Основные направления технической защиты информации, составляющей коммерческую тайну
В современных условиях жесткой конкурентной борьбы защита охраняемой информации необходима для успешного развития предпринимательства и становления подлинно рыночной экономики, основанной на свободной конкуренции. Надёжная охрана результатов интеллектуальной деятельности - наиболее эффективное средство борьбы против промышленного шпионажа, она способствует защите прав авторов и владельцев научно-технических результатов. От безопасности сведений, составляющих коммерческую тайну, во многом зависит не только благополучие компании, но и в некоторых случаях - ее существование. Это особенно важно для представителей малого и среднего бизнеса. Крупная компания, иногда ценой значительных финансовых и репутационных издержек, обычно способна справиться с последствиями возможных утечек.
Информация является одним из важнейших элементов управления деятельностью любого предприятия. В условиях рынка от умения хранить свои секреты в значительной степени зависит успех предпринимательской деятельности. На сегодняшний день организации нередко сталкиваются с проблемой утечки информации и необходимостью построения системы защиты информации, составляющей коммерческую тайну (далее по тексту – СЗИКТ, для удобства основные определения и сокращения – в конце текста). Создание такой системы – сложный и многоплановый процесс, который затрагивает все структурные подразделения организации.
Уровень технической защиты информации, составляющей коммерческую тайну вашей организации, а также перечень необходимых мер защиты определяется дифференцировано, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов. Только в том случае, если разглашение или утечка информации может нанести существенный экономический ущерб вашей организации, следует организовывать ее защиту.
Действенный механизм защиты информации, составляющей коммерческую тайну от ее разглашения, как инструмента недобросовестной конкуренции на рынке, состоит из двух основных элементов: организационных мер и технических мер защиты информации.
Организационные меры защиты информации подразумевают ограничение доступа к сведениям, важным для компании. Это означает, что каждый сотрудник компании получает возможность работать лишь с теми данными, которые необходимы ему для выполнения своих обязанностей. Таким образом, данные стратегического развития компании будут известны лишь топ-менеджменту и ключевым работникам организации.
Технические меры защиты информации подразумевают использование специальных программ и оборудования, запрещающих просмотр и/или копирование важной электронной информации. Для этого блокируют доступ к жесткому диску или возможность использования сменных цифровых носителей. Такие меры возлагают на системного администратора дополнительные обязанности: сотрудник фирмы обращается к нему, если требуется доступ к секретной информации, мотивируя свой запрос. Таким образом, в случае «утечки» какой-либо информации, системный администратор или другой уполномоченный сотрудник без труда очертит круг подозреваемых.
Если для государственных учреждений, обрабатывающих сведения, составляющие государственную тайну, комплекс мер по обследованию, проверке, аттестации объекта, защите оборудования и т.п. - строго обязательные меры, то для коммерческих организаций - меры могут приниматься выборочно, по желанию заказчика.
Отметим, что обязательная аттестация по требованиям безопасности информации объекта информатизации (автоматизированной системы или защищаемого помещения – далее по тексту - ОИ) необходима не во всех случаях. Обследование, если это позволяет бюджет организации, рекомендуются всегда.
При необходимости могут проводиться специальные исследования, включающие поиск каналов возможной утечки информации - наличие побочных электромагнитных излучений от технических средств, позволяющих осуществлять съем информации на расстоянии, выявление каналов утечки через токопроводящие коммуникации, анализ программного обеспечения и др. Для защиты могут использоваться активные и пассивные средства защиты — акустические, виброакустические, «генераторы шума», специальные сетевые фильтры (не путать с сетевыми фильтрами, предотвращающими поломку оборудования вследствие перепадов напряжения). При защите информации на объектах информатизации рекомендуется использовать программные и технические средства защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00.
Каких-то конкретных технических мер защиты, касающихся именно коммерческой тайны, в нормативных, методических документах регуляторов вы не найдете. Это и понятно. Коммерческая тайна – только ваша тайна и к государству отношения не имеет. Методический документ ещё Гостехкомиссии (ныне ФСТЭК) России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) касательно коммерческой тайны носит лишь рекомендательный характер (в соответствии с Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» коммерческая тайна относится к конфиденциальной информации).
В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.