В современной украинской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности — информационная безопасность, которая достигается за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злонамеренных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.

Информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой (далее по тексту фирмой), является его собственной или частной информацией, которая представляет собой существенную ценность для предпринимателя. Эта информация является его интеллектуальной собственностью.

Обычно выделяют два вида собственной информации:

техническая, технологическая: методы изготовления продукции, программное обеспечение, основные производственные показатели, химические формулы, рецепты, результаты испытаний опытных образцов, данные контроля качества и те;

деловая: сметные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т .и.

Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденциальной при соблюдении следующих условий:

информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства и другие подобные факты;

информация не должна быть общедоступной или общеизвестной;

возникновение или получение информации должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;

персонал фирмы должен знать о ценности такой информации и обучен правилам работы с ней;

предпринимателем должны быть выполнены действия по защите этой информации.

Для документирования информации предпринимателя, которая является результатом творческого интеллектуального труда в науке и производстве, наиболее характерные не текстовые, а изобразительные способы. Довольно часто конфиденциальная информация документируется фотографическими, відеографічними и другими способами.

Ценность информации может быть сметной категорией и отражать конкретный размер прибыли при ее использовании или размер убытков при ее потере. Информация часто становится ценной ввиду ее правового значения для организации или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т. и. Ценность может отражать ее перспективное, научное, техническое или технологическое значение.

Итак, собственная ценная информация предпринимателя не обязательно является конфиденциальной. Часто обычный правовой документ важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.

Ценную конфиденциальную деловую информацию, как правило, содержат:

планы развития производства;

деловые планы;

планы маркетинга, бизнес-планы;

списки владельцев акций и другие документы.

Наиболее ценные сведения о производстве и продукции, рынке, научных разработках, материально-техническом обеспечении, условиях контрактных переговоров, сведения о персонале, принципы управления фирмой, систему безопасности фирмы и те.

Коммерческая ценность информации, как правото, недолговременная и определяется временем, необходимым конкуренту для создания той же идеи или ее хищения и воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и требуемая надежность ее защиты находятся в прямой зависимости.

Зарубежные фирмы с целью повышения своего престижа и конкурентоспособности товаров часто используют различные рекламные приемы и, в частности, создают несуществующие секреты. Такой «секрет» умело разглашается ввиду общеизвестную истину підслуханому верят больше, чем услышанному.

Выявление и регламентация реального состава информации, представляющей ценность дня предпринимателя и принадлежит защите, является основополагающей частью системы защиты. Состав ценной информации определяется ее собственником и фиксируется в специальном перечне.

Перечень ценных сведений, составляющих тайну фирмы, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации Он регулярно обновляется, корректируется и представляет собой инвентарный список сведений о конкретных работы, конкретную продукцию, конкретные исследования, конкретные контракты и т.и. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы, хотя определенная номенклатура типовых сведений в перечне может содержаться.

В каждой позиции перечня рекомендуется указывать гриф конфиденциальности сведений, фамилии сотрудников, имеющих право доступа к ним и несущих ответственность за их хранение, срок действия грифа или наименование события, снимающего это ограничение, виды документов и баз данных, в которых эти сведения фиксируются и хранятся.

Важной задачей перечень является измельчение коммерческой тайны на отдельные информационные элементы, известные разным лицам. В свою очередь, закрепление конфиденциальных сведений по конкретным документам позволяет исключить возможность безосновательного издания документов или включения в них избыточных данных.

Аналогичные перечни в качестве разделов, входящих бы общий перечень сведений, составляющих тайну фирмы, могут иметь ее крупные структурные подразделения.

На основе перечня сведений составляется и ведется перечень (список) документов фирмы, подлежащих защите и имеющих соответствующий гриф ограничения доступа.

Под конфиденциальным (закрытым) документом, т. е. документом, к которому ограничен доступ персонала, надо понимать необходимым образом оформленный носитель ценной документированной информации, составляющей интеллектуальную собственность предпринимателя.

Особенность конфиденциального документа в том, что он представляет собой одновременно: массовый носитель защищенной информации, основной источник накопления и распространения этой информации, в том числе ее разглашения (утечки), и обязательный объект защиты.

Конфиденциальный характер включенной в документ информации обозначается грифом ограничения доступа к документу, который инициирует выделенной; его из общего потока и обработку в специальном автономном режиме, а также распространяет на документ защитные и иные меры повышенного внимания и контроля.

Гриф ограничения доступа к документу или гриф конфиденциальности представляет собой служебную отметку (реквизит), которая проставляется на носителе информации или сопроводительном документе.

Информация и документы, отнесенные к предпринимательской тайне, имеют несколько уровней грифов ограничения доступа, соответствующих различным степеням конфиденциальности информации:

первый, самый низкий и массовый уровень — грифы «Коммерческая тайна», «Конфиденциально», «Конфиденциальная информация»;

второй уровень — «Коммерческая тайна. Строго конфиденциально», «Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально — Особый контроль».

В практической деятельности может использоваться одноуровневая система грифования (грифов только первого уровня) или иногда — трехуровневая, при которой вводится высший по значению гриф -«Коммерческая тайна особой важности».

Под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа или иные условия его снятия, а также уточнювані отметки типа — «Лично», «Только адресату» и др.

Документы и информация, отнесенные к профессиональной тайне (например, врачебной тайне, тайне страхования), как правило, грифа ограничения доступа не имеют, потому что в полном объеме являются конфиденциальными. В данном случае конфиденциальные массивы документов в целом, например истории болезни, массивы учетных персональных данных и проч.

На ценных, но не конфиденциальных документах может проставляться гриф (надпись, штамп), предполагающая особое внимание к хранению такого документа. Например: «Собственная информация фирмы», «Информация особого внимания», «Копии не снимать», «Хранить в сейфе» и т.д. Могут использоваться дополнительные цветовые идентификаторы

ценных и конфиденциальных документов и дел для их быстрого визуального выделения и контроля использования в процессе работы. Гриф конфиденциальности присваивается документу:

исполнителем па стадии подготовки проекта документа;

руководителем структурного подразделения или руководителем фирмы на стадии согласования или подписания документа;

адресатом (получателем) документа на стадии его первичной обработки в службе конфиденциальной документации.

Изменение грифа конфиденциальности документа производится при изменении степени конфиденциальности сведений, содержащихся в нем. Основанием для изменения или снятия грифа конфиденциальности являются:

соответствующее корректировки перечня конфиденциальных сведений или конфиденциальных: документов фирмы; истечения установленного срока действия грифа;

наличие события, при котором гриф должен быть изменен или снят (например, окончание действия контракта, требование заказчика продукции, опубликование описания изделия в печати, патентование изобретения и т .д.)

После снятия грифа документ передается в службу открытой документации фирмы. Об изменении или снятии грифа делается отметка на самом документе, которая удостоверяется подписью руководителя, подписавшего или утвердившего этот документ. О внесении в документ такой отметки сообщается заинтересованным лицам и предприятиям.

С целью своевременного изменения или снятия грифа конфиденциальности с документов рекомендуется регулярно просматривать учетные (инвентарные) картотеки (журналы, списки) конфиденциальных документов и выявлять те документы, которые могут быть удалены из банка документов, которые контролируются и защищаются.

Следовательно, любая предпринимательская деятельность всегда связана с созданием, использования и хранением значительных объемов информации и документов, представляющих определенную ценность для фирмы которые принадлежат обязательном защиты от различного вида угроз. С этой целью на носители информации сказывается гриф ограничения доступа, который относит этот носитель к категории защищенных конфиденциальных документов и инициирует включение по отношению к нему системы защитных мер.

