Бизнес-планирование для ССУЗов.

7.5. Безопасность деловой информации фирмы.

Написав бизнес-план, невозможно стопроцентно гарантировать, что он попадет в руки только доброжелательного, порядочного инвестора. Он может попасть и к конкурентам. Его может использовать недобросовестный инвестор, цель которого не проведение инвестиций, а бесплатное получение деловой информации.

В настоящее время достаточно большое количество зарубежных фирм охотится за хорошо проработанными научными идеями, законченными научно-исследовательскими работами, которые проводятся на территории России. Уровень научных исследований, разработок российских ученых и специалистов хорошо известен во всем мире, и эти работы весьма авторитетны. Вот почему есть достаточно большая вероятность того, что бизнес-план могут попытаться использовать независимо от разработчиков.

Выделяются следующие категории источников, обладающих, владеющих конфиденциальной информацией или содержащих ее в себе:

1) люди;

2) документы;

3) публикации;

4) технические носители;

5) технические средства обеспеченья бизнеса;

6) продукция и услуги различного рода;

7) отходы.

Люди в ряду источников конфиденциальной информации занимают особое место как активный элемент, способный выступать не только собственно как активный элемент, способный выступать не только собственно источником, но и субъектом злонамеренных действий. Люди являются и обладателями, и распространителями информации в рамках своих функциональных обязанностей. Персонал способен анализировать, обобщать информацию, делать соответствующие выводы, а также при определенных условиях скрывать, продавать и совершать иные криминальные действия вплоть до вступления в преступные связи со злоумышленниками.

Документ – самая распространенная форма обмена информацией, ее накопления и хранения. Документ отличает то, что его функциональное назначение весьма разнообразно. Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования привлекает к ним повышенное внимание злоумышленников как к ценнейшему источнику интересующей их информации.

Публикации. 95 % интересующих злоумышленника сведений можно получить из специализированных журналов, научных трудов, отчетов компаний, внутренних изданий предприятий, брошюр и проспектов, раздаваемых на ярмарках и выставках. Цель злоумышленника – раздобыть остальные 5 % информации, в которых кроется фирменный секрет.

Технические носители информации – бумажные носители, кино– и фотоматериалы. Опасность технических носителей определяется высоким темпом роста парка технических средств и ПЭВМ, находящихся в эксплуатации, их широким применением в самых различных сферах человеческой деятельности, высокой степенью концентрации информации и масштабностью участия людей в использовании этих носителей в практической деятельности.

Продукция и услуги является особым источником информации, и за их характеристиками весьма активно охотятся конкуренты. Особого внимания заслуживает новая, находящаяся в подготовке к серийному производству продукция.

Разглашение конфиденциальной информации.

Причиной разглашения конфиденциальной информации является:

1) слабое требование по защите конфиденциальной информации;

2) ошибочность действий персонала из-за низкой производственной квалификации;

3) отсутствие системы контроля за оформлением документов, подготовкой выступлений, рекламы, публикаций;

4) злостное, преднамеренное невыполнение требований по защите коммерческой тайны.

Разглашение коммерческих секретов – наиболее распространенное действие владельца (источника), приводящее к неправомерному овладению конфиденциальной информацией при минимальных затратах усилий со стороны злоумышленника. Для этого он пользуется в основном легальными путями и минимальным набором технических средств.

Утечка конфиденциальной информации.

Утечку информации в общем плане можно рассматривать как неправомерный выход конфиденциальных сведений за пределы организации или круга лиц, которым эти сведения были доверены.

Причины утечки информации связаны с несовершенством норм по сохранению коммерческих секретов, а также с нарушением этих норм, отступлением отправил обращения с соответствующими документами, техническими средствами, образцами продукции другими материалами, содержащими конфиденциальную информацию.

Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия и создают предпосылки для утечки коммерческих секретов. К таким факторам и обстоятельствам относятся:

1) недостаточное знание работниками предприятия правил защиты коммерческой тайн и непонимание их тщательного соблюдения;

2) использование неаттестованных технических средств обработки конфиденциальной информации;

3) слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

4) текучесть кадров, в том числе владеющих сведениями, составляющим коммерческую тайну.

Утечке информации способствуют:

1) стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);

2) неблагоприятные погодные условия (гроза, дождь, снег);

3) катастрофы (пожар, взрывы);

4) неисправности, отказы, аварии технических средств и оборудования.

Состав лиц, добывающих или обеспечивающих поставку необходимой информации, может быть весьма разнообразным. Это:

1) агенты;

2) порученцы;

3) секретные сотрудники;

4) доверенные лица;

5) информаторы.

