в-четвертых, своевременного информирования правоохранительных органов.
5. Коммерческая тайна и персонал. Организация работы с документацией на предприятии
В деле защиты предпринимательской деятельности от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Это процесс предполагает проведение превентивных и текущих мер, направленных на работу с кадрами. Важность работы с персоналом определяется тем, что в случае желания сотрудника разгласить сведения (в силу корыстных или других мотивов), являющиеся коммерческой тайной, воспрепятствовать этому не смогут никакие, даже дорогостоящие средства защиты. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала (6).
Угрозы экономической безопасности фирмы со стороны, например, конкурентов, реализуемые через ее персонал, могут принимать такие формы как:
· переманивание сотрудников, владеющих конфиденциальной информацией;
· ложные предложения работы сотрудникам конкурентов с целью выведывания информации;
· выведывание конфиденциальных сведений у сотрудников в такой форме, что последние не догадываются о цели вопросов;
· прямой подкуп сотрудников фирм-конкурентов;
· засылка агентов к конкурентам;
· тайное наблюдение за сотрудниками конкурентов.
Организация эффективной защиты экономической безопасности фирмы со стороны персонала включает три основных этапа работы с сотрудниками, допущенными к конфиденциальной информации:
· предварительный (в период предшествующий приему на работу);
· текущий (в период работы сотрудника);
· заключительный (во время увольнения сотрудника).
Предварительный этап является наиболее ответственным и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, целесообразнее всего соблюсти следующую технологию приема.
Прежде всего, на основании должностной инструкции и особенностей деятельности разрабатываются требования к кандидату на должность. Они включают не только формальные требования – пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить – какой работник необходим фирме, а самому кандидату – сопоставить собственные качества с требующимися.
Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидатом могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. К ним относятся:
· обращение в службы занятости, агентства по найму рабочей силы и прочие аналогичные организации;
· поиск кандидатов среди студентов и выпускников высших учебных заведений;
· подбор кандидатов по рекомендациям фирм-партнеров;
· подбор кандидатов по рекомендациям надежных сотрудников фирмы.
Подбор, основанный на случайном обращении кандидатов непосредственно в фирму, может представлять угрозу ее экономической безопасности в будущем. Целесообразно, особенно при случайном подборе кандидата, произвести запрос на предыдущее место работы с целью получения характеристики его морально-деловых качеств, а также данных о погашенных судимостях.
Для более полного ознакомления с личностью кандидата имеется возможность воспользоваться услугами органов внутренних дел. Органы внутренних дел предоставляют сведения о наличии (отсутствии) судимости кандидата и о лицах, находящихся в розыске.
После ознакомления с документами кандидата (личными документами, об образовании, прежней должности и стаже работы, характеристиками и рекомендациями), а последнего – с требованиями к нему и признания обоюдного соответствия, производится собеседование работника кадровой службы фирмы с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.
В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:
· трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;
· договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).
Непосредственная деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.
В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.
Эффективным способом защиты информации, особенно если фирма имеет ряд производств (цехов, подразделений, участков), является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными обязанностями работников. Посещение же "закрытых" территорий производится только с разрешения руководства.
Оригинальным приемом защиты информации, используемым некоторыми фирмами, является разбиение однородной информации на отдельные самостоятельные блоки и ознакомление сотрудников только с одним из них, что не позволяет работникам представить общее положение дел в данной сфере.
Третий этап – увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.
6. Компьютерная безопасность информационных носителей
Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом. И напротив, искажение информации, блокирование ее получения, использование недостоверных данных ведут к ошибочным решениям.
Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера. Темпы прогресса сегодняшнего, а тем более завтрашнего дня в значительной мере зависят от состояния дел в области информационно-вычислительного обслуживания важнейших сфер деятельности – науки, техники, производства и управления.
Особенно актуальна проблема использования экономической информации в сфере управления материальным производством, где рост информационного потока находится в квадратичной зависимости от промышленного потенциала страны. В свою очередь, быстрое развитие процессов автоматизации, использование компьютеров во всех сферах современной жизни, помимо несомненных преимуществ, повлекли появление ряда специфичных проблем. Одна из них – необходимость обеспечения эффективной защиты информации. Исходя из этого создание правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, а также защита этой информации становятся важнейшим аспектом информационной политики государства. Защита информации, особенно в экономической сфере, – очень специфический и важный вид деятельности.
Представляют интерес сведения о проблемах защиты данных, приведших к материальным потерям в компаниях США:
Ø сбои в работе сети (24%);
Ø ошибки программного обеспечения (14%);
Ø компьютерные вирусы (12%);
Ø неисправности в компьютерах (11%);
Ø хищение данных (7%);
Ø саботаж (5%);
Ø несанкционированное внедрение в сеть (4%);
Ø прочие (23%).
Бурное развитие и распространение компьютерных систем и информационных сетей, обслуживающих банки и биржи, сопровождается ростом правонарушений, связанных с кражами и неправомочным доступом к данным, хранящимся в памяти компьютеров и передаваемым по линиям связи.
Компьютерные преступления происходят сегодня во всех странах мира и распространены во многих областях человеческой деятельности. Они характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел. Правонарушения в сфере компьютерной информации могут совершаться в форме:
Ø махинаций путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды;
Ø компьютерного шпионажа и кражи программного обеспечения;
Ø компьютерных диверсий;
Ø кражи услуг (времени), неправомерного использования систем обработки данных;
Ø неправомерного доступа к системам обработки данных и «взламывания» их;
Ø традиционных преступлений в сфере бизнеса (экономики), совершаемых с помощью систем обработки данных.
Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют хакеры и крэкеры, проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крэкеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами. За последние десятилетия в странах бывшего СССР появилась мощная генерация высоко подготовленных потенциальных хакеров, работавших в организациях и ведомствах, занимавшихся информационным пиратством на государственном уровне для использования полученной с Запада информации в военных и экономических интересах.
Что же крадут хакеры? Потенциальным объектом может служить любая информация, заложенная в ЭВМ, проходящая по вычислительным сетям или находящаяся на носителях ЭВМ и способная принести прибыль хакеру или его работодателю. К данной информации относятся практически все сведения, составляющие коммерческую тайну фирм, начиная от разработок и ноу-хау и заканчивая платежными ведомостями, по которым легко «вычислить» оборот фирмы, количество сотрудников и т.д.
Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.
Крэкеры – «компьютерные террористы» – занимаются порчей программ или информации с помощью вирусов – специальных программ, обеспечивающих уничтожение информации или сбои в работе системы. Создание «вирусных» программ –дело весьма прибыльное, так как некоторые фирмы-производители используют вирусы для защиты своих программных продуктов от несанкционированного копирования.
Для многих фирм получение информации с помощью внедрения к конкурентам хакера-программиста – дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры – дело дорогостоящее и опасное. К тому же фирма-конкурент при обнаружении технических средств может в ответ затеять игру, давая ложную информацию. Поэтому свой хакер-программист в «стане врага» – наиболее надежный способ борьбы с конкурентами.
Таким образом, всевозрастающая опасность компьютерной преступности, прежде всего в финансово-кредитной сфере, определяет важность обеспечения безопасности автоматизированных информационных систем.