ПЛАНИРОВАНИЕ ЗАЩИТЫ КОНФИДЕНТА
При составлении системы защиты конфиденциальной информации необходимо придерживаться соответствующего плана.
I. Определить информацию, подлежащую защите. Это могут быть: финансовые сведения, данные о себестоимости продукции и услуг, деловые и производственные планы, списки клиентов и поставщиков, договоры и контракты, маркетинговая информация, списки персонала и личные дела сотрудников, научно-исследовательские проекты, заявки на патенты, используемое программное обеспечение, протоколы совещаний первых лиц предприятия, информация о работе СБ предприятия и пр.
Руководители структурных подразделений предприятия составляют список устной, письменной и цифровой информации, предположительно подлежащей защите. Данные передаются ответственному лицу предприятия (зам. директора, руководитель информационного сектора и пр.), который в дальнейшем будет работать со списком.
Список обобщается и систематизируется.
II. Список сократить. Из списка удаляют:
• информацию, составляющую государственную тайну, поскольку полномочия на защиту гостайны принадлежат государству и юридическим лицам, имеющим лицензию ФСБ на
ее защиту;
• общедоступную информацию: публикуемая и озвучиваемая СМИ, предоставляемая в налоговые органы в плановом порядке, намеренно разглашаемая на выставках, презентациях и других рекламных акциях;
• информацию, полученную по патентам и лицензиям, поскольку предприятие не является единственным носителем данной информации.
III. Составить массивы информации. Массивом называется определенный объем информационных материалов в одинаковой форме (письменной, устной, цифровой), с одинаковой степенью секретности, на одних и тех же носителях. Так, массивами могут быть: личные дела сотрудников, договора с поставщиками, планы развития предприятия и пр.
Массивы позволяют экономить трудозатраты на защиту информации, поскольку необходимо разрабатывать системы защиты не нескольких тысяч информационных ячеек, а нескольких крупных массивов. Также это позволяет упорядочить систему конфиденциального документооборота и хранения дел в секретном архиве.
IV. Необходимо определить ущерб, который предприятие понесет в случае утечки той или иной информации. Ущерб может быть материальным и моральным. При этом последний может определяться и в материальном исчислении: потерянная прибыль при уменьшении клиентов и т. д.
При хищении информации планы предприятия могут стать известны конкурентам, которые «перебьют» игру. Также возможно опубликование документов, раскрывающих, например, асоциальное направление в деятельности предприятия. Модификация информации (что характерно для цифровых носителей) позволяет как проникать в базы данных, так и изменять логику расчетов, что приводит к трудноустранимым последствиям в официальном финансово-промышленном учете предприятия. Уничтожение информации позволяет на некоторое время парализовать деятельность предприятия и тем самым на некоторое время удалить предприятие с рынка. Что в момент резкого изменения состояния одного из конкурентов (потенциальных партнеров) может быть весьма полезно.
V. Необходимо определить источник опасности для каждого из массивов информации: кому выгодно получение (модификация, уничтожение) информации, методы действия объекта, его возможности. Знание этих данных позволяет определить конкретные методы защиты информации. Так, если стилем конкурента Х является агентурная работа, то нет необходимости мощной защиты от технического шпионажа.
VI. И наконец на основе всего вышеизложенного создается система защиты информации. Например, определены массив конфиденциальной информации и ущерб, который понесет предприятие в случае, допустим, хищения и опубликования этой информации. Известен объект Y, которому может быть особо выгоден этот вариант информационной войны и известны методы деятельности подразделения активных мероприятий этого объекта. Соответственно, система безопасности строится исходя Из конкретных угроз и возможного ущерба.
Затраты на защиту информации при этом обычно не превышают 20% от ущерба; это максимум. Норма — 10—15%. Связано это с тем, что для получения информации необходимо потратить средства в расчете 3-5 рублей на 1 рубль защиты. При превышении расходов на получение информации выше 60-80% от потенциального ущерба получение информации становится просто невыгодным. Потенциальный ущерб связан с потенциальной прибылью шпиона как 1/0,5-0,7.
При планировании защиты конфидента необходимо также учитывать, является ли предприятие единственным владельцем данной информации. Если владельцем информации кроме предприятия N является, например, его партнер — предприятие М, то суммы, выделяемые на систему защиты данного массива, не могут быть выше затрат на подобные мероприятия партнера, поскольку надежность системы защиты определяется надежностью самого слабого звена.