Обеспечение кадровой безопасности в сфере высокотехнологичных производств
Информация о рационализаторском предложении, изобретении и т. п., находящемся в стадии разработки, несомненно, относится к коммерческой тайне. Рационализаторское предложение даже после его оформления и выдачи авторского свидетельства может оставаться коммерческой тайной, поскольку представляет собой техническое решение задачи, новое для данной фирмы. Изобретение после выдачи на него патента име
ет специальную правовую охрану и поэтому не нуждается в защите как коммерческая тайна. Другое дело, если по соглашению с автором изобретения фирма примет решение не подавать заявку в Госпатент Российской Федерации. Тогда охрана информации полностью возлагается на фирму. Следует подчеркнуть, что решение не подавать заявку на изобретение на патентоспособное техническое решение возможно только по договоренности с автором (в письменной форме), так как по существующему правилу, если работодатель в течение трех месяцев с момента уведомления его автором о сделанном изобретении не подаст заявку на него, автор вправе сам подать заявку и получить патент. Кроме того, использование незарегистрированного (незапатентованного) изобретения в большинстве случаев будет затруднено – на использование в коммерческих целях большинства высокотехнологичных продуктов требуется лицензия. До недавнего времени 90 % авторских свидетельств получали гриф “для служебного пользования”. Вместо авторских свидетельств теперь выдают патент. Основным принципом патента является его обязательная открытость, что способствует ускорению научно- технического прогресса. Патент - тот же товар изобретателя, но государство продолжает засекречивать патенты, т.е. нарушает права изобретателей. Особое внимание необходимо обратить на отрицательные или тупиковые направления исследований, зачастую эта информация не считается конфиденциальной, но получение именно таких данных позволит вашим конкурентам сэкономить время и средства.
В плане защиты коммерческой тайны особое внимание следует уделять ИТ – сфере. Согласно проведенным в США в период с июля по август 2001 года исследованиям на основе выборочного online опроса 2500 специалистов в области ИТ были получены следующие экспертные оценки характера и степени внешних и внутренних угроз ИБ, которые вызывают повышенную озабоченность у всех категорий персонала, независимо от занимаемого положения, возраста и пола.
(2001 Industry Survey — Information Security, October 2001).
Среди внешних угроз ИБ (Рис. 24) согласно полученным результатам исследований за последние 2 года возрос практически в 2 раза процент инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через Интернет в информационные ресурсы, на 10% увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, на 2% увеличилось количество отказов в обслуживании, связанных фактически на треть (до 32%) с переполнением буфера при спамах в электронной почте.
Рисунок 24. Динамика структуры внешних угроз информационной безопасности
Наибольшую проблему представляют происшествия, связанные с отказом в обслуживании (DOS — Denial-of-Service), поскольку в результате их негативного проявления организация, как правило, на длительное время теряет доступ к ресурсам и услугам Интернета. Так в результате одного из проведенных исследований в США в 2001 г. в течение трех недель наблюдались и фиксировались результаты и последствия свыше 12 тысяч атак (нападений, вторжений) на 5 тысяч хост-ЭВМ в Интернете, принадлежащих 2 тысячам организаций. Анализ этой статистики выявил, что в 90% случаях продолжительность отказа в обслуживании по времени достигала 1 часа, что представляет серьезную опасность для предприятий так называемого непрерывного цикла работы (транспорт, энергетика, связь, неотложная медицинская помощь и др.). (Managing the Threat of Denial-of-Service Attacks, CERT Coordination Center, October 2001). Анализируя структуру внутренних угроз (Рис. 25), эксперты отмечают, как наиболее серьезные с точки зрения нарушения системы мероприятий в области ИБ, имевших место за последние два года, такие негативные проявления человеческого фактора в работе персонала как самовольная установка и использование нерегламентированного ПО (до 78% внутренних происшествий), увеличение случаев использования оборудования и ресурсов в личных целях (на 10%). Одновременно отмечается снижение на 7% количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.
