Опасность для бизнесменов или коммерсантов, заинтересованных в соблюдении коммерческой тайны

На самом деле это не так. Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны? Как правило, это:

– разведывательная деятельность конкурентов;
– несанкционированные действия сотрудников собственной фирмы;
– неправильная политика фирмы в области безопасности.

Информация, представляющая интерес при сборе и анализе сведений:

а) сведения коммерческого содержания:

– уставные документы фирмы;
– сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);
– кредитные договоры с банками;
– договоры купли и продажи;
– сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;
– любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции;
– данные о конкурентах, их слабые и сильные стороны;
– условия финансовой деятельности;
– технологические секреты;
– меры, предпринимаемые конкурентами в отношении своих противников;
– данные о потенциальных партнерах, проверка их на недобросовестность;
– информация о месте хранения грузов, времени и маршрутах их перевозки;
– выявление уязвимых звеньев среди сотрудников;
– выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;
– связи и возможности руководства;
– выявление круга постоянных посетителей

б) сведения личного характера:

– источники доходов;
– истинное отношение к тем или иным общественным явлениям, «сильным мира сего»;
– уклад личной жизни руководителя и членов его семьи;
– расписание и адреса встреч – деловых и личных;
– данные о размерах финансового благополучия;
– информация о человеческих слабостях;
– пагубные пристрастия;
– вредные привычки;
– сексуальная ориентация;
– данные о друзьях, подругах, местах проведения досуга, способах и маршрутах передвижения;
– информация о местах хранения ценностей;
– место жительства;
– супружеская неверность;
– проблемы отцов и детей.

Необходимо отметить, что безопасность как система мер требует обеспечения необходимого уровня защищенности по ряду направлений:

– защита от организованной преступности;
– защита от нарушений закона;
– защита от недобросовестной конкуренции;
– защита от правоохранительных и контролирующих органов.

Обычно выделяют 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:

0-й уровень:

– информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности;
– финансирование отсутствует;
– информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1-й уровень:

– информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
– финансирование ведется в рамках общего ИТ-бюджета;
– информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень:

– информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвевжденная руководством программа развития СОИБ компании;
– финансирование ведется в рамках отдельного бюджета;
– информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень:

– информационная безопасность является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения информационной безопасности);
– финансирование ведется в рамках отдельного бюджета;
– информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

Процентное соотношение компаний применительно к описанным четырем уровням выглядит следующим образом: 0 уровень – 30%, 1 уровень – 55%, 2 уровень – 10 %, 3 уровень – 5 %. Прогноз на ближайшие два-три года выглядит следующим образом: 0 уровень – 20%, 1 уровень – 35%, 2 уровень – 30 %, 3 уровень – 15 %. Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень). Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственного обоснования – razgovorodele.ru. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность. В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.

Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике информационной безопасности компании. Процесс анализа риска состоит из 6 последовательных этапов:

– идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);
– категорирование ресурсов;
– построение модели злоумышленника;
– идентификация, классификация и анализ угроз и уязвимостей;
– оценка риска;
– выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов за» щиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

– информационные ресурсы (конфиденциальная и критичная информация компании);
– программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
– физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
– сервисные ресурсы (электронная почта, www и т.д.).