Спасение утопающих - есть дело рук самих утопающих
Нельзя говорить, что у нас нет опыта в обеспечении защиты информации. Просто до недавнего времени эта тема была не для открытой публикации и была доступна только специалистам в этой области. И сейчас там, где информация с ограниченным доступом содержит государственные или военные секреты, более или менее все ясно. Действуют законы, стандарты, положения, инструкции, методики и нормы выработанные еще в доперестроечный период за все время существования СССР и, которые теперь в Украине дорабатываются,
[2]переиздаются и уточняются исходя из требований времени, созданной государственной структуры и современного уровня науки и техники.
Но вот появилось понятие коммерческой тайны или, как определено Положением по технической защите информации и Государственными стандартами, - "информация с ограниченным доступом, носящая конфиденциальный характер". Защита такой информации - забота самих предпринимателей, руководителей банков, различных фирм и других коммерческих структур. По защите конфиденциальной информации нет пока еще четко узаконенных правил, требований и норм. К сожалению приходится констатировать тот факт, что многие бизнесмены, руководители коммерческих структур, банков должным образом не уделяют этому постоянного внимания и начинают беспокоиться тогда, когда уже обнаружена утечка информации.
Проблема состоит не только в том, что преступные элементы или группировки обогащаются за счет объектов преступной деятельности, а в том, что это приводит, в конечном счете к подрыву экономики государства. По представлениям многих бизнесменов беспокоиться о возможной утечке информации следует только в том случае, когда в его действиях есть криминал и, как говорится, под него "копают". На самом деле это не так.
Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны?
Как правило это:
разведывательная деятельность конкурентов; несанкционированные действия сотрудников собственной фирмы; неправильная политика фирмы в области безопасности.
Информация, представляющая интерес при сборе и анализе сведений:
Сведения коммерческого содержания:
- уставные документы фирмы;
- сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);
- кредитные договоры с банками;
- договоры купли и продажи; [3]
- сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;
- любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции.
- данные о конкурентах, их слабые и сильные стороны;
- условия финансовой деятельности;
- технологические секреты;
- меры, предпринимаемые конкурентами в отношении своих противников;
- данные о потенциальных партнерах, проверка их на недобросовестность;
- информация о месте хранения грузов, времени и маршрутах их перевозки;
- выявление уязвимых звеньев среди сотрудников;
- выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;
- связи и возможности руководства;
- выявление круга постоянных посетителей.
Сведения личного характера:
1. источники доходов;
2. истинное отношение к тем или иным общественным явлениям, "сильным мира сего";
3. уклад личной жизни руководителя и членов его семьи;
4. расписание и адреса встреч - деловых и личных;
5. данные о размерах финансового благополучия;
6. информация о человеческих слабостях;
7. пагубные пристрастия;
8. вредные привычки;
9. сексуальная ориентация;
10. данные о друзьях, подругах, местах проведения досуга, способах и маршрутах передвижения;
11. информация о местах хранения ценностей;
12. место жительства;
13. супружеская неверность;
14. проблемы отцов и детей.
i. Необходимо отметить, что безопасность как система мер требует обеспечения необходимого уровня защищенности по ряду направлений:
15. защита от организованной преступности;
16. защита от нарушений закона;
17. защита от недобросовестной конкуренции;
i. Эти направления реализуются на участках:
18. производственной деятельности;
19. коммерческой деятельности;
20. информационного обеспечения;
21. кадрового обеспечения;
22. страхования;
23. и других направлений.
[4]
Письменный опрос (анкетирование) 250 московских бизнесменов, проведенный летом 94 года показал, что наиболее типичными формами и методами экономического шпионажа они считают:
- подкуп или шантаж сотрудников фирмы - 43% ответов;
- съем информации с ПЭВМ спецтехникой (проникновение в базы данных, копирование программ) - 42%;
- копирование или хищение документов, чертежей, экспериментальных и товарных образцов - 10%;
- прослушивание телефонных разговоров, подслушивание разговоров в помещениях и автомобилях; - 5%.
Любопытно сравнить результаты этого опроса с мнением группы экспертов стран Общего рынка (94-й год) о формах и методах несанкционированного доступа к коммерческим секретам конкурирующих фирм:
- подкуп или шантаж сотрудников фирмы, внедрение туда своих агентов - 42% ответов;
- съем информации с ПЭВМ спецтехникой - 35%;
- копирование или хищение документов, чертежей, экспериментальных и товарных образцов - 13%;
- прослушивание и подслушивание - 5%;
- другие способы - 5%.
Как видим, выводы обеих групп заинтересованных лиц поразительно близки друг другу. Что же касается условий, способствующих утечке коммерческих секретов фирм, то опрос 3-х тысяч респондентов в семи городах России, проведенный московским центром по изучению проблем недобросовестной конкуренции в 92-м году, дал следующие результаты:
- болтливость сотрудников, особенно в связи с потреблением алкоголя и в дружеских компаниях - 32% ответов;
- стремление сотрудников заработать деньги любым способом, по принципу "деньги не пахнут" - 24%;
- отсутствие службы безопасности фирмы - 14%;
- "совковая" привычка сотрудников "делиться передовым (и иным) опытом", давать советы посторонним - 12%;
- бесконтрольное использование информационных и копировальных средств на фирме - 10%;
- психологические конфликты между сотрудниками, между сотрудниками и руководством, набор случайных людей, жаждущих "продаться" или "отомстить" - 8%.
Получить достоверную информацию [5]о деятельности фирмы незаконным путем маловероятно, если фирма с пониманием относится к сохранности коммерческой тайны и создания соответствующей системы защиты. В то же время многие под безопасностью понимают, прежде всего, физическую защищенность, иногда включая отдельные требования информационной защиты коммерческих интересов, что не способствует решению проблем безопасности в комплексе.
Каждый коммерческий объект должен строить свою систему защиты информации на концептуальной основе, исходя из назначения объекта, его размеров, условий размещения, характера деятельности и т.д.
При разработке концепции защиты необходимо исходить из детального анализа направлений деятельности предпринимательской структуры и комплексных требований защиты. Особенно, если структуры применяют в своей деятельности средства информатики.
Учитывая многообразие потенциальных угроз информации в системе обработки данных, сложность структуры и функций, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода. И начинать создание системы надо с оценки угроз безопасности деятельности коммерческого объекта, а исходя из полученных результатов анализа, принимается решение о построении всей системы защиты и выбираются необходимые средства.
Воспользуйтесь поиском по сайту: