4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 57

В целях получения «образа фактической защиты объекта» пу­тем описания его защиты градациями демаскирующих признаков и мерами предупреждения важным является учет и оценка извест­ных нам причин и обстоятельств, обусловливающих совершение правонарушений в этой сфере. Конечно, полнота описания объекта защиты во многом зависит от интуиции специалиста-аналитика при подборе градаций и признаков. Поэтому, как правильно отмечает О.А. Гаврилов, что «...само распознавание имеет вероятностный характер² ». Нужно учитывать, что сами градации признаков, которыми описывается объект защиты, имеют различную направленность и не являются равнозначными. Их действие проявляется в социальной системе и тесно связано с мотивацией человека в коммерческой организации³. По мнению В.А. Герасименко и А.А. Малюк, «процессы защиты информации подвержены сильному влиянию случайных факторов и особенно тех из них, которые связаны с злоумышленными действиями людей-нарушителей защищенности» ⁴.

Каждый признак, используемый для описания объекта за­щиты, имеет свою «весовую» значимость в общей совокупности сведений, позволяющих определить уровень защиты объекта.

Важным является определение удельного веса градаций демаски­рующих признаков. Это необходимо для того, чтобы определить уровень защиты охраняемого параметра реализуемыми в орга­низации мерами предупреждения и ввести при необходимости дополнительные меры защиты.

Решение этой задачи требует выполнения следующего ус­ловия. Если сумма «весовой» значимости не обнаруживаемых градаций демаскирующих признаков объекта защиты (в данном случае причин и обстоятельств, способствующих совершению правонарушений) превышает сумму «весовой» значимости обна­руживаемых в ходе проверок и анализа градаций признаков, то объект дополнительной охраны КЗИ от конкурентов не требует. Достаточно тех мер, которые были первоначально установлены и осуществляются на различных этапах разработки нового изде­лия. Допустим, если это условие не выполняется, то необходимо продолжить аналитическую работу по поиску обнаруживаемых градаций и предпринимать предупредительные меры, затруд­няющие конкуренту распознавание конкурентом охраняемых параметров (объектов защиты).

Оценка «весовой» значимости градаций признаков объекта защиты осуществляется с использованием метода экспертных оценок, который относится к числу наиболее известных, нефор­мальных методов, позволяющих вести поиск сложных решений, не поддающихся формализации задач, на основе суждений и высказываний экспертов¹. Для оценки «весовой» значимости признаков объекта зашиты составляется таблица, в которой от­ражаются цифровые значения их качественной важности в форме ранжирования, а также оценка по способу парных сравнений в бальном и лингвистическом выражении. На основании получен­ных данных определяется суммарный вес не обнаруживаемых градаций демаскирующих признаков (причин и обстоятельств, способствующих совершению правонарушения) и делается вывод о достаточности реализуемых мер предупреждения, позволяющих надежно сохранить в тайне охраняемые параметры. Если после оценки выясняется, что объект нуждается в дополнительной защите, то определяются участки, требующие в первоочередном порядке охраны КЗИ.

Объект защиты считается защищенным в том случае, если градации демаскирующих признаков будут не доступны для ре­гистрации их конкурентами. Выбор дополнительных мер защиты определяется результатами экономической оценки их стоимости и возможностью осуществления в конкретно сложившейся хо­зяйственной ситуации. I

Сказанное выше позволяет сформулировать алгоритм выяв­ления ВКУ КЗИ и изучения действующей системы предупреждения нарушений в сфере обращения информации. Его использование необходимо для того, чтобы на практике можно было последова­тельно осуществить разработку содержательной части методики. К числу основных действий, предпринимаемых организациями, относятся: выделение коммерчески значимой информации тех­нического, технологического и коммерческого (делового) харак­тера на различных стадиях (этапах) производства и реализации товаров; привязка выделенных сведений по градациям демас­кирующих признаков к конкретным охраняемым параметрам; моделирование процессов выявления конкурентами демаски­рующих признаков, раскрывающих характеристики охраняемых параметров, выражающихся в нарушении установленного режима коммерческой тайны и его обеспечении; установление реально охраняемых параметров (объекта защиты); определение «весо­вой» значимости градаций демаскирующих признаков объекта на распознавание с помощью метода экспертных оценок и при­знаков, характеризующих эффективность применения конкрет­ных предупредительных мер организационно-управленческого, воспитательного и правового характера; оценка необходимости разработки дополнительных мер защиты, и затрат, связанных с их реализацией.

В заключение следует отметить, что богатый опыт организации и проведения аналитической работы на предприятиях бывшего СССР в сочетании с современными материалами и оценками мо­жет быть плодотворно использован хозяйствующими субъектами при защите коммерческих секретов в современной России.

Контрольные вопросы

1. Охарактеризуйте сущность аналитической работы в систе­ме научно-методического обеспечения деятельности по охране конфиденциальности информации.

2. Какие вопросы включены в программу проведения анали­тических исследований в сфере обращения КЗИ?

3. Назовите функциональные направления деятельности ана­литических подразделений и определите их правовой статус.

4. Сформулируйте задачи по совершенствованию аналити­ческой работы в сфере обращения КЗИ.

5. Раскройте механизм управления системой комплексной защиты информации на предприятии.

6. В чем заключается сущность и значение методики выяв­ления каналов утечки информации и изучения системы предуп­реждения нарушений на предприятиях?

Приложение 1

Обзорный список сведений, относимых к КЗИ организации¹

Применительно к основным направлениям деятельности ком­мерческих организаций данные сведения выглядят следующим

образом:

Производство:

• структура кадров и производства;

• характер производства объекта;

• условия производства;

• организация труда;

• сведения о производственных возможностях;

• данные о типе и размещении оборудования;

• уровень запасов;

• данные о резервах сырья на предприятии;

• сведения об отдельных товарах (в том числе товары, не вклю­ченные в госзаказ), направляемых на экспорт.

Управление:

• сведения о перспективных методах управления произвол*

ством.

Планирование:

• планы развития предприятия;

• сведения о планах предприятия по расширению производства и другие коммерческие замыслы;

• план производства и перспективный план;

• планы инвестиций предприятий;

• план запасов и готовой продукции;

• план закупок и продаж;

• сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической организации, и результаты их выполнения;

• инвестиционные программы, технико-экономические обос­нования и планы инвестиций;

• планово-аналитические материалы за текущий период;

• объем предстоящих закупок по срокам, ассортименту, ценам (с указанием страны, фирмы);

• сведения о планах организации по расширению производ­ства;

• сведения о предполагаемом создании за границей смешанных коммерческих организаций с участием российского капитала (до их официальной регистрации);

• сведения о планах коммерческой деятельности смешанных обществ с участием российского капитала;

• сводные сведения об эффективности экспорта или импорта товаров в целом по организации.

Финансы:

• балансы и бухгалтерские книги;

• сведения, раскрывающие плановые и фактические показатели финансового плана;

• финансовое состояние;

• сведения о неудовлетворительном финансовом состоянии;

• имущественное положение;

• стоимость товарных запасов;

• бюджет;

• обороты;

• банковские операции;

• сведения о финансовых операциях;

• банковские связи;

• специфика международных расчетов с инофирмами;

• плановые и отчетные данные по валютным операциям;

• состояние банковских счетов предприятия и производимых операции;

• уровень выручки;

• уровень доходов;

• долговые обязательства;

• состояние кредита (пассивы и активы);

• размеры и условия банковских кредитов;

• рамки предоставляемого предприятию кредита;

• принципы и условия предоставления кредитов;

• источники кредитов и условия по ним;

• сведения о размерах и условиях кредита, полученного у ино­странной фирмы или предоставленных ей предприятием;

• сведения о размерах запланированного кредитования;

• генеральная линия и тактика в валютных и кредитных вопро­сах;

• размер комиссии;

• сведения о плановых и фактических показателях финансового плана внешнеэкономической организации;

• сведения о вопросах кредитных и валютных отношений с иностранными фирмами.

Рынок:

• оригинальные методы изучения рынка сбыта;

• состояние рынков сбыта;

• обзоры рынка;

• результаты маркетинговых исследований;

• сведения, содержащие выводы и рекомендации специалистов по стратегии и тактики деятельности организации;

• те же сведения по использованию конъюнктуры товарных рынков;

• рыночная стратегия;

• коммерческие замыслы фирмы;

• сведения о времени выхода на рынок при закупках товаров и выборе фирм для ведения коммерческих переговоров;

• политика внешнеэкономической деятельности организаций в целом по регионам;

• оригинальные методы осуществления продаж;

• сведения о продажах товара на новых рынках;

• сведения о конкретных направлениях в торговой политике;

• сведения об экономических и иных обстоятельствах целе­сообразности закупки на свободно конвертируемую валюту отдельных товаров (лицензий), раскрывающие максимальную степень заинтересованности заказчика в импорте.

Партнеры:

• круг клиентов;

• списки клиентуры;

• списки цррдставителей или посредников;

• списки покупателей;

• поставщики и потребители;

• сведения о составе торговых клиентов, представителей и по­средников;

• коммерческие связи;

• карточки клиентов;

• места закупки товаров;

• данные о поставщиках и клиентах;

• данные на клиентов в торговле и рекламе;

• сведения о поставщиках;

• сведения о потребителях;

• сведения по иностранным коммерческим партнерш;

• сведения о характеристике организаций как торговых парт­неров (основные про и толстенные фонды, товарооборот, прибыли, кредиты и т.д.);

• сведения о финансовом состоянии, репутации или другие данные, характеризующие степень надежности иностранной фирмы или ее представителей как торгового партнера.

Коммерческие переговоры:

• внутренний порядок проработки предложений российских и зарубежных партнеров;

• сведения о получаемых и прорабатываемых заказах и предло­жениях;

• сведения о фактах подготовки и ведения переговоров;

• сроки, выделенные для проработки и заключения сделки;

• сведения о лицах, ведущих переговоры, руководстве фирм, их характеристика;

• цели и задачи российской компании — заказчика, закупающего товар за рубежом;

• указания по проведению переговоров, включая тактику, грани­цы полномочий представителей по ценам, скидкам и другим условиям;

• сведения и документы, относящиеся к деловой политике и позиции организации но конкретным сделкам (структура про­дажной калькуляции, уровень выручки, уровень предложенных цен до определенного момента);

• материалы и приложения к предложениям при прямых пере­говорах;

• уровень предложенных цен до определенного момента;

• тактика переговоров с партнерами;

• сведения, раскрывающие тактику ведения переговоров при заключении контрактов или соглашений на закупку (продажу) товаров, уровень максимально достижимых цен, объемы име­ющихся средств (фондов) и другие конкурентные материалы, используемые для повышения эффективности сделки;

• сведения о мероприятиях, проводимых перед переговорами; условия внешнеторговых сделок, а том числе контрактов на

оказание услуг;

• информация о деловых приемах;

• сведения о содержании технических переговоров с предста­вителями инострянных фирм (до подписания протоколов,

соглашений и т.п.)

Контракты (договоры):

• условия по сделкам и соглашениям;

• условия контрактов (договоров), включая цены;