности бизнеса:
Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности оперирует терминами «аспект безопасности», «управление безопасности», «сервис безопасности», «функция безопасности», «механизм безопасности», «процедура безопасности», «служба безопасности», «система безопасности»,» процесс безопасности», «продукт безопасности».
Под аспектом безопасности понимается структурированный комплекс проблем, рассматриваемый политикой, связанный с вероятной угрозой или группой одноплановых угроз безопасности информационной инфраструктуры (сохранности ресурсов, доступности, целостности, конфиденциальности информации и т. п.) Под Управлением безопасности понимается набор управленческих действий по поддержке аспекта безопасности (управление персоналом, рисками, информационными потоками, доступом к ресурсам, авторизацией, экранированием, неотказуемостью).
Под сервисом безопасности понимается систематизированный комплекс организационно-технических, аппаратно-программных решений, реализующий свойство защищенности по данному аспекту безопасности.
Под функцией безопасности понимается набор действий по поддержке сервиса безопасности в процессе его введения, эксплуатации и выведения.
Под процессом понимается исполнение в системе спецификации процедур, реализующих конкретную функцию.
Под механизмом безопасности понимается продукт или группа продуктов, реализующих функционально законченную часть сервиса безопасности.
Под процедурой безопасности понимается конкретное действие или набор действий по поддержке механизма безопасности в процессе его введения, эксплуатации и выведения.
Под службой безопасности понимается штатное или нештатное образование, осуществляющее исполнение функций и процедур в рамках конкретного сервиса.
Каждый из уровней политики должен четко и точно описывать нормативную базу, рассматриваемые аспекты безопасности, область их применения, конкретные решения, зоны полномочий, обязанности должностных лиц и их ответственность за выполнение принятых решений соответственно данному уровню по разделам:
— нормативная база;
— принципы,
— решения,
— ресурсы,
— зоны полномочий,
— обязанности,
— ответственность.
Помощник Генерального директора
«_»_20_ года