Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 55
Текст из файла (страница 55)
Для решения этих задач на крупных фирмах создаются аналитические центры . Структурно такие центры входят в состав служб безопасности и с учетом специфики деятельности организации специализируются на охране технической, технологической и деловой (торговой) КЗИ. Важно отметить, что аналитическая работа является неотъемлемой частью деятельности организации по производству и реализации товаров, выполнению работ и оказанию услуг. Результаты этой работы используются главными конструкторами, руководителями подразделений службы безопасности и конкурентной разведки при разработке ими мероприятий, направленных на обеспечение эффективности разрабатываемых изделий на всех этапах их жизненного цикла и продвижения товаров на рынок. Финансирование аналитической работы обеспечивается на основании договоров о совместной работе с контрагентами, в которых предусматриваются условия об охране КЗИ либо организация самостоятельно финансирует аналитические исследования, проводимые в ее интересах.
Основные функциональные направления деятельности коммерческих организаций в сфере проведения аналитической работы: определение целей и задач по выявлению возможных каналов утечки КЗИ, разработка, оценка и осуществление экономически обоснованных мер охраны и защиты коммерческих секретов на основе анализа развития техники и технологии в производственно-технической, научно-исследовательской, опытно-конструкторской деятельности, а также способов и приемов, используемых в коммерческой деятельности; подготовка рекомендаций по использованию правовых средств в сфере обращения КЗИ; рассмотрение и согласование тактико-технических заданий (ТТЗ), технических заданий (ТЗ) на проведение НИОКР в части охраны КЗИ, выполняемых совместно с другими организациями (контрагентами); согласование условий по охране конфиденциальности КЗИ в договорах, заключаемых с субъектами коммерческой деятельности; обоснование мер по организационному обеспечению правового режима охраны КЗИ; анализ состояния правового обеспечения информационной безопасности организации и предоставление сообщений (отчетов) руководству о результатах аналитических исследований, о выявленных каналах утечки конфиденциальных сведений, о принятых мерах по локализации и возмещению ущерба и предложения по совершенствованию правового механизма охраны коммерческих секретов.
Определение конкретных функций аналитических подразделений зависит от специфики работы организации. Функциональными обязанностями организационных структур, выполняющих аналитическую работу, чаще всего, являются: подготовка предложений к проектам технической и договорной документации на выполнение НИОКР, согласование условий по охране конфиденциальности информации, разработка совместных заключений, положений и других документов; заключение договоров с контрагентами на проведение аналитических исследований в рамках выполняемых совместных работ и их методическое обеспечение; разработка методик ВКУ КЗИ по направлениям деятельности организации; изучение осведомленности конкурентов о результатах выполненных НИОКР и применении оригинальных способов продвижения товаров на рынок, учет и анализ нарушений режима охраны конфиденциальности КЗИ; предложения по совершенствованию системы обеспечения безопасности организации.
Одним из важных направлений совершенствования аналитической деятельности в сфере обращения КЗИ является формирование банка данных о состоянии обеспечения безопасности организации и научно-методическое сопровождение разработки АСУРО работ. Создание и обеспечение функционирования АСУРО требуют решения организацией следующих задач. Во-первых, это комплексная разработка и научно-техническое сопровождение средств АСУРО1. Речь идет о разработке научных прогнозов, планов и программ решения научно-технических и производственных проблем создания технических средств системы и системы в целом; о разработке общих технических требований на систему; об обосновании технических принципов построения системы и подсистем; о разработке эскизных и технических проектов, функциональных схем, конструировании аппаратуры и узлов для различных вариантов системы, эксплуатационной документации на систему; о размещении аппаратуры системы на различных объектах контроля; о проведении испытаний системы и ее опытной эксплуатации.
