Как и зачем защищать информацию фирмы

Тот, кто владеет информацией - правит миром. Сегодня, кажется, никому не придет в голову оспорить это утверждение. И, прежде всего, тем, кто стал жертвой информационного шпионажа - небезызвестному человеку, похожему на генерального прокурора или многочисленным бизнесменам, коммерческие тайны которых неожиданно перестали быть тайнами для конкурентов или представителей спецслужб.

Есть несколько простых рекомендаций, которые помогут снизить риск утечки информации, как для частных, так и для юридических лиц.

Украсть можно все

Первое и главное, что следует знать о защите информации - это то, что объектом хищения может стать практически любая, даже очень надежно защищенная информация - все зависит от ее потенциальной ценности. Например, в 2002 году сотрудники управления "К", которое занимается преступлениями в области высоких технологий, смогли обезвредить группу бывших работников одного из оборонных НИИ, которые занимались сбытом приборов, называемых "флай" Это устройство с виду ничем не отличается от обычного телефонного аппарата. Но с его помощью, не покидая своей квартиры, можно прослушать любой телефонный номер на территории России. Причем выявить "прослушку" практически невозможно: аппарат даже улучшает качество связи. Устройства пользовались большим спросом, технику приобретали в основном службы безопасности коммерческих фирм и криминальные структуры. По информации того же управления "К" сейчас в России можно приобрести практически любое устройство, предназначенное для хищения информации.

Оборот нелегальных технических средств такого рода занимает по доходности 3-4 место после торговли оружием и наркотиками.

Впрочем, это еще не достаточный повод для того, чтобы окончательно увериться в собственной информационной незащищенности. Как уже было сказано, украсть можно любую информацию, но для этого она должна представлять достаточную ценность. Что касается обычной коммерческой информации обычной российской компании, то ее ценность не так велика и лица, заинтересованные в ее получении далеко не всегда обладают необходимыми техническими средствами и профессиональными навыками.

Quid prodest

Так что, желая обезопасить коммерческую информацию собственными силами, необходимо ответить на два вопроса: кому она может понадобиться и какая информация действительно составляет коммерческую ценность. После этого стоит принять меры по повышению безопасности именно этой, а не всей информации, принадлежащей компании.

Для начала необходимо придать этой информации соответствующий юридический статус - внести соответствующие дополнения в уже имеющиеся на предприятии документы, такие как Устав, Коллективный договор и др., либо подготовить самостоятельные внутренние инструкции и рекомендации. Кроме того, стоит свести до минимума круг лиц, имеющих к ней доступ (человек - тоже носитель информации). Каждый из них должен знать, какие конкретно сведения подлежат защите, кому из сотрудников предприятия разрешено работать со сведениями, составляющими коммерческую тайну, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников.

Разумеется, необходимо сделать так, чтобы тот электронный или иной носитель, на котором содержится информация, был защищен от возможного копирования без использования специальных средств. Если информация является не только коммерческой ценностью, но и потенциальным компроматом, ее можно дополнительно обезопасить средствами оперативного уничтожения или кодирования - их в избытке предлагают многие московские компании. Помещение, в котором находится носитель информации, также стоит защитить дополнительными средствами активной и пассивной защиты: сигнализация, металлическая дверь с надежным замком, камера наблюдения.

Но главное, о чем стоит помнить - 90% утечек информации происходит не из-за злого умысла, а из-за халатности сотрудников, поэтому наибольшее внимание стоит уделять соблюдению принципов документооборота и делопроизводства, а также обязательному информированию всех сотрудников о правилах работы с той или иной информацией.

В современном офисе, где большая часть документов хранится на сервере и жестких дисках компьютеров, центральной фигурой в деле защиты информации становится IT-директор или системный администратор. Впрочем, все, что от него требуется - это дотошное соблюдение общепринятых и общеизвестных норм, связанных с разграничением доступа пользователей, использованию паролей и мониторингу сети.

Впрочем, это те средства, которые действенны в тех случаях, когда ценная информация на самом деле не слишком ценна. Иными словами, если ее потенциальный похититель - директор по маркетингу компании конкурента, единственными средствами которого могут стать подкуп уборщицы (в мусорных корзинах порой оказывается исключительно ценная коммерческая информация) или внедрение рядового сотрудника, который попытается воспроизвести подвиг Штирлица в миниатюре.

Во всех остальных случаях стоит вспомнить старую поговорку про разделение труда: пироги должен печь пирожник, сапоги тачать - сапожник…

Что могут профессионалы?

...А защищать информацию - высококвалифицированные и технически оснащенные специалисты спецслужб или сотрудники специальных агентств.

Перед тем, как обращаться к профессионалам, стоит без спешки и паники осмыслить ситуацию и ответить себе на вопрос: действительно ли вам это необходимо.

А также знать, что:

• Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, где никто не может ответить на вопрос, зачем его наняли.
• Квалифицированная помощь стоит дорого.
• Индустрия безопасности - закрытая область. А там, где мало достоверной информации, всегда появляется много шарлатанов и дилетантов. Поэтому, прежде всего, стоит обратить внимание на специалистов из секретных служб, армии, а также университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности.
• В случае, если требуется не постоянная, а разовая помощь, можно обратиться также в компаниях, предоставляющих услуги в области безопасности.
• Специалист должен владеть современными техниками защиты и поиска каналов утечки информации.
• Если вы обратились в компанию, она должна предоставить все необходимые лицензии и рекомендации.

Если вы начали работать с профессионалом в области защиты информации, он сможет предоставить весь спектр необходимых услуг от выявления и перекрытия возможных каналов утечки до аудита компьютерных сетей на предмет их информационной безопасности. Однако, стоит помнить, что в подавляющем большинстве случаев - эта мера не является необходимой. Ваша информация просто не представляет достаточной ценности, чтобы защищать ее столько же надежно, как секретные коды доступа спецслужб.

 Андрей Носов, Личные Деньги