Корпоративное
управление и инновационное развитие
экономики Севера
|
|
|
ОСНОВНЫЕ ПРИНЦИПЫ СОЗДАНИЯ СИСТЕМЫ МИНИМИЗАЦИИ ИНФОРМАЦИОННЫХ РИСКОВ НА ПРЕДПРИЯТИЯХ СЕВЕРНОГО РЕГИОНАИ.Г. Назарова, А.В. Беляев
Для обеспечения задачи обеспечения информационной безопасности, с точки зрения системного подхода, целесообразно разработать и внедрить на предприятии систему минимизации информационных рисков, представляющую собой взаимосвязанную совокупность органов, средств, методов и мероприятий, обеспечивающих минимизацию информационных рисков. Как показали исследования основными информационными рисками являются: - риск утечки и разрушения необходимой для функционирования предприятия информации; - риск использования необъективной информации; - риск отсутствия у руководства предприятия необходимой информации для принятия правильного решения; - риск распространения кем-либо во внешней среде невыгодной или опасной для предприятия информации. Анализ приведенных рисков показывает, что они связаны с конфиденциальной информацией (риск утечки и разрушения информации, риск отсутствия у руководства предприятия необходимой информации) и, в основном, обычной информацией (риск использования в деятельности предприятия необъективной информации, риск распространения кем-либо невыгодной или опасной информации). При этом риск утечки и разрушения связан с собственной конфиденциальной информацией предприятия, а риск отсутствия - с необходимой конфиденциальной информацией других коммерческих структур и предприятий. Поэтому исключение этих рисков в деятельности предприятия требует решения применительно к каждому из них определенных специфических задач, которые не пересекаются, т.к. имеют различные источники этой информации. Основными каналами утечки конфиденциальной информации являются сотрудники коммерческой организации, документы и технические средства обработки и передачи информации. Здесь уместно привести утверждение итальянских психологов о том, что из всех сотрудников любой фирмы: 25% - это честные люди, 25% - ожидают удобного случая для разглашения секретов и 50% будут действовать в зависимости от обстоятельств.[1] Очевидно, что в нашей стране эти цифры вряд ли отличаются в лучшую сторону, т.к. для этого нет ни политических, ни экономических причин. Поэтому применительно к такой ситуации необходимо понимать, что практически невозможно создать на коммерческом предприятии условия, полностью исключающие несанкционированный доступ к этому источнику конфиденциальной информации, можно лишь существенно уменьшить его роль среди других источников утечки конфиденциальной информации. С этой целью на предприятии необходимо решить следующие задачи: 1. Создать правовые основы обеспечения защиты информации путем осуществления: - внесения в Устав предприятия дополнений, дающих право руководству предприятия: o создавать организационные структуры по защите коммерческой тайны; o издавать нормативные и распорядительные документы, регулирующие порядок определения информации, составляющей коммерческую тайну, и механизмы ее защиты; o включать требования по защите коммерческой тайны в договора по всем видам хозяйственной деятельности; o требовать защиты интересов предприятия перед государственными и судебными органами; o распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба предприятию; - дополнения "Коллективного договора", если он разрабатывается на предприятии, положениями, закрепляющими обязанности администрации и работников предприятия, связанные с разработкой и осуществлением мероприятий по определению и защите коммерческой тайны, соблюдением на предприятии требований по защите коммерческой тайны, привлечением нарушителей требований по защите коммерческой тайны к административной или уголовной ответственности в соответствии с действующим законодательством, инструктированием принимаемых на работу лиц по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении, отстранением от работ, связанных с коммерческой тайной, лиц, нарушающих установленные требования по ее защите; - дополнения "Трудового договора" требованиями по защите коммерческой тайны, если договор заключается в письменной форме; при заключении договора в устной форме доведения до лица, с которым заключается трудовой договор, правил внутреннего распорядка, включающих требования по защите коммерческой тайны; - доведения до каждого сотрудника предприятия "Перечня сведений, составляющих коммерческую тайну предприятия" в части касающегося. 2. Создать благоприятные внутренние условия на предприятии для сохранения коммерческой тайны путем осуществления: - выявления и увольнения людей, ожидающих удобного случая для разглашения коммерческой тайны (по оценкам итальянских психологов доля таких людей составляет практически в любой фирме порядка 25% от общего числа сотрудников фирмы). С этой целью могут быть использованы данные кадрового органа предприятия, результаты изучения сотрудников, гласного и негласного контроля за их деятельностью и т.п.; - выявления и тщательного контроля за деятельностью сотрудников, неудовлетворенных чем-либо или постоянно нуждающихся в средствах к существованию, работающих на каком-либо предприятии по совместительству или намеревающихся перейти на работу на другое предприятие; - формирования психологического климата на предприятии и в его структурных подразделениях, при котором сотрудникам предприятия было бы удобно и выгодно выполнять требования по защите коммерческой тайны. С этой целью может быть использовано, например, материальное стимулирование сотрудников, которые не имеют нарушений требований по защите коммерческой тайны в течение заранее определенного срока; - организации и внедрения системы постоянного обучения сотрудников предприятия правилам и процедурам работы с конфиденциальной информацией, ведения переговоров. Обучение сотрудников должно предполагать не только приобретение и систематическое поддержание на высоком уровне навыков работы с конфиденциальной информацией, но и их воспитание в плане глубокой убежденности в необходимости выполнения требований по защите коммерческой тайны; - осуществления бесед с увольняющими, главной целью которых является предотвращение утечки конфиденциальной информации или ее неправильного использования. В ходе бесед должно быть особо подчеркнуто, что каждый увольняющийся сотрудник обязан не разглашать коммерческую тайну, ставшую ему известной в процессе работы на предприятии, и это обязательство должно подкрепляться подпиской о неразглашении известной сотруднику конфиденциальной информации; - проведения специальных проверок служебных помещений, целью которых является выявление внедренных в эти помещения электронных устройств подслушивания. Специальные проверки должна проводиться по специальным методикам и включать следующие виды работ: o специальное обследование и проверку с использованием технических средств поверхности стен, потолков, полов, дверей и оконных рам, а также мебели, предметов интерьера, сувениров и т.п.; o визуальный осмотр и проверку с использованием технических средств находящихся электронных приборов; o визуальный осмотр и проверку с использованием технических средств проводных линий (электросети, абонентской телефонной сети, системы часофикации, систем пожарной и охранной сигнализации и т.д; o радиоконтроль (радиомониторинг) помещений. Для исключения подслушивания при проведении особо важного мероприятия (совещания, переговоров, встречи и т.п.) целесообразно осуществлять радиоконтроль выделенного для этой цели помещения перед проведением и в ходе проведения этого мероприятия, а также постановку с помощью специальных средств прицельных и шумовых помех во время проведения мероприятия; o сбора и правильного реагирования на информацию о имеющих место попытках различных контактов с сотрудниками предприятия, направленных на получение конфиденциальной информации. [1] Шпагина М. Иллюзия безопасности.// Цифровой мир. №2(18), 2002г. с. 18 |