Как защититься от внутренних угроз? 100% гарантии от ущерба, который могут нанести собственные работники, просто не существует. Это человеческий фактор, который не поддается полному и безусловному контролю. Вместе с тем, упомянутые выше авторы дают полезный совет - разрабатывать и внедрять внутри компании четко сформулированную коммуникационную (или информационную) политику. Такая политика должна провести четкую границу между дозволенным и недозволенным в использовании офисных коммуникаций. Переход границы ведет к наказанию. Должны быть система мониторинга, кто и как использует компьютерные сети. Правила, принятые в компании, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной, приватной информации.
ООО «Ласпи» было создано в 1995 году как представительство чешской компании в России. Фирма занимается поставкой чешского оборудования и расходных материалов для производства различных бетонных изделий (начиная с тротуарной плитки и заканчивая заборами, вазонами и т.п.). Оборудование отличается высоким качеством и приемлемой стоимостью. Заказчиками, обращающимися в Самарский офис, являются организации из различных городов России и СНГ (Казань, Уфа, Ижевск, Москва, Нижний Новгород и т.д.). Естественно, такая широкомасштабная деятельность требует особого отношения к информационной безопасности внутри фирмы.
На сегодняшний день информационная безопасность оставляет желать лучшего. Различная документация (техническая, экономическая) находится в открытом доступе, что позволяет практически любому сотруднику фирмы (начиная с учредителя и заканчивая водителем) беспрепятственно с ней ознакомиться.
Особо важная документация хранится в сейфе. Ключи от сейфа есть только у директора и у его секретаря. Но здесь существенную роль играет так называемый человеческий фактор. Нередко ключи забываются в кабинете на столе и сейф может быть вскрыт даже уборщицей.
Экономическая документация (отчеты, накладные, счета, счета-фактуры и т.п.) разложены по папкам и полкам в шкафу, который не запирается.
Сотрудники не подписывают при устройстве на работу никаких соглашений о неразглашении сведений, которые относятся к коммерческой тайне, что не запрещает им распространять подобную информацию.
Набор сотрудников производится посредством собеседования, состоящего из двух этапов: 1. общение с непосредственным начальником (на котором выявляются умения и способности потенциального работника) 2. общение с учредителем (носит более личностный характер и выводом подобного диалога может быть либо «сработаемся», либо «не сработаемся»).
Все это требует более пристального внимания со стороны руководства и грамотной программы по обеспечению информационной безопасности фирмы, потому что сегодня у ООО «Ласпи» появилось достаточно много конкурентов, которые вряд ли упустят возможность воспользоваться, например, клиентской базой или базой поставщиков фирмы.
Важно место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.
С учетом Закона РСФСР "О предприятиях и предпринимательской деятельности" руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.
В системе мер безопасности существенное значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, оставляющих тайну предприятия, между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику для качественного и своевременного выполнения порученных ему работ полного объема данных, а с другой стороны, исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.
В целях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну фирмы, рекомендуется разрабатывать и внедрять на предприятиях соответствующую разрешительную систему.
Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).
Оформление доступа к КТ может производиться в соответствии с утвержденным директором Положением о разрешительной системе доступа, где юридически закрепляются полномочия должностных лиц предприятия по распределению информации и пользовании ею. Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ООО «Ласпи» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках), следующими сотрудниками:
1. учредитель фирмы.
2. директор фирмы.
3. секретарь директора.
Санкцию на доступ к информации другим сотрудникам могут давать только учредитель и директор фирмы.
Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки.
Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Доступ к ней имеют только учредитель, директор фирмы, которые остальным сотрудникам предоставляют только уже проработанные цены (с различными «накрутками»), а так же секретарь, который ведет весь документооборот в организации.
Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:
Разрешительная система в качестве обязательного для выполнения правила включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений, в отношении которых решается вопрос о доступе.
Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы. Это требование относится и к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.