Не исключается так же внедрение «своих» людей на конкурирующую фирму с целью решения разведывательных задач.

В компаниях используют ряд способов получения информации.

Способы несанкционированного доступа к информации.

1 Инициативное сотрудничество проявляется в определенных действиях лиц из числа работающих на предприятии, чем-то неудовлетворенных, остро нуждающихся в средствах к существованию или просто алчных и жадных.

2.  Склонение к сотрудничеству или вербовка – это, как правило, насильственное действие со стороны злоумышленника. Вербовка может осуществляться путем подкупа, запугивания, шантажа.

3.  Выпытывание (выведение ) – это стремление путем внешне наивных вопросов получить определенные сведения.

4.  Подслушивание — способ ведения разведки и промышленного шпионажа, применяемый агентами.

5.  Наблюдение — ведется визуально и с помощью оптических приборов.

6.  Копирование — этот способ очень распространенный, так копируют документы, технические носители, производимую продукцию.

7.  Подделка (модификация, фальсификация).

В основном подделывают доверительные документы, позволяющие получить определенную информацию: письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли, продукцию.

Начало поддельному производству дают шпионы, которые крадут не только секреты, но по подложным документам получают важнейшие узлы и компоненты изделий.

На сегодняшний день подделка очень распространена. Она используется для выдачи себя за другого пользователя, чтобы снять с себя ответственность или использовать его полномочия с целью формирования ложной информации, получения санкционированного доступа к охраняемым сведениям.

К подделке относят такие действия как:

1) фальсификация – абонент-получатель подделывает полученное сообщение, выдавая его за действительное в своих интересах;

2) маскировка – абонент-отправитель маскируется под другого абонента с целью получения сведений.

8.  Негласное ознакомление .

Оно означает получение информации, к которой субъект не допущен, но при определенных условиях он может получить возможность кое-что узнать (раскрытый документ на столе во время беседы с посетителем, наблюдение экрана компьютера со значительного расстояния в момент работы с закрытой информацией и т. п.).

К данному виду хищения относится и перлюстрация почтовых отправлений учрежденческой и личной переписки.

Негласному ознакомлению способствуют низкая производственная дисциплина, оставление документов на столах, в незапертых ящиках и столах, бесконтрольное хранение дискет с конфиденциальной информацией.

9. Фотографирование – способ получения видимого изображения объектов конфиденциальных интересов на фотоматериале. Особенность способа – документальность, позволяющая при дешифрировании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения.

10. Сбор и аналитическая обработка. Этот этап является завершающим в изучении и обобщении добытой информации с целью получения достоверных и полных сведений по интересующему злоумышленника аспекту деятельности конкурента. Эту работу ведут специалисты по анализу информации.

Сбор и аналитическая обработка самых различных сведений позволяют сделать широкомасштабные выводы для принятия определенных решений. Собирая материалы, злоумышленники посещают любые мероприятия, конференции, симпозиумы, семинары вплоть до судебных заседаний.

Обработке подвергаются научные труды, внутренние издания фирм, проспекты, биржевые документы, финансовые отчеты.

Таким образом, получить информацию можно различными способами и руководителю фирмы необходимо быть осторожным.

Безопасность деловой информации при проведении совещаний.

Совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну фирмы или ее партнеров, именуются обычно конфиденциальными. Порядок проведения подобных совещаний и переговоров регулируется специальными требованиями, обеспечивающими безопасность ценной, в том числе конфиденциальной информации (далее – ценной информации), которая в процессе этих мероприятий распространяется в санкционированном (разрешенном) режиме. Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо. Под разглашением (оглаской, оглашением) ценной информации понимается несанкционированный выход защищаемых сведений и документов за пределы круга лиц, которым они доверены или стали известны в ходе их трудовой деятельности. Информацию разглашает всегда человек, это происходит случайно, ошибочно или умышленно, устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников, с использованием средств связи и многими другими способами.

Причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах, общеизвестны: слабое знание сотрудниками состава ценной информации и требований по ее защите, злостное невыполнение этих требований, провоцированные и непровоцированные ошибки сотрудников, отсутствие контроля за изданием рекламной и рекламно-выставочной продукции и др. Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов. Основными этапами проведения конфиденциальных совещаний и переговоров являются: подготовка к проведению, процесс их ведения и документирования, анализ итогов и выполнения достигнутых договоренностей. Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает исключительно первый руководитель фирмы.

Решение первого руководителя о предстоящем конфиденциальном совещании доводится до сведения секретаря-референта и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется секретарем-референтом в специальной учетной карточке. В этой карточке указываются: наименование совещания или переговоров, дата, время, состав участников по каждому вопросу, лицо, руководитель, ответственный за проведение, ответственный организатор, контрольные отметки, зона сведений о факте проведения, зона сведений по результатам совещания или переговоров.

