Источники, которые содержат информацию конфиденциального характера обладают своей определенной спецификой и соответственно требует отдельного внимания при разработке системы защиты. Обычно, источники конфиденциальной информации не получают должной защиты, либо все внимание уделяется определенному источнику, в то время как остальные остаются практически открытыми. Определить, какой из источников наиболее важен весьма сложно. Это зависит от индивидуальных особенностей предприятия. Да и к тому же для злоумышленников важен результат, а не то из какого источника он получен. Поэтому необходимо защищать все источники, даже те которые считаются наименее важными.
Источниками информации, являющимися коммерческой тайной, а, следовательно, потенциальными источниками утечки на анализируемом предприятии ООО "Рутен" являются:
1. Документация предприятия (входящие-исходящие, приказы, бизнес планы, деловая переписка и т.п.);
Документы - это самая распространенная форма обмена информацией, ее накопления и хранения. Документ отличает то, что его функциональное назначение довольно разнообразно. Важной особенностью документов является то, что он иногда является единственным источником важнейшей информации (например, контракт, долговая расписка и т.п.), а, следовательно, их утеря, хищение или уничтожение может нанести непоправимый ущерб. Совокупность документов предприятия имеет разветвленную структуру и является предметом отдельного рассмотрения, т.к документ может быть представлен не только различным содержанием, но и различными физическими формами - материальными носителями.
Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, естественно, привлекает их внимание к возможности получения интересующей информации.
Несмотря на то, что не всякий документ содержит коммерческую тайну, необходимость в их учете, тем не менее, существует. Не бывает важных и не важных документов. Любой, даже самый малозначительный документ, при определенном стечении обстоятельств может оказаться чрезвычайно важным. Организация контроля за документацией предприятия позволит избежать путаницы и неразберихи в дальнейшем, ведь, работа любого предприятия связана с огромным объемом рабочих документов. Кроме того, надлежащая система учета и контроля предотвратит многие проблемы, причем не только из области безопасности. Известны многочисленные случаи, когда утеря или случайное уничтожение финансовых и деловых документов наносила колоссальный ущерб предприятию.
Обобщенно систему контроля и учета документов можно представить в следующем виде:
1. Учет всей документации предприятия с классификацией по сфере применения, дате, содержанию и т.п.
2. Регистрация и учет всех входящих/исходящих документов предприятия с фиксацией в специальном журнале информации о дате получения/отправления документа, откуда поступил, или куда отправлен, классификация (письмо, счет, договор, приглашение и т.п.).
3. Регистрация документов, с которых делаются копии с фиксацией в специальном журнале (дата копирования, количество копий, для кого или с какой целью производятся копии и т.п.).
4. Особый режим уничтожения документов. Перед уничтожением документов необходимо проконтролировать их содержание во избежание случайного уничтожения нужных документов. Важно, чтобы документы не просто выбрасывались в корзину, а предварительно измельчались при помощи "шредера" (уничтожителя бумаги) или в ручную таким образом, чтобы их невозможно было бы восстановить. Документы, имеющую особую ценность, после измельчения целесообразно сжечь. Об уничтожении документов в обязательном порядке составляется акт, который подписывается ответственным лицом, а также лицами присутствующими при уничтожении.
Для облечения системы контроля все документы следует разделить на три категории: документы общего пользования; документы для служебного пользования; документы секретного характера.
Различные категории документов отличаются друг от друга не только назначением, но и кругом лиц, имеющих доступ к ним. Каждой категории необходимо присвоить свой гриф. Это можно сделать при помощи штампов, специальных отметок, а можно и просто при помощи цвета (например, документы общего пользования - белого цвета, документы служебного - желтые, а секретные - красного).
Важно, чтобы эта система была реализована и успешно применялась. Для этого необходимо провести соответствующую разъяснительную работу с персоналом, а также провести необходимый инструктаж.
В ООО "Рутен" работа по контролю за документами поручена отдельному сотруднику - секретарю, однако в идеале этим должна заниматься группа режима службы безопасности предприятия.
Кроме того, целесообразно также принятие соответствующего положения регламентирующего режим документооборота предприятия. В данном положении необходимо отразить правила работы с документами, а также особенности работы с документацией носящей конфиденциальный характер. На анализируемом предприятии этот документ только в разработке.
К любому исчезновению или уничтожению документов, особенно содержащих важную информацию, необходимо отнестись со всей серьезностью. В этом случае, в обязательном порядке на предприятии проводится внутреннее расследование. Результаты расследования анализируются, если необходимо, лица, виновные в утере документов, привлекаются к дисциплинарной ответственности, а в необходимых случаях лишаются доступа к документам, содержащих коммерческую тайну. Важно, чтобы расследование не стало формальностью, а из его результатов были сделаны надлежащие выводы и допущенные ошибки исправлены в максимально короткое время.
Кроме того, случаи утери или уничтожения документов в дальнейшем могут использоваться в качестве примера при инструктаже сотрудников и работе службы безопасности.
В ООО "Рутен" ведется регистрация и учет всех входящих/исходящих документов предприятия с фиксацией в специальном журнале информации о дате получения/отправления документа, откуда поступил, или куда отправлен, классификация (письмо, счет, договор, приглашение и т.п.).
На ООО "Рутен" применяются следующие правила предосторожности при работе с документами:
не надо делать ненужных копий документов;
черновики и наброски секретных документов должны быть уничтожены;
секретные документы хранятся отдельно от остальных, в изолированном помещении с ограниченным доступом в сейфе;
копировальная техника не неходится в одном помещении с документами, представляющими коммерческую ценность для того, чтобы исключить их несанкционированное копирование;
нельзя оставлять документы на рабочем месте без присмотра, даже на короткое время;
нельзя, чтобы посторонние лица читали рабочие документы, находящиеся на столе или в кабинете работника. При появлении постороннего лица документы должны быть убраны в хранилище, шкаф, ящик стола;
установлен запрет на вынос работниками документов за пределы предприятия без предварительного разрешения лица, ответственного за сохранность коммерческой тайны.
2. Рабочий персонал или просто люди (в это понятие входят все без исключения работники предприятия, в том числе и сам директор);
Люди в ряду источников конфиденциальной информации занимают особое место как активный элемент, способный выступать не только источником, но и субъектом злонамеренных действий. Люди являются и обладателями, и распространителями информации в рамках своих функциональных обязанностей. Кроме того, что люди обладают информацией, они еще способны ее анализировать, обобщать, делать соответствующие выводы, а также, при определенных условиях, скрывать, продавать и совершать иные криминальные действия, вплоть до вступления в преступные связи со злоумышленниками.
3. Партнеры, контрагенты или клиенты, пользующиеся или пользовавшиеся услугами ООО "Рутен", являются наиболее осведомленными источниками, зачастую обладающими важнейшими секретами. Поэтому они заслуживают отельного внимания при анализе системы защиты.
Важнейшей функцией службы безопасности ООО "Рутен" является всесторонняя проверка контрагентов. Причины, которые снижают надежность контрагента и могут явиться основаниями для отказа от подписания договора с ним:
отсутствие у фирмы собственного помещения (фирма арендует помещение, причем недавно);
отсутствие работников, в штате - лишь одни руководители;
отсутствие движения денежных средств по счету;
фирма обслуживается в ненадежном банке;
фирма несвоевременно рассчитывается с бюджетом, банками, срывает сроки поставки и т.п.
фирма зарегистрирована в оффшорной зоне;
несовпадение юридического адреса фирмы и фактического местонахождения, прописка руководителя фирмы в другом регионе;
негативная информация о руководителе фирмы.
Служба безопасности внимательно анализирует учредительные и иные документы контрагента, желательно с проведением их экспертизу. Криминалистическая экспертиза документов производится прежде всего на предмет установления их подлинности и отсутствия признаков подделки, таких как: подчистки; дописки; травление; допечатки на пишущих машинках; подделки печатей и штампов; подделки подписей.
4. Производимая продукция или оказываемые услуги. Продукция является особым источником информации, за характеристиками которой весьма активно охотятся конкуренты. Особого внимания заслуживает клиентская база в оптовом отделе ООО "Рутен".
5. Технические средства обеспечения производственной деятельности. Технические средства как источники конфиденциальной информации являются широкой и емкой в информационном плане группой источников. В группу средств обеспечения производственной деятельности входят самые различные средства, такие, в частности, как телефоны и телефонная связь, телевизоры и промышленные телевизионные установки, радиоприемники, радиотрансляционные системы, системы громкоговорящей связи, усилительные системы, кино системы, охранные и пожарные системы и другие, которые, по своим параметрам, могут являться источниками преобразования акустической информации в электрические и электромагнитные поля, способные образовывать электромагнитные каналы утечки конфиденциальной информации.