Создание системы защиты информации на предприятии (работа 1)

1


Создание системы защиты информации на предприятии

Для создания и использования системы защиты на микроуровне необходима информация внутреннего, внешнего и специального характера. Информация внутреннего характера дает представление о фирме — ее персонале, промышленном производстве, других видах деятельности, зданиях и сооружениях, оборудовании, организации бизнеса, различного рода ресурсах.

Информация внешнего характера включает в себя данные о предпринимательской среде в аспекте ее безопасности. Сюда относятся также сведения о традиционных и потенциальных партнерах и конкурентах, конъюнктуре рынка в области деятельности фирмы.

Информацию специального характера желательно ориентировать на особенности конкретного предприятия. Она касается прежде всего тех специализированных организаций инфраструктуры рыночной экономики, которые участвуют в защите конкретного бизнеса. Это также сведения о кадрах, занятых в сфере обеспечения его безопасности; имеющихся технических и иных средствах защиты, методиках их эффективного использования; об алгоритмах профессиональной деятельности, а также информационные модели ситуаций в сфере защиты бизнеса (моделирование утечек конфиденциальных сведений, прогнозы развития фирмы с учетом критериев безопасности; информационные «портреты» недобросовестного сотрудника и т.д.).

Для анализа условий безопасности деятельности конкретной предпринимательской структуры могут оказаться необходимыми также более детальные сведения: экономического характера; по финансовым вопросам; по вопросам внешних экономических и научно-технических связей; по кадровым вопросам; по науке и технике; по транспорту и связи; по мобилизационным вопросам; Собственно по безопасности бизнеса (в частности, по используемым методам и имеющемуся опыту борьбы с промышленным шпионажем и другими формами проявления криминальной конкуренции).

В целях получения указанной информации и уточнения имеющегося представления о предпринимательской среде используются непосредственное наблюдение, анализ публикаций в средствах кассовой информации, оценки независимых экспертов, консалтинговых фирм, анализ законодательных и иных нормативно-правовых документов, обращение с запросами в информационные системы государственных организаций и частных фирм.

С позиций защиты на уровне предпринимательской фирмы информацию о коммерческой тайне можно представить в следующем виде:

- сведения о собственно тайне;

- состав сотрудников (служащих), допущенных к тайне;

- возможные каналы утечки информации о тайне;

- меры безопасности, предпринимаемые в целях сохранения тайны;

- устремления к тайне извне (в частности, субъектов, стремящихся получить несанкционированный доступ к информации, составляющей тайну);

- информированность (осведомленность) заинтересованных лиц и организаций (в частности, конкурентов) в вопросах, имеющих отношение к тайне;

- сведения о попытках получить данные, составляющие коммерческую тайну;

- финансовые затраты, связанные с обеспечением экономической и информационной безопасности тайны.

Сведения о собственно коммерческой тайне представляют интерес для предпринимательской структуры со следующих позиций:

- идентификации тайны, принадлежащей фирме;

- организации эффективной защиты тайны в подразделениях фирмы и ее филиалах;

- отслеживания состояния защищенности фирменных секретов;

- решения вопроса об изменении или снятии грифа секретности с документов, изделий, технологий фирмы;

- допуска сотрудников фирмы к работе с информацией, составляющей коммерческую тайну;

- оценки объема информации, характеризующей тайну, которая может быть раскрыта представителями фирмы при ведении деловых переговоров, в процессе рекламной деятельности и т.д.;

- расследования фактов утечки информации, производимого собственными силами;

- локализации возможных последствий утечки сведений конфиденциального характера;

- оказания помощи правоохранительным органам в расследовании дел в интересах фирмы;

- моделирования возможных каналов утечки информации, принадлежащей фирме и составляющей тайну.

В совокупности со сведениями, характеризующими социальную организацию как средство для достижения цели, как административную структуру, как социальную микросреду, определенный интерес с точки зрения безопасности этой структуры в конкретной ситуации может представлять также иная информация об организации, в частности:

- финансово-экономического характера (финансовые итоги деятельности, обобщенные экономические показатели); касающаяся производственной деятельности (тематическая направленность, производственная база, кооперирование производства и т.д.);

- о научно-исследовательской деятельности (тематическая направленность НИР и ОКР, участие в НИР по государственным программам, структура научных исследований, база их проведения, кооперирование исследований);

- о торгово-экономической и международной деятельности (особенности организации, география экспорта и импорта, кооперация, связи по сбыту продукции, участие в выставках, конференциях и т.д.).

С точки зрения защиты отдельной предпринимательской структуры представляют интерес следующие категории организаций:

- деловые партнеры — реальные и потенциальные;

- предприятия-конкуренты;

- организации, располагающие коммерческой тайной в той или близких сферах деятельности;

- предприятия, стремящиеся собственными силами разработав вопросы, охраняемые как коммерческая тайна для фирм, с позиций которой проводится анализ;

- организации и группировки, наносящие ущерб предпринимательству и действующие в конкретном регионе, сфере предпринимательской деятельности;

- организации, в которых ранее работали сотрудники фирмы;

- частные сыскные бюро, службы внутренней безопасности фирм подразделения правоохранительных органов, расположенные по близости от места дислокации фирмы;

- организации и фирмы, специализирующиеся в области охраны авторских прав;

- объединения деловых кругов, коммерческие ассоциации, занимающиеся экономической и информационной безопасностью предпринимательства в конкретных сферах бизнеса;

- общества потребителей;

- биржи труда, иные организации, занимающиеся трудоустройством населения;

- иные организации, попадающие в поле зрения этой предпринимательской структуры или осуществляющие экономическую и информационную безопасность бизнеса в определенной сфере, конкретном регионе.

С позиций предпринимательской структуры особое значение имеет информация в отношении следующих категорий физических лиц:

- работников, знания и опыт которых имеют решающее значение для эффективности деятельности собственной фирмы;

- бывших работников фирмы;

- руководителей организаций, выступающих в качестве партнеров по бизнесу либо конкурентов;

- сотрудников организации-партнера, осуществляющих непосредственные контакты с персоналом предпринимательской структуры;

- лиц, попавших по тем или иным причинам в поле зрения предпринимательской структуры или ее службы безопасности (предлагавших контракты, осуществивших хищения или иные посягательства и т.д.);

- лиц, связанных дружескими и иными связями с сотрудникам" предпринимательской структуры, а при определенных условиях и лиц, вступивших в контакт с сотрудниками;

- руководителей и сотрудников частных детективных и охранных
обслуживающих или выполнявших заказы собственной
а также предприятий-партнеров и предприятии-конкуре

- руководителей и работников организации инфраструктуры

- рынка, для которых функции защиты бизнеса являются сопутствующими (коммерческих банков, консультативных фирм, рекламных бюро и т.д.), обслуживающих или выполнявших заказы собственной фирмы, а также предприятий-партнеров и предприятий-конкурентов.

В отношении кандидата на работу с точки зрения защиты бизнеса имеют немаловажное значение мотивы для поступления на работу в данную предпринимательскую структуру, а также информация, которая характеризует его в следующих аспектах:

- надежность;

- вероятность проявления к нему интереса со стороны конкурентов, преступного мира;

- уязвимость со стороны конкурентов либо преступного мира;

- способность противостоять посягательствам на безопасность фирмы.

Бывшая сотрудница компании Кока-Кола приговорена окружным судом Атланты (штат Джорджия) к восьми годам тюремного заключения. Вердикт о виновности Вильямс был вынесен присяжными заседателями 2 февраля 2006 года. Максимальный срок, грозивший 42-летней Вильямс за организацию заговора с целью похищения и дальнейшей продажи документов, касающихся разработки нового продукта, составлял десять лет, сообщают местные СМИ. В 2006 году Вильямс при содействии двух сообщников украла и пыталась продать конкурентам секретные бумаги и образцы нового продукта компании.

В ходе процесса судебного она признала, что вынесла из офиса документы и образец продукта, который планировали выпустить на рынок. Обвинитель Би Джей Пак в заключительной речи на процессе против Вильямс подчеркнул, что это дело - пример того, как "тяжелые времена в жизни человека толкают его на преступление". Долги Вильямс по кредитной карте составляли 45 тысяч долларов, и работа ее не удовлетворяла.

О надежности работника могут в определенной степени свидетельствовать, например, следующие признаки:

- уровень общей культуры (повышение уровня общей культуры, как правило, сопровождается ростом надежности работника);

- опыт работы с секретной информацией (взаимосвязь также прямо пропорциональная);

- индивидуальные качества (о повышенной надежности работника свидетельствуют прежде всего нравственные качества — верность слову и делу, чувство долга, энтузиазм по отношению к работе, а также волевые качества — самообладание, настойчивость, терпение, способность к длительной концентрации внимания и др.);

- наличие специфичных мотивов для поступления (работы) в фирме.

Предпринимательская структура также заинтересована в получении и накоплении информации о фактах и признаках нанесения ущерба собственным подразделениям и филиалам, а также по иным случаям криминальной конкуренции, имевшим место в регионе или в сфере деятельности фирмы.

Указанная информация используется в той или иной форме в следующих целях:

- для принятия решения о занятии бизнесом в конкретной предпринимательской среде;

- анализа конкретных ситуаций в целях предупреждения и пресечения посягательств на безопасность предпринимательской структуры;

- оценки эффективности усилий, направленных на обеспечение безопасности бизнеса;

- создания автоматизированной информационной системы и информационной базы как эффективных средств защиты.

Способы получения информация об организации:

- изучение официальных документов организации;

- анализ сведений, распространяемых или предоставляемых самой организацией (в частности, в ходе изучения открытых публикаций в средствах массовой информации);

- официальные запросы в информационные системы сторонних организаций;

- по результатам психологического тестирования;

- по результатам использования детективных методов;

- из сопоставительного анализа всей совокупности данных, поступивших из различных источников.

К официальным документам относятся:

- организационно-правовые документы;

- документы, отражающие права собственности;

- долговые обязательства;

- лицензии и разрешения;

- контракты;

- документы судебных и арбитражных разбирательств;

- документы по вопросам налогов и финансов;

- ценные бумаги;

- иные материалы по общим вопросам.

Организационно-правовые документы: уставные и регистрационные документы (с изменениями и дополнениями); реестр акционеров и информация об операциях с акциями эмитента и относительно дальнейших действий с акционерным капиталом; документы, содержащие информацию об акциях дочерних и аффилированных компаний.

Документы, отражающие права собственности: перечни и описания объектов недвижимости, оборудования и другого имущества; документы, подтверждающие стоимость имущества, права собственности или распоряжения по собственности; закладные или счета, касающиеся оборудования или материальных запасов (сырья, материалов, заготовок и готовой продукции); перечни и документы, подтверждающие права владения или распоряжения, а также описание зарегистрированных патентов, торговых марок и промышленных образцов; перечни и описания материальных запасов, имущества и складских запасов.

Основными видами долговых обязательств являются: кредитные соглашения, обязательства (векселя), выпущенные или полученные фирмой, гарантии (фирмы и персонала); заявления, уведомляющие о невыполнении обязательств. Важное значение имеют также устные договоренности относительно дальнейших Действий с активами.

К разряду лицензий и разрешений относятся: лицензии и разрешения местных, региональных и федеральных властей на размещение и ведение конкретного вида деятельности; сертификаты и лицензии на соответствие требованиям здравоохранения, безопасности, экологических норм; переписка с государственными органами, контролирующими деятельность предприятия.

В группу контрактов входят: лицензионные, патентные, агентские, дистрибьюторские, торговые и иные соглашения; договоры на поставки, договоры на приобретение или продажу активов, Договоры подряда, договоры на оказание консультационных услуг и иные; соглашения о найме персонала.

Документы судебных и арбитражных разбирательств: иски, возбужденные против фирмы и по инициативе самой фирмы; переписка, касающаяся указанных исков; судебные документы; документы о лишении (потере) прав; инкассовые поручения, полученные антидемпинговые письма; материалы, относящиеся к процедуре банкротства.

В числе важнейших документов по вопросам налогов и финансов следует рассматривать: отчеты о выплате местных общих налогов; корреспонденцию по вопросам налогообложения; финансовые отчеты за последние 3 года; аудиторские отчеты и корреспонденцию; отчет об операциях по всем банковским счетам за последние 6 мес; первичная финансовая информация (бухгалтерские книги и счета), включая информацию в автоматизированных системах бухгалтерского учета; план бухгалтерских счетов; лист поставщиков и дилеров фирмы с характеристикой кредиторских и дебиторских задолженностей, а также отсроченных платежей.