Содержание этапов подготовки и проведения совещания или переговоров имеет некоторые отличия. Плановые и неплановые конфиденциальные совещания, проходящие без приглашения посторонних лиц, проводятся первым руководителем, его заместителями, ответственными исполнителями (руководителями, главными специалистами) по направлениям работы с обязательным предварительным информированием секретаря-референта. По факту этого сообщения или проведения такого совещания секретарем-референтом заводится учетная карточка описанной выше формы. Проведение конфиденциальных совещаний без информирования секретаря-референта не допускается.

Доступ сотрудников фирмы на любые конфиденциальные совещания осуществляется на основе действующей в фирме разрешительной системы. Разрешительная (разграничительная) система доступа к информации входит в структуру системы защиты информации и представляет собой совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и ценных сведений.

Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками фирмы, санкционируется только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса. Присутствие их при обсуждении других вопросов запрещается. Ответственность за обеспечение защиты ценной информации и сохранение тайны фирмы в ходе совещания несет руководитель, организующий данное совещание. Секретарь-референт оказывает помощь руководителям и совместно со службой безопасности осуществляет контроль за перекрытием возможных организационных и технических каналов утраты информации.

Организационный канал несанкционированного доступа к ценной информации основан на: установлении злоумышленником разнообразных, в том числе законных взаимоотношений с фирмой (поступлении на работу в фирму, участии в работе фирмы в качестве партнера, посредника, клиента, использовании разнообразных обманных способов), установлении непосредственного контакта с источником информации (документом, базой данных и т. п.), сотрудничестве с работником фирмы или лицом, имеющим доступ к документации фирмы, тайном или по фиктивным документам проникновении в здание фирмы, помещения, незаконном получении документов, информации, использовании коммуникативных связей фирмы (участии в совещаниях и переговорах, переписке с фирмой и др.).

Технический канал представляет собой физический путь утечки информации от источника (документа, человека и др.) или канала объективного распространения информации (акустического, визуального и др.) к злоумышленнику. Основывается на использовании этим лицом специальных технических средств разведки, позволяющих получить защищаемую информацию без непосредственного контакта с источником, владеющим этой информацией. Технические каналы носят стандартный характер и перекрываются также стандартным набором средств противодействия. В связи с этим они часто используются одновременно с организационными каналами.

Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников фирмы, допущенных к работе с конкретной ценной информацией, составляющей тайну фирмы или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания. Этот сотрудник информирует секретаря-референта о ходе подготовки совещания или переговоров. Полученная информация вносится секретарем-референтом в учетную карточку.

В процессе подготовки конфиденциального совещания составляются программа проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», составляться и обрабатываться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы (в том числе проекты договоров, контрактов и др.), предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения.

Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса. Цифровые значения наиболее ценной информации (технические и технологические параметры, суммы, проценты, сроки, объемы и т. п.) в проектах решений и других документах не указываются или фиксируются в качестве общепринятого значения, характерного для сделок подобного рода и являющегося стартовой величиной при обсуждении. В проектах не должно быть развернутых обоснований предоставляемых льгот, скидок или лишения льгот тех или иных партнеров, клиентов.

Документы, раздаваемые участникам совещания, не должны иметь гриф конфиденциальности. Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники фирмы, которые имеют непосредственное отношение к этому вопросу. Это правило касается в том числе и руководителей. В списке участников указываются фамилии, имена и отчества лиц, занимаемые должности, представляемые ими учреждения, организации, фирмы и наименования документов, подтверждающих их полномочия вести переговоры и принимать решения. Название представляемой фирмы может при необходимости заменяться ее условным обозначением.

Документом, подтверждающим полномочия лица (если это не первый руководитель) при ведении переговоров и принятии решений по конкретному вопросу могут служить письмо, предписание, доверенность представляемой лицом фирмы, рекомендательное письмо авторитетного юридического или физического лица, письменный ответ фирмы на запрос о полномочиях представителя, в отдельных случаях телефонное или факсимильное подтверждение полномочий первым руководителем представляемой фирмы. Наименование документа, подтверждающего полномочия лица, может вноситься в список непосредственно перед началом совещания. Эти документы передаются участниками совещания ответственному организатору для последующего включения их секретарем-референтом в дело, содержащее все материалы по данному совещанию или переговорам.

