Собственная или частная информация
В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности – информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.
Информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность.
Обычно выделяется два вида собственной информации:
· техническая, технологическая – методы изготовления продукции, программное обеспечение, основные производственные показатели и т.п.
· деловая – стоимостные показатели, результаты исследований рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденциальной при соблюдении следующих условий:
· информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства и другие подобные факты;
· информация не должна быть общедоступной или общеизвестной;
· возникновение и получение информации должно быть законным;
· персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;
· предпринимателем должны быть выполнены действия по защите этой информации.
Для документирования такой информации часто выбирают не текстовые, а изобразительные способы. Ценность информации может быть стоимостной категорией и отражать конкретный размер прибыли при ее использовании или размер убытков при ее утере. Информация становится часто ценной ввиду ее правого значения для организации или развития бизнеса. Но и обычный правовой документ важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.
Ценную конфиденциальную деловую информацию, как правило, содержат:
· планы развития производства;
· деловые планы;
· планы маркетинга, бизнес-планы;
· списки держателей акций и другие документы.
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходимость ее защиты находятся в прямой зависимости.
Выявление и регламентация реального состава информации
Выявление и регламентация реального состава информации, представляющей ценность для фирмы и подлежащей защите, является основополагающей частью
системы защиты. Состав ценной информации определяется ее собственником и фиксируется в специальном перечне.
Перечень ценных сведений, составляющих тайну фирмы, является постоянным рабочим материалом руководства фирмы.
В каждой позиции перечня рекомендуется указывать гриф конфиденциальности сведений, фамилии сотрудников, имеющих право доступа к ним и несущих ответственность за их сохранность.
Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. На основе перечня сведений составляется и ведется список документов фирмы, подлежащих защите. Под конфиденциальным документом, понимается документ, к которому ограничен доступ персонала – это носитель ценной документированной информации.
Гриф ограничения доступа к документу – служебная отметка (реквизит), которая проставляется на носителе информации или сопроводительном письме.
Информация и документы, отнесенные к предпринимательской тайне, имеют 2 уровня грифов ограничения доступа, соответствующих различным степеням конфиденциальности информации:
· низший уровень – грифы «Конфиденциальная тайна»;
· второй уровень – «Коммерческая тайна», «Строго конфиденциально» под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа или иные условия его снятия.
Гриф конфиденциальности присваивается документу:
· исполнителем на стадии подготовки проекта документа;
· руководителем структурного подразделения или руководителем фирмы на стадии согласования или подписания документа;
· адресатом документа на стадии его первичной обработки в службе конфиденциальной документации.
Источники (обладатели) ценной конфиденциальной документированной информации представляют собой накопители (концентраторы, излучатели) этой информации. К числу основных видов источников конфиденциальной информации относятся:
· персонал фирмы и окружающие фирму люди;
· документы;
· публикации о фирме, и ее разработках;
· рекламные издания;
· физические поля, волны излучения, сопровождающие работу вычислительной и другой офисной техники.
Состав ценной предпринимательской информации
Документация как источник ценной предпринимательской информации включает:
· конфиденциальную документацию, содержащую предпринимательскую тайну (ноу-хау);
· ценную правовую учредительную документацию;
· служебную, обычную деловую и научную документацию;
· рабочие записи сотрудников, переписку по коммерческим вопросам.
В каждой из указанных групп могут быть:
· документы на традиционных бумажных носителях;
· документы на технических носителях;
· электронные документы, банк электронных документов, изображения документов на экране дисплея.
Информация источника всегда распространяется во внешнюю среду, Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:
· деловые, торговые, управленческие и другие коммуникативные регламентированные связи;
· информационные сети;
· естественные технические каналы.
Несанкционированный доступ к информации
Угроза безопасности информации предполагает несанкционированный доступ конкурента к конфиденциальной информации и как результат этого – кражу, уничтожение, фальсификацию, модификацию, подмену документов. При отсутствии интереса конкурента угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней посторонних лиц. Ценная информация, к которой не проявляется интерес конкурента, может не включаться в состав защищаемой, а содержащие ее документы контролируются только с целью обеспечения сохранности носителя.
Угроза предполагает намерение злоумышленника совершить противоправные действия по отношению к информации для достижения желаемой цели. Угроза может быть потенциальной и реальной. Угроза сохранности информации и документов особенно велика при выходе за пределы конфиденциальной документации, например при передаче документов персоналу на рассмотрение и исполнение, при пересылке или передаче документов адресатам. Однако часто потеря ценной информации происходит не в результате преднамеренных действий конкурента, а из-за невнимательности, непрофессионализма и безответственности персонала.
Если информация утрачена по вине персонала, используется термин «разглашение информации». При разглашении, утечке информация может переходить или к злоумышленнику и затем, возможно, к конкуренту, или к третьему лицу. Под третьим лицом понимаются любые лица, получившие информацию в силу обстоятельств.
Переход информации к третьему лицу можно назвать непреднамеренным, стихийным. Он возникает в результате:
· утери или случайного уничтожения документа, пакета;
· невыполнения, незнания или игнорирования сотрудником требований по защите информации;
· излишней разговорчивостью сотрудников при отсутствии злоумышленника;
· работы с конфиденциальными документами при посторонних лицах;
· несанкционированной передаче конфиденциального документа другому сотруднику;
· использования конфиденциальных сведений в открытой печати, личных записях, неслужебных письмах;
· наличия в документах излишней конфиденциальной информации;
· самовольного копирования сотрудником документов в служебных целях.
В отличие от третьего лица злоумышленник преднамеренно и тайно организует, создает канал утечки информации и эксплуатирует его по возможности более или менее длительное время. Знать возможный канал утечки информации означает:
· для злоумышленника – иметь стабильную возможность получать ценную информацию;
· для владельца информации – противодействовать злоумышленнику и сохранить тайну, а иногда и дезинформировать конкурента.
Информация должна поступать к конкуренту только по контролируемому каналу.
Система защиты информации
Система защиты информации – комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному доступу к информации. Отсутствие такой системы защиты может лишить предприятие выгодных партнеров, клиентов.
Обеспечение защиты конфиденциальной информации включает в себя:
· установление правил отнесения информации к конфиденциальным сведениям;
· разработку инструкций по соблюдению режима конфиденциальности для лиц, допущенных к конфиденциальным сведениям;
· ограничение доступа к носителям информации, содержащим конфиденциальную информацию;
· ведение делопроизводства, обеспечивающего выделение, учет и сохранность документов, содержащих конфиденциальную информацию;
· использование организационных, технических и иных средств защиты конфиденциальной информации;
· осуществление контроля за соблюдением установленного режима охраны конфиденциальной информации.
Допуск работника к конфиденциальной информации осуществляется с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению коммерческой тайны.
Комплектность системы защиты достигается ее формированием из различных элементов: правовых, организационных, технических, программно-математических. Соотношение элементов и их содержание обеспечивает индивидуальность системы защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления. Элемент правовой защиты информации предполагает:
· наличие в учредительных документах фирмы, контрактах, в должностных инструкциях обязательств по защите сведений, составляющих тайну фирмы и ее партнеров;
· доведение до сведения всех сотрудников механизма правовой ответственности за разглашение конфиденциальных сведений.
Элемент организационной защиты информации содержит:
· формирование и регламентацию деятельности службы безопасности фирмы;
· регламентацию и регулярное обновление перечня ценной, конфиденциальной информации;
· регламентацию системы разграничения доступа персонала к конфиденциальной информации;
· регламентацию технологии защиты и обработки конфиденциальных документов фирмы;
· построение защищенного традиционного или безбумажного документооборота;
· построение технологической системы обработки и хранения конфиденциальных документов;
· организацию архивного хранения конфиденциальных документов;
· порядок и правила работы персонала с конфиденциальными документами;
· регламентацию аналитической работы по выявлению угроз ценной информации фирмы и каналов утечки информации;
· оборудование и аттестацию помещений и рабочих зон, выделенных для конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны.
В процессе обработки конфиденциальных документов применяются обычные приемы обработки поступивших документов, только выполняются они квалифицированными сотрудниками службы конфиденциальной документации фирмы при соблюдении норм и правил работы с конфиденциальными документами.