Опасность для бизнесменов или коммерсантов, заинтересованных в соблюдении коммерческой тайны

На самом деле это не так. Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны? Как правило, это:

— разведывательная деятельность конкурентов;
— несанкционированные действия сотрудников собственной фирмы;
— неправильная политика фирмы в области безопасности.

Информация, представляющая интерес при сборе и анализе сведений:

а) сведения коммерческого содержания:

— уставные документы фирмы;
— сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);
— кредитные договоры с банками;
— договоры купли и продажи;
— сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;
— любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции;
— данные о конкурентах, их слабые и сильные стороны;
— условия финансовой деятельности;
— технологические секреты;
— меры, предпринимаемые конкурентами в отношении своих противников;
— данные о потенциальных партнерах, проверка их на недобросовестность;
— информация о месте хранения грузов, времени и маршрутах их перевозки;
— выявление уязвимых звеньев среди сотрудников;
— выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;
— связи и возможности руководства;
— выявление круга постоянных посетителей

б) сведения личного характера:

— источники доходов;
— истинное отношение к тем или иным общественным явлениям, «сильным мира сего»;
— уклад личной жизни руководителя и членов его семьи;
— расписание и адреса встреч — деловых и личных;
— данные о размерах финансового благополучия;
— информация о человеческих слабостях;
— пагубные пристрастия;
— вредные привычки;
— сексуальная ориентация;
— данные о друзьях, подругах, местах проведения досуга, способах и маршрутах передвижения;
— информация о местах хранения ценностей;
— место жительства;
— супружеская неверность;
— проблемы отцов и детей.

Необходимо отметить, что безопасность как система мер требует обеспечения необходимого уровня защищенности по ряду направлений:

— защита от организованной преступности;
— защита от нарушений закона;
— защита от недобросовестной конкуренции;
— защита от правоохранительных и контролирующих органов.

Обычно выделяют 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:

0-й уровень:

— информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности;
— финансирование отсутствует;
— информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1-й уровень:

— информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
— финансирование ведется в рамках общего ИТ-бюджета;
— информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень:

— информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвевжденная руководством программа развития СОИБ компании;
— финансирование ведется в рамках отдельного бюджета;
— информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень:

— информационная безопасность является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения информационной безопасности);
— финансирование ведется в рамках отдельного бюджета;
— информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

Процентное соотношение компаний применительно к описанным четырем уровням выглядит следующим образом: 0 уровень — 30%, 1 уровень — 55%, 2 уровень — 10 %, 3 уровень — 5 %. Прогноз на ближайшие два-три года выглядит следующим образом: 0 уровень — 20%, 1 уровень — 35%, 2 уровень — 30 %, 3 уровень — 15 %. Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень). Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственного обоснования — razgovorodele.ru. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность. В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.

Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике информационной безопасности компании. Процесс анализа риска состоит из 6 последовательных этапов:

— идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);
— категорирование ресурсов;
— построение модели злоумышленника;
— идентификация, классификация и анализ угроз и уязвимостей;
— оценка риска;
— выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов за» щиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

— информационные ресурсы (конфиденциальная и критичная информация компании);
— программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
— физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
— сервисные ресурсы (электронная почта, www и т.д.).