Документы, составляемые при подготовке конфиденциального совещания, на которых предполагается присутствие представителей других фирм и организаций, согласовываются с секретарем-референтом и руководителем службы безопасности. Их предложения по замеченным недостаткам в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание. Одновременно с визированием подготовленных документов секретарь-референт, руководитель службы безопасности и ответственный организатор определяют место проведения совещания, порядок доступа участников совещания в это помещение, порядок документирования хода обсуждения вопросов и принимаемых решений, а также порядок рассылки (передачи) участникам совещания оформленных решений и подписанных документов.

Любое конфиденциальное совещание организуется в специальном (выделенном) помещении, имеющем лицензию на проведение в нем подобного мероприятия и, следовательно, оборудованном средствами технической защиты информации. Доступ в такие помещения сотрудников фирмы и представителей других фирм и организаций разрешается руководителем службы безопасности и контролируется сотрудником этой службы.

Перед началом конфиденциального совещания сотрудник службы безопасности обязан убедиться в отсутствии в помещении аудио– и видеозаписывающих или передающих устройств и качественной работе средств технической защиты на всех возможных каналах утечки информации. Помещение должно быть оборудовано кондиционером, так как открытие окон, дверей в ходе совещания не допускается. Окна закрываются светонепроницаемыми шторами, входная дверь оборудуется сигналом, оповещающим о ее неплотном закрытии. В целях звукоизоляции целесообразно иметь двойную дверь (тамбур) или зашторивать двери звукопоглощающей тканью.

Проведение совещания в неприспособленных и необорудованных соответствующим образом помещениях фирмы (кроме кабинета первого руководителя) не разрешается. В помещении для проведения конфиденциальных совещаний не должны находиться приборы, оборудование и технические средства, которые непосредственно не используются для обеспечения хода совещания, при необходимости они размещаются в соседней, изолированной комнате. Аудио– и видеозапись конфиденциальных совещаний, фотографирование ведутся только по письменному указанию первого руководителя фирмы и осуществляются одним из сотрудников фирмы, готовивших совещание.

Доступ участников конфиденциального совещания в помещение, в котором оно будет проводиться, осуществляет ответственный организатор совещания под контролем службы безопасности в соответствии с утвержденным списком и предъявляемыми участниками персональными документами. Перед началом обсуждения каждого вопроса состав присутствующих корректируется. Нахождение (ожидание) в помещении лиц, в том числе сотрудников данной фирмы, не имеющих отношения к обсуждаемому вопросу, не разрешается. Целесообразно, чтобы при открытии совещания организовавший его руководитель напомнил участникам о необходимости сохранения производственной и коммерческой тайны, уточнил, какие конкретные сведения являются конфиденциальными на данном совещании. Ход конфиденциального совещания документируется одним из готовивших его сотрудников или секретарем-стенографисткой.

На особо закрытых совещаниях эту работу выполняет непосредственно ответственный организатор совещания. Составляемый протокол (стенограмма) должен иметь гриф конфиденциальности необходимого уровня и оформляться в стенографической тетради, зарегистрированной секретарем-референтом. Целесообразность записи участниками хода совещания определяется руководителем, организовавшим совещание, исходя из содержания той информации, которая оглашается. Руководитель имеет право не разрешить участникам совещания вести какие-либо записи или санкционировать ведение этих записей на листах бумаги, зарегистрированных секретарем-референтом, с последующей сдачей их этому лицу и доставкой курьерами фирмы по месту работы участников совещания.

При необходимости вызова на проходящее совещание дополнительных лиц (экспертов, консультантов, представителей других фирм и организаций) факт их участия в совещании фиксируется в протоколе с указанием мотивов их вызова. Присутствие этих лиц на совещании ограничивается временем рассмотрения той ситуации, по которой они были вызваны. Участникам конфиденциального совещания независимо от занимаемой должности и статуса на совещании не разрешается:

1) вносить в помещение, в котором проводится совещание, фото-, кино-, видеоаппаратуру, компьютеры, магнитофоны, в том числе плееры, радиоприемники, радиотелефоны и другую аппаратуру, пользоваться ею;

2) делать выписки из документов, используемых при решении вопросов на совещании и имеющих гриф ограничения доступа;

3) обсуждать вопросы, вынесенные на совещание, в местах общего пользования;

4) информировать о совещании (вопросах повестки дня, составе участников, времени и месте проведения, ходе обсуждения вопросов, содержании решений и т. п.) любых лиц, не связанных с проведением данного совещания, в том числе сотрудников фирмы.

Участники совещания, замеченные в несанкционированной аудио– или видеозаписи, использовании средств связи, фотографировании, лишаются права дальнейшего присутствия на совещании. По факту составляется акт, копия которого направляется фирме, представителем которой является данное лицо, или передается первому руководителю фирмы-организатора совещания, если это лицо является сотрудником этой фирмы.