Документы, относящиеся к ценным бумагам: разрешения на выпуск ценных бумаг и их регистрацию; регистрационные документы, информация о размещении, проспекты эмиссии; переписка с комиссией по ценным бумагам.

В группе иных материалов по общим вопросам целесообразно рассматривать: доверенности от лица фирмы и в отношении фирмы; материалы, отражающие страховую политику, включая обязательства и страховую политику в отношении работников; прошлые и настоящие бизнес-планы и программы фирмы; организационную схему фирмы; описание процедур внутрифирменного управления; документы, фиксирующие историю забастовок; описания технологических процессов, маркетинга; информацию в отношении руководителей (менеджеров) фирмы; данные о работниках (количество, рабочее время и уровень заработной платы, система стимулирования труда).

В то же время следует иметь в виду, что публикуемые в годовых и квартальных отчетах технико-экономические и финансовые показатели могут не в полной мере соответствовать действительности. Они зачастую преследуют рекламные цели: фирмы стремятся продемонстрировать свои достижения, заверить общественность в собственной финансовой устойчивости. Это относится и к иным фирменным материалам: каталогам, проспектам, журналам.

Представляет интерес то обстоятельство, что указанная корпорация использует сведения, поступающие исключительно из открытых источников — от поставщиков и клиентов, а также от руководства проверяемой фирмы. Принципиально не используются детективные методы получения информации. При оценке финансового положения фирмы требуется более детальная проверка. Вместе с тем следует учитывать, что по самым осторожным экспертным оценкам официальная бухгалтерская отчетность может завышать на 40—50 % величину реальных финансовых ресурсов предприятия, а также величину вложения этих ресурсов. Тем компаниям, по которым собрано достаточно данных, присваивается определенный рейтинг, характеризующий степень кредитного риска при сотрудничестве с ними. Имеется следующая статистика: 80% европейских компаний, которым «Дан и Брэдстрит» присваивает рейтинг «очень высокий кредитный риск», разоряются в течение одного года после присвоения им этого рейтинга.

К числу самых дефицитных, особенно для защиты бизнеса, относится правовая информация. При поиске и использовании такого рода сведений необходимо иметь в виду следующее. С одной стороны, автоматизированные системы, накапливающие правовую информацию и доступные рядовому потребителю, на рынке сейчас имеются в избытке, а с другой — оценить качество этих систем практически невозможно. Последствия же использования недостоверной, устаревшей, неполной информации могут оказаться весьма серьезными.

Недостатком существующей практики информационного обеспечения предпринимательства является отсутствие достаточно полных информационных баз собственно по защите бизнеса. Объяснение, по-видимому, кроется в том, что такого рода правовые нормы содержатся в большом количестве нормативных актов и относятся к различным отраслям права, включены в законодательные и иные нормативно-правовые документы различного уровня. Это сильно затрудняет их систематизацию и тем более последующую актуализацию.

В то же время предпринимательские структуры заинтересованы в наличии информационно-поисковой системы, которая содержала бы следующие данные по защите бизнеса: нормативные акты, имеющие в той или иной степени отношение к защите бизнеса-сведения по судебной и арбитражной практике их применения - государственные и отраслевые стандарты и прочие технические условия, касающиеся технических средств защиты; библиографическую и полнотекстовую информацию учебников, монографий периодических изданий и иных печатных источников по вопросам защиты предпринимательства, а также по использованию справочных, консультационных, обучающих, тестирующих систем по защите бизнеса.

Информационное взаимодействие с другими предпринимательскими структурами целесообразно осуществлять, прежде всего, с предпринимательскими структурами (с их службами безопасности), которые:

- выступают в роли партнеров по бизнесу (поставщики, потребители продукции, инвесторы и т.д.);

- располагаются в непосредственной близости от собственного офиса, склада, в отдельных случаях дислоцируются вдоль маршрутов транспортировки грузов;

- близки по специализации к сфере предпринимательской деятельности собственной структуры, но если они не являются конкурентами;

- специализируются в области предоставления информационных услуг в целях защиты бизнеса.

В части, касающейся безопасности предпринимательства, стороны могут обмениваться информацией следующей тематики:

- о фактах и признаках деятельности, которая может привести к нанесению ущерба бизнесу;

- физических лицах, попавших в поле зрения предпринимательских структур в связи с решением вопросов собственной защиты;

- различного рода социальных организациях, деятельность которых наносит ущерб предпринимательству;

- формах и методах криминальной конкуренции; о результатах проведения защитных мероприятий (в допустимом объеме), направленных на противодействие криминальной конкуренции.

