Защита информации предполагает предотвращение утечки, хищения, утраты, несанкционированного доступа, копирования, уничтожения, искажения, модификации (подделки), блокирования информации и т.п.
Механизм защиты информации должен включать следующие блоки.
На макроуровне:
• нормы права, направленные на защиту интересов ее
владельца (законы, указы, положения и т.д.).
На микроуровне:
• нормы, устанавливаемые руководителем организации (приказы, распоряжения, инструкции);
• специальные структурные подразделения, обеспечивающие соблюдение этих норм (режимные подразделения, служба безопасности предприятия и т.д.);
• действенная система мер по защите коммерческой тайны (взаимосвязь методов, способов, средств защиты).
В условиях рыночной экономики защита сведений, составляющих коммерческую тайну, является залогом сохранения лидирующих позиций организации на рынке.
В Республике Беларусь сформировались правовые основы защиты коммерческой тайны. Основным документом в данной сфере является Положение о коммерческой тайне, предусматривающее ряд норм, рассмотренных ранее.
|
|
Установленный положением и локальными документами, изданными руководителем предприятия (организации), несущим персональную ответственность за создание необходимых условий для обеспечения сохранения коммерческой тайны, порядок должен быть закреплен в коллективном договоре, Уставе предприятия (организации), в договорах с нанимаемыми работниками и хозяйствующими субъектами. Только в этом случае государство сможет обеспечить субъектам хозяйствования право на коммерческую тайну и ее защиту в судебном порядке.
В связи с широким использованием при обработке конфиденциальной информации технических средств руководитель обязан аттестовывать применяемые при этом аппаратные и программные средства компетентными органами и получать соответствующие сертификаты. При рассмотрении дел в суде наличие этих документов обязательно.
Содержание работ по защите информации должно носить комплексный, системный и экономически целесообразный характер.
Задачи защиты информации организации включают:
• защиту прав и интересов фирмы и его работников;
• выявление реальных и потенциальных угроз;
• выработку и использование системы профилактических мер, предотвращающих утечку и хищение секретной информации;
• обеспечение эффективности системы защиты коммерческой тайны..
К системе защиты информации организации предъявляются определенные требования:
• система должна быть комплексной;
• должна быть гибкой, динамичной, учитывать изменения ценности информации в конкурентной среде;
|
|
• должна соответствовать законодательству страны.
При несоблюдении вышеперечисленных требований
и принципов риск, связанный с защитой экономической безопасности организации, при работе на рынке возрастает.
Организационная работа. Она включает разработку концепции обеспечения безопасности информации, составляющей коммерческую тайну, и формирование пакета необходимой организационно-планирующей документации, обеспечивающей действенную ее защиту, подтвержденную компетентными органами.
Концепция обеспечения защиты коммерческой тайны организации включает:
1. Правовое обеспечение сохранности информации:
• регистрацию права на коммерческую тайну в Уставе
организации;
• внесение соответствующих дополнений, касающихся охраны коммерческой тайны и взаимных обязательств сторон по данному вопросу, в коллективный договор;
• наличие в организации утвержденного руководителем Положения о коммерческой тайне;
• отражение индивидуальных обязательств по сохранению коммерческой тайны втрудовом договоре или контракте;
• заключение письменных договоров-обязательств, заявлений увольняющихся работников, имевших доступ к конфиденциальной информации, о сохранении коммерческой тайны в течение определенного срока;
• наличие соглашений о секретности с юридическими лицами, являющимися партнерами по бизнесу и имеющими доступ к коммерческой информации (поставщики, покупатели продукции, инвесторы и т.д.);
• наличие приказа по организации о защите коммерческой тайны;
• наличие памятки о сохранении конфиденциальной информации и ознакомление с ней под личную роспись тех, кто имеет к ней доступ.
2. Идеологическое и методическое обеспечение сохранности информации:
• воспитательная работа, формирование чувства ответственности, гордости за свою организацию, комфортности и удовлетворенности своей деятельностью;
• чтение лекций, проведение различных семинаров, практикумов, деловых игр, консультаций, личных бесед;
• четкое и своевременное доведение необходимой информации до лиц, имеющих отношение к данному вопросу.
3. Организация процесса обеспечения сохранности информации:
• отбор объектов защиты;
• выбор средств защиты, адекватных целевым задачам;
• управление обеспечением сохранности коммерческой тайны и контроль эффективности применения охранных мер.
4. Систему ограничения лиц, допускаемых к сведениям, составляющим коммерческую тайну:
• инструктаж и учет лиц, имеющих доступ к информации, составляющей коммерческую тайну;
• меры по повышению бдительности и ответственного отношения к сохранению закрытой информации.
5. Организацию делопроизводства с информацией, составляющей коммерческую тайну:
• разработка инструкции, регламентирующей работу с закрытой информацией;
• ведение журналов регистрации дел и учета сведений, составляющих коммерческую тайну;
• особые меры при использовании ПЭВМ и ЛВС.
6. Формирование тактики представления материалов, предназначенных к опубликованию, использованию для рекламы, выступлений, докладов на конференциях, для передачи по радио, телевидению, во время деловых переговоров и т.п.
7. Определение порядка и целесообразности использования технических средств для работы с документами и информацией, составляющими коммерческую тайну: ПЭВМ, сканирующих устройств, аудио-видеотехники, факсов и т.д.
8. Создание системы контроля и исполнения всех требований и задач по обеспечению защиты коммерческой тайны организации.
Мировой опыт свидетельствует, что для защиты информации организации не достаточно чисто административных мер, даже четко обработанных, следует активно вовлекать в ее защиту всех сотрудников. Каждый сотрудник должен быть уверен, что его личное благополучие зависит от успехов фирмы, в которой он работает.
|
|
Концепция должна быть сформирована с учетом реальной и потенциальной ценности информации и опасности посягательства на нее.
Результатом этого этапа работы должно быть создание документов, регламентирующих состав и содержание работ по защите коммерческой тайны:
• порядок взаимодействия физических и юридических лиц, имеющих доступ к коммерческой тайне;
• состав, содержание и правомочие документации по защите конфиденциальной информации организации;
• критерии защищенности коммерческой тайны.
Работа по оценке эффективности защиты информации. Данная работа предполагает:
• четкое выделение информации, представляющей коммерческую тайну, оценку ее реальной и потенциальной ценности, оценку ущерба, который может быть нанесен субъекту хозяйствования при ее разглашении;
• определение особо ценных элементов информации, к которым проявляется повышенный интерес;
• установление «срока жизни» информации как коммерческой тайны;
• оценку объемов затрат на создание и постоянное поддержание в рабочем состоянии системы защиты.
Экономическая целесообразность охраны коммерческой тайны имеет место в том случае, если сумма ущерба от ее разглашения, по крайней мере, не ниже стоимости ее защиты.
Работа по использованию способов и внедрению средств защиты информации. Наиболее часто используемые способы защиты коммерческой тайны:
• ограничение доступа к коммерческой тайне;
• запретительные способы, касающиеся производства, хранения, продажи и т.д.;
• создание условий для хранения и работы с информацией, составляющей коммерческую тайну (сейфы, специальные помещения и т.д.);
• охранные способы (наемная охрана, собственная служба охраны);
• административные способы;
• технические средства.
Следует уделять серьезное внимание предупредительным мерам.
|
|
Средства защиты можно разделить на три группы:
1) административно-организационные:
• морально-этические нормы;
• воспитательные;
• соответствующий режим секретности;
• внутренний распорядок;
• пропускной режим;
• обучение, инструктаж персонала;
• установление норм, регулирующих локальные взаимоотношения: приказы, распоряжения, инструкции, договоры и т.д.;
2) технические средства защиты коммерческой информации:
• физические средства защиты: замки, решетки, механические и электронные средства охраны помещений;
• комплексные системы охраны информации (акустические, радиотехнические, магнитометрические);
• программные продукты, системы защиты ПЭВМ;
3) криптографические меры защиты (шифровка, кодирование).
Важно помнить, что невозможно защитить всю информацию, характеризующую различные направления деятельности, да это и нецелесообразно. Главная задача - определить ключевую информацию и создать надежную систему ее защиты.
Система защиты информации обойдется дорого и ее создание должно быть поручено профессионалам. Не каждое предприятие (организация) имеет возможность создать такую систему. Поэтому необходимо осуществлять хотя бы минимально возможный комплекс мер.
Меры защиты информации:
• работа с кадрами. Специалисты считают, что сохранность секретов на 80 % зависит от правильного подбора формирование нормативной базы (приказы, инструкции, договора, соглашения);
• ограничение доступа к секретной информации;
• воспитание кадров (обучение правилам хранения и защиты информации, стимулирование и т.д.);
• соблюдение порядка обращения с секретными документами (на любых носителях);
• охрана помещения, условия работы в них, «политика чистых столов», т.е. в отсутствие работника на его столе не должно быть никаких документов;
• обеспечение запрета на несанкционированное ксерокопирование;
• соблюдение правил ведения переговоров, обеспечивающих недопущение утечки информации;
• умение правильно рекламировать и давать в прессу информацию, недопускающую разглашение секретов (реклама по методу «черного ящика», сообщить результат, а не как он получен);
• защита информации аналитической службой предприятия (организации).