Рисунок 25. Динамика структуры внутренних угроз информационной безопасности
Интересно, что эти же тенденции проявляются и в военной области. Проводившаяся в феврале 2001 г. Службой генерального инспектора выборочная проверка условий эксплуатации программного обеспечения, установленного на объектах информационной инфраструктуры МО, показала, что даже в Пентагоне, где действуют жесткая дисциплина и порядок, имеют место серьезные нарушения правил информационной безопасности.
Особое внимание следует уделить охране договоров, заключаемых предприятием. Большая их часть, безусловно, относится к коммерческой тайне. Причем в определенных случаях охране подлежит не только текст договора, но и сам факт его заключения.
Разрабатывая меры по защите коммерческой тайны фирмы, необходимо экономически обосновать целесообразность засекречивания той или иной информации. В первую очередь выделяется информация, утечка которой может привести вашу фирму к банкротству. Это строго конфиденциальная (критичная) информация. В мире бизнеса, это, как правило, “ноу-хау”. К конфиденциальной информации относятся сведения о перспективах развития фирмы, ее клиентах, сроках и сумме кредитования. Огласка этих сведений, конечно же, не приведет к краху, но лишит фирму на какое-то время устойчивой прибыли. Также не подлежит огласке информация, раскрытие которой может привести к неблагоприятным последствиям. К ней относятся: номера домашних телефонов, адреса руководителей и сотрудников фирмы, текущие планы работы, информация о конфликтных ситуациях и т.п. Остальные сведения относятся к открытым, то есть доступным всем. Но следует иметь в виду, что неправильно поданная информация может помочь аналитикам из конкурирующей фирмы обнаружить ваши уязвимые места. Руководитель фирмы должен установить строгий порядок хранения первых экземпляров договоров и работы с ними. Их следует хранить в определенном месте у ответственного лица и выдавать только под расписку с письменного разрешения руководителя фирмы. На лица, ответственные за хранение договоров и работу с ними, возлагается персональная ответственность за утерю договоров или утечку информации из них. Все это необходимо потому, что деятельность коммерческих структур строится в большей степени на договорных началах, и конкурент или партнер по переговорам, обладая информацией в этой сфере, может составить довольно полную картину производственного и финансового положения фирмы. Пропажа (похищение) первых экземпляров договоров ведет к значительным затруднениям и даже невозможности доказывать те или иные положения при возникновении спора и его решении в судебном порядке. При подписании договора рекомендуется, чтобы представители сторон ставили подписи не только в конце договора, но и на каждом листе во избежание замены одного текста другим. Зачастую бумага для важных документов маркируется средствами оперативной идентификации (например, флуоресцирующими невидимыми чернилами, штемпельными красками, микрошрифтом). Нумерация документации с КТ, например – “Конфиденциально” начинается с одного нуля, четырехзначным числом – 0100 – 0999, документов этой группы с №№ 0001 – 0099, 1000 не должно быть, итого не более 900 экземпляров. “Строго конфиденциально” – начинается с двух нулей, трехзначным числом – 001 – 009 (9 экземпляров) или четырехзначным числом – 0010 – 0099 (90 экземпляров). Желательно также иметь возможность точно определить момент, когда возможная утечка КТ не повредит интересам Компании и в соответствии с этим планировать свою деятельность и маркировать документацию – например: “Строго конфиденциально особой важности – до 00:00 мин. 00.00.00г., с 00:00 мин. 00.00.00г. - Конфиденциально”. Датировка конфиденциальных документов также может производиться специальным образом – сначала двузначным числом дается год даты, потом двузначным числом дается порядковый номер недели этого года (неполным неделям в начале и в конце года также присваивается соответствующий номер) и затем дается однозначным числом день недели, например воскресенье – первый день, тогда дата 12 апреля 1961 года будет выглядеть как 61 (год) 15 (неделя) 4 (день – в данном случае среда) – 61154, а 08 марта 2004 года - 04112.