Филин С.А. Информационная безопасность, 2006
.pdfый этап — определение, к какому классу новшеств следует 0 е „янный объект: к теоретическим или практическим разра-
0 < .
^ рой этап — выбор между видами новаторских решений.
Уг тий этап — установление класса объекта новации — уже не тся жесткого внутригруппового определения и может быть достаточно произвольно.
< те0ретических новаций, использование которых в реально ЛлйМЫЙ отрезок времени не связано с получением конкретного ° и ч е с к о г о или коммерческого эффекта, меры защиты направле нна охрану приоритета. Что же касается практических новшеств, нЫ зависимости от их вида выбирается та или иная форма предот-
ТОщения несанкционированного применения интеллектуальной
Собственности организации.
Меры, устанавливаемые решением экспертной комиссии, есте ственно, не затрагивают правил и прав патентов, а лишь дополня-
куг их. Практически все рассмотренные табл. 3.3 меры направлены на исключение из обычной рекламной, учебной и технической до кументации, копируемой и распространяемой бесконтрольно, све дений, определяющих сущность новации.
Параметрическая (характеристическая) информация — это коли чественные показатели организации, управления и осуществления предпринимательской деятельности, по которым у организации имеется преимущество перед конкурентами. К этому виду КТ отно сятся сравнительные расчеты эффективности реализации различных вариантов предпринимательских проектов. В области финансов — этоструктура цены на изделия, внутренние прейскуранты и тарифы, данные о себестоимости продукции, калькуляции издержек произ водства, сведения о предоставленных скидках и т. д. К данному виду информации в части, касающейся научно-технической продукции, относятся массогабаритные характеристики изделий, объемно-вре- менные и иные показатели технологических процессов, параметры изготовления и обработки заготовок (резания, фрезерования и т. д.), пРотекания физических, химических и других процессов. В области аРкетинга П°Д параметрической информацией следует иметь в виду
3Ультаты маркетинговых исследований, сведения о продажах това-
*на новых рынках. Сохранение такой информации в тайне пре-
***зачастую цель оставить конкурента в неведении о реальных йЖениях собственной структуры.
аРаметрическая информация по управлению защитой бизнеса
^самой фирмы продажной стоимости не имеет и поэтому це моРассматриваться как КТ.
143
Область новации Виды новации
Объект ценности
Государственное
свидетельство
Публикация
Изложение впереписке
Доклады ипубликации тезисов
Областьновации Виды новации
Объект новации
Объединение
данных
Внесение изменений, запутывание
Частичные
изменения
Полное изъятие
Фундаментальныеразработки
Явление |
Переосмыс |
|
Открытие |
||
ление извест |
||
новогоявления |
||
ногоявления |
||
Оформление |
||
Тоже |
||
государственного |
||
свидетельства |
|
|
Публикация в много |
Тоже |
|
тиражномиздании |
||
|
||
Изложение вофи |
Тоже |
|
циальной переписке |
||
юридическихлиц |
|
|
Докладнаплановом, |
|
|
протокольном меро |
Тоже |
|
приятииспублика |
||
циейтезисов |
|
Практическиеразработки
Техника
Соединениеалгоритм
Интеграция всейили частиновойсхемы вобобщенныйузел
Составление
псевдодублера длядокументации
снеконтролируемым распространением
Снятие
параметрических или режимных определителей иданных
Изъятие частисхемы издокументации
Узел-алгоритм
Интеграция узласцелями подключения
Разработка разделаиссидоописания
Снятие пара метрических определите лейс важней шихдеталей узла
Изъятие узлаилисо единения из документации
— — ^
Закономерность
Открытие новой закономерности и з в е < ^ 4 >
-ЗУ^онрмепи
Тоже
Тоже
Тоже
Тоже
Блокиего описание
Объединение мас кируемогоблокас каким-либовзаи модействующим
Разработкасхемы псевдосоединений блоков
Снятие номенкла турныхипара метрических определителей блоков исоедини тельныхцепей
Тоже
Тоже
ТЬжГ^4
Тоже
Тоже
— 4. 1ехнологнв "
Новый процесс
Объединение
определяющих операцийс традиционными
Составление
обобщающих
описаний
Снятие
параметрически
определителей для применяемых материалов илиреактивов .
Изъятие
определяющих
операций илипараметров
Документальная среда. |
|
|
I. Теоретические разработки: 1. Отчеты по НИОКР. 2. Заявка на изобретение |
|
|
открытие. 3. Аннотация в вышестоящую организацию. 4. Рекламное сообщ ение; |
|
|
дании. 5. Статья во внешнем издании. 6. Доклад на симпозиуме, конф еренции |
|
|
7. (Резерв). |
3 |
за- |
II. Практические разработки: |
1. Технический проект. 2. Рабочие чеР^*^'ичнос |
|
явка на изобретение. 4. Выставочная этикетка. 5. Рекламный проспект. 6. Пуо |
^ |
|
выступление. 7. Публикация в периодической печати. 8. Пояснительная зал^ 9. Чертежи общего вида. 10. Карты режимов. 11. Ведомость согласования.
144
Таблица 3.3. Возможная классификация объекта, сведения о котором составляют коммерческую тайну
|
|
Результатынаблюде«ИЯ |
|
|
----------- |
Новое приме |
Наблюдение |
Лабораторное |
Поисковыенаучно- |
нение извест |
природных |
исследовательские |
||
--------- |
ного метода |
явлений |
наблюдение |
работы |
|
||||
Тоже |
|
|
|
|
Тоже |
|
|
|
|
|
|
|
|
|
|
Тоже |
Тоже |
Тоже |
Отдельные |
|
рекомендации |
|||
|
|
|
|
|
Тоже |
Тоже |
Тоже |
Тоже |
|
|
|
|
|
|
Тоже |
Тоже |
Тоже |
Тоже |
|
„____
“ТЙовое использование
1ПИ»ггного процесса
Указание на его разновидности
Составление опи сания безуказания технологического процесса или с псев допараметрами
Снятиеданных
обровиях
применения
изъятие издокументаИИИссылок
юиспользуемые
дологические ^лаймы
Применение |
Способ |
Частично |
|
Формализованное |
|||
заимствован |
описание |
формализуемое |
|
ногопроцесса |
описание |
||
|
Описание |
Снятие границ |
|
|
междуформа |
||
Тоже |
формулами |
||
лизующими |
|||
|
общего вида |
||
|
частями |
||
|
Описание |
||
|
|
||
Тоже |
детальными |
Тоже |
|
формулами, |
|||
|
нобез численных |
|
|
|
значений |
|
|
|
Изъятие из опи |
|
|
|
сания ключевых |
|
|
Тоже |
соотношений |
Тоже |
|
коэффициентов, |
|||
|
конкретных |
|
|
|
данных |
|
|
|
Составление |
Составление |
|
|
псевдоописа |
||
Тоже |
варианта |
||
ния формализо |
|||
|
псевдоописання |
||
|
ванной части |
||
|
|
Неформализуемое
описание
Исключение
определений
границ
применимости
Снятие
вероятностных
параметров
Исключение
отдельных
ключевых положений, определяющих метод
Составление
сокращенных
описаний
15 13. Сборочный чертеж. 14. Блочные схемы. 15. Принципиальные схемы. нзделП?ИфикацияВедомость и протокол согласования применения покупных л0гичИи‘ ^ Руководство по эксплуатации. 19. Инструкция на специфические техно-
тели 2^ |
е пРоцессы. 20. Руководство программиста. 21. Листинги. 22. Твердые носи- |
Ш П |
СТ пРогРаммы24. (Резерв). |
ИсКовь |
сковые научно-исследовательские работы. 1. Сведения о проводимых по- |
Ческие1Храб0тах- 2. Отчеты о НИОКР. 3. Проектно-сметная документация. 4. Графи1икациМатериалыПротоколы. 6. Переписка со сторонними организациями. 7. Пуб-
и в печати. 8. Доклады и тезисы докладов. 9. Резерв.
145
Эксплуатационная информация — это описание профщ» СКИХ, ремонтных И ИНЫХ процедур, необходимых для Наибоа1СГ>^' фективной эксплуатации оборудования, машин и механизм 66 ^ иных изделий, а также процедур ликвидации и утилизации п°В ^ ЦИИ, позволяющие повторить ИХ С тем же эффектом без разпе^0^ ' владельца информации. Сюда относятся и методические во ^ использования системы защиты и управления ею. Владение атационной информацией позволяет фирме-конкуренту несанСПЛ^
нированно повторить указанные процедуры.
Для концептуальной, организационной, технологической метрической и эксплуатационной видов КТ различен принцип^*' ный подход к осуществлению ее защиты от несанкционированн^ доступа. Выделение указанных видов тайны облегчает ее идентшГ0
кацию, разработку эффективных мер защиты, анализ причин и |
|
кализацию последствий утечки информации. |
°" |
К числу источников и носителей информации, составляющей Кт относятся:
—персонал организации;
—служебные печатные документы;
—технические носители информации;
—средства вычислительной, организационной и иной техники;
—образцы продукции организации, находящейся в стадии раз работки или подготовки к производству;
—производственные отходы;
—открытые публикации.
Ценность информации, которой располагаетработник, какправило, прямо пропорциональна его должностному положению. Именно в мозгу работника содержится ноу-хау. Вместе с тем работник может выступать и как субъект, осуществляющий несанкционированный
доступ к КТ, создающий условия для ее утечки по злому умыслуили вследствие неосторожности. Некоторые виды информации, обыч но составляющие КТ (планы, статистика, договоры с партнерами), должны иметь документальное закрепление. Это обусловливает осо бое значение печатных документов как носителей защищаемой М
Технические носители информации—дискеты, аудио- и видеокас сеты и др. — облегчают хищение информации в силу своей компакт ности и легкости копирования сведений; предоставляют злоумы^ леннику новые каналы воздействия на информацию, прежде с целью ее разрушения (например, с помощью магнита). Физичес
доступ злоумышленника к средствам вычислительной, °РгаНЯЬ|> ционной и иной техники, а также использование им специаль технических средств, оперирующих с различными видами электг
146
колебаний, позволяет ему исключительно оперативно нйтНь1Х ть неСанкционированный доступ к защищаемой инфор-
^сТВЛЯазрушение, копирование, внесение в нее искажений.
мзИиИ’ССы продукции организации, находящейся в стадии разра с т а н и я макета, опытного образца, проведения различного ^ТКИ. С°^аний, подготовки кединичному или серийному производ-
родаИсПЬ |
изацИИ содержат зачастую некоторую дополнительную |
ствУ> |
информацию, анализ которой способствует раскры- |
спеииФиНа уКазаНных стадиях для образцов могут быть еще не отра- тИ с п о с о б ы защиты содержащейся в них тайны. Исследование
6отаНЬодствеННЫХ отходов позволяет иногда сделать обоснованные пр0 ения о представляющих КТ составе используемых материа-
заКЛ1°также особенностях технологии производства изделий. Л0ВПтходы зачастую могут быть обнаружены и собраны на свал-
в мусоросборниках и т. д. К числу откры ты х изданий относят- ^пекламны е проспекты, материалы различного рода семинаров, Уездов, симпозиумов руководителей организаций и специалистов. Из большой совокупности открытых публикаций КТ может быть иногда раскрыта в результате кропотливой аналитической работы.
Поддержка предпринимательства на уровне частной фирмы включает в себя распространение идей предпринимательства, ини циативы и опыта управления бизнесом. Аспекты безопасности не обходимо учитывать, чтобы передаваемая в процессе обучения или обмена опытом информация не затрагивала актуальную КТ.
Общее значение для всех предпринимательских структур имеют мероприятия, проводимые в разовом порядке (создание фирмы) либоосуществляемые эпизодически (объединение компаний). Здесь также возможна потеря производственных секретов. Если речь идет о весьматесном сотрудничестве, например, о создании совместного предприятия, для оценки с позиций безопасности важны все аспек ты деятельности фирмы. В рамках любой из указанных функций имеетзначение проблема рассекречивания информации.
В условиях рыночной экономики владельцу информации, пред ставляющей коммерческий интерес, невыгодно оставлять ее закры ли, если на информацию есть спрос, то ее можно продать. А если а Устарела, становится невыгодным продолжать затраты на ее РанУТак, нецелесообразно препятствовать распространению ин-
Рмации об организации следующего характера:
^подготовленной для рекламы; свидетельствующей о значительном превосходстве организа
ции перед конкурентами в уровне организации работы, а такЖе вуровне технологической культуры;
147
— позволяющей сделать вывод о трудности преодоления |
°Ис^е |
мы безопасности организации. |
Степень реальной секретности прикладной концепту» технологической или параметрической информации органаИ падает по мере роста отрыва от конкурентов в уровне орган^3^ работы, а также в уровне технологической культуры. При
тельном отставании конкурирующая фирма, даже располагая^' цептуальной, технологической или параметрической информа К°н' реально не в состоянии ее использовать до того, как она устарее организации-лидера. Как следствие, организация, обладающа^ рьезными преимуществами концептуального или технологичеоЛ характера, имеет реальную возможность стремиться к минимиза °Г° объема секретов, чтобы не понизить в связи с реализацией р е ^ Н секретности оперативность и качество внутрифирменного у^*а ления, а также не упустить время в соревновании за уровень новш собственных научно-технических разработок.
Ведение рекламной кампании и интервью средствам массовой информации целесообразно рассматривать в аспекте обеспечения экономической безопасности. Опасность втом, что входе рекламной кампании или интервью может быть в той или иной мере раскрыта
информация, составляющая КТ, т. е. надо заинтересовать потенци альных покупателей (пользователей услугами) без необходимости разглашения фирменных секретов.
3 .6 . ОСНОВНЫЕ ПРИНЦИПЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФ ОРМАЦИИ, СОСТАВЛЯЮЩЕЙ КО М М ЕРЧЕСКУЮ ТАЙНУ
После того как определен предмет защиты — информация, со ставляющая КТ организации, — очень важно организовать и обеспе чить выполнение главной задачи — выработать надежные меропри ятия по применению необходимых и достаточных методов и средств защиты для предотвращения возможного разглашения (утечки, утраты) КТ.
Методы и средства защиты в значительной мере не зависят от сферы деятельности (финансы, производство и т. д.), к которо
относится КТ. Поэтому выделение как самостоятельных видов пред принимательской, промышленной, научно-технической, технол
гической, кредитно-финансовой и других подобного рода КТ пр тического значения не имеет. ^
При рассмотрении вопросов организации защиты КТ 1011046 ец значение имеет соотношение ущерба, который может быть нане
148
ни в результате утечки соответствующей информации, лгзнИЗа/!ьинансовых, материальных, временных и иных), с кото-
?яжена защита этой информации.
пыМ*1 с°Пиые затраты и трудности, связанные с организацией защи-
?гТ27,45], связаны:
ть1^ беспечением режима неразглашения оговоренных вконтра-
^ С°е секретов. Затраты зарубежных фирм только на охрану КТ ^стигают 25% всех расходов на производство, а ассигнова ния на мероприятия, связанные с обеспечением безопасности Н целом, составляют для Западной Европы от 15 до 20% стои мости охраняемых ценностей. В России эти цифры в боль шинстве случаев не превышают одного процента. Отказ орга н и за ц и й от необходимых мер защиты, экономия на защитных мероприятиях способствуют развитию преступности;
_ с организацией защиты КТ (эффективна, как правило, лишь
для научно-технической продукции, разрабатываемой для собственных нужд или по индивидуальным заказам);
-неадекватными затратами времени, усилий и средств, по скольку каждый разработчик научно-технической продукции работает изолированно, что зачастую приводит к созданию аналогичных разработок вместо взаимодополняющих, хотя
игарантирует соблюдение тайны;
-с изоляцией в процессе разработки научно-технической про дукции, ограничивающей возможности изучения опыта кон курентов;
-с перекладыванием на пользователя компенсации затрат раз работчика, связанным с организацией и обеспечением защи ты КТ, и включение в прибыль компенсации предполагаемо го морального ущерба, связанного с возможным «пиратства» по вине пользователя, так как в силу индивидуального харак тера создания научно-технической продукции ее себестои мость, следовательно, и цена, высока;
-с возможностью создания конкурентом, используя метод ав тора оригинального научно-технического результата (без не обходимости использования незаконно полученных копий),
собственного научно-технического продукта.
Концепцию, обеспечивающую особую устойчивость И Д О Х О Д - ОСТЬ бизнеса, имеет смысл держать в тайне на всех этапах развития
нойНИЗаЦИИ’ даже ПРИ появлении у конкурентов более эффективимеКонцепцииПолучение такого рода информации конкурентами д0вет Зачастую своим следствием успешное применение ими мето-
°РганРИМИНальной конкУРенДии, дезорганизующих деятельность изации, снижающих устойчивость и доходность ее бизнеса.
149
Научно-исследовательская деятельность предпринимат структуры направлена на разработку и выпуск новой прол > й создание новых технологических процессов, обновление ции производства и управления в целях повышения эффекти бизнеса. Особое внимание с позиций защиты научно-техни
разработок следует обращать на идентификацию связазанной60^ кими разработками КТ, на режим секретности проводимых на ° исследовательских работ.
Концептуальную информацию научно-технического харя целесообразно рассматривать как КТ до появления у фирм-ко а рентов аналогичных решений с тем же функциональным назначе^ ем, имеющих близкий или более высокий уровень качества. До^ к такого рода тайне концептуального характера должны иметь трудники организации, осуществляющие руководство перспекги^ ными разработками аналогичных изделий, а также организуют! использование уже созданных образцов. Указанные лица долж/ иметь право ознакомления подчиненных работников с концепту альной информацией. После появления аналогичного рода изделий или иной продукции у других организаций, выступающих в качестве конкурентов, научно-техническая информация концептуальной) характера защищаться как КТ в большинстве случаев не должна, и доступ к ней целесообразