Информационная безопасность предприятия

Особое место в комплексе защитных методов на превентивном этапе защиты государственного или муниципального предприятия принадлежит обеспечению информационной безопасности. Всё больше эффективность экономической безопасности предприятия зависит от его информационной безопасности.

Особую роль в защите информации предприятий имеет правовое и нормативное обеспечение. В России правовая защита информации регулируется государственными, ведомственными и корпоративными актами и нормативными документами, а также трудовым контрактом работника предприятия, определяющими перечень сведений, подлежащих охране, и меры ответственности за их разглашение. В зависимости от характера информации, её доступности заинтересованным потребителям, а также экономической целесообразности защитных мер могут быть избраны следующие формы защиты информации: патентование, авторское право, признание сведений конфиденциальными, товарные знаки, нормы обязательственного права. Понятие «коммерческая тайна» не включает охраняемые государством сведения, общедоступные сведения, патенты, товарные знаки, сведения о негативной стороне деятельности предприятия, учредительные документы и сведения о хозяйственной деятельности предприятия.

К разряду преступлений в информационной и экономической сферах деятельности относятся:

- сбор сведений, составляющих коммерческую или банковскую тайну, путём похищения документов, подкупа или угроз, а также иным незаконным способом (ч. 1 ст. 183 УК РФ);

- незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца (ч. 2 ст. 183 УК РФ);

- незаконное использование чужого товарного знака, знака обслуживания, наименования, места происхождения товара или сходных с ним обозначений для однородных товаров (ч. 1 ст. 180 УК РФ);

- незаконное использование предупредительной маркировки (ч. 2 ст. 180 УК РФ);

- использование в рекламе заведомо ложной информации относительно товаров, работ и услуг, а также их изготовителей, исполнителей, продавцов (ст. 182 УК РФ).

Защита информации может осуществляться в форме, находящейся за пределами юрисдикции (самозащита прав и законных интересов), в юридической форме (в административном или судебном порядке), в административном порядке (через подачу жалобы лицом, чьи права нарушены).

Мероприятия по защите информации от разглашения, утечки и несанкционированного доступа классифицируются по различным критериям. По способам действия их можно подразделить на предупреждение, выявление, пресечение и возмещение ущерба или иных убытков. По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные её элементы. В зависимости от масштабности защитных мероприятий они классифицируются как объектовая, групповая или индивидуальная защита.

Организация защиты информации в системе обеспечения экономической безопасности предприятия включает формы и методы регламентации производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией. Организация защиты информации состоит в упорядочении охраны, режима использования информации, работе с кадрами, с документами, в использовании технологий и технических средств обеспечения экономической безопасности, в информационно-аналитической деятельности по выявлению внутренних и внешних экономических угроз.

К основным организационным мероприятиям предлагается отнести[74]:

- формирование режима охраны для исключения возможности тайного проникновения на территорию и размещения информационных ресурсов;

- работу с сотрудниками при подборе и расстановке персонала;

- работу с документами и документальной информацией, включая разработку и использование документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

- использование технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- анализ внутренних и внешних угроз конфиденциальной информации и меры по ее защите;

- систематический контроль за работой персонала с конфиденциальной информацией, учетом, хранением и уничтожением документов и технических носителей.

Организация защиты компьютеров, информационных систем предприятия определяет порядок и схему функционирования основных её подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль, так как несанкционированный доступ и утечка информации обусловлены чаще всего злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с технологиями защиты информации и техническими методами, имеют цель уменьшить или полностью устранить потери при действии различных нарушающих факторов.

Одно из важнейших организационных мероприятий предприятия - создание специальной службы защиты информации в виде администратора безопасности сети и администратора распределённых баз и банков данных, содержащих сведения конфиденциального характера. Организационные меры – решающее звено формирования и реализации комплексной защиты информации.

Конкретные методы, способы и приёмы защиты информации используются в зависимости от её специфики, особенностей конкурсных угроз, а также от степени возможного ущерба в случае утечки, хищения или уничтожения информации. Конкретные методы, способы и приёмы защиты информации изложены в специальной литературе[75].

Для оценки возможной угрозы недружественного поглощения требуется анализ значительного числа факторов, сведений, данных, другой внешней информации. При всем их многообразии существуют некоторые характерные индикаторы, позволяющие с высокой вероятностью утверждать, что в отношении предприятия в ближайшем будущем будет предпринята попытка враждебного захвата. Некоторые индикаторы уже рассматривались при анализе действий агрессоров в ходе сбора информации в отношении компании – цели. Эти индикаторы дают веские основания предполагать, что предприятие уже попало в поле зрения компании-агрессора, однако потенциальный интерес к компании-цели можно выявить и на более ранних стадиях. Чем раньше удастся понять, что к предприятию скоро будет проявлен нежелательный интерес, тем больше у него возможностей для защиты.

Многие операции в ходе реализации проекта по недружественному поглощению осуществляются скрытно, менеджмент компании-цели и ее основные акционеры могут только предполагать, какие действия уже совершил агрессор. Чтобы быть готовым к отражению атаки, необходимо внимательно следить за тем, что происходит вокруг компании-цели. Практический опыт позволяет привести довольно полный список оснований, по которым можно утверждать, что в отношении предприятия будет предпринята попытка захвата.

1. Наиболее явное основание – прямые предложения акционерам о продаже акций или доли, поступившие со стороны. Многие из захватчиков придерживаются следующей тактики: сначала предлагают продать акции или долю, а потом с помощью различных способов вынуждают это сделать. Если такие предложения поступили, не надо ни в коем случае сразу и наотрез отказывать, полезно взять тайм-аут для размышления и немедленно начать осуществление защитных мероприятий.

2. Другое важное обстоятельство, на которое необходимо обратить внимание, - факты недружественных поглощений аналогичных предприятий в отрасли или предприятий, находящихся на сопредельных территориях. Как правило, агрессор осуществляет серию захватов компаний-целей, работающих в одной отрасли или расположенных по соседству. В первом случае конечная цель заключается в формировании отраслевого холдинга, а во втором – в приобретении прав на интересный земельный участок. В такой ситуации не стоит дожидаться прямых предложений о продаже акций или доли, а сразу же приступать к защите предприятия.

3. Если предприятие – звено в технологической цепочке и в отрасли создается крупный холдинг, контролирующий все этапы производства, то можно также с уверенностью утверждать, что в ближайшем будущем предприятие подвергнется попытке недружественного поглощения. В этом случае агрессор будет особенно активен, так как его задача – любой ценой поглотить компанию-цель.

4. Косвенно на угрозу скорого нападения может указывать внезапно изменившееся отношение к компании-цели местных властей. Например, налоговая инспекция, раньше мирившаяся с большими недоимками, неожиданно предъявляет требование об уплате всех задолженностей, угрожая банкротством.

5. Серьезную угрозу для компании-цели представляет и планируемая приватизация государственного пакета акций, особенно если этот пакет достаточно большой. Не стоит оставлять без внимания аукцион по продаже пакета акций, в нем необходимо принимать активное участие и постараться победить.

6. Очевидную угрозу для компании-цели представляет большое число сделок с мелкими пакетами акций, совершенных на внебиржевом рынке.

Таким образом, служба информационной безопасности, осуществляя постоянный мониторинг ситуации вокруг предприятия, способна предупредить о возможном нападении задолго до начала непосредственных агрессивных действий. В современных условиях об этом нельзя забывать. В противном случае предприятие может легко стать жертвой корпоративных захватчиков.