Корпоративное управление и инновационное развитие экономики Севера
Вестник Научно-исследовательского центра 
корпоративного права, управления и венчурного инвестирования
Сыктывкарского государственного университета

 

От редакции Вестника

Редакция Вестника

Авторам статей

Рецензирование статей

Адрес редакции Вестника

Архив Вестника

 

 

ОСНОВНЫЕ ПРИНЦИПЫ СОЗДАНИЯ СИСТЕМЫ МИНИМИЗАЦИИ ИНФОРМАЦИОННЫХ РИСКОВ НА ПРЕДПРИЯТИЯХ СЕВЕРНОГО РЕГИОНА

И.Г. Назарова, А.В. Беляев

В работе рассматриваются основные информационные риски предприятий Северного региона. Сделан анализ приведенных рисков. Определены основные каналы утечки конфиденциальной информации.

Определены задачи необходимые для решения предприятиями с целью минимизации информационных рисков, включая создание правовых основ обеспечения защиты информации и создание благоприятных внутренних условий для сохранения коммерческой тайны.

Для обеспечения задачи обеспечения информационной безопасности, с точки зрения системного подхода, целесообразно разработать и внедрить на предприятии систему минимизации информационных рисков, представляющую собой взаимосвязанную совокупность органов, средств, методов и мероприятий, обеспечивающих минимизацию информационных рисков.

Как показали исследования основными информационными рисками являются:

- риск утечки и разрушения необходимой для функционирования предприятия информации;

-  риск использования необъективной информации;

- риск отсутствия у руководства предприятия необходимой  информации для принятия правильного решения;

- риск распространения кем-либо во внешней среде невыгодной или опасной для предприятия информации.

Анализ приведенных рисков показывает, что они связаны с конфиденциальной информацией (риск утечки и разрушения информации, риск отсутствия у руководства предприятия необходимой информации) и, в основном, обычной информацией (риск использования в деятельности предприятия необъективной информации, риск распространения кем-либо невыгодной или опасной информации). При этом риск утечки и разрушения связан с собственной конфиденциальной информацией предприятия, а риск отсутствия - с необходимой конфиденциальной информацией других коммерческих структур и предприятий. Поэтому исключение этих рисков в деятельности предприятия требует решения применительно к каждому из них определенных специфических задач, которые не пересекаются, т.к. имеют различные источники этой информации.

Основными каналами утечки конфиденциальной информации являются сотрудники коммерческой организации, документы и технические средства обработки и передачи информации. Здесь уместно привести утверждение итальянских психологов о том, что из всех сотрудников любой фирмы: 25% - это честные люди, 25% - ожидают удобного случая для разглашения секретов и 50% будут действовать в зависимости от обстоятельств.[1] Очевидно, что в нашей стране эти цифры вряд ли отличаются в лучшую сторону, т.к. для этого нет ни политических, ни экономических причин. Поэтому применительно к такой ситуации необходимо понимать, что практически невозможно создать на коммерческом предприятии условия, полностью исключающие несанкционированный доступ к этому источнику конфиденциальной информации, можно лишь существенно уменьшить его роль среди других источников утечки конфиденциальной информации. С этой целью на предприятии необходимо решить следующие задачи:

1. Создать правовые основы обеспечения защиты информации путем осуществления:

-        внесения в Устав предприятия дополнений, дающих право руководству предприятия:

o      создавать организационные структуры по защите коммерческой тайны;

o      издавать нормативные и распорядительные документы, регулирующие порядок определения информации, составляющей коммерческую тайну, и механизмы ее защиты;

o      включать требования по защите коммерческой тайны в договора по всем видам хозяйственной деятельности;

o      требовать защиты интересов предприятия перед государственными и судебными органами;

o      распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба предприятию;

-        дополнения "Коллективного договора", если он разрабатывается на предприятии, положениями, закрепляющими обязанности администрации и работников предприятия, связанные с разработкой и осуществлением мероприятий по определению и защите коммерческой тайны, соблюдением на предприятии требований по защите коммерческой тайны, привлечением нарушителей требований по защите коммерческой тайны к административной или уголовной ответственности в соответствии с действующим законодательством, инструктированием принимаемых на работу лиц по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении, отстранением от работ, связанных с коммерческой тайной, лиц, нарушающих установленные требования по ее защите;

-        дополнения "Трудового договора" требованиями по защите коммерческой тайны, если договор заключается в письменной форме; при заключении договора в устной форме доведения до лица, с которым заключается трудовой договор, правил внутреннего распорядка, включающих требования по защите коммерческой тайны;

-        доведения до каждого сотрудника предприятия "Перечня сведений, составляющих коммерческую тайну предприятия" в части касающегося.

2. Создать благоприятные внутренние условия на предприятии для сохранения коммерческой тайны путем осуществления:

-        выявления и увольнения людей, ожидающих удобного случая для разглашения коммерческой тайны (по оценкам итальянских психологов доля таких людей составляет практически в любой фирме порядка 25% от общего числа сотрудников фирмы). С этой целью могут быть использованы данные кадрового органа предприятия, результаты изучения сотрудников, гласного и негласного контроля за их деятельностью и т.п.;

-        выявления и тщательного контроля за деятельностью сотрудников, неудовлетворенных чем-либо или постоянно нуждающихся в средствах к существованию, работающих на каком-либо предприятии по совместительству или намеревающихся перейти на работу на другое предприятие;

-        формирования психологического климата на предприятии и в его структурных подразделениях, при котором сотрудникам предприятия было бы удобно и выгодно выполнять требования по защите коммерческой тайны. С этой целью может быть использовано, например, материальное стимулирование сотрудников, которые не имеют нарушений требований по защите коммерческой тайны в течение заранее определенного срока;

-        организации и внедрения системы постоянного обучения сотрудников предприятия правилам и процедурам работы с конфиденциальной информацией, ведения переговоров. Обучение сотрудников должно предполагать не только приобретение и систематическое поддержание на высоком уровне навыков работы с конфиденциальной информацией, но и их воспитание в плане глубокой убежденности в необходимости выполнения требований по защите коммерческой тайны;

-        осуществления бесед с увольняющими, главной целью которых является предотвращение утечки конфиденциальной информации или ее неправильного использования. В ходе бесед должно быть особо подчеркнуто, что каждый увольняющийся сотрудник обязан не разглашать коммерческую тайну, ставшую ему известной в процессе работы на предприятии, и это обязательство должно подкрепляться подпиской о неразглашении известной сотруднику конфиденциальной информации;

-        проведения специальных проверок служебных помещений, целью которых является выявление внедренных в эти помещения электронных устройств подслушивания. Специальные проверки должна проводиться по специальным методикам и включать следующие виды работ:

o      специальное обследование и проверку с использованием технических средств поверхности стен, потолков, полов, дверей и оконных рам, а также мебели, предметов интерьера, сувениров и т.п.;

o      визуальный осмотр и проверку с использованием технических средств находящихся электронных приборов;

o      визуальный осмотр и проверку с использованием технических средств проводных линий (электросети, абонентской телефонной сети, системы часофикации, систем пожарной и охранной сигнализации и т.д;

o      радиоконтроль (радиомониторинг) помещений. Для исключения подслушивания при проведении особо важного мероприятия (совещания, переговоров, встречи и т.п.) целесообразно осуществлять радиоконтроль выделенного для этой цели помещения перед проведением и в ходе проведения этого мероприятия, а также постановку с помощью специальных средств прицельных и шумовых помех во время проведения мероприятия;

o      сбора и правильного реагирования на информацию о имеющих место попытках различных контактов с сотрудниками предприятия, направленных на получение конфиденциальной информации.

 

[1] Шпагина М. Иллюзия безопасности.// Цифровой мир. №2(18), 2002г. с. 18