"Защита государственной тайны является видом основной
деятельности предприятия ..."
Такой, либо почти такой, пункт есть в уставе каждого предприятия, которое
проходило лицензирование на право работы с информацией, составляющей
государственную тайну. Государство выдвинуло требования по защите своей
собственности, создало определенный порядок работы с ней, наделило надлежащими
полномочиями должностных лиц. А зачем все это? А затем, и с этим никто
не будет спорить, что информация эта стоит определенных средств или
если хотите - денег. Денег, потраченных на ее накопление, на научные
исследования, на строительство объектов, создание образцов военной техники
и т.п. На что конкретно - можно прочитать в утвержденном "Перечне
сведений, подлежащих засекречиванию ... ", который имеется на Вашем
предприятии.
Такой подход нам понятен, мы к нему привыкли. Он создавался десятилетиями.
Создавался в государстве, где были только государственные предприятия,
и хранить тайну нужно было исключительно от иностранных государств или
крупных иностранных компаний. Но сейчас мы живем в другой политической
и экономической обстановке, у нас изменилось законодательство, поменялся
уклад жизни. От социалистического соревнования предприятия перешли к
конкуренции. Разве ни у кого из Вас нет примеров, когда секретная документация
на изделие, над которым трудились конструкторы и технологи Вашего предприятия,
при передаче на другое предприятие (через 1-й отдел, как положено),
вдруг превращается в готовое изделие по цене ниже, чем у Вас?
Примеров можно привести много. Целью такого длинного вступления является
желание показать, что проблема защиты конфиденциальной информации существует.
Она существует у ВСЕХ. Мне могут возразить, что закона "О коммерческой
тайне" не существует. Да, не существует! Но проблема то существует,
и сама по себе она не решится. Как же тогда быть? Ответ на данный вопрос
однозначно дать нельзя. Ясно только одно - все должно быть в рамках
правового поля, т.е. созданная на предприятии система обеспечения безопасности
информации, а точнее, ее результаты, должны, в случае необходимости,
приниматься в суде.
В рамках данного вступления, хочу на Ваше рассмотрение представить модель
системы защиты конфиденциальной информации. Мы не претендуем на ее непогрешимость,
но нам она кажется логичной и самоуравновешивающейся.
Прежде чем начать, давайте вместе ответим на несколько вопросов:
1. ЧТО необходимо защищать?
2. СКОЛЬКО оно стоит?
3. от КОГО защищать?
4. Сколько нужно потратить на систему защиты?
5. Как снизить информационные риски?
Вопросов можно задать еще много, но давайте разберемся, как работает
модель.
1. ВЛАДЕЛЕЦ информации определяет перечень информации, которая, на его
взгляд, должна подлежать защите.
Примечание: В этом "Перечне ... " формулировки должны быть
просты, точны и, по возможности, однозначны. И еще одно обязательное
условие - "Перечень ... " изначально не должен противоречить
законодательству. Иначе вся наша система защиты будет не жизненна.
2. ВЛАДЕЛЕЦ направляет данный "Перечень ... " ОЦЕНЩИКУ и АУДИТОРУ
БЕЗОПАСНОСТИ.
Примечание: Желательно, чтобы данные организации были независимы друг
от друга, но имели общий понятийный аппарат. Это позволит с одной стороны
избежать "сговора", а с другой они смогут "говорить на
одном языке".
3. Задача ОЦЕНЩИКА определить стоимость данной информации, и на основании
официальных методик дать заключение о ее ценности. Свои результаты ОЦЕНЩИК
направляет ВЛАДЕЛЬЦУ.
Примечание: ВЛАДЕЛЕЦ вправе принять результаты работы ОЦЕНЩИКА или скорректировать
их в любую сторону. Нюанс состоит в том, что ВЛАДЕЛЬЦУ может быть выгодно
завысить стоимость своей информации.
4. Задача АУДИТОРА заключается в том, чтобы оценить, сколько потребуется
потратить сил и средств (это должно выражаться в денежном эквиваленте)
для получения данной информации и/или ее восстановление в случае утраты.
По другому говоря, необходимо оценить потенциальную уязвимость информации.
Примечание: ВЛАДЕЛЬЦУ выгодно снижать затраты на систему защиты. АУДИТОР,
особенно если он одновременно является поставщиком данной системы, не
заинтересован в том, чтобы эти затраты снижать.
Встает вопрос: "А как же быть? Как найти компромисс между необходимым
и достаточным уровнем потенциальной защищенности?". Выход из этого,
на наш взгляд, заключается в страховании информационных рисков.
5. СТРАХОВЩИК, получив от ВЛАДЕЛЬЦА результаты работы ОЦЕНЩИКА и АУДИТОРА,
проводит анализ страхового риска. Если стоимость информации высока,
а потенциальные затраты на ее получение невелики, то СТРАХОВЩИК либо
вообще откажется страховать данную информацию, либо потребует усилить
защиту, либо повысит сумму страхового сбора, либо снизит сумму страховых
выплат. Все на выбор ВЛАДЕЛЬЦУ. Только он принимает окончательное решение.
Примечание: СТРАХОВЩИК платит при наступлении страхового случая свои
деньги. Поэтому вероятность того, что с ним можно необоснованно "договорится"
практически исключена. Этим и достигается компромисс между стоимостью
информации и затратами на ее защиту.
После того, как стоимость информации и затраты на ее защиту определены,
в работу вступают другие участники процесса: юристы (прорабатывают юридическую
чистоту организационно-технических мероприятий по защите), патентоведы
(закрепляют собственность информации за ВЛАДЕЛЬЦЕМ) и другие.
Чем хороша данная схема? А тем, что участники процесса не могут необоснованно
что-либо сделать. Всегда существует сдерживающий фактор.
И в заключении ... Казалось бы, какое отношение имеет приведенная схема
к теме нашего семинара по подготовке специалистов по информационной
безопасности? Да самое прямое! Мы попытались показать, что процесс обеспечения
безопасности информации не ограничивается рамками исключительно "защиты
информации". В нем должны принимать участие специалисты в области
экономики, юриспруденции, оценки, патентоведения, документоведения,
информационных технологий, управления, страхования и прочих предметных
областях науки и техники.
Нужен КОМПЛЕКСНЫЙ подход к подготовке кадров, обеспечивающих безопасность
информации, объединенных общей идеологией.