Организационная защита коммерческой тайны
Каждой составной части ставятся соответствующие целевые функции, отражающие задачи, формы и цели обеспечения безопасности. В свою очередь, каждая функция реализуется определенными способами, решающими задачу безопасности.
Организационные мероприятия при эксплуатации различных технических средств имеют целью:
- определить технические средства, которые могут быть каналами утечки конфиденциальной информации;
- обеспечить их защиту (или исключение их из практики работы);
- осуществлять периодический контроль надежности технических средств защиты информации.
Организационные мероприятия по защите предприятия предусматривают:
- обеспечение безопасности рабочих зданий и территории;
- обеспечение безопасности отдельных зон и конкретных помещений;
- организацию четкой системы контроля допуска и доступа на территорию (помещение), к определенной информации. Одним из основных организационных мероприятий является разработка перечня охраняемых сведений.
Организационная защита коммерческой тайны
Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам.
Как следует из этого определения, коммерческая тайна, по существу, состоит из двух взаимосвязанных и в то же время самостоятельных предметов предмета сделки и условий сделки.
К предмету сделки могут относиться изобретения, научные, технические, конструкторские, проектные и технологические решения, технология и технологический опыт, промышленные образцы, товарные знаки, оригинальные решения по управлению предприятием или производством.
К условиям сделки могут относиться расчеты цен и обоснования сделок, контрактная цена товара или услуг, размеры предоставленных скидок до и после контракта, кредитные условия и условия платежа, рыночная стратегия и конъюнктура, сведения о поставщиках и потребителях, организация и размеры оборота и т. п.
Часть сведений может составлять интеллектуальную собственность. Так, согласно ст.
2 Закона о собственности в РСФСР, Объектами интеллектуальной собственности являются произведения науки, литературы, искусства и других видов творческой деятельности в сфере производства, в том числе открытия и изобретения, рационализаторские предложения, промышленные образцы, программы для ЭВМ, базы данных, экспертные системы, ноу-хау, торговые секреты, товарные знаки, фирменные наименования и знаки обслуживания.
Однако не всегда сведения, составляющие коммерческую тайну, могут явиться в чистом виде предметом практической реализации.
Исходя из такого подхода, очевидно, что коммерческую тайну могут составлять сведения, характеризующие довольно широкий круг вопросов деятельности предприятия, причем сведения, которые составляют коммерческую тайну, являются открытыми, несекретными.
Для их защиты на предприятии должен быть определен свой порядок защиты. Следует подчеркнуть, что под разглашением коммерческой тайны понимаются умышленные или неосторожные действия должностных или иных лиц, приведшие к преждевременному, не вызванному служебной необходимостью, открытому опубликованию сведений, составляющих коммерческую тайну, либо к утрате документов с такими сведениями или к бесконтрольному использованию и распространению этих сведений.
Вместе с тем следует иметь в виду, что защита технических, технологических, проектных и конструкторских решений, изобретений и т. п., появившихся в результате проведения работ по созданию вооружения и военной техники или связанных с разработкой новых материалов, новой техники и технологии, имеющих существенное значение для обороны и безопасности страны и являющихся по своему существу секретными, обеспечивается в соответствии с законодательством по защите секретной информации.
План мероприятий по защите коммерческих секретов предприятия
1. Определение целей плана по защите коммерческой тайны.
Ими могут быть:
- предотвращение кражи коммерческих секретов;
- предотвращение разглашения коммерческих секретов сотрудниками и утечки через технические каналы.
2. Анализ сведений, составляющих коммерческую тайну:
- определить, какие сведения предприятия (технологические и деловые) являются коммерческой тайной;
- установить места ее накопления и хранения;
- выявить потенциальные каналы утечки сведений; оценить возможности по перекрытию этих каналов;
- проанализировать соотношение затрат и доходов по использованию различных технологий, обеспечивающих защиту коммерческой тайны;
- назначить сотрудников, ответственных за каждый участок системы обеспечения безопасности.
3. Обеспечить реализацию деятельности системы по следующим направлениям:
- контроль сооружений и оборудования предприятия (обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений предприятия и т. п.);
- работа с персоналом предприятия, в том числе проведение бесед при приеме на работу, инструктаж вновь принятых на работу по правилам и процедурам защиты коммерческой тайны на предприятии; обучение сотрудников правилам сохранения коммерческих секретов; стимулирование соблюдения конфиденциальности, беседы с увольняющимися;
- организация работы с конфиденциальными документами (установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами, контроль за публикациями; контроль и учет технических носителей конфиденциальных сведений, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов);
- работа с конфиденциальной информацией, циркулирующей в технических средствах и системах обеспечения производственной и трудовой деятельности (создание системы защиты информации через технические каналы утечки);
- работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за использованием ЭВМ);
- защита коммерческой тайны предприятия в организационно-правовых документах, в процессе заключения контрактов и договоров с коллективом, сотрудниками, смежниками, поставщиками и т. д. Здесь важно четко определить круг лиц, имеющих отношение к этой работе.
Инженерно-техническая защита
В настоящее время на вооружении промышленных шпионов находятся самые разнообразные средства проникновения на объекты криминальных интересов и получения различными способами конфиденциальной информации, разработанные на основе последних достижении науки и техники, с использованием новейших технологий в области миниатюризации в интересах скрытного (тайного) их использования против своих конкурентов. Противодействуя промышленному шпионажу, службы безопасности оснащаются необходимой им аппаратурой, не уступающей по надежности и функциональным возможностям аппаратуре шпионажа.
Инженерно-техническая защита это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности коммерческого предприятия. По функциональному назначению инженерно-техническая защита использует следующие средства:
- физические средства защиты. Они включают различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных воздействий;
- аппаратные средства защиты. Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности коммерческого предприятия (КП).
В практике деятельности КП находит широкое применение самая различная аппаратура от телефонного аппарата до совершенных автоматизированных информационных систем, обеспечивающих его производственную деятельность. Основная задача аппаратных средств стойкая безопасность коммерческой деятельности;
- программные средства защиты. Это специальные программы, программные комплексы: и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных.
- криптографические средства защиты это специальные математические и алгоритмические средства защиты информации, передаваемой по сетям связи, хранимой и обрабатываемой на ЭВМ с использованием методов шифрования.
Очевидно, что такое деление средств безопасности достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратных реализаций с широким использованием алгоритмов закрытия информации.
Тем не менее, такое рассмотрение в определенном смысле удобно с позиции методологии их изложения.
Универсальные меры обеспечения безопасности предприятия
Универсальные меры обеспечения безопасности предприятия способы защиты, которые самостоятельно или в совокупности со средствами обеспечивают один или несколько видов защиты.
1. Регламентация- Состоит в том, что все защитные мероприятия должны быть подчинены строго установленным правилам, закрепленным в нормативной базе.
2. Скрытие* Состоит в том, чтобы сделать незаметным сам факт существования защищаемого объекта или проведение любых работ по его защите.
3. Маркировка. Состоит в том, чтобы скрыть истинное состояние деятельности объекта.
4. Дезинформация. Состоит в том, чтобы подать заведомо ложную, но весьма правдоподобную информацию об объекте защиты.
5. Дробление (расчленение). Состоит в том, чтобы разнес
ти части защищаемого объекта и хранить их независимо друг от друга.
6. Препятствие. Состоит в том, чтобы создать полосы препятствий на пути проникновения противника к защищаемому объекту.
ОБЩИЕ ПОЛОЖЕНИЯ КОНЦЕПЦИИ БЕЗОПАСНОСТИ КОММЕРЧЕСКОГО ЛРШРИЯТИЯ
Концепция выражает систему взглядов на проблему безопасности коммерческого предприятия (КП) на различных этапах и уровнях производственной деятельности, а также основные принципы, направления и этапы реализации мер безопасности.
Анализ состояния дел в области безопасности коммерческого предприятия показывает, что в ведущих странах мира сложилась вполне сформировавшаяся концепция и инфраструктура системы безопасности, основу которой составляют структурные компоненты; весьма развитый арсенал технических средств защиты, производимых на промышленной основе; значительное число фирм, специализирующихся на решении вопросов обеспечения безопасности; достаточно четко очерченная система концептуальных взглядов на эту проблему; наличие значительного практического опыта. И тем не менее, как свидетельствует зарубежная печать, злоумышленные действия по отношению к предпринимателям не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.
Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целеустремленная организация процесса обеспечения безопасности. При чем в этом должны активно участвовать профессиональные специалисты, администрация коммерческого предприятия, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Зарубежный и отечественный опыт также показывает, что:
- обеспечение безопасности не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы безопасности, непрерывном управлении ею, контроле, выявлении ее узких и слабых мест и потенциально возможных угроз предприятию;
- безопасность может быть обеспечена лишь при комплексном использовании всего арсенала средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла его деятельности. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый целостный механизм СИСТЕМУ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (СБП);
- никакая СБП не может обеспечить требуемый уровень безопасности без надлежащей подготовки персонала предприятия и пользователей и соблюдения ими всех установленных правил, направленных на обеспечение безопасности.
С учетом накопленного опыта систему безопасности предприятия можно определить как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих безопасность КП, под которой будем понимать состояние защищенности жизненно важных интересов предприятия от внутренних и внешних угроз. Согласно [15] под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам КП.
Реальная и потенциальная угроза объектам безопасности, исходящая от внутренних и внешних источников опасности, определяет содержание деятельности СБП.
С позиций системного подхода к безопасности предъявляются определенные требования.
Безопасность должна быть:
- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту и достичь своих противоправных целей;
- плановой. Планирование осуществляется путем разработки детальных планов действий по обеспечению защищенности предприятия всеми компонентами его структуры;
- централизованной. В рамках определенной структуры должно обеспечиваться организованно-функциональная самостоятельность процесса обеспечения безопасности КП;
- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
- конкретной. Защите подлежат конкретные объекты, угрозы которым могут нанести ущерб КП;
- активной. Защитные меры претворяются в жизнь с достаточной степенью настойчивости;
- надежной. Методы, средства и формы защиты должны надежно перекрывать все пути проникновения и возможные каналы утечки информации. При этом надежность предполагает не только перекрытие, но и дублирование средств и мер безопасности;
- универсальной. Считается, что меры безопасности должны перекрывать пути угроз независимо от места их возможного воздействия;
- комплексной. Для обеспечения безопасности во всем многообразии структурных элементов, угроз и каналов несанкционированного доступа должны применяться все виды и формы защиты в полном объеме.