Источники конфиденциальной информации и каналы ее разглашения

Источники (собственники) ценной, конфиденциальной документированной информации представляют собой накопители (концентраторы, излучатели) этой информации. К числу основных видов источников конфиденциальной информации относят: персонал фирмы и окружающие фирму люди; документы; публикации о фирме и ее разработках, рекламные издания, выставочные материалы; физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и оборудования.

Документация как источник ценной предпринимательской информации включает:

конфиденциальную документацию, которая содержит предпринимательскую

тайну (ноу-хау);

ценную правовую, учредительную, организационную и распорядительную

документацию;

служебную, обычную деловую и научно-техническую документацию, которая

содержит общеизвестные сведения;

рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по коммерческим и научным вопросам;

личные архивы сотрудников фирмы.

В каждой из указанных групп могут быть:

документы на традиционных бумажных носителях ( листах бумаги, ватмане, фотобумаге и т.и.);

документы на технических носителях (магнитных, фотоплівкових и т.д.);

электронные документы, банк электронных документов, изображения документов на экране дисплея (видеограммы).

Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективные характер, отличаются активностью и включают в себя:

деловые, управленческие, торговые, научные и другие коммуникативные

регламентированные связи;

информационные сети;

технические каналы.

Канал распространения информации представляет собой путь
перемещения ценных сведений из одного источника в другой в
санкционированном (разрешенном, законном) режиме или в силу
объективных закономерностей. Например, обсуждение
конфиденциального вопрос закрыть на совещании, запись на бумаге содержания
изобретения, работа ПЭВМ и те. Увеличение количества каналов
распространение информации порождает расширение состава источников
ценной информации.

Источники и каналы распространения информации при определенных условиях могут стать объектом внимания конкурентов, что создает потенциальную угрозу сохранности и целостности информации. Угроза безопасности информации предполагает несанкционированный (незаконный) доступ конкурента или наемного ним злоумышленника к конфиденциальной информации и как результат этого — кражу, уничтожение, фальсификацию, модификацию, подмену документов. При отсутствии интереса конкурента угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней посторонних лиц. Ценная информация, к которой не проявляют интерес конкуренты, может не включаться в состав такой информации, которая защищается, а документы, содержащие ее, контролируются только с целью обеспечения сохранности носителя.

Конкурент или другое заинтересованное лицо (далее по тексту злоумышленник) создает угрозу информации путем установления контакта с источником информации или преобразования канала распространения информации в канал ее утечки. Если нет угрозы, то соответственно отсутствует факты утечки информации к злоумышленнику.

Угроза предполагает намерение злоумышленника осуществить противоправные действия по отношению к информации для достижения желаемой цели. Угроза

может быть потенциальной и реальной. Реальные угрозы, в свою очередь, делятся на пассивные и активные.

По месту возникновения и отношением к фирме угрозы делятся на внутренние и внешние, по времени — постоянные и периодические (эпизодические). Злоумышленник может создавать мнимую угрозу, на противодействие которой будут потрачены реальные силы и средства. Угрозы информации реализуются злоумышленником с помощью приемов и методов промышленного или экономического шпионажа.

Угроза сохранению информации и документов особенно велика при их выходе за пределы службы конфиденциальной документации, например при передаче документов персонала на рассмотрение и исполнение, при пересылке или передачи документов адресатам и те Однако необходимо учитывать, что потеря ценной информации происходит, как правее, не в результате умышленных действий конкурента или злоумышленника, а из-за невнимательности, не профессионализм и безответственность персонала.

Потеря (утечка) информации предполагает несанкционированный переход ценных, конфиденциальных сведений к лицу, которое не имеет права владеть ими и использовать их в своих целях для получения прибыли. В том случае, когда речь идет об утрате информации по вине персонала, обычно используется термин «разглашение информации». Разглашает информацию всегда человек — устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредника. Термин «утечка информации» используется наиболее широко, хотя, на наш взгляд, в большей степени относится к утрате информации за счет ее перехвата с помощью технических средств разведки.

