Информация в предпринимательстве включает в себя сведения о конкурирующих объектах, партнерах, своих производственных и управленческих структурах, среде, в которой функционирует организация. Эти сведения используются руководством для принятия и выполнения управленческих, финансовых и производственных решений, для осуществления функций органов управления. В организационной структуре и информационной системе фирмы всегда объективно существуют потенциальные возможности для утраты или утечки информации, превращения которых в реальность следует избегать, планируя адекватную защиту. Очевидно, что защита информации должна иметь комплексный характер. Для этого средства, организационные формы, методы и способы защиты должны применяться на основе определения всех возможных каналов утечки и утраты информации, возможных методов и средств ее добывания и должны быть интегрированы в единую систему контроля за информационной и техническими подсистемами обеспечения административной и хозяйственной деятельности. Защита информации – это функция руководства и службы безопасности, а не сотрудников предприятия, которые призваны лишь соблюдать установленные правила обращения с информацией, ее носителями, объектами ее хранения, переработки и преобразования. Меры по защите информации должны учитывать следующее: вид информации в зависимости от знаковой системы, вида носителя, степени ее конфиденциальности; характер помещения, где хранятся или находятся носители; характер действий, осуществляемых с информацией (обработка, хранение, запоминание, создание, отображение, воспроизведение, передача); особенности используемых для этого систем и средств. В общем случае защита информации организуется по трем направлениям. Основные положения по защите информации могут быть определены в уставе организации и учредительном договоре. Наиболее общие из них регламентируются в правилах внутреннего трудового распорядка. В зависимости от служебных функ­ций, данные правила могут персонифицироваться в трудовых договорах. Для планового проведения мероприятий по защите информации необходимо сформулировать замысел защиты информации, для чего руководству с привлечением специалистов следует дать ответы на перечисленные ниже вопросы, которые и составят содержание такого замысла:

• каковы состав и структура информационной подсистемы организации;
• на каких этапах цикла управления организацией, и в каких звеньях управления возможны утрата и утечка информации;
• какие возможности по утечке и утрате информации допускают используемые технические средства обеспечения управления, административной и хозяйственной деятельности;
• кого из конкурентов или из криминальных кругов, и какая информации может заинтересовать;
• какая информация нуждается в защите, в том числе путем ограничения распространения и доступа;
• какие сведения являются коммерческой тайной, что является в каждом конкретном случае предметом коммерческой тайны;
• на защите какой информации ограниченного пользования и доступа необходимо сосредоточить основные усилия;
• какое время составляет период актуальности защищаемой информации;
• какие организационные, физические, технические, криптографические, программные меры следует принять для защиты информации;
• какие расходы потребуются для защиты информации.

На основании замысла осуществляется планирование защиты информации, суть которого заключается:

• в обоснованном определении объема задач в целом по организации, а также по конкретным подразделениям и должностным лицам;
• в определении содержания и последовательности выполнения должностными лицами и подразделениями этих задач;
• в распределении выделенных финансовых и материальных средств по задачам на конкретный период (период жизненного цикла товара или проекта).

В результате данной работы разрабатывается план защиты информации на предприятии на календарный срок (обычно на 1 год). Составной частью плана может являться положение по защите коммерческой тайны. В плане защиты информации рекомендуется разработать четыре раздела:

Раздел 1. Состав и структура информационной подсистемы и характер угроз информационной безопасности организации.

Раздел 2. Меры по предотвращению утечки информации ограниченного распространения и доступа.

Раздел 3. Меры по предотвращению утраты информации ограниченного распространения и доступа.

Раздел 4. План проверок и тренировок по защите информации.

Первый раздел должен содержать анализ путей утечки и утраты информации, цели и задачи защиты ин­фор­ма­ции, основные мероприятия, проводимые в этих целях. Второй и третий разделы целесообразно разде­лить на две части: в первой излагаются меры по предотвращению утечки или утраты информации по линиям «техническое устройство – техническое устройство» и «персонал – техническое устройство»; во второй – предотвращение утечки информации через персонал и внешнее окружение. Дополнительно может быть разработан план дезинформации потенциальных конкурентов или же соответствующие мероприятия включаются в другие разделы плана защиты информации.

К плану защиты информации не следует относиться как к панацее от всех неожиданностей. В зависимости от интенсивности деятельности организации и освоения новой, более конкурентной продукции, могут составляться разовые планы на период усиления информационного функционирования предприятия или повышенной информационной уязвимости.

При разработке плана защиты информации целесообразно получить консультации специалистов по защите информации, проанализировать соотношение затрат на использование систем и средств защиты от утечки и утраты информации с возможными потерями, если такая утечки или утрата произойдет.

Для выявления возможных потерь от сопутствующей утечки информации при деловых контактах следует также вести учет и анализ влияния предоставляемой партнерам и клиентам информации на эффективность коммерческой деятельности. Можно рекомендовать проводить их по следующим показателям:

• кому, какая и в каких объемах предоставлялась информация о работе организации;
• как изменились деловые отношения с партнерами и клиентами в зависимости от роста их осведомленности;
• какова динамика выполнения договорных обязательств партнерами и клиентами;
• как изменилась рентабельность работы организации и ее партнеров;
• какая конфиденциальная информация осталась закрытой для партнеров и как она защищается.

При разработке плана и проведении мероприятий защиты необходимо учитывать наиболее благоприятные для утечки информации места (узлы) в организационно-технической структуре компании: а) архивы, мусоросборники; б) подразделения (лица) для приема входящей и отправки исходящей документации; в) персонал для обеспечения и обслуживания (секретарши, телефонистки, вспомогательный персонал руководст­ва). В крупной компании подобных «болевых точек» насчитывается достаточное количество, причем они практически не поддаются контролю. Поэтому наряду с использованием эффективных мер безопасности следует предусмотреть проведение контрразведывательных мероприятий внутри организации. Для достижения удачных решений по защите информации необходимо сочетания правовых, организационных и технических мероприятий. Это сочетания определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделении, осуществлявших разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мероприятий по защите информации, на руководителей подразделений по защите информации (службы безопасности) предприятия.

А.С. Звягин

Литература

1. Галатенко В.А. Основы информационной безопасности. – М., 2004. – 264 с.
2. Информационная безопасность / А.А. Губенко, В.Б. Байбурин. – М.: Новый издательский дом, 2005. – 128 с.