Недопустимо применять отдельные формы или технические средства.
Комплексный характер защиты проистекает из того, что это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых, в свою очередь, имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Система безопасности предприятия, как и любая иная система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет способна выполнять свою целевую функцию. С учетом этого СБП должна иметь:
- правовое обеспечение. Сюда входят нормативные документы, определяющие ее статус, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
- организационное обеспечение. Имеется в виду, что реализация защитных мер осуществляется определенными структурными единицами, такими как служба защиты информации и другие;
- техническое обеспечение. Предполагается широкое использование технических средств различного назначения, обеспечивающих реализацию защитных мероприятий. В том числе средства личной безопасности, технические средства охраны и другие;
' информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы безопасности;
- программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы для ЭВМ, обеспечивающие оценку наличия и опасности угроз безопасности предприятию;
- нормативное обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, методы, обеспечивающие деятельность сотрудников при выполнении своей работы в условиях жестких требований безопасности.
Система безопасности предприятия, как любая система, может быть охарактеризована рядом показателей, определяющих ее направленность, организационную и функциональную структуру, объекты и способы обеспечения своей деятельности и другие.
Цели и задачи системы безопасности
Основной целью системы безопасности является предотвращение ущерба интересам коммерческого предприятия за счет хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки, искажения и уничтожения информации, нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации, а также ущерба персоналу.
Целями системы безопасности являются:
- защита прав коммерческого предприятия, его структурных подразделений и сотрудников;
- сохранение и эффективное использование финансовых, материальных и информационных ресурсов;
- повышение имиджа и роста прибылей за счет обеспечения качества услуг и безопасности его клиентов.
Задачами системы безопасности являются:
- своевременное выявление и устранение угроз безопасности персоналу и ресурсам; причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам, нарушению его нормального функционирования и развития;
- отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов к различным уровням уязвимости (опасности) и подлежащих сохранению;
- создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании предприятия;
- эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей КП.
Объекты защиты
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
- персонал (руководящие работники, производственный персонал, осведомленные в сведениях, составляющих коммерческую тайну, работники внешнеэкономических служб и другой уязвимый персонал);
- финансовые средства, валюта, драгоценности;
- материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной , магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- технические средства и системы;
- технические средства и системы охраны и защиты материальных и информационных ресурсов.
Основные виды угроз интересам коммерческого предприятия
Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг коммерческих предприятий в ближайшее будущее сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам.
В процессе выявления, анализа и прогнозирования потенциальных угроз в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их опасность. Таковыми являются:
- нестабильная политическая, социально-экономическая и криминогенная ситуация;
- невыполнение законодательных актов, отсутствие ряда законов по жизненно важным вопросам;
- снижение моральной, психологической и производственной ответственности граждан.
На стадии концептуальной проработки вопросов безопасности коммерческого предприятия представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой, требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.
В общем плане к угрозам безопасности личности относятся:
- похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
- убийства, сопровождаемые насилием, издевательствами и пытками;
- психологический террор, угрозы, запугивание, шантаж, вымогательство;
- грабежи с целью завладения денежными средствами, ценностями идокументами.
Преступные посягательства в отношении продукции помещений (в том числе и жилых), зданий и персонала проявляются в виде:
- взрывов;
- обстрелов из огнестрельного оружия;
- минирования, в том числе с применением дистанционного управления;
- поджогов;
- нападения, вторжения, захватов, пикетирования, блокирования;
- повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных.
Цель подобных акций:
- откровенный террор в отношении коммерческого предприятия;
- нанесение серьезного морального и материального ущерба;
- срыв на длительное время нормального функционирования;
- вымогательство значительных сумм денег или каких-либо льгот перед лицом террористической угрозы. Осуществление угроз информационным ресурсам может
быть произведено:
- через имеющиеся агентурные источники в органах государственного управления, коммерческих структур, имеющих возможность получения конфиденциальной информации;
- путем подкупа лиц, непосредственно работающих на предприятии или в структурах, непосредственно связанных с его деятельностью;
- путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
- путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
- через переговорные процессы между фирмой и иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
- через инициативников из числа сотрудников фирмы, которые хотят заработать деньги и улучшить свое благосостояние или проявляют инициативу по другим моральным или материальным причинам.
Реализация угроз препятствует нормальному выполнению фирмой своих основных функций.
Управление безопасностью
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право КП на выработку собственной концепции системы безопасности и создания соответствующей службы, как системы исполнительных органов, реализующей эту концепцию.
Служба безопасности взаимодействует с подразделениями МВД Российской Федерации по обеспечению его безопасности.
Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности целесообразно выделить следующие основные направления деятельности по обеспечению его безопасности:
