Российские коммерческие предприятия подстерегают многие опасности. Зачастую это угрозы со стороны криминальных структур, но нередко они обусловлены политической и правовой нестабильностью в стране, обострением конкурентной борьбы, незаконным использованием технических и программных средств и т.д. Поэтому в рамках управления компанией на менеджера помимо его основных функций возлагаются вопросы обеспечения безопасности. Эта проблема широка и многогранна, поэтому остановимся лишь на главном. Одно из ключевых направлений работы менеджера в этом плане состоит в обеспечении коммерческой тайны. Потери в данной области могут привести к утрате конкурентоспособности, клиентуры, большим убыткам. В последнее время все более актуальным в России становится обеспечение безопасности сотрудников, сохранности имущества фирмы. С такой целью создаются специальные службы безопасности.
В экономике, основанной на рыночных отношениях, сохранению коммерческой и банковской тайны уделяется особое внимание. В России понятие коммерческой тайны вошло в практику с появлением элементов свободного рынка. С принятием 4 июня 1990 года закона «О предприятиях в СССР» руководителям предприятий в рамках, установленных Советом Министров СССР, предоставлялось право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну. Постановлением правительства России, принятом в конце декабря 1991 г., определен перечень сведений, которые не могут составлять коммерческую тайну. В их числе: учредительные документы и устав компании, документы, предоставляющие право заниматься предпринимательской деятельностью, сведения по установленным формам о финансово-хозяйственной деятельности и другая информация, необходимая для правильности исчисления и уплаты налогов и других обязательных платежей в государственный бюджет, документы о платежеспособности фирмы, сведения о численности, составе работающих, их заработной плате и условиях труда, материалы о загрязнении окружающей среды, нарушении антимонопольного законодательства, реализации продукции, причиняющей вред здоровью населения, а также и о других нарушениях законодательства России.
Под коммерческой тайной понимаются конфиденциальные сведения, являющиеся собственностью предприятия. В более узком смысле здесь подразумевается его обязанность сохранять тайну по операциям с клиентурой. К числу конфиденциальных сведений относится информация, несанкционированное использование которой любыми физическими юридическими лицами (в том числе и собственными сотрудниками) способно нанести ущерб коммерческой деятельности лил интересам предприятия. Здесь нужны ответы на следующие вопросы: является ли информация неизвестной третьему лицу, какова реальная или потенциальная коммерческая ценность этой информации, не нарушается ли постановление правительства России «О передаче сведений, которые не могут составлять коммерческую тайну», какова реальность обеспечения конфиденциальность этих сведений с точки зрения имеющихся средств и ресурсов и т.д.
Определение такого рода сведений — работа сложная, требующая специально разработанной методики. Методические указания утверждаются приказом руководства компании. Перечень сведений, составляющих коммерческую тайну, содержит их подробное описание, общие сведения и может иметь следующую структуру.
Раздел первый: информация о содержании и маркетинге продукции и услуг, о размерах платежно-расчетных операций и т.д. Сюда также входят: планируемые изменения размеров производства и реализации товаров; условия на которых они предоставляются, их специфика для различных категорий клиентов; объемы инвестирования в ценные бумаги и планируемые их изменения; расчеты цен на разные виды услуг: маркетинговые разработки, спецификаций, услуг и новых видов услуг, оценка предполагаемых новых рынков; планы и результаты маркетинговых исследований; планы и программы маркетинга; банки данных по контрагентам.
Во втором разделе фиксируется финансово-учетная информация: источники и объемы финансирования и кредитования; условия, на которых предприятием получены кредиты; размеры привлеченного акционерного капитала» планируемая эмиссия акций, проекты бюджетов и утверждение бюджета фирмы; балансы и бухгалтерская отчетность; данные управленческого учета.
Третий раздел содержит организационно-управленческую информацию, в частности, банки данных основных руководителей, акционеров, ведущих специалистов и других работников; сведения об организационной структуре предприятия, функциональных обязанностях и задачах, решаемых конкретными подразделениями, о планируемых назначениях и перемещениях главных менеджеров; о привлечении на работу новых специалистов; о приеме на работу специалистов и переговорах с ними; об управленческих конфликтах; о стратегических планах и проектах. А также протоколы заседаний правления и общих собраний акционеров.
В четвертом разделе имеется информация о социальных вопросах, в том числе данные: о размерах зарплаты; о социальных выплатах и материальной помощи, предоставленной отдельным сотрудникам; о планируемых сокращениях штатов.
Перечень сведений, составляющих коммерческую тайну и «ноу-хау» структурного подразделения фирмы может быть представлен следующими данными:
• категории сведений (скажем для банка размеры кредитов, выданных коммерческим фирмам);
• лица, являющиеся носителями информации (руководитель отдела, его заместитель);
• характер документов (сводная документация отдела);
• компьютеры, используемые в отделе;
• магнитные носители (дискеты с базами данных);
• помещение (кабинеты руководителя отдела; его заместителей).
Конфиденциальными являются также документы и другие материальные носители, а также устная информация. Применительно к последней необходимо, по возможности, ограничить крут сведений, подлежащих сохранению в тайне.
Правовое регулирование коммерческой тайны осуществляете на основе закона «О предприятиях и предпринимательской деятельности». В отдельных случаях, когда речь идет о секретной информации, используется подзаконные ведомственные нормативные акты, а в случае ее разглашения соответствующие статьи УК. Но этого явно, недостаточно для организации действенной защиты информации. Поэтому перед коммерческими структурами стоит серьезная задача формирования собственной системы защиты от потерь (в том числе от шпионажа и прочих угроз).
Нередко утечка информации происходит через компьютерные системы. Криминальные структуры, владеющие ресурсами для организации крупномасштабных мошенничеств, проведения диверсий, саботажа, извлечения выгоды, дискредитации фирм и их клиентов в России имеются. Кражи коммерческой информации становятся обычным делом. Например, в организации, проводившей все финансово-расчетные операции Министерства путей сообщения, украли компьютеры. Злоумышленников интересовала не самка техника, а записанная на ней информация. Компьютеры и принтеры, вынесенные из здания, нашли брошенными во дворе, а дискеты с важной информацией бесследно пропали. Преступники искали материалы о компании, через которую проходила львиная доля платежей за пользование российскими железными дорогами. Обладание подобной информацией открывает путь к большим денежным злоупотреблениям.
Все чаще и в возрастающих масштабах используется подслушивание телефонных разговоров. Технические средства для этого продаются свободно. Поэтому понятно, почему состоянию защищенности информации уделяется столь серьезное внимание. Изучение положения дел в этой области показало неудовлетворительную организацию защиты обрабатываемой на ЭВМ информации, недостаточное внимание администрации предприятий к таким вопросам, отсутствие квалифицированных кадров в указанной сфере. Помимо проблем, связанных с организацией охраны информации, обрабатываемой с помощью ЭВМ, отметим также недостаточную эффективность средств защиты информации, применяемых в России.
Преступные элементы в России и за рубежом используют одни и те же методы. Это — мошенничество, саботаж, участие профессионалов в данной области, ошибки работников, сбои в работе электронного оборудования.
Наиболее распространенное мошенничество, получившее за рубежом термин «Салями», заключается в аккумулировании банком денежных сумм, образующихся за счет округления счетов и процентных операций по ним. Саботаж обычно имеет место из-за недовольства работников своей зарплатой, служебным положением, а также из-за психических расстройств. При этом может искажаться информация, нарушаться нормальное функционирование компьютерной системы. Возможны и другие диверсии. Большую угрозу безопасности предприятий создают профессиональные хакеры. Так именуют весьма квалифицированных специалистов, отлично знающих вычислительную технику и ее системы. Их целью является выявление и преодоление систем защиты. Росту компьютерной преступности, способствуют:
• использование информации без всестороннего анализа системы обеспечения ее защиты;
• ограниченность средств по защите информации;
• отсутствие конструктивного плана мероприятий по защите информации и. контроля за его практической реализацией;
• разрозненность, бессистемность проводимых мер по борьбе с компьютерными преступлениями.
Особенно остро эта проблема стоит применительно к банкам.
Некоторые ведущие западные банки защищают главные компьютеры своих электронных сетей специальными устройствами. Последние действуют как сетевые контролеры, управляют модемами, проверяют телефонные номера абонентов, подключающихся к сети, регистрируют все попытки соединения с центральной ЭВМ.
Система предупреждения утечки информации, связанная с управлением денежными потоками, имеет комплексный характер и кране сложна. В обработке информации участвуют: человек как источник и накопитель информации; информационная технология (совокупность процедур закрепления информации на материальном носителе, технология работы с этими носителями), включающая учет, сортировку, копирование, уничтожение информации, собственно носители информации, организованные в базы данных, архивы, фонды.
В защите информации огромную роль играет человек, произвольно лил непроизвольно накапливающий информацию в своей памяти. Далее происходит постоянное и многократное размножение исходной информации. В результате свыше 60% всех преступлений в сфере бизнеса совершается персоналом компаний. Обеспечение безопасности информации — крайне сложная задача, требующая специфических организационных, ограничительных, охранных и кадровых мероприятии, а нередко и поддержки со стороны правоохранительных органов.
Комплексная зашита обеспечения безопасности состоит из системы организационно-режимных мер, связанных с охраной помещений и фондов носителей информации, мер по обеспечению физической охраны наиболее ответственных лиц, а также системы по работе с кадрами, включая профилактические мероприятия (психологическое тестирование, анализ поведения и т.д.). В России происходит быстрое и широкомасштабное внедрение ЭВМ для обработки информации. Стандартные программные средства ЭВМ и предлагаемое на российском рынке программное обеспечение открывают возможность легкого доступа к любым данным, их изменения, копирования или уничтожения. Устранить подобные возможности можно путем использования защитных средств от несанкционированного использования информации за счет внедрения хорошо отлаженной системы доступа к конфиденциальной формации. При этом следует учитывать: право пользования информацией имеют только лица и организации, которым она необходима для выполнения служебных обязанностей; доступ к конкретному объему конфиденциальных сведений открывается в ограниченных временных пределах; минимум привилегий предоставляется отдельным категориям пользователей, терминалам, Процессам, задачам; механизм доступа к информации также как и механизм управления обычно дифференцируется с учетом специфики задач, коммерческой ценности и других свойств информации; применение правила «двух ключей», когда для получения информации требуется преодолеть как минимум два ограничения, получить не менее двух разрешений от независимых инстанций; обеспечение максимальных облегчений в получении разрешения для пользователя; каждый факт использования информации по конкретному объему конфиденциальных сведений на любом отдельном материальном носителе. Осуществленные при этом действия учитываются в специальных документах или протоколе системы.
Получение права на использование конфиденциальной информации происходит по следующим этапам. Заместитель руководителя фирмы по безопасности совместно с руководителями структурных подразделений определяет номенклатуру должностных лиц, которые могут быть допущены к сведениям, составляющим ее тайну. Такой документ утверждается председателем правления. Обычно он составляется в виде таблицы, в которой указываются имена и фамилии должностных лиц, имеющих право постоянного доступа к конфиденциальным сведениям. Каждое такое лицо проходит проверку на благонадежность, после чего официально оформляются доступ к такого рода информации, заключаются соответствующие договоры.
Проверка благонадежности — это комплекс мер, направленных на выявление способности конкретного лица соответствовать перечню требований социально-психологического характера, обеспечивать высокий уровень охраны конфиденциальности. Проверка осуществляется путем заполнения физическими лицами специальных, составленных психологами форм анкеты и биографии, тестирования и анализа документов о лице по особой методике.
Качество проверки благонадежности предопределяется уровнем секретности сведений, к которым допускается данный работник. Подобная проверка включает экспертную оценку охраны конфиденциальности, после чего происходит оформление допуска к такого рода сведениям, который утверждается руководителем фирмы. Право пользования особо секретными сведениями предоставляется сотрудникам, имеющим опыт работы с подобной информацией не менее года. Лицам, которые имеют доступ к программам, присваивается собственное имя или число.
Важный элемент организации системы защиты конфиденциальных сведений — формулирование точной характеристики нарушения, на основании чего строится вся система зашиты и устанавливается уровень безопасности информации, который данная система обеспечивает.
Быстро развивающейся сферой деятельности российских коммерческих структур является организация безналичных расчетов населения с использованием кредитных карточек. Здесь предстоит автоматизированные банковские Системы. На каждом уровне обработки информации проблема защиты в зависимости от специфики опасности будет иметь свои особенности. В соответствии с практикой западных компаний сначала проводится предметное обследование объекта, выявляются особенности его деятельности, разрабатывается концепция комплексной защиты, далее НИОКР, и практическая их реализация.
Среди проблем защиты информации, не решенных в России, — развертывание системы сертификации информационных систем в целях обеспечения безопасности обработки информации» признание юридической силы электронной подписи финансовых документов, сбор и обобщение сведений о правонарушениях в информационной сфере, повышение качества подготовки персонала служб безопасности. К нерешенным вопросам также относится сохранение тайны операций и результатов аудиторских проверок. Все это подтверждает объективную необходимость комплексной разработки проблем безопасности информации.
Необходимость защиты информации, помещений предприятия связана с наличием опасностей, способных привести к утрате информации, материальных, денежных ресурсов, срывам в деятельности фирм. В последнее время конкуренция между российскими коммерческими структурами, особенно в крупных центрах, резко возросла. Но еще более опасными соперниками в ближайшем будущем могут оказаться компании промышленно развитых стран. Большинство наших банков и других финансовых институтов не в состоянии инвестировать большие капиталы в промышленность.