Книга: Оперативная деятельность и вопросы конспирации в работе спецслужб. Т. 6
Назад: 3. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФИРМЫ
Дальше: 5. РАБОТА С КАДРАМИ ФИРМЫ

4. ПРЕДОТВРАЩЕНИЕ УТЕЧКИ ИНФОРМАЦИИ И ПЕРЕКРЫТИЕ КАНАЛОВ УТЕЧКИ

Каналы утечки информации в случае запуска новой продукции разнообразны. К ним могут относиться следующие ситуации:
— мало кто знает, как запускать новую продукцию. Вы полагаете, что на этой стадии информация представляет собой тайну. Не следует заблуждаться. Большая часть информации уже прошла через те этапы, где утечка вероятна и даже возможна: решения финансистов, покупаемые или заявленные патенты и т. п. Во все эти операции вовлечено много людей, что делает совершенно невозможным полное соблюдение секретности;
— создается подразделение или команда для наблюдения за сбытом продукции. О ее существовании хорошо известно всем сотрудникам фирмы. Новые действия членов такой команды расширяют круг посвященных;
— делается сообщение, публикуется информация;
— выпускается продукция. Все могут ее купить. Общество защиты прав потребителей имеет право исследовать и сравнивать с другой подобной продукцией. Конкуренты в такой ситуации имеют возможность детально знакомиться с продукцией и изделиями фирмы. Все характеристики продукции и изделий становятся достоянием общественности;
— продукция фиксируется, классифицируется и, возможно, даже становится статистическим объектом;
— продукция исчезает, ее место занимает новая.
Выделение необходимого источника для получения информации позволяет в большинстве случаев добраться к информации напрямую.
Прежде чем представлять, что утечка информации происходит в результате подслушивающего устройства на телефонной линии, разумнее предусмотреть и проверить следующие возможности:
— проанализировать состояние архивов, информационных систем всех видов договорной практики, перечень клиентуры, привлекаемой фирмой для поставок, сбыта, разработки отдельных деталей и направлений при создании новой продукции, порядок размножения документов, методы сбора и уничтожения отходов производства и бумажных носителей информации;
— краны, управляющие выходом потока информации, чаще открыты больше, чем необходимо;
— центры распределения информации (телефонистки, секретариат, вспомогательный персонал руководства фирмы).
Это самые рискованные точки, они многочисленны и поддаются контролю с трудом.
Для обеспечения этих точек мероприятиями по обеспечению безопасности фирмы можно рекомендовать следующие меры:
— установить в фирме режущий аппарат и в обязательном порядке по окончании рабочего дня уничтожать в нем все ненужные документы;
— управлять конфиденциальностью данных в компьютерах, приняв специальный код;
— контролировать доступ к компьютеру извне, запретить на протяжении определенного времени пользование и задать сигнал тревоги, если введенный код неверен или введен ошибочно. Это способствует предотвращению кражи данных и защищает всю систему от разрушения;
— периодически делать копии охраняемой информации и помещать их в надежное место;
— ограничить выход информации до минимума;
— для введения в заблуждение лица, предпринимающего попытку несанкционированного доступа, информацию можно подвергнуть некоторой упаковке: подинформация дается информация правдивая, но разрозненная или неполная, или слишком общая, информация ложная; сверхинформация — дается большое количество информации, но часть ее является бесполезной или ложной, но все это делается так, чтобы невозможно было это обнаружить;
— ограничить места приема посетителей и не оставлять их одних от момента прихода до выхода из помещений фирмы;
— не злоупотреблять набором стажеров и временных сотрудников которые часто имеют доступ к огромному количеству информации. Следует остерегаться «студентов» в возрасте от 30 лет и старше;
— дать указание телефонистке, секретарям-референтам и другим техническим сотрудникам осаждать лиц, обнаруживающих интерес к информации, которая не относится к их выполняемым должностным обязанностям. Следует пользоваться правилом: каждый должен знать только то, что необходимо для выполнения полученного им задания;
— закрывать на ключ все важные документы в конце рабочего дня. Это правило должно применяться со всей строгостью во всех структурах, работающих с документами фирмы, содержащими секретную и конфиденциальную информации, коммерческую тайну;
— телефоны, факсы, телефаксы должны рассматриваться с точки зрения безопасности передачи информации, т. к. эти каналы легко подвергаются перехвату и могут служить каналом утечки важной для фирмы информации.
