4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 18

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 18)

1) наличие уязитп к мест в разработке изделия, знание кото-рых потенциальным конкурентом может сутпественно ослабить эффективность их использования и продажи;

2) тактике-технические характеристики изделия, обеспечива­ющие преимущества по сравнению с аналогичными изделиями конкурентов;

3} уникальные характеристики изделии, присущие только данному- классу изделий:

4) состав элементов системы, обеспечивающий изделию высокие эксплуатационные характеристики и технические воз­можности;

5) уникальность проекта модернизации или создания нового авеса изделий или необычность применения технологических

процессов.

Перечень названных факторов не является исчерпывающим. Их наличие определяется спецификой деятельности организации н учитывается работниками при определении степени конфи­денциальности КЗИ.

Изучение опыта работы организаций по определению сте­пени конфиденциальности информации позволяет говорить о необходимости введения системы разрядов в зависимости от важности КЗИ. Сведения, разглашение которых может оказать отрицательное воздействие на финансовое состояние органи­зации и даже поставить под угрозу сам факт ее существования, должны относиться к наивысшему разряду конфиленциальности КЗИ (третья категория ущерба* Иным сведениям, отнесенным к коммерческой тайне, устанавливается средний и низший разряды конфиденциальности (соответственно вторая и третья категории ущерба). Технически процедура установления разрядов в зависимости от степени конфиденииальностя состоит в том, что рядом с грифом «Коммерческая тайна» проставляется разряд (высший, средний, низший), который соответствует размеру возможного ушерба.

Установленньш в Перечне разряд указывает на важность охраны сведений. Однако в Перечне сведений, составляющая коммерческую тайну, как правило, не выделяется КЗИ по сте­пени ее вхжфндеттатьности и не устанавливаются разряды в зависимости от возможного ущерба при се разглашении. Более того, на практике до сих пор не выработано единого понимания категорий сведений, включаемых в Перечень.

Это приводит к неоднозначной опенке степени конфиденци­альности одних и тех же сведений. В отдельных случаях отмечается снижение степени конфнлетгаальшмли защищаемых сведении янн потное их рассекречивание. Часто в силу действия «перестра­ховочного» фактора происходит завышение степени конфиденци­альности КЗИ. Такая практика порождает ненужное отвлечение сих м средств на защиту менее важных сведений и увеличивает объем работ по обеспечению безопасности организации.

Изучение практики определения степени конфндещгиаль-ности сведений свидетельствует о несколько приниженной роли представителей организации-заказчика в этом процессе. Она сводится в основном к согласованию документов, включая и те, которые содержат коммерческую тайну. Например, действия заказчика ограничиваются выдачей подрядчику перечня охра­няемых сведений, на основании которого исполнитель работ определяет степень их конфндешхнальности. Однако сведения, указанные в Перечне, не всегда отражают перспективы развития начтен и техники, особенности коммерческого оборота. Важно, чтобы представители заказчика практически принимали участие в определении степени конфидешгмальности конкретных ра­бот, документов и изделий и вносили изменения в требования технического задания и условия договора. Совместная работа представителей подрядчика и заказчика по определению степени конфиденциатьности КЗИ позволит, с одной стороны, в полной мере учитывать изменение хозяйственной ситуации и вносить коррективы в процесс обеспечения охраны параметров создава­емого изделия, с другой стороны, согласовывать коммерческие интересы по использованию (продаже) новых технологий.

В процессе засекречивания КЗИ важно не только правильно определить степень конфиденциальности сведений, содержа­щихся в новой работе, но и определиться с необходимостью применения дополнительных мер защиты.

Основным документом, которым обязан руководствоваться подрядчик, является техническое задание (ТЗ), разрабатывае­мое заказчиком. Руководствуясь нормами ФЗ «О техническом регулировании» ¹, ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения», ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Фак­торы, воздействующие на информацию. Общие положения» и др., подрядчик может использовать любые правовые конструкции, определяющие требования по обеспечению скрытности и сек­ретности разработок, испытаний, производства и эксплуатации изделий и разработке перечня охраняемых характеристик (па­раметров) создаваемого конкретного изделия. Весьма полезным в этом плане является советский опыт обеспечения режима секретности, который может быть вполне использован в работе коммерческих организаций.

В частности, в разработке перечня охраняемых сведений при­нимали участие генеральный (главный) конструктор темы или его заместитель, руководитель РСО, начальники отдела режима и аналитического подразделения. Перечень согласовывался с заказчиком, представителем министерства и утверждался руко­водителями предприятий заказчика и подрядчика.

Сегодня в процессе разработки перечня специалисты ис­пользуют ранее разработанные перечни по аналогичным темам и применяют опыт в сфере защиты КЗИ. При этом учитывается главный критерий — это новизна создаваемого изделия. Эти данные могут быть получены путем сравнительного анализа отечественных и зарубежных разработок, которые определяют облик вновь создаваемого изделия.

Анализ работы предприятий по определению ими степени конфиденциальности сведений свидетельствует, что работники руководствуются не только Перечнем, но и используют личный опыт, метод аналогии, учитывают важность сведений, возможный ущерб, который может быть причинен организации, новизну изделия, стоимость работы и др.

Опрос работников организаций по поводу путей улучшения су­ществующего порядка определения степени конфиденциальности

КЗИ показывает, что решение проблемы видится ими не только в конкретизации, расширении, сужении или отказе от Перечня или регулярности его пересмотра, но и в создании единой методики оп­ределения степени конфиденциальности КЗИ. В связи с этим, пред­лагается система критериев и признаков, которые в совокупности составляют методику определения степени конфиденциальности сведений, содержащихся в работах, документах и изделиях. Как представляется, ее содержание состоит, во-первых, из учета общего критерия, это ущерб коммерческой организации при попадании сведений в конкурирующую организацию. Во-вторых, из учета частных критериев, которые включают характер сведений и их относимость к защищаемым сферам деятельности организации; важность сведений; возможность защиты сведений и материаль­ные затраты на их защиту. Содержание частных критериев может быть охарактеризовано отдельными признаками.

Характер сведений, составляющих КЗИ, зависит от направлений деятельности организации. Привязка направлении деятельности дается к Примерному перечню категорий сведений, составляющих коммерческую тайну организации (Приложение 2). Методически учитывается информация, циркулирующая в сфере управления, производства (технические и технологические сведения) и ком­мерческой деятельности (деловые сведения). Критерий важности сведений, составляющих КЗИ характеризуется актуальностью, новизной, объемом и степенью обобщенности сведений, эффек­тивностью и др. Критерий защиты сведений с использованием со­ответствующих материальных затрат раскрывается при помощи изучения таких признаков, как уязвимость КЗИ от конкурентной разведки, осведомленность и устремления конкурентов к защи­щаемой КЗИ, опасность разглашения (утечки) КЗИ со стороны работников, осведомленных в таких сведениях.

Выделенные критерии и признаки позволяют предложить примерный вариант методики, использование которой позволит обоснованно подходить к процессу определения степени конфи­денциальности КЗИ.

Рассмотрим характеристику отдельных выделенных критериев. Важнейшим общим критерием оценки является ущерб коммерческой организации при попадании сведений к конкуренту. Размер ущерба зависит от масштабов деятельности организации (крупное, сред­нее и малое предприятие). Размер ущерба может быть выражен такими понятиями, как «стратегический» (организация на грани банкротства) или «тактический» (потеря управляемости и доход­ности одного из подразделений) материальный вред. Показателем ущерба может быть характер имущественных потерь для ор­ганизации вследствие разглашения (утечки) КЗИ. Например, распространение ложных сведений о деятельности организации, связанных якобы с выпуском некачественных товаров и т.п.

Важное практическое значение имеет учет вероятности и быс­троты причинения конкурентом ущерба в случае получения им све­дений, составляющих КЗИ. Оценка этих показателей необходима организации для установления соответствующего уровня режима коммерческой тайны и реализации, предупредительных мер. Эти меры могут быть связаны с изменением структуры управления и технологии изготовления изделия или отдельных его частей (узлов), выпуском более совершенных по своим техническим характеристикам товаров и др. Представляется, что эти показа­тели могут быть определены в количественном и качественном отношении. Это позволит организации предметно оценивать возможный ущерб от попадания КЗИ к конкурентам. Если веро­ятность нанесения ущерба условно принять в интервале от 0 до 1, то повышение этого значения до 1 будет означать необходимость определения наивысшего разряда конфиденциальности КЗИ. Вероятность (быстрота) причинения ущерба может исчислять­ся при этом днями, месяцами, годами. Соответственно оценка фактора быстроты причинения ущерба зависит от возможности принятия организацией адекватных мер противодействия усилиям конкурентов с целью уменьшения размера ущерба.

Характер сведений и их относимость к основным направле­ниям деятельности организации, определяется такими показате­лями, как актуальность, новизна и эффективность использования КЗИ в рыночной экономике. Можно уверенно сказать, что такие совокупные сведения, которые носят научно-технический, тех­нологический и коммерческий характер, имеют значимость для организации. Показатель новизны работы организации в плане создания (модернизации) изделия определяется, исходя из су­ществующих аналогов в России и других странах. Если имеются аналогичные изделия или ведутся сходные работы, то новизна в данном случае отсутствует. Актуальность КЗИ оценивается с уче­том возможного теоретического и практического использования полученных сведений. Следует учитывать показатель, характери­зующий эффективность использования технической, технологи­ческой и деловой информации. Если отмечается высокая эффек­тивность использования полученных сведений, например, при заключении коммерческой сделки или модернизации элементов

конечного изделия, то следует относить такие сведения к КЗИ. Важно различать класс сведений по степени их обобщенности и объему. Речь идет о сведениях, содержащихся в отдельном эле­менте (узле) изделия или о работе (изделии) в целом. В данном случае степень конфиденциальности будет различной.

Осведомленность конкурентов и их устремления к получению технической, технологической и деловой КЗИ должны оцениваться с позиций степени их осведомленности и учетом вероятности такой осведомленности. Оценка этих показателей может быть получена путем изучения обстоятельств появления публикаций в СМИ, анализа выступлений участников на конференциях и симпозиумах, раскрывающих данные о тактико-технических характеристиках и конструктивных особенностях опытных об­разцов изделий, оригинальных методах управления, о ведущихся коммерческих переговорах по поводу инвестирования крупных проектов. Конкурирующей организацией могут быть получены сведения в результате утраты или хищения документов, изделий либо разглашения КЗИ путем попадания образцов изделий и технической документации (чертежи, и др.) с использованием методов промышленного шпионажа. Специалистами изучается не только возможная осведомленность конкурентов, но и их устремления к конкретным защищаемым сведениям.

Характеристики

Список файлов книги