8.1. Склад та спрямування захисту документної інформації.
В сучасній українській ринковій економіці обов'язковою умовою успіху підприємця у бізнесі, отримання прибутку та збереження в цілісності створеної ним організаційної структури є забезпечення економічної безпеки його діяльності. Одна з головних складових частин економічної безпеки - інформаційна безпека, яка досягається за рахунок використання комплексу систем, методів та засобів захисту інформації підприємця від можливих зловмисних дій конкурентів та з метою збереження її цілісності та конфіденційності.
Інформація, що використовується підприємцем у бізнесі та управлінні підприємством, банком, компанією чи іншою структурою (далі по тексту фірмою), є його власною або приватною інформацією, яка являє собою істотну цінність для підприємця. Ця інформація є його інтелектуальною власністю.
Звичайно виділяють два види власної інформації:
технічна, технологічна: методи виготовлення продукції, програмне забезпечення, основні виробничі показники, хімічні формули, рецепти, результати випробувань дослідних зразків, дані контролю якості й ті;
ділова: кошторисні показники, результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія дій на ринку і т .і.
Власна інформація підприємця з метою її захисту може бути віднесена до комерційної таємниці та є конфіденційною при дотриманні таких умов:
інформація не повинна відображати негативні сторони діяльності фірми, порушення законодавства та інші подібні факти;
інформація не повинна бути загальнодоступною чи загальновідомою;
виникнення чи отримання інформації повинно бути законним і пов'язано з витрачанням матеріального, фінансового чи інтелектуального потенціалу фірми;
персонал фірми повинен знати про цінність такої інформації та навчений правилам роботи з нею;
підприємцем повинні бути виконані дії по захисту цієї інформації.
Для документування інформації підприємця, яка є результатом творчої інтелектуальної праці в науці та виробництві, найбільш характерні не текстові, а зображувальні способи. Досить часто конфіденційна інформація документується фотографічними, відеографічними та іншими способами.
Цінність інформації може бути кошторисною категорією і відображати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Інформація стає часто цінною через її правове значення для організації чи розвитку бізнесу, наприклад, установчі документи, програми та плани, договори з партнерами та посередниками і т. і. Цінність може відображати її перспективне, наукове, технічне чи технологічне значення.
Отже, власна цінна інформація підприємця не обов'язково є конфіденційною. Часто звичайний правовий документ важливо зберегти в цілісності та безпеці від викрадача чи стихійного лиха.
Цінну конфіденційну ділову інформацію, як правило, містять:
плани розвитку виробництва;
ділові плани;
плани маркетингу, бізнес-плани;
списки власників акцій та інші документи.
Найбільш цінні відомості про виробництво і продукцію, ринок, наукові розробки, матеріально-технічне забезпечення, умови контрактних переговорів, відомості про персонал, принципи управління фірмою, систему безпеки фірми і ті.
Комерційна цінність інформації, як правото, недовготривала і визначається часом, необхідним конкуренту для створення тієї ж ідеї чи її викрадення та відтворення, опублікування та переходу до числа загальновідомих. Степінь цінності інформації та необхідна надійність її захисту знаходяться в прямій залежності.
Зарубіжні фірми з метою підвищення свого престижу та конкурентноздатності товарів часто використовують різні рекламні прийоми і, зокрема, створюють неіснуючі секрети. Такий "секрет" вміло розголошується зважаючи на загальновідому істину підслуханому вірять більше, ніж почутому.
Виявлення та регламентація реального складу інформації, що представляє цінність дня підприємця і належить захисту, є основоположною частиною системи захисту. Склад цінної інформації визначається її власником і фіксується в спеціальному переліку.
Перелік цінних відомостей, що складають таємницю фірми, є постійним робочим матеріалом керівництва фірми, служб безпеки та конфіденційної документації Він регулярно оновлюється, коректується та являє собою інвентарний список відомостей про конкретні роботи, конкретну продукцію, конкретні дослідження, конкретні контракти і т.і. В перелік включаються дійсно цінні відомості ("ізюминки") про кожну роботу фірми, хоча певна номенклатура типових відомостей в переліку може міститися.
В кожній позиції переліку рекомендується вказувати гриф конфіденційності відомостей, прізвища співробітників, які мають право доступу до них і які несуть відповідальність за їх зберігання, термін дії грифу або найменування події, яка знімає це обмеження, види документів та баз даних, в яких ці відомості фіксуються і зберігаються.
Важливим завданням переліку є подрібнення комерційної таємниці на окремі інформаційні елементи, відомі різним особам. В свою чергу, закріплення конфіденційних відомостей за конкретними документами дозволяє виключити можливість безпідставного видання документів або включення в них надмірних даних.
Аналогічні переліки в якості розділів, що входять б загальний перелік відомостей, які складають таємницю фірми, можуть мати її великі структурні підрозділи.
На основі переліку відомостей складається і ведеться перелік (список) документів фірми, що підлягають захисту і мають відповідний гриф обмеження доступу.
Під конфіденційним (закритим) документом, тобто документом, до якого обмежений доступ персоналу, треба розуміти необхідним чином оформлений носій цінної задокументованої інформації, яка складає інтелектуальну власність підприємця.
Особливість конфіденційного документу в тому, що він представляє собою одночасно: масовий носій захищеної інформації, основне джерело накопичення та розповсюдження цієї інформації, в тому числі її розголошення (витоку), і обов'язковий об'єкт захисту.
Конфіденційний характер включеної в документ інформації позначається грифом обмеження доступу до документа, який ініціює виділеній; його з загального потоку і обробку в спеціальному автономному режимі, а також поширює на документ захисні та інші міри підвищеної уваги та контролю.
Гриф обмеження доступу до документа або гриф конфіденційності представляє собою службову відмітку (реквізит), яка проставляється на носії інформації чи супровідному документі.
Інформація і документи, віднесені до підприємницької таємниці, мають декілька рівнів грифів обмеження доступу, відповідних різним степеням конфіденційності інформації:
перший, самий низький і масовий рівень - грифи "Комерційна таємниця", "Конфіденційно", "Конфіденційна інформація";
другий рівень - "Комерційна таємниця. Строго конфіденційно", "Строго конфіденційно", "Строго конфіденційна інформація", "Конфіденційно - Особливий контроль".
В практичній діяльності може використовуватися також однорівнева система грифування (грифів тільки першого рівня) або інколи - трьохрівнева, при якій вводиться вищий по значенню гриф -"Комерційна таємниця особливої важливості".
Під означенням грифу завжди вказується номер примірника документа, термін дії грифу або інші умови його зняття, а також уточнювані відмітки типу - "Особисто", "Тільки адресату" та ін.
Документи і інформація, віднесені до професійної таємниці (наприклад, лікарської таємниці, таємниці страхування), як правило, грифу обмеження доступу не мають, тому що в повному об'ємі є конфіденційними. В даному випадку конфіденційні масиви документів в цілому, наприклад історії хвороби, масиви облікових персональних даних та ін.
На цінних, але не конфіденційних документах може проставлятися гриф (напис, штамп), що передбачає особливу увагу до зберігання такого документу. Наприклад: "Власна інформація фірми", "Інформація особливої увага", "Копії не знімати", "Зберігати в сейфі" і т.д. Можуть використовуватися додаткові кольорові ідентифікатори
цінних і конфіденційних документів та справ для їх швидкого візуального виділення і контролю використання в процесі роботи. Гриф конфіденційності присвоюється документу:
виконавцем па стадії підготовки проекту документу;
керівником структурного підрозділу або керівником фірми на стадії узгодження або підписання документу;
адресатом (отримувачем) документу на стадії його первинної обробки в службі конфіденційної документації.
Зміна грифу конфіденційності документу проводиться при зміні ступеню конфіденційності відомостей, що містяться в ньому. Підставою для зміни чи зняття грифу конфіденційності є:
відповідне коректування переліку конфіденційних відомостей або конфіденційних: документів фірми; закінчення встановленого терміну дії грифу;
наявність події, при якій гриф повинен бути змінений або знятий (наприклад, закінчення дії контракту, вимога замовника продукції, опублікування опису виробу в пресі, патентування винаходу і т .д.)
Після зняття грифу документ передається до служби відкритої документації фірми. Про зміни або зняття грифу робиться відмітка на самому документі, яка посвідчується підписом керівника, який підписав або затвердив цей документ. Про внесення в документ такої відмітки повідомляється зацікавленим особам та підприємствам.
З метою своєчасної зміни або зняття грифу конфіденційності з документів рекомендується регулярно переглядати облікові (інвентарні) картотеки (журнали, списки) конфіденційних документів та виявляти ті документи, які можуть бути видалені з банку документів, що контролюються та захищаються.
Отже, будь-яка підприємницька діяльність завжди пов'язана із створенням, використання та зберіганням значних об'ємів інформації та документів, що представляють певну цінність для фірми які належать обов'язковому захисту від різного виду погроз. З цією метою на носії інформації позначається гриф обмеження доступу, який відносить цей носій до категорії захищених конфіденційних документів і ініціює включення по відношенню до нього системи захисних мір.
Джерела конфіденційної інформації та канали її розголошення
Джерела (власники) цінної, конфіденційної документованої інформації представляють собою накопичувачі (концентратори, випромінювачі) цієї інформації. До числа основних видів джерел конфіденційної інформації відносять: персонал фірми і оточуючі фірму люди; документи; публікації про фірму та її розробки, рекламні видання, виставочні матеріали; фізичні поля, хвилі, випромінювання, що супроводжують роботу обчислювальної та іншої офісної техніки, різних приладів та обладнання.
Документація як джерело цінної підприємницької інформації включає:
конфіденційну документацію, яка містить підприємницьку
таємницю (ноу-хау);
цінну правову, установчу, організаційну та розпорядчу
документацію;
службову, звичайну ділову і науково-технічну документацію, яка
містить загальновідомі відомості;
робочі записи співробітників, їх службові щоденники, особисті робочі плани, переписку по комерційним та науковим питанням;
особисті архіви співробітників фірми.
В кожній із вказаних груп можуть бути:
документи на традиційних паперових носіях ( листах паперу, ватмані, фотопапері і т.і.);
документи на технічних носіях (магнітних, фотоплівкових і т.д.);
електронні документи, банк електронних документів, зображення документів на екрані дисплею (відеограми).
Інформація джерела завжди розповсюджується у зовнішнє середовище. Канали розповсюдження інформації носять об'єктивні характер, відрізняються активністю і включають у себе:
ділові, управлінські, торгові, наукові та інші комунікативні
регламентовані зв'язки;
інформаційні мережі;
технічні канали.
Канал розповсюдження інформації представляє собою шлях
переміщення цінних відомостей з одного джерела в інший в
санкціонованому (дозволеному, законному) режимі або в силу
об'єктивних закономірностей. Наприклад, обговорення
конфіденційного питання на закрити нараді, запис на папері змісту
винаходу, робота ПЕВМ і ті. Збільшення кількості каналів
розповсюдження інформації породжує розширення складу джерел
цінної інформації.
Джерела і канали розповсюдження інформації при певних умовах можуть стати об'єктом уваги конкурентів, що створює потенційну загрозу збереження і цілісності інформації. Загроза безпеці інформації передбачає несанкціонований (незаконний) доступ конкурента чи найманого ним зловмисника до конфіденційної інформації і як результат цього - крадіжку, знищення, фальсифікацію, модифікацію, підміну документів. При відсутності інтересу конкурента загроза інформації не виникає навіть у тому випадку, якщо створились передумови для ознайомлення з нею сторонніх осіб. Цінна інформація, до якої не проявляють цікавість конкуренти, може не включатися в склад такої інформації, яка захищається, а документи, що містять її, контролюються тільки з метою забезпечення збереження носія.
Конкурент або інша зацікавлена особа (далі по тексту зловмисник) створює загрозу інформації шляхом встановлення контакту з джерелом інформації або перетворення каналу розповсюдження інформації в канал її витоку. Якщо немає загрози, то відповідно відсутній факти витоку інформації до зловмисника.
Загроза передбачає намір зловмисника здійснити протиправні дії по відношенню до інформації для досягнення бажаної мети. Загроза
може бути потенційною і реальною. Реальні загрози, в свою чергу, поділяються на пасивні і активні.
За місцем виникнення і відношенням до фірмі загрози поділяються на внутрішні і зовнішні, за часом - постійні і періодичні (епізодичні). Зловмисник може створювати уявну загрозу, на протидію якої будуть витрачені реальні сили та засоби. Загрози інформації реалізуються зловмисником за допомогою прийомів і методів промислового або економічного шпіонажу.
Загроза збереженню інформації і документів особливо велика при їх виході за межі служби конфіденційної документації, наприклад при передачі документів персоналу на розгляд та виконання, при пересилці або передачі документів адресатам і ті Однак необхідно враховувати, що втрата цінної інформації відбувається, як правіше, не в результаті навмисних дій конкурента або зловмисника, а через неуважність, не професіоналізм і безвідповідальність персоналу.
Втрата (витік) інформації передбачає несанкціонований перехід цінних, конфіденційних відомостей до особи, яка не має права володіти ними і використовувати їх в своїх цілях для отримання прибутку. В тому випадку, коли мова йде про втрату інформації по вині персоналу, зазвичай використовується термін "розголос інформації". Розголошує інформацію завжди людина - усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто або через посередника. Термін "витік інформації" використовується найбільш широко, хоча, на наш погляд, в більшому ступені відноситься до втрати інформації за рахунок її перехвату за допомогою технічних засобів розвідки.
При розголошенні, витоку інформація може переходити або до зловмисника а потім, можливо, до конкурента, або до третьої особи. Під третьою особою в даному випадку розуміють любі особи, які отримали інформацію у володіння в силу обставин (тобто які стали її джерелом), але які не мають права володіння нею і, що дуже важливо, не зацікавлені в цій інформації. Однак необхідно враховувати, що від третіх осіб інформація може перейти до зацікавленої в ній особи - конкуренту фірми.
Перехід інформації до третьої особи можна назвати ненавмисним, стихійним. Він виникає в результаті:
втрати або випадково знищення документу, пакету (конверта);
невиконання, незнання або ігнорування співробітником вимог по захисту інформації;
надмірної балакучості співробітників під час відсутності зловмисника;
роботи з конфіденційними документами при сторонніх особах, несанкціонованої передачі конфіденційного документа іншому співробітнику;
використання конфіденційних відомостей в пресі, особистих
записах, неслужбових листах;
наявності в документах надмірної конфіденційної інформації;
свавільного копіювання співробітником документів в службових цілях.
На відміну від третьої особи зловмисник навмисно й таємно організовує, створює канал витоку інформації та експлуатує його по можливості більш чи менш тривалий чає." Знати можливий витік
інформації означає:
для зловмисника - мати стабільну можливість отримувати цінну
інформацію;
для власника інформації - протидіяти зловмиснику та зберігати
таємницю, а інколи і дезінформувати конкурент"
Інформація повинна поступати до конкурента тільки по каналу, що контролюється, в якому відсутні конфіденційні відомості а інформація, яка циркулює, ранжована по складу, користувачам і характеризується загальною відомістю і доступом. Прикладом такого каналу є видання та розповсюдження рекламно-інформаційних матеріалів.
Канали витоку, якими користуються зловмисники, відрізняються більшою різноманітністю. Основними видами цих каналів можуть бути:
встановлення зловмисником взаємовідносин з співробітниками фірми або відвідувачами, співробітниками фірм-партнерів, службовцями державних або муніципальних органів управління та іншими особами;
аналіз опублікованих матеріалів про фірму, рекламних видань, виставочних проспектів та іншої загальнодоступної інформації;
вступ зловмисника на роботу в фірму; робота в інформаційних мережах;
кримінальний, силовий доступ до інформації, тобто викрадення документів, шантаж персоналу та інші способи;
робота зловмисника в технічних каналах розповсюдження
інформації.
В результаті своєї діяльності по організації розголошення або витоку цінної, конфіденційної інформації зловмисник отримує:
оригінал або офіційну копію конфіденційного документу;
несанкціоновано зроблено копію цього документу (рукописну чи виготовлену за допомогою технічних засобів - копіювального апарату, фототехніки, комп'ютера і т.д.);
диктофону, магнітофонну касету із звукозаписом тексту документа;
письмове чи усне викладення за межами фірми змісту документа, ознайомлення з яким здійснювалось санкціоновано або таємно;
усне викладення тексту документа по телефону, переговорному пристрою, спеціальному радіозв'язку і т.і.;
аналог документу, переданого по факсимільному зв'язку або електронній пошті;
мовний або візуальний запис тексту документа, виконану за допомогою технічних засобів розвідки (радіозакладок, вмонтованих мікрофонів і відеокамер, мікрофотоапаратів, фотографування з більшої відстані).
Виявлення каналу розголошення (витоку) інформації - складна, довготривала і трудомістка задача. В основі її вирішення лежить класифікація та постійне вивчення джерел і каналів розповсюдження інформації та можливих каналів її витоку, пошук і виявлення реальних
каланів витоку оцінка ступеню небезпеки кожного реального каналу, придушення небезпечних каналів і аналіз ефективності захисних мір, яких було вжито для безпеки інформації. Канали розголошення
(витоку) інформації завжди індивідуальні і залежать від конкретних задач, поставлених перед зловмисником.
Отже, контроль джерел і каналів розповсюдження конфіденційної інформації дозволяє визначити наявність і характеристику загроз інформації, виробити структуру системи захисту інформації, яка надійно перекриє доступ зловмиснику до цінної інформації фірми.