Во-вторых, это математическое моделирование и автоматизация процессов обработки информации о состоянии обеспечения безопасности, о внутренних и внешних угрозах организации и вариантах возможных мер по их предотвращению и нейтрализации, вюпрчая мониторинг обеспечения безопасности коммерческой организации. В данном случае задача состоит в разработке автоматизированной системы управления обработки информации на основе математической формализации признаков, выбора критериев, позволяющих сфуппировать массив информации с определенными параметрами; о моделировании процессов обработки информации с целью выявления возможных каналов утечки КЗИ; об анализе адекватности построенной математической модели обработки информации реальному процессу преобразования информации; об изменении параметров математической модели и выборе уточненных критериев качества обработки информации; о разработке методики и инструкций, направленных на выявление и закрытие обнаруженных в процессе моделирования каналов утечки КЗИ, а также обеспечения безопасности самой системы обработки информации.
Еще одним, не менее важным направлением совершенствования аналитической деятельности является работа с кадрами. Нужно учитывать требования, предъявляемые к личным и деловым качествам лиц, выполняющих аналитическую работу в сфере обращения КЗИ. При подборе кадров в такие подразделения, следует учитывать ряд особенностей.
Серьезной предпосылкой развития способностей специалистов-аналитиков являются природные задатки, хотя в целом, как признают ученые-психологи, нельзя полностью их считать врожденными и независящими от воли человека. Развитие способностей зависит от общественных условий труда, воегштания, воли человека, его отношения к труду и своей профессии1. Из общего числа способностей человека следует выделить те, которые должны быть присущи, по нашему мнению, работникам аналитических подразделений: это внимание, наблюдательность, сообразительность, умение правильно принимать решение даже при неполноте сведений, рассудительность, корректность, коммуникабельность и др. Лавинообразный рост информации в XXI в. связан с огфеделенньши трудностями усвоения знаний в различных областях науки и техники. Это обстоятельство следует учитывать при подборе кадров в аналитические подразделения. Преимущество должны иметь лица с адекватной решаемым задачам организацией процесса мышления2, что, безусловно, будет способствовать пониманию ими процессов, происходящих в сфере обращения КЗИ.
§ 2. Методика выявления каналов утечки информации и изучения системы предупреждения нарушений на предприятиях
Изложенные теоретические положения о методологии и методах должны учитываться при разработке методики выявления ВКУ КЗИ и изучения действующей системы предупреждения правонарушений в сфере обращения такой информации. Концептуальные положения, лежащие в основе данной методики, носят общий характер и могут быть использованы в аналитических исследованиях при изучении различных аспектов предметной области КЗИ, обращаемой в сфере производства и реализации товаров, выполнения работ и оказания услуг. При построении методики нужно учитывать следующие принципиальные положения:
• общую хозяйственную ситуацию в части финансовой устойчивости и конкурентоспособности технологического потенциала, безопасности персонала организации, ее имущества и капитала, правовой защищенности коммерческих интересов;
• существование внешних и внутренних угроз организации, возникающих в связи с использованием КЗИ на различных направлениях ее деятельности;
• устремления конкурентов по выявлению отличительных признаков вновь создаваемых изделий и продвижению их на рынок с использованием методов конкурентной разведки, а при необходимости и незаконных способов промьгшленного шпионажа;
• состояние установленного в организации режима охраны КЗИ и эффективность предпринимаемых мер по его поддержанию;
• возможности использования типичных способов выявления ВКУ КЗИ независимо от сферы обращения КЗИ при производстве и реализации продукции, выполнении работ и оказании услуг, базирующихся на установлении нарушений требований корпоративных норм;
• возможности применения метода распознавания образов1 для поиска новых, еще не установленных, ВКУ КЗИ с учетом накопленных в банке данных ЭВМ фактических сведений о причинах и обстоятельствах, способствующих совершению правонарушений в сфере обращения КЗИ;
• результаты моделирования процесса образования образов новых возможных каналов утечки на основании данных анализа практики соблюдения правовых норм и корпоративных правил в сфере обращения КЗИ на конкретных участках производственной и коммерческой деятельности (выявленные несовпадения могут свидетельствовать о признаках правонарушения, связанного с открытием ВКУ КЗИ, и его функционирования);
• характер установленного правового режима охраны КЗИ и реализованных мероприятий в сфере обеспечения информационной безопасности организации с целью более эффективного использования правовых средств для устранения имеющихся недостатков организационно-управленческого, воспитательного и правового характера.
Предлагаемая методика позволяет выявить подразделения, насыщенные охраняемой информацией, которая является предметом устремлений конкурентов, работников-исполнителей, обладающих или могущих обладать такой информацией, причем с учетом ее основных параметров (важности, полноты и качества); работников инициативно предпринимающих усилия по полунению КЗИ в обход действующей разрешительной системы доступа к такой информации, а также сформулировать предложения по рассредоточению наиболее важных сведений, составляющих коммерческую тайну в пространстве (например, при выполнении НИОКР, заключении коммерческой сделки, и т.д.), и по лицам среди работников, выполняющих конкретные трудовые функции с целью затруднения получения конкурентами полного объема информации о параметрах нового изделия, способов продвижения товара на рынок и др.).
В целях получения информации о рассредоточении обращаемой КЗИ проводится анализ и изучение направлений деятельности организации с использованием различных методов исследования. На основании Перечня категорий сведении, составляющих коммерческую тайну организации, проводится отбор признаков, раскрывающих охраняемые параметры, которые по данным службы маркетинга и конкурентной разведки в первую очередь могут представлять коммерческий интерес для конкурентов. Уточняются все источники (документы, банки и базы данных ЭВМ и т.д.), в которых содержится информация, имеющая
выхода на рынок новой модели автомобиля. Процесс обеспечения информационной безопасности в сфере обращения КЗИ представлен на примере отечественного автомобильного бизнеса (рис. 12.2), в котором, как известно, сложилось критическое положение в реализации собственной конкурентной стратегии1 во взаимоотношении с ведущими зарубежными автомобильными компаниями.
Одним из методов обеспечения конкурентных преимуществ является охрана конфиденциальности О//' технологических процессом, связанных с повышением качества, надежности, безопасности и экономичности (основные параметры) на стадиях разработки и выхода на рынок новой модели автомобиля. Речь идет о выпуске уникальных моделей автомобилей, их высоком качестве и особенностях дизайна за счет внедрения технических и технологических новшеств; о реагировании на потребности рынка; об опережении конкурентов за счет более эффективной работы коммерческих структур в продвижении товара к потребителю.
Решение задач достижения конкурентных преимуществ связано с анализом деятельности конкурентов в сфере автомобильного бизнеса, определением их фактической рыночной доли и отношения потребителей к их товарам, сопоставлением коммерческих характеристик конкурирующих товаров и особенностями ценовой политики. Для инновационного прорыва в российской автомобильной промышленности важно рациональное использование КЗИ по научно-техническому и технологическому ускорению процесса разработки новых моделей автомобиля и реализации продукции.
Интенсификация информационных взаимосвязей между стадиями подготовки производства предусматривает использование КЗИ на этапах проектирования и создания опытного образца автомобиля. Рассмотрим основные стадии подготовки производства автомобилей и их реализацию на рынке в целях определения КЗИ, которые аккумулируются в содержании основных и дополнительных параметров определяемых техническим заданием
коммерческую значимость. Затем состишшются электронные таблицы с указанием исполнителей, допущенных к источникам (документы, БД ЭВМ и т.д.), содержащим признаки охраняемых параметров и таблицы исполнителей, пользовавшихся этими документами (БД ЭВМ). Полученная таким образом информация зашифровывается с применением криптографических методов и закладывается в память ЭВМ. Использование ЭВМ позволяет периодически решать задачу: кто из работников-исполнителей может располагать или уже располагает полным или частичным объемом информации, раскрывающей тактико-технические характеристики (ТТХ) конкретных параметров нового изделия, которые могут в первую очередь интересовать конкурентов, и в этой связи они могут предпринимать шаги по получению таких сведений.