Любой бизнес – это прежде всего информация. Чаще всего информация уникальная, секретная и желанная для конкурентов. Как защитить ее от несанкционированного использования и сохранить в недрах ювелирного предприятия, какие правила работы и хранения предусмотрены и что бывает из-за их нарушения, рассказывают эксперты.
Тема работы с информацией на ювелирных предприятиях любого уровня является одной из наиболее закрытых, и владельцы компаний настоящими Церберами встают на страже ее конфиденциальности и непубличности. Когда «Навигатор ювелирной торговли» только заявлял эту тему, мы догадывались, с какими сложностями придется столкнуться, но оценить их масштаб в полной мере смогли лишь в процессе работы. Не только ювелирные предприятия не готовы делиться «информацией об информации», но и профессиональные объединения старательно обходят эту тему в разговорах с журналистами: признавая ее важность и актуальность, они тем не менее от комментариев отказываются.
Однако, несмотря на все сложности и степень высочайшей засекреченности данной темы, нам все же удалось с помощью нескольких компетентных экспертов разобраться в том, какая информация представляет наибольшую ценность для ювелирного предприятия, как с ней работать, чтобы не допустить утечки, и что делать, если утечка все же произошла.
Что такое информационная безопасность
Итак, разберемся сначала с самим понятием «информационная безопасность».
Согласно определениям из открытых источников, информационная безопасность компании – это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.
Проблема создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современной организации, является весьма актуальной. Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью, которую можно получить от ее (информации) использования. В то же время вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты. Проникновение может быть осуществлено как извне (хакерские атаки на компьютерные системы предприятия, взлом базы данных или физическое проникновение), так и изнутри предприятия – недобросовестные сотрудники, случайные утечки и т.п. Чтобы избежать информационной угрозы, необходимо соблюдать ряд правил. Но сначала давайте разберемся, что же относится к понятию «секретная информация» на ювелирном предприятии.
Виды и подходы
В зависимости от типа ювелирного предприятия – розничная торговля, оптовые поставки, производство – меняется и тип информации, подлежащей особо бережному хранению. Сюда, безусловно, относятся все клиентские базы, финансовая документация, авторские эскизы ювелирных изделий, маркетинговые стратегии развития, планы отгрузок и перемещения партий драгоценностей и многое другое.
Рассказывает Марина Балакшина, генеральный директор ювелирного предприятия «МАБЭ»: «Основная информация, с которой сталкиваются наши специалисты в повседневной работе, следующая:
• выручка магазина (магазинов);
• любая статистическая информация (показатели за несколько периодов и график, построенный по этим показателям);
• сведения о размере установленного денежного вознаграждения;
• сведения, связанные с охраной предприятия и охранной сигнализацией;
• сведения, связанные с коммерческой деятельностью (наименование поставщиков, сведения о поставках – откуда, когда, на каких условиях), способы и правила доставки товара;
• организационные сведения (планы по перемещению товара из филиала в филиал, перемещение денег);
• любые компьютерные и программные разработки, сделанные на предприятии;
• сведения о персонале, условия трудовых договоров;
• стандарты и регламенты работы, формулы любых расчетов (зарплаты, анализа деятельности, состояний деятельности);
• сведения об учредителе;
• способы маркетинга и продвижения.
Все вышеперечисленные виды информации требуют максимально конфиденциального подхода, так как в ювелирной отрасли очень большая конкуренция».
Теперь взглянем на информационное поле завода-производителя.
Евгений Колодич, генеральный директор ювелирного завода «Багет», рассказал, с какими видами информации имеют сегодня дело российские производители ювелирных изделий. По его словам, основные из них выглядят следующим образом:
• информация о клиентах;
• договоры с поставщиками и покупателями;
• информация об отгрузках;
• информация о поставках;
• информация о перемещениях ТМЦ;
• производственная информация;
• внутренняя нормативная документация;
• финансовая информация;
• информация о сотрудниках;
• информация юридического департамента (претензии, судебные дела, исполнительные листы и т.п.);
• почтовая и электронная переписка.
«Вся перечисленная выше информация является конфиденциальной. Любое злонамеренное либо случайное распространение такой информации может нанести существенный ущерб предприятию и повлечь ответственность виновного в соответствии с действующим законодательством РФ», – подчеркнул Евгений Колодич.
Основные риски
Разглашение конфиденциальной информации на ювелирном предприятии настолько опасно, что даже может стоить жизни сотрудникам – уверен Евгений Колодич: «Пожалуй, это самый существенный риск. Кроме того, разглашение информации может снизить конкурентоспособность предприятия, привести к падению продаж, потере клиентов и другим негативным последствиям». При этом директор ювелирного завода «Багет» уверен: самая большая угроза – как для людей, так и для предприятий – всегда внутри.
«Проблема в том, что обычно ожидают угрозы извне, – говорит Евгений Колодич. – Но о том, что внутренние угрозы наносят предприятиям наибольший урон, говорит хотя бы тот факт, что страховые компании всегда оговаривают исключения, дающие право отказа от выплат в случае виновных действий сотрудников предприятия при наступлении страхового случая. Если сравнить риски наступления событий внешних и внутренних информационных угроз, то они распределятся в соотношении примерно 15 к 85. Хотя хакерские атаки нередко бывают специально организованными (например, конкурентами и даже контролирующими органами). Для защиты от таких угроз необходимо надежное шифрование информации при передаче по открытым каналам».
Марина Балакшина поддерживает коллегу: по ее мнению, основная угроза также кроется внутри предприятия. «Это, безусловно, работники и их халатность. Я заметила такую вещь: если новый сотрудник стал своим, то есть при поступлении на работу принял все условия игры, разобрался что к чему и почему и соблюдает их, то ему самому становится интересно, и он бережет «семейные тайны». Поэтому я стараюсь не брать на работу тех, кто сомневается или кто много критикует. И стараюсь побыстрее расстаться с теми, кто, не успев прийти и сориентироваться в наших правилах, начинает устанавливать свои».
В общем, для розничных магазинов потенциально возможные последствия от разглашения конфиденциальной информации могут быть самого широкого негативного спектра. Условно, по мнению Марины Балакшиной, их можно представить в виде таблицы (см. таблицу 1).
Таблица 1. Разглашение информации и его последствия
|
Вид разглашаемой информации |
Последствия |
|
Выручка магазина (ов).
|
Существует риск, что конкурент, узнав о хороших выручках (статистиках) магазина, подумает, что место, где расположен магазин, очень удачное с точки зрения покупательской способности. Рядом поставит свой магазин, тем самым создаст жесткую конкуренцию (и себе в том числе); оттянет на себя часть покупателей).
|
|
Любая статистическая информация. |
|
|
Сведения о размере установленного денежного вознаграждения. |
1. Риск, что конкурент переманит ключевого сотрудника, пообещав более высокую (пусть даже в ущерб себе) зарплату. 2. Если на предприятии есть серые зарплаты, то существует опасность, что об этом узнает налоговый орган или комиссия по трудовому законодательству 3. Не исключена вероятность шантажа со стороны собственных сотрудников, например, если в разных магазинах одной сети разные формулы зарплаты, так как разные показатели рентабельности. |
|
Сведения, связанные с охраной предприятия и охранной сигнализацией. |
Конфиденциальная информация о паролях, схемах сигнализации, ключах может попасть к преступнику. |
|
Сведения, связанные с коммерческой деятельностью (наименование поставщиков, сведения о поставках – откуда, когда, на каких условиях), способы и правила доставки товара. |
Доставка товара (когда, кто, куда). Об этом не должен знать никто, кроме руководителя этого отдела и сотрудника, отвечающего за это. Даже его родственники, которые случайно могут похвастаться или проговориться, не заметив посторонних.
|
|
Организационные сведения (планы по перемещению товара из филиала в филиал, перемещение денег). |
|
|
Любые компьютерные и программные разработки, сделанные на предприятии. |
Все предприятия пользуются общедоступными программными продуктами. Но у некоторых есть собственные разработки, при помощи которых упрощены какие-то расчеты и важные анализы работы. Используя такие разработки, можно сократить для себя время для планирования и для расчетов будущей коммерческой ситуации. Скорость – это большое преимущество.
|
|
Сведения о персонале, условия трудовых договоров. |
Под условиями трудового договора, кроме соблюдения трудового законодательства, подразумеваются также условия мотивации. Это своего рода пряник и кнут, при помощи которых каждая компания удерживает своих сотрудников от нарушений, и в то же время стимулирует быть в команде, идти вместе со всеми к одной цели, причем применяя и используя методы и правила ведения бизнеса, которые приняты именно в этой компании. Причем это те правила и методы, которые учредитель считает самыми лучшими, чтобы его компания достигала ожидаемой ИМ цели. Сотрудники должны понимать, что деньги в компанию, где они работают, не падают с неба. Должны понимать, что они сами зарабатывают их себе. Сотрудники должны понимать, что учредитель, прежде чем создать компанию, подумал, для какой цели ОН создает эту компанию и какими методами нужно достигать эту цель. Стандарты всегда устанавливает учредитель: сам или используя помощь или советы других. Именно поэтому в разных компаниях – разные правила. Вроде и та и другая компания занимается торговлей. А правила и стандарты у каждой компании свои. Потому что учредители разные. Тот, кто согласился работать в этой компании, должен работать по правилам этой компании. Это всё отражается в условиях, стандартах и регламентах трудового договора. И ознакомиться с этими правилами сотрудник должен при приеме на работу. Риск по этому пункту появляется тогда, когда кто-то начинает делать по-своему или как привык, или «а вот в другой компании делали не так…». Это паршивая овца в стаде. Если вовремя это не пресечь – может и вся фирма рухнуть. Если компания развивается успешно, то это происходит именно из-за ПРАВИЛЬНЫХ ПРАВИЛ и ПРАВИЛЬНОГО ПРИМЕНЕНИЯ ЭТИХ ПРАВИЛ. Разглашение этих правил – вред предприятию, так как это помогает конкуренту. |
|
Стандарты и регламенты работы, формулы любых расчетов (зарплаты, анализа деятельности, состояний деятельности).
|
|
|
Сведения об учредителе |
Это защита персональной информации. |
|
Способы маркетинга и продвижения |
Реклама – это самая неприятная статья расходов денег. Каждая компания стремится найти эффективный способ привлечь к себе покупателя (то есть способ выделить себя из общей массы других компаний). Такие способы есть. Но они бывают очень дорогие и малоэффективные, и не очень дорогие, но весьма эффективные. Маркетинг в компании – это производство в производстве. Если компания находит свое ноу-хау в рекламе и маркетинге, то это как хороший вклад денег: приток людей есть, а оттока денег нет. Это создает прибыль, как и продажа товара. Утечка маркетинговой информации рискует напрямую сказаться на прибыли предприятия. |
Способы защиты
Способы информационной защиты – огромный раздел, включающий в себя множество подразделов – от физической и правовой защиты информации предприятия до составления сложных криптографических кодов и написания уникальных компьютерных программ. Мы остановимся на нескольких особенно важных пунктах.
По мнению специалистов в области защиты информации – авторов электронного проекта DesCripto, все способы защиты можно условно разделить на три группы:
законодательные;
административные;
технические.
Рассмотрим подробно каждый из них.
Законодательные методы
Законодательные – или правовые методы защиты информации определяют, кто и в какой форме должен иметь доступ к защищаемой информации, и устанавливают ответственность за нарушения установленного порядка. Существуют законы о защите государственной тайны, авторских прав, положения о праве на тайну личной переписки и многие другие. Такие законы описывают, кто и при каких условиях имеет, а кто не имеет права доступа к определенной информации. Однако законодательные методы не способны гарантировать выполнение установленных правил, они лишь декларируют эти правила вместе с мерой ответственности за их нарушение.
В числе основных подсистем защиты информации в правовом плане можно считать:
– установление на объекте режима конфиденциальности;
– разграничение доступа к информации;
– правовое обеспечение процесса защиты информации;
– четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты, организации разрабатывают собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности.
К таким документам относятся:
- Политика информационной безопасности.
- Положение о коммерческой тайне.
- Положение о защите персональных данных.
- Перечень сведений, составляющих конфиденциальную информацию.
- Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию.
- Положение о специальном делопроизводстве и документообороте.
- Обязательство сотрудника о сохранении конфиденциальной информации.
- Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.
Рассказывает Евгений Колодич: «Обращение информации, касающейся персональных данных граждан, регулируется законодательством Российской Федерации в области персональных данных. Это законодательство основывается на Конституции Российской Федерации, Федеральном законе № 152-ФЗ и международных договорах Российской Федерации. Внутренняя информация на нашем предприятии защищена Положением «Об обеспечении информационной безопасности, сохранности коммерческой тайны и конфиденциальной информации», личными письменными обязательствами сотрудников о неразглашении».
«Юридически ответственность сотрудника прописана в его трудовом договоре, – говорит Марина Балакшина. – Но привлечь к ответственности за утечку информации по договору, я думаю, в наше время в ювелирном бизнесе никто никогда не сможет. Раньше, в СССР, было возможно – боялись, что запись в трудовой сделают и т.п. Сейчас от такого человека стараются избавиться, если он замечен в намеренном и злостном нарушении. Если нарушение мелкое, то для начала мы проводим с таким сотрудником беседу, поясняем ему наши внутренние правила еще раз. Сейчас, к счастью, появилась такая вещь, как возможность взять рекомендации с предыдущего места работы претендента. Например, если мне кто-то позвонит по поводу бывших сотрудников, я дам им вполне объективную рекомендацию – в том числе и не слишком лестную».
Административные методы
Эти методы заключаются в определении процедур доступа к защищаемой информации и строгом их выполнении. Контроль над соблюдением установленного порядка возлагается на специально обученный персонал. Каждая организация самостоятельно разрабатывает и внедряет административные методы – общих правил здесь не существует.
Вот, например, основные правила, которые при работе с бумажными документами рекомендуют соблюдать владельцам предприятия и лицам, ответственным за информационную безопасность, специалисты DesCripto:
- Чтобы случайный человек не прочитал важный документ, такой документ нужно держать в охраняемом помещении.
- Чтобы передать секретное сообщение, его нужно посылать с надежным курьером, который готов защищать доверенную ему тайну.
- Чтобы из компании не пропадали в неизвестном направлении документы, необходимо вести учет доступа к каждому из них. На любом этапе должно быть известно лицо, несущее ответственность за целостность и секретность охраняемого документа.
Такие процедуры доступа к информации существуют в различных организациях, где они определяются корпоративной политикой безопасности. Например, элементом политики безопасности может являться контроль вноса и выноса с территории организации носителей информации (бумажных, магнитных, оптических и др.). Административные методы защиты зачастую совмещаются с законодательными и могут устанавливать ответственность за попытки нарушения установленных процедур доступа.
-
Инженерно-техническая защита (ИТЗ) – это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:
физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий; -
аппаратные средства. Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. Основная задача аппаратных средств – обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;
-
программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;
-
криптографические средства – это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования
Инженерно-технические методы защиты информации
В отличие от законодательных и административных эти методы меньше всего зависят от человеческого фактора.
Аппаратные средства и методы защиты распространены достаточно широко. Однако из-за того, что они не обладают достаточной гибкостью, они часто теряют свои защитные свойства при раскрытии их принципов действия и в дальнейшем не могут быть использованы.
Программные средства и методы защиты надежны и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных.
Криптографические методы занимают важное место и выступают надежным средством обеспечения защиты информации на длительные периоды.
«За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. Таким образом, можно избежать точного исполнения установленных правил. А в случае применения технических средств зашиты перед потенциальным противником ставится некоторая техническая (математическая, физическая) задача, которую ему необходимо решить для получения доступа к информации. В то же время легитимному пользователю должен быть доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач. К техническим методам защиты можно отнести как замок на сундуке, в котором хранятся книги, так и носители информации, самоуничтожающиеся при попытке неправомерного использования. Правда, такие носители гораздо чаще встречаются в приключенческих фильмах, чем в реальности», – считают специалисты DesCripto.
Другие методы
К средствам защиты информации можно также отнести все те способы охраны предприятия, которые мы рассматривали в предыдущих статьях: видеонаблюдение, контроль доступа, служба безопасности и другие – все это также защищает информацию от несанкционированного использования.
Рассказывает Евгений Колодич: «Меры по обеспечению информационной безопасности, предпринимаемые нашим предприятием стандартные.
• Разграничение доступа к информации – каждый сотрудник должен иметь доступ только к той информации, с которой он непосредственно работает. Причем права доступа должны быть разрешены на необходимом и достаточном уровне (права просмотра, копирования, редактирования, пометки на удаление, окончательное удаление информации).
• Режимные ограничения на предприятии – запрет на внос и вынос документов, носителей информации, кроме случаев, когда такое перемещение разрешено специально.
• Шифрование конфиденциальной информации.
• Запрет на хранение конфиденциальных и прочих документов на рабочих станциях.
• Администрирование использования переносных носителей и устройств считывания информации.
• Администрирование доступа к интернету – сотрудникам доступны только те сайты в интернете, которые они используют в работе.
• Контроль всего входящего и исходящего интернет-трафика.
• Запрет на установку пользовательских программ на компьютерах.
• Использование защищенных интернет-соединений.
• Корпоративный антивирус и другие программные средства защиты от внешних угроз.
• Организационные меры – каждый сотрудник, допущенный к конфиденциальной информации, находится под подпиской о неразглашении.
Запреты мы стараемся организовать таким образом, чтобы человек не мог их нарушить физически. Например, запрет использования флэш-накопителей для большинства пользователей поддерживается и администрируется программно-аппаратными методами, а не административно-репрессивными».
Опытом делится Марина Балакшина: «Информацию в наших магазинах мы защищаем всеми доступными нам способами. Основные из них – соглашение о неразглашении с сотрудниками; личная беседа – проверка надежности; периодический инструктаж – напоминание правил; ограничение степени должностного доступа и информированности; особый способ хранения».
Основной же совет руководителям ювелирных предприятий, который дают эксперты, заключается в ограничении доступа к информации внутри компании: чем меньше людей знают о существовании тех или иных документов, тем легче избежать утечки информации и проще в случае ее возникновения выявить виновника.
источник: njt.ru
Оставить комментарий
Для того, чтобы оставить комментарий,
зарегистрируйтесь или войдите через соц. сети