ПЛАНИРОВАНИЕ ЗАЩИТЫ КОНФИДЕНТА
При составлении системы защиты конфиденциальной информации необходимо придерживаться соответствующего плана.
I. Определить информацию, подлежащую защите. Это могут быть: финансовые сведения, данные о себестоимости продукции и услуг, деловые и производственные планы, списки клиентов и поставщиков, договоры и контракты, маркетинговая информация, списки персонала и личные дела сотрудников, научно-исследовательские проекты, заявки на патенты, используемое программное обеспечение, протоколы совещаний первых лиц предприятия, информация о работе СБ предприятия и пр.
Руководители структурных подразделений предприятия составляют список устной, письменной и цифровой информации, предположительно подлежащей защите. Данные передаются ответственному лицу предприятия (зам. директора, руководитель информационного сектора и пр.), который в дальнейшем будет работать со списком.
Список обобщается и систематизируется.
II. Список сократить. Из списка удаляют:
• информацию, составляющую государственную тайну, поскольку полномочия на защиту гостайны принадлежат государству и юридическим лицам, имеющим лицензию ФСБ на
ее защиту;
• общедоступную информацию: публикуемая и озвучиваемая СМИ, предоставляемая в налоговые органы в плановом порядке, намеренно разглашаемая на выставках, презентациях и других рекламных акциях;
• информацию, полученную по патентам и лицензиям, поскольку предприятие не является единственным носителем данной информации.
III. Составить массивы информации. Массивом называется определенный объем информационных материалов в одинаковой форме (письменной, устной, цифровой), с одинаковой степенью секретности, на одних и тех же носителях. Так, массивами могут быть: личные дела сотрудников, договора с поставщиками, планы развития предприятия и пр.
Массивы позволяют экономить трудозатраты на защиту информации, поскольку необходимо разрабатывать системы защиты не нескольких тысяч информационных ячеек, а нескольких крупных массивов. Также это позволяет упорядочить систему конфиденциального документооборота и хранения дел в секретном архиве.
IV. Необходимо определить ущерб, который предприятие понесет в случае утечки той или иной информации. Ущерб может быть материальным и моральным. При этом последний может определяться и в материальном исчислении: потерянная прибыль при уменьшении клиентов и т. д.
При хищении информации планы предприятия могут стать известны конкурентам, которые «перебьют» игру. Также возможно опубликование документов, раскрывающих, например, асоциальное направление в деятельности предприятия. Модификация информации (что характерно для цифровых носителей) позволяет как проникать в базы данных, так и изменять логику расчетов, что приводит к трудноустранимым последствиям в официальном финансово-промышленном учете предприятия. Уничтожение информации позволяет на некоторое время парализовать деятельность предприятия и тем самым на некоторое время удалить предприятие с рынка. Что в момент резкого изменения состояния одного из конкурентов (потенциальных партнеров) может быть весьма полезно.
V. Необходимо определить источник опасности для каждого из массивов информации: кому выгодно получение (модификация, уничтожение) информации, методы действия объекта, его возможности. Знание этих данных позволяет определить конкретные методы защиты информации. Так, если стилем конкурента Х является агентурная работа, то нет необходимости мощной защиты от технического шпионажа.
VI. И наконец на основе всего вышеизложенного создается система защиты информации. Например, определены массив конфиденциальной информации и ущерб, который понесет предприятие в случае, допустим, хищения и опубликования этой информации. Известен объект Y, которому может быть особо выгоден этот вариант информационной войны и известны методы деятельности подразделения активных мероприятий этого объекта. Соответственно, система безопасности строится исходя Из конкретных угроз и возможного ущерба.
Затраты на защиту информации при этом обычно не превышают 20% от ущерба; это максимум. Норма — 10—15%. Связано это с тем, что для получения информации необходимо потратить средства в расчете 3-5 рублей на 1 рубль защиты. При превышении расходов на получение информации выше 60-80% от потенциального ущерба получение информации становится просто невыгодным. Потенциальный ущерб связан с потенциальной прибылью шпиона как 1/0,5-0,7.
При планировании защиты конфидента необходимо также учитывать, является ли предприятие единственным владельцем данной информации. Если владельцем информации кроме предприятия N является, например, его партнер — предприятие М, то суммы, выделяемые на систему защиты данного массива, не могут быть выше затрат на подобные мероприятия партнера, поскольку надежность системы защиты определяется надежностью самого слабого звена.
ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ
СПОСОБЫ ПОЛУЧЕНИЯ ИНФОРМАЦИИ
ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ
НОСИТЕЛИ ИНФОРМАЦИИ
Образец Расписка об ознакомлении с Инструкцией о работе с конфиденциальной информацией
ПРАВОВЫЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
МЕТОДЫ ПОЛУЧЕНИЯ ИНФОРМАЦИИ
Образец Соглашение о неразглашении коммерческой тайны
КЛАССИФИКАЦИЯ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ
КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ.
МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
ХАРАКТЕР ПОТЕРИ ИНФОРМАЦИИ
ПРИМЕНЕНИЕ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРОВЕДЕНИИ ОТДЕЛЬНЫХ МЕРОПРИЯТИЙ
УМЫСЕЛ ПРИ РАСКРЫТИИ ИНФОРМАЦИИ
Образец Соглашение о секретности
Образец Соглашение о прекращении работы
ГРАНИЦЫ ПРАВА В КОММЕРЧЕСКОЙ РАЗВЕДКЕ
Образец Заявление увольняющегося служащего