При разглашении, утечки информация может переходить или злоумышленника, а затем, возможно, к конкуренту или к третьему лицу. Под третьим лицом в данном случае понимают любые лица, получившие информацию во владение в силу обстоятельств (то есть которые стали ее источником), но которые не имеют права владения ею и, что очень важно, не заинтересованные в этой информации. Однако необходимо учитывать, что от третьих лиц информация может перейти до заинтересованного в ней лица — конкуренту фирмы.

Переход информации к третьему лицу можно назвать непреднамеренным, стихийным. Он возникает в результате:

потери или случайного уничтожения документа, пакета (конверта);

невыполнение, незнания или игнорирования сотрудником требований по защите информации;

излишней разговорчивости сотрудников при отсутствии злоумышленника;

работы с конфиденциальными документами при посторонних лицах, несанкционированной передаче конфиденциального документа другому сотруднику;

использование конфиденциальных сведений в прессе, личных

записях, неслужебных листах;

наличия в документах излишней конфиденциальной информации;

произвольного копирования сотрудником документов в служебных целях.

В отличие от третьего лица злоумышленник намеренно и тайно организует, создает канал утечки информации и эксплуатирует его по возможности более или менее длительное время.» Знать возможна утечка

информации означает:

для злоумышленника — иметь стабильную возможность получать ценную

информацию;

для владельца информации — противодействовать злоумышленнику и хранить

тайну, а иногда и дезинформировать конкурента»

Информация должна поступать к конкуренту только по каналу, который контролируется, в котором отсутствуют важные сведения, а информация, которая циркулирует, ранжована по составу, пользователям и характеризуется общей ведомостью и доступом. Примером такого канала является издание и распространение рекламно-информационных материалов.

Каналы утечки, которыми пользуются злоумышленники, отличаются большим разнообразием. Основными видами этих каналов могут быть:

установление злоумышленником взаимоотношений с сотрудниками фирмы или посетителями, сотрудниками фирм-партнеров, служащими государственных или муниципальных органов управления и иными лицами;

анализ опубликованных материалов о фирме, рекламных изданий, выставочных проспектов и другой общедоступной информации;

поступление злоумышленника на работу в фирму; работа в информационных сетях;

криминальный, силовой доступ к информации, то есть кража документов, шантаж персонала и другие способы;

работа злоумышленника в технических каналах распространения

информации.

В результате своей деятельности по организации разглашения или утечки ценной, конфиденциальной информации злоумышленник получает:

подлинник или официальную копию конфиденциального документа;

несанкционированно сделано копию этого документа (рукописную или изготовленную с помощью технических средств — копировального аппарата, фототехники, компьютера и т.д.);

диктофона, магнитофонную кассету со звукозаписью текста документа;

письменное или устное изложение за пределами фирмы содержания документа, ознакомление с которым осуществлялось санкционировано или тайно;

устное изложение текста документа по телефону, переговорному устройству, специальной радиосвязи и т.и.;

аналог документа, переданного по факсимильном связи или электронной почте;

языковой или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроенных микрофонов и видеокамер, мікрофотоапаратів, фотографирование с большего расстояния).

Выявление канала разглашения (утечки) информации — сложная, долговременная и трудоемкая задача. В основе ее решения лежит классификация и постоянное изучение источников и каналов распространения информации и возможных каналов ее утечки, поиск и обнаружение реальных

каланів утечки оценка степени опасности каждого реального канала, подавления опасных каналов и анализ эффективности защитных мер, которые были приняты для безопасности информации. Каналы разглашения

(утечки) информации всегда индивидуальны и зависят от конкретных задач, поставленных перед злоумышленником.

Следовательно, контроль источников и каналов распространения конфиденциальной информации позволяет определить наличие и характеристику угроз информации, выработать структуру системы защиты информации, которая надежно перекроет доступ злоумышленнику к ценной информации фирмы.