Анализ системы безопасности предпринимательской информации в ТОО «Инкор»

2. Источники и содержание предпринимательской информации, обеспечение ее конфиденциальности  на примере ТОО «Инкор»

 

Источники, которые содержат информацию конфиденциального характера обладают своей определенной спецификой и соответственно требует отдельного внимания при разработке системы защиты. Обычно, источники конфиденциальной информации не получают должной защиты, либо все внимание уделяется определенному источнику, в то время как остальные остаются практически открытыми. Определить, какой из источников наиболее важен весьма сложно. Это зависит от индивидуальных особенностей предприятия. Да и к тому же для злоумышленников важен результат, а не то из какого источника он получен. Поэтому необходимо защищать все источники, даже те которые считаются наименее важными.

Источниками информации, являющимися предпринимательской тайной, а, следовательно, потенциальными источниками утечки на анализируемом предприятии ТОО "Инкор" являются:

1. Документация предприятия  (входящие-исходящие, приказы, бизнес  планы, деловая переписка и  т.п.);

Документы - это самая  распространенная форма обмена информацией, ее накопления и хранения. Документ отличает то, что его функциональное назначение довольно разнообразно. Важной особенностью документов является то, что он иногда является единственным источником важнейшей информации (например, контракт, долговая расписка и т.п.), а, следовательно, их утеря, хищение  или уничтожение может нанести  непоправимый ущерб.

Несмотря на то, что не всякий документ содержит коммерческую тайну, необходимость в их учете, тем не менее, существует. Не бывает важных и не важных документов. Любой, даже самый малозначительный документ, при определенном стечении обстоятельств  может оказаться чрезвычайно  важным. Организация контроля за документацией предприятия позволит избежать путаницы и неразберихи в дальнейшем, ведь, работа любого предприятия связана с огромным объемом рабочих документов. Кроме того, надлежащая система учета и контроля предотвратит многие проблемы, причем не только из области безопасности. Известны многочисленные случаи, когда утеря или случайное уничтожение финансовых и деловых документов наносила колоссальный ущерб предприятию.

Обобщенно систему контроля и учета документов можно представить  в следующем виде:

1. Учет всей документации  предприятия с классификацией  по сфере применения, дате, содержанию  и т.п.

2. Регистрация и учет  всех входящих/исходящих документов  предприятия с фиксацией в  специальном журнале информации  о дате получения/отправления  документа, откуда поступил, или  куда отправлен, классификация  (письмо, счет, договор, приглашение  и т.п.).

3. Регистрация документов, с которых делаются копии с  фиксацией в специальном журнале  (дата копирования, количество  копий, для кого или с какой  целью производятся копии и  т.п.).

4. Особый режим уничтожения  документов. Перед уничтожением  документов необходимо проконтролировать  их содержание во избежание  случайного уничтожения нужных  документов. Важно, чтобы документы  не просто выбрасывались в  корзину, а предварительно измельчались  при помощи "шредера" (уничтожителя  бумаги) или в ручную таким образом, чтобы их невозможно было бы восстановить. Документы, имеющую особую ценность, после измельчения целесообразно сжечь. Об уничтожении документов в обязательном порядке составляется акт, который подписывается ответственным лицом, а также лицами присутствующими при уничтожении.

Для облечения системы  контроля все документы следует  разделить на три категории: документы  общего пользования; документы для  служебного пользования; документы  секретного характера.

Различные категории документов отличаются друг от друга не только назначением, но и кругом лиц, имеющих  доступ к ним. Каждой категории необходимо присвоить свой гриф. Это можно  сделать при помощи штампов, специальных  отметок, а можно и просто при  помощи цвета (например, документы общего пользования - белого цвета, документы  служебного - желтые, а секретные - красного).

В ТОО "Инкор" работа по контролю за документами поручена отдельному сотруднику - секретарю, однако в идеале этим должна заниматься группа режима службы безопасности предприятия.

К любому исчезновению или  уничтожению документов, особенно содержащих важную информацию, необходимо отнестись  со всей серьезностью. В этом случае, в обязательном порядке на предприятии проводится внутреннее расследование. Результаты расследования анализируются, если необходимо, лица, виновные в утере документов, привлекаются к дисциплинарной ответственности, а в необходимых случаях лишаются доступа к документам, содержащих коммерческую тайну. Важно, чтобы расследование не стало формальностью, а из его результатов были сделаны надлежащие выводы и допущенные ошибки исправлены в максимально короткое время.

На ТОО "Инкор" применяются следующие правила предосторожности при работе с документами:

не надо делать ненужных копий документов;

черновики и наброски секретных  документов должны быть уничтожены;

секретные документы хранятся отдельно от остальных, в изолированном  помещении с ограниченным доступом в сейфе;

копировальная техника не неходится в одном помещении с документами, представляющими коммерческую ценность для того, чтобы исключить их несанкционированное копирование;

нельзя оставлять документы  на рабочем месте без присмотра, даже на короткое время;

нельзя, чтобы посторонние  лица читали рабочие документы, находящиеся  на столе или в кабинете работника. При появлении постороннего лица документы должны быть убраны в хранилище, шкаф, ящик стола;

установлен запрет на вынос  работниками документов за пределы  предприятия без предварительного разрешения лица, ответственного за сохранность  коммерческой тайны.

2. Рабочий персонал или  просто люди (в это понятие  входят все без исключения  работники предприятия, в том  числе и сам директор);

Люди в ряду источников конфиденциальной информации занимают особое место как активный элемент, способный выступать не только источником, но и субъектом злонамеренных  действий. Люди являются и обладателями, и распространителями информации в  рамках своих функциональных обязанностей. Кроме того, что люди обладают информацией, они еще способны ее анализировать, обобщать, делать соответствующие выводы, а также, при определенных условиях, скрывать, продавать и совершать  иные криминальные действия, вплоть до вступления в преступные связи со злоумышленниками.

3. Партнеры, контрагенты  или клиенты, пользующиеся или  пользовавшиеся услугами ТОО "Инкор", являются наиболее осведомленными источниками, зачастую обладающими важнейшими секретами. Поэтому они заслуживают отельного внимания при анализе системы защиты.

Важнейшей функцией службы безопасности ТОО "Инкор" является всесторонняя проверка контрагентов. Причины, которые снижают надежность контрагента и могут явиться основаниями для отказа от подписания договора с ним:

-отсутствие у фирмы собственного помещения (фирма арендует помещение, причем недавно);

-отсутствие работников, в штате - лишь одни руководители;

-отсутствие движения денежных средств по счету;

-фирма обслуживается в ненадежном банке;

-фирма несвоевременно рассчитывается с бюджетом, банками, срывает сроки поставки и т.п.

-фирма зарегистрирована в оффшорной зоне;

-несовпадение юридического адреса фирмы и фактического местонахождения, прописка руководителя фирмы в другом регионе;

-негативная информация о руководителе фирмы.

4. Производимая продукция  или оказываемые услуги. Продукция  является особым источником информации, за характеристиками которой  весьма активно охотятся конкуренты. Особого внимания заслуживает  клиентская база в оптовом отделе ТОО "Инкор".

5. Технические средства  обеспечения производственной деятельности. Технические средства как источники  конфиденциальной информации являются  широкой и емкой в информационном  плане группой источников. В группу средств обеспечения производственной деятельности входят самые различные средства, такие, в частности, как телефоны и телефонная связь, телевизоры и промышленные телевизионные установки, радиоприемники, радиотрансляционные системы, системы громкоговорящей связи, усилительные системы, кино системы, охранные и пожарные системы и другие, которые, по своим параметрам, могут являться источниками преобразования акустической информации в электрические и электромагнитные поля, способные образовывать электромагнитные каналы утечки конфиденциальной информации.

6. Косвенные источники  (мусор, реклама, публикации в  печати). Вопреки устойчивым заблуждениям  большая часть информации добывается  именно из косвенных источников. Профессионально проведенная аналитическая  работа позволяет иногда получить  великолепный результат. Кроме  того, этому источнику, обычно, не придается особого внимания а, следовательно, он наиболее доступен. Например, отходы производства, что называется бросовый материал, могут многое рассказать об используемых материалах, их составе, особенностях производства, технологии. Тем более их получают почти безопасным путем на свалках, помойках, местах сбора металлолома, в корзинах кабинетов. Умелый анализ этих "отходов" может многое рассказать о секретах предприятия. Публикации - это информационные носители в виде самых разнообразных изданий: книги, статьи, монографии, обзоры, сообщения, рекламные проспекты, доклады, тезисы и т.д. и т.п., в которых можно, сами того не желая, раскрыть все сокровенные секреты.

Согласно перечня сведений, составляющих коммерческую тайну ТОО "Инкор" к сведениям составляющим коммерческую тайну предприятия относятся:

1. программное обеспечение Компании;
2. порядок обмена данными между объектами;
3. программы и структура вычислительной сети;
4. система паролей и процедура доступа к вычислительным сетям;
5. сведения о фактах ведения переговоров, предметах и целях совещаний;
6. планы развития компании;
7. планы развития материально-технического состояния;
8. прибыль, кредиты, товарооборот;
9. кредитные условия платежа;
10. товарооборот и финансовые отчеты;
11. условия получения кредитов;
12. условия прохождения платежей;
13. финансовые отчеты и прогнозы;
14. фонд заработной платы;
15. стоимость основных фондов;
16. данные по дебиторской/кредиторской задолженности;
17. схема, суммы и объем наличной оплаты клиентом товара;
18. различные бюджеты и расход подотчетных денежных средств;
19. порядок перевозки, сдачи и мест сдачи денежных средств;
20. динамка сбыта;
21. каналы и методы сбыта;
22. клиентская база;
23. сведения о клиентах;
24. методы стимулирования сбыта;
25. политика сбыта;
26. прогнозы по сбыту;
27. рыночная политика и планы;
28. сведения о составе торговых агентов, представителей;
29. скидки и льготы при продаже;
30. маркетинговые исследования;
31. информация по закупкам;
32. сведения о поставщиках и условия работы с ними;
33. ценовая политика (поставка - наценка - реализация);
34. стратегия цен;
35. товарные запасы;
36. коммерческие замыслы;
37. планы открытия представительств;
38. программа рекламы;
39. домашние адреса и телефоны сотрудников;
40. личные учетные данные сотрудников;
41. организационно-штатная структура;
42. сведения об управлении предприятием;
43. служебная документация;
44. состав руководства;
45. список телефонов компании;
46. структура компании и штатное расписание;
47. функциональные обязанности сотрудников;
48. размещение, условия размещения, размер и эксплуатация помещений и складов;
49. планы помещений и порядок доступа на них;
50. порядок и места хранения архивных документов;
51. принципы организации защиты коммерческой тайны;
52. система и способы охраны объектов;
53. наличие, порядок работы и использования систем видео наблюдения и сигнализации;
54. система организации охраны объектов и безопасности компании;
55. система организации охраны;
56. технологические процессы и технологическая документация;
57. уровень и объем транспортно-технического обеспечения.

Разглашение коммерческой тайны  или неосторожное обращение со сведениями, составляющими коммерческую тайну, может нанести ущерб Компании. Все сотрудники обязаны строго хранить  сведения, отнесенные к коммерческой тайне и соблюдать порядок  обращения со сведениями (материалами), составляющими её.

Разглашение коммерческой тайны, передача третьим лицам сведений, составляющих коммерческую тайну, публикации каких-либо сведений о компании без  предварительного согласия администрации, а также использование сведений, составляющих коммерческую тайну, для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб Компании, влечет гражданско-правовую ответственность, предусмотренную нормами действующего законодательства.

Сотрудник ТОО "Инкор" должен знать также, кому из сотрудников Компании разрешено работать со сведениями, составляющими коммерческую тайну, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников.

При увольнении, перед уходом в отпуск, отъездом в командировку или предполагаемым отсутствием  на рабочем месте в течение  более или менее длительного  срока сотрудник обязан сдать  уполномоченному лицу компании все  носители коммерческой тайны (рукописи, черновики, документы, чертежи, магнитные  ленты, дискеты, распечатки на принтерах  и т.д.), которые находились в распоряжении сотрудника в связи с выполнением  им служебных обязанностей.

Срок действия ограничений, связанных с необходимостью защиты коммерческой тайны Компании, совпадает  со сроком действия контракта с сотрудником. Обязательства по обеспечению сохранности  коммерческой тайны содержатся в  Трудовом договоре Сотрудника.

 

3. Специальные меры защиты предпринимательской тайны ТОО «Инкор»

Успех достигается только комплексным подходом, объединяющим в себе административно-организационные и социально-психологические, правовые, технические, технологические и иные специальные меры  по обеспечению информационной безопасности. Нарушением права на конфиденциальную информацию являются утечки, хищения, утраты, искажения, подделки, несанкционированный доступ и распространение информации. Обладатель информации должен  использовать такие способы защиты материальных носителей информации, как сигнализация, сейфы, кодирование, осторожная кадровая политика, вневедомственная охрана, персональная ответственность лиц, имеющих доступ к конфиденциальной информации, и др.

Организационные и административные меры защиты коммерческой тайны необходимо сочетать с социально-психологическими. Среди социально-психологических мер защиты можно выделить два основных направления: это, во-первых, правильный подбор и расстановка кадров и, во-вторых, использование материальных стимулов. Западные специалисты по экономической безопасности считают, что от правильного подбора, расстановки и стимулирования персонала сохранности фирменных секретов зависит минимум на 80%.