Источниками получения информации о фирме могут быть:
— сбор информации, содержащейся в средствах массовой информации;
— использование сведений, распространяемых служащими конкурирующих фирм;
— биржевые документы и отчеты консультантов, финансовые отчеты и документы, находящиеся в распоряжении маклеров, выставочные экспонаты и проспекты, брошюры конкурирующих фирм, отчеты коммивояжеров своей фирмы;
— изучение продукции конкурирующих фирм, использование данных, полученных во время бесед со служащими конкурирующих фирм без нарушения законов;
— замаскированные опросы и «выуживание» информации у служащих конкурирующих фирм на научно-технических конгрессах;
— непосредственное наблюдение, осуществляемое скрытно;
— беседы о найме на работу со служащими конкурирующих фирм, создавая при этом условия, требующие от кандидата показать максимально свое знание профессии на фоне деятельности в конкурирующей фирме. При этом опрашивающий совершенно может быть не намерен принимать данного человека на работу в свою фирму;
— так называемые ложные «переговоры» с фирмой-конкурентом относительно приобретения лицензии и по другим вопросам;
— наем на работу служащего конкурирующей фирмы или лица, занимающегося ключевой деятельностью в фирме-конкуренте;
— наем на работу служащего конкурирующей фирмы для получения требуемой информации;
— подкуп служащего конкурирующей фирмы для получения необходимой информации;
— использование агента для получения информации на основе платежной ведомости фирмы-конкурента;
— подслушивание переговоров в помещениях и по телефонным каналам;
— перехват телеграфных сообщений;
— кража чертежей, образцов, документации и т. п.;
— шантаж и вымогательство.
При этом каналами утечки информации могут быть:
— персонал, имеющий доступ к конкретной информации;
— документы, составленные на основе использования необходимой информации;
— технические средства системы обработки информации, в том числе линий связи, по которым она передается.
Необходимо отметить, что персонал — один из главных каналов утечки информации. Следует обращать внимание как на вновь пришедших на работу, так и на тех, кто подлежит увольнению. Эти люди нередко находятся в ситуациях, благоприятных для утечки информации. Объектами особой заботы фирмы при перекрытии каналов утечки информации являются:
— патентно-лицензионный отдел;
— отдел стандартизации и сертификации;
— отдел сбыта;
— научно-исследовательские и научно-производственные подразделения фирмы;
— архивы фирмы;
Сотрудники фирмы должны четко знать, что можно, а чего нельзя говорить. Нельзя забывать о поставщиках и контрагентах, у которых, как правило, отсутствуют необходимые меры по защите информации фирмы. Утечка может произойти и вследствие недостаточного контроля за посетителями.
Крайне опасно для фирмы повышенное внимание к ее коммерческим секретам со стороны специалистов, занимающихся промышленным шпионажем на регулярной основе. Обычной практикой для профессионалов подобного рода являются тайные противоправные вторжения в лаборатории и сейфы фирмы, конструкторские бюро, хранилища конфиденциальной информации и коммерческой тайны, бланки данных ПК и сферу руководства. Опытный промышленный шпион может сам проникнуть в фирму, но чаще всего для этого подбирается кто-либо из фирмы, владеющий ее секретами. Это ставит задачу как организации физической охраны фирмы, так и постоянную работу с кадрами с целью предотвращения возможной вербовки ее персонала или своевременного получения информации о попытках проникновения к секретам фирмы.
Если обнаруживается утечка информации из фирмы, следует обратить внимание на телефонные каналы и с учетом особенностей их функционирования (параллельное подключение, наличие в здании других структур) проанализировать ситуацию. При анализе сначала необходимо дать ответ на вопросы, кто может организовать прослушивание телефонных разговоров в вашем офисе и с какой целью, за кем из сотрудников фирмы может осуществляться телефонный контроль, какая информация может интересовать конкурентов фирмы, какие телефонные аппараты могут находиться на контроле и в какое время. После получения ответов на вышеперечисленные вопросы можно будет организовать эффективное противодействие конкурирующим фирмам и преступным группам. Прежде всего необходимо определить порядок ведения деловых разговоров по телефону, определить круг лиц, допускаемых к внутренним секретам фирмы, запретить сотрудникам вести служебные переговоры по домашним телефонам.
Необходимо разработать во время ведения разговоров по телефону систему условностей и сознательной дезинформации. Не следует называть фамилию или имя собеседника, если это возможно. Назначая время и место предстоящей встречи, переходите на условности. Следует приучить к определенному порядку ведения телефонных переговоров членов семьи руководящего состава фирмы и ключевых разработчиков продукции фирмы. Вышеуказанные руководители и сотрудники, а также члены их семей не должны по телефону сообщать информацию о том, где будут находиться и когда намерены возвращаться домой. О всех фактах, указывающих на ведение слежки за фирмой, следует немедленно сообщить руководству фирмы «Альфа и К°» и в дальнейшем поступать в соответствии с их указаниями и рекомендациями.
С целью затруднения конкурентам установить слуховой контроль за помещениями и телефонными линиями связи, используемыми фирмой, необходимо предусмотреть следующее:
— для защиты телефонных каналов связи телефонная распределительная коробка фирмы должна находиться в помещении фирмы и контролироваться периодически специалистами службы безопасности;
— для ремонта телефонных аппаратов следует приглашать проверенных специалистов. В случае, если прибывший специалист вам не знаком, необходимо попросить у него служебное удостоверение, после чего позвонить на узел связи и удостовериться, что у них действительно работает такой специалист и именно он получил наряд на выполнение конкретных работ в фирме;
— необходимо периодически привлекать специалистов для контроля телефонных аппаратов и линий связи.
Шифрование информации является достаточно приемлемым способом для перекрытия канала утечки информации на используемых фирмой каналах связи, но эта мера становится неэффективной в случае, если сотрудники фирмы будут нарушать правила ведения переговоров по телефонным каналам связи. Подробно по данному вопросу изложено в разделе «Информационная безопасность».
Необходимо учитывать, что в некоторых импортных факсаппаратах заложена возможность акустического контроля помещения. Зная определенный код доступа, можно позвонить с любого телефонного аппарата с тональным набором номера и послушать, что происходит в кабинете или в квартире. Наличие такого факса полностью освобождает злоумышленников от необходимости устанавливать в этом помещении подслушивающие устройства или контролировать телефонные каналы связи.
Значительная утечка коммерческой информации происходит в ходе ведения переговоров. Еще до начала переговоров сотрудник должен четко представлять, какую информацию он имеет право передавать или использовать в ходе переговоров.
В кабинетах Генерального директора и 1-го заместителя Генерального директора необходимо организовать противодействие техническим средствам получения несанкционированной информации (скрэмблеры). Вышеуказанные кабинеты, комната переговоров, патентно-лицензионный отдел и отдел стандартизации должны периодически проверяться на наличие в них специальной аппаратуры для несанкционированного получения информации фирмы. Перед началом совещания, на котором предполагается обсуждать основные производственные и научные проблемы, другие вопросы, представляющие интерес для конкурентов фирмы, необходимо тщательно проверить это помещение на наличие подслушивающих устройств. В этом помещении должны отсутствовать телефоны, факсы, все виды сигнализаций, заблокированы выходы электроснабжения, радиоточки, бытовые и специальные приемники и передатчики, электронное оборудование, которое можно использовать в микрофонном режиме или в качестве радиопередатчика с различными радиусами действия. Нет смысла тщательно проверять любое помещение перед заседанием, если кофе в помещение подается непроверенным сотрудником без соответствующего наблюдения.
Устав фирмы, коллективный договор, заключаемые контракты с сотрудниками, инструкции и положения должны предусматривать ответственность сотрудников фирмы за создание условий для утечки информации и ущерб, который может быть нанесен фирме в этом случае. В этом направлении должна быть проведена работа с персоналом фирмы, ограничен доступ к информации, составляющей коммерческую тайну или конфиденциальную информацию. Делопроизводство должно вестись с учетом возможных попыток хищения информации фирмы.
Сотрудник, приступая к выполнению своих обязанностей, должен быть проинформирован:
— о порядке и процедуре отнесения материалов, документов и изделий к коммерческой тайне предприятия;
— о правилах, связанных с доступом к информации, отнесенной к коммерческой тайне фирмы;
— об обязанностях и ограничениях, налагаемых на исполнителей, допущенных к сведениям, составляющим коммерческую тайну и конфиденциальную информацию фирмы;
— о правилах обращения с материалами, содержащими коммерческую тайну фирмы;
— о порядке приема представителей других предприятий и передачи им информации, отнесенной к коммерческой тайне и конфиденциальной информации фирмы;
— об ответственности за разглашение сведений, составляющих коммерческую тайну фирмы, нарушение установленного порядка обращения с ними.
Работа фирмы должна быть организована таким образом, чтобы каждый имел возможность получить лишь тот минимум информации, который необходим ему в ходе выполнения своих обязанностей. В любой ситуации решение о предоставлении права знакомиться с информацией, не входящей в круг повседневных обязанностей сотрудника должен принимать руководитель соответствующего уровня, который несет в соответствии с таким решением ответственность за последствия этого решения.
При организации делопроизводства следует ввести отличительные отметки, указывающие на степень секретности информации фирмы. Эти отметки:
— не должны совпадать с используемыми в сфере защиты государственных секретов;
— они должны быть понятны только сотрудникам фирмы и не привлекать к себе внимания посторонних лиц;
— количество грифов должно быть определено Генеральным директором, решение которого определяется приказом по фирме;
— фирма должна исповедовать правило «политики чистых столов».
Назад: 3. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФИРМЫ
Дальше: 5. РАБОТА С КАДРАМИ ФИРМЫ