Аналитическая работа в интересах защиты бизнеса предполагает, с одной стороны, построение моделей в сфере безопасности предпринимательства; создание методик различного рода исследований, расчета возможного ущерба от уменьшения продажной стоимости коммерческой тайны, методик управления безопасностью коммерческой тайны и предпринимательства, а с другой — собственно анализ с использованием указанных моделей и методик.

Необходимость создания автоматизированной системы информационного обеспечения мероприятий по защите предпринимательской деятельности фирмы, а также конфигурация системы определяется прежде всего масштабами бизнеса и сферой деятельности. Основные средства и методы информационного обеспечения безопасности бизнеса:

- учет лиц и организаций, попадающих в поле зрения внутрифирменной полиции;

- накопление сведений о фактах и признаках криминальной конкуренции, о результатах психологического мониторинга, информационное моделирование чрезвычайных ситуаций в целях их профилактики и расследования;

- разработка алгоритмов профессиональной деятельности в различных областях (коммерция, право, безопасность предпринимательства и, в частности, информация о схеме действий в экстремальных ситуациях);

- статистическая обработка данных в целях совершенствования деятельности по защите бизнеса (в том числе самой системы информационного обеспечения);

- тестирование на профессиональную пригодность, психологическую совместимость и т.д.

Анализ информации об организации проводится в целях:

- выявления криминальных, неделовых целей ее создания и функционирования, характера связей и взаимодействия с другими организациями;

- оценки оперативности выработки и принятия решений руководством, а также стиля исполнения решений;

- определения ограничений в деятельности фирмы; построения структуры внутрифирменных рисков;

- выявления лица, принимающего решения;

- получения представления об иных аспектах деятельности организации; прогнозирования развития проектной ситуации (совместного проекта).

Анализ информации о физическом лице осуществляется в целях:

- оценки перспектив делового сотрудничества с ним;

- определения способов манипулятивного воздействия на объект;

- выявления идей, помыслов, устремлений, идеальных представлений объекта;

- диагностики лживого и манипулятивного поведения партнера;

- выявления характера связей лица;

- определения структуры рисков взаимодействия с лицом;

- прогнозирования действий лица в конкретных ситуациях;

- определения стиля работы, деловой мотивации, индивидуальной рисковой стратегии личности;

- получения представления об уровне конфликтности, возможном девиантном и патологическом поведении лица;

- выявления физиологических особенностей партнера, имеющих значение для выполнения совместного проекта;

- определения места и роли лица в представляющей интерес неформальной группе, а также характера влияния на него группы.

На уровне фирмы необходимо осуществлять циркулярное распространение информации, касающейся:

- форм и методов обеспечения безопасности предпринимательской деятельности;

- конкретных фактов пресечения попыток нанесения ущерба фирме, опыта защиты коммерческой тайны;

- поощрения сотрудников, которые отличились при решении вопросов профилактики, предупреждения или пресечения попыток нанесения ущерба фирме.

Это является, по существу, формой «бесструктурного» управления в сфере защиты предпринимательства, поскольку не требует для своей реализации жестких административных структур. Такого рода регулярное оповещение всего персонала повышает дисциплину труда, уровень культуры работников при обращении с информацией, документами, при ведении переговоров, при реализации всех функций бизнеса и в целом обеспечивает качество повседневной деятельности фирмы с учетом требований безопасности.

Литература

    Гусев В.С., Демин В.А., Кузин Б.І. и др. Экономика и организация безопасности хозяйствующих субъектов, 2-е изд. – СПб.: Питер, 2008. – 288 с.

    Одинцов А.А. Экономическая и и информационная безопасность предпринимательства: учеб.пособие для вузов. – М.:академия, 2008. – 336 с.

    Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов . –М.: Горячая линия –Телеком, 2004 . – 280с.

    Курочкин А.С. Управление предприятием: Уч.пособие. – Киев, 2009.

    Амитан В.Н. Экономическая безопасность: концепция и основные модели // Економічна кібернетика. - 2009. – №3-4. – С.13-20.