Игорь Чумарин - Тайна предприятия - что и как защищать

Целями защиты информации предприятия являются (схема 4):

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, предприятия, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.

Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты устанавливается собственником информационных ресурсов.

Для грамотного построения и эксплуатации системы защиты следует знать некоторые общие принципы ее применения:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;

- минимизация привилегий по доступу к информации;

- установка ловушек для провоцирования несанкционированных действий;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- глубина защиты, дублирование и перекрытие защиты;

- особая личная ответственность лиц, обеспечивающих безопасность информации;

- минимизация общих механизмов защиты.

Для определения некоторых перечисленных далее мер защиты. связанных с техническими и программными средствами, лучше консультироваться со сторонними организациями, имеющими соответствующие лицензии и разрешения, заказывать им проведение работ по анализу и проектированию этих частей системы защиты. Для специалистов предприятия больше работы будет при разработке пакета документов, позволяющего, в идеале, успешно защищать свои интересы в судах. В случае, если ваша организация подаст иск на лицо, разгласившее сведения, содержащие конфиденциальную информацию предприятия, и нанесшее этими действиями ущерб, вам придется доказывать в суде, что:

а) данная информация имеет действительную или потенциальную коммерческую ценность, б) эта информация до ее разглашения была неизвестна третьим лицам, в) к ней нет (или не должно быть) свободного доступа на законных основаниях, г) принимаются меры к охране ее конфиденциальности, д) предприятию (собственнику информации) нанесен крупный ущерб (более 500 МРОТ - для уголовного преследования). Поэтому правовое и организационное обеспечение сохранности информации считается приоритетным направлением деятельности самого предприятия.

По общему правилу, алгоритм создания системы защиты конфиденциальной информации таков (схема 5):

I. Определение объектов защиты.

II. Выявление угроз и оценка их вероятности.

III. Оценка возможного ущерба.

IV. Обзор применяемых мер защиты, определение их недостаточности.

V. Определение адекватных мер защиты.

VI. Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.

VII. Внедрение мер защиты. VIII. Контроль.

IX. Мониторинг и корректировка внедренных мер.

Детализируем указанные этапы и представим один из вариантов процесса таким образом:

1. В случае возникновения необходимости, а еще лучше с начала создания конкурентоспособного предприятия, начальник службы безопасности (СБ), приглашенный консультант, другой специалист приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые с учетом всех вышеперечисленных нюансов законодательства высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации.