2014-02-12
1651
Под коммерческой тайной (конфиденциальными сведения-ми) понимаются не являющиеся государственными секретами сведения, связанные с производственно-технической, научно-исследовательской, опытно-конструкторской и другой деятельностью фирмы, а также с их технологической информацией, управлением, финансами и т.п., разглашение (передача, утечка) которых может нанести ущерб ее интересам.
К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные перечнем конкретных сведений, составляющих собственность фирмы, утвержденную и введенную в действие приказом директора.
Конфиденциальные сведения — это информация, которую можно разделить на две группы: деловую и технологическую.
Деловая информация фирмы обычно включает финансовые отчеты и прогнозы, банковские счета, кредиты, условия контрактов и договоров, ближайшие и перспективные планы фирмы, условия продаж, коды и процедуры доступа к информационным сетям и т.д.
К технологическим секретам могут быть причислены данные о научно-техническом потенциале предприятия, уровень методов организации производства, объем производственных мощностей и уровень технологии, конкретные "ноу-хау", нормы расхода сырья, информация о незащищенных патентами изобретениях, используемых в производстве и т.д.
Сложившаяся на сегодняшний день в развитых странах практика обеспечения безопасности, конфиденциальной информации фирм и банков прошла путь от чисто административных ограничительных режимных мер, планомерного обучения персонала приемам и методам защиты закрытой информации и использования элементов психологического обеспечения безопасности к пониманию того, что, только совместив эти направления защиты с научным, системным подходом к разработке и реализации режимно-секретных программ банка (фирмы), можно добиться успеха в обеспечении надежной сохранности собственных секретов.
В своей совокупности источники конфиденциальной информации содержат полные сведения о составе, содержании и направлении деятельности предприятия (фирмы), что весьма интересует конкурентов. Естественно, что они приложат все силы, найдут необходимые способы несанкционированного до-ступа, чтобы получить интересующие их сведения.
При решении проблем защиты коммерческой тайны экономической структуры следует четко представлять, что противник может использовать несколько каналов утечки конфиденциальной информации. Осуществление угроз информационным ресурсам может выполняться различными способами и методами:
• через имеющиеся агентурные источники в органах государственного управления и коммерческих структурах, имеющих возможность получения конфиденциальной информации (суды, налоговые органы, коммерческие банки и др.);
• путем подкупа лиц, непосредственно работающих в фирме или структурах, связанных с ее деятельностью;
• путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной технике с помощью тех. средств разведки и съема информации;
• путем подслушивания конфиденциальных переговоров и использованием других способов несанкционированного доступа к источникам конфиденциальной информации. К основным категориям источников, обладающих конфиденциальной информацией, относятся:
• люди. Сюда можно отнести сотрудников, обслуживающий персонал, рабочих, продавцов продукции, клиентов, партнеров, поставщиков, покупателей и др. Люди в ряду источников конфиденциальной информации занимают особое место как активный элемент, способный выступать не только источником информации, но субъектом злонамеренных действий противника;
• документы, Это общепринятая форма накопления, хранения и обмена информацией. Документ отличает то, что его функциональное назначение весьма разнообразно. Система документов имеет довольно разветвленную структуру и представлена не только различным содержанием, но и различными физическими формами — материальными носителями;
• публикации. Это самые разнообразные издания: книги, газетные и журнальные статьи, монографии, обзоры, сообщения, рекламные проспекты, доклады, тезисы выступлений и т.п.;
• технические носители. К ним относятся бумажные носители (перфокарты, перфоленты), кинофотоматериалы (микрофильмы, кинофильмы и т.д.), магнитные носители (ленты, диски, дискеты, стримеры и т.д.), видеофильмы, компакт-диски, распечатки данных и программ на принтерах, информация на экранах ЭВМ, промышленных телеустановках, табло индивидуального и коллективного пользования;
• технические средства обеспечения предпринимательской деятельности. Сюда входят самые различные средства, такие, в частности, как телефоны и телефонная связь, телевизоры и промышленные телевизионные установки, радиоприемники, радиотрансляционные системы, системы громкоговорящей связи, усилительные системы и др., которые по своим параметрам могут являться источниками утечки конфиденциальной информации. Особую группу средств составляют автоматизированные системы обработки информации, так как они обладают большой информационной емкостью;
• продукция. Продукция фирмы является ценным источником информации, за характеристиками которой весьма активно охотятся конкуренты. Особое внимание привлекает новая, еще не поступившая на рынок, находящаяся в процессе подготовки продукция;
• производственные отходы. Этот так называемый бросовый материал может многое рассказать о характере деятельности, особенностях производства, технологии. Тем более они получаются безопасным путем: на свалках, помойках, местах сбора металлолома и т.д.
Способ несанкционированного доступа к источникам конфиденциальной информации — это совокупность приемов, позволяющих злоумышленнику получить охраняемые сведения конфиденциального характера. Известен ряд таких способов.
Занимаясь проблемами внутренней безопасности фирмы, следует помнить, что в нее всегда может проникнуть стратегический разведчик противника или конкурента.
Такому разведчику достаточно один раз посмотреть документы бухгалтерской отчетности, уставные документы или стратегически важную оперативную информацию, чтобы понять картину пассивов и активов организации, структурной стабильности, а также направления инвестиционной политики. Утешает одно: стратегических разведчиков очень мало и можно с уверенностью сказать, где и когда они могут появиться.
Во-первых, они могут выступать в качестве консультантов и экспертов, "помощников", решающих для организации принципиальные и жизненно важные вопросы. Единственное средство их выявления — независимая экспертиза. Это тонкая и очень дорогая, но концептуально необходимая работа.
Во-вторых, "разведчики" могут появиться в налоговой инспекции и банке. Наиболее действенным средством обнаружения интереса к значимой информации организации является "содержание" в этих местах своих контрразведчиков в лице налогового инспектора.
В третьих, они однозначно "обитают" в системе аудита и, следовательно, могут всегда и, главное, неожиданно прийти с "проверкой". Не следует жалеть денег на поиск и подготовку "собственного" аудитора, обладающего лицензиями Минфина РФ на проведение аудита и финансового консультирования.
"Собственный" аудитор и финансовый консультант для любой крупной организации — стратегически важная фигура. То же самое относится к юристу (адвокату) фирмы. Если организация хочет сохранить свою стратегическую информацию, она не должна консультироваться с экспертами из чужих, особенно официальных заведений.
Работы по защите компьютеров и имеющейся в них информации проводились практически с момента их появления. Экономическая инфраструктура развитой страны, начиная с энергоснабжения и кончая банковскими структурами, опирается на компьютерные и телекоммуникационные сети. Они становятся все более уязвимыми и нуждаются в специальной защите.
До недавнего времени цели защиты информации достигались в основном за счет реализации принципа "максимальной секретности", в соответствии с которым доступ ко многим видам информации не всегда обоснованно был ограничен. В то же время не существовало каких-либо положений, определяющих защиту информационных прав граждан, конфиденциальности личной информации.
Решение проблемы надежной защиты программных средств от внешнего воздействия возможно только при создании безопасных информационных технологий для разработки программного обеспечения, включая проектирование, языки программирования, технологии испытания и тиражирования программных продуктов.
В России в настоящее время большая часть (несколько тысяч) баз данных, содержащих конфиденциальную информацию, функционирует с применением минимальных средств защиты и не обеспечивает необходимого уровня конфиденциальности. Все это очень опасно и наносит ощутимый вред как государству в целом, так и конкретным владельцам массивов конфиденциальной информации.
Защита компьютерной информации включает две компоненты:
• защита от физического доступа посторонних лиц к электронной аппаратуре;
• защита собственно программных средств.
Эффективная система защиты информации должна носить комплексный характер и обеспечивать:
• равноправную защиту информации на всех этапах ее накопления, обработки, хранения и передачи по каналам связи;
• гарантированную защиту информации в каналах связи с обязательным применением криптографических методов;
• целостность и подлинность информации на всех этапах ее хранения, обработки и передачи по каналам связи;
• контроль за доступом к информационным системам и базам данных;
• защиту технических средств от утечки информации по побочным каналам и от внедрения в них электронных устройств съема информации;
• защиту программных продуктов средств вычислительной техники информационных систем от внедрения программных "вирусов" и закладок.
Безопасные информационные технологии должны обладать способностью к недопущению или нейтрализации воздействия как внешних, так и внутренних угроз информации, в том числе:
• внедрению злоумышленных программных закладок, которые нарушают расчетное функционирование систем. Прогрессирующая тенденция бесконтрольного импорта зарубежных программных средств и информационных технологий приводит одновременно и к увеличению импорта программных дефектов такого рода;
• несанкционированному доступу к информации с целью ее съема, модификации или уничтожения.
В целом комплексная защита конфиденциальной информации разделяется на следующие виды:
• защита от акустического контроля помещения, автомобиля, человека;
• защита от прослушивания телефонных каналов, перехвата факсимильной и модемной связи;
• защита от видеоперехвата, средств маркирования и слежения за автотранспортом;
• предотвращение перехвата компьютерной информации и несанкционированного внедрения в базы данных;
• методы противодействия визуальному наблюдению, скрытой фото- и видеосъемке;
выявление нелояльных фирме сотрудников и обслуживающего персонала.
В защите существуют пассивные и активные методы. К пассивным методам относятся различные варианты установки в офисе или жилом помещении аппаратуры технического противодействия. Их существует столько же, сколько и технических средств добывания информации. К активным методам относятся:
• все виды "чисток" помещений от подслушивающих устройств;
• соблюдение правил выбора зданий, оборудования мебелью, оргтехникой и предметами обихода;
• правильную защиту информации и эксплуатацию средств связи.
Сочетание пассивных и активных методов защиты даст положительный результат. Это сочетание называется комплексной защитой информации.
В целом же проведенные исследования показали, что идеальных технических систем, гарантирующих полную защиту конфиденциальной информации, не может быть создано в принципе. Любую систему можно "вскрыть", все зависит лишь от того, сколько это будет стоить и как долго это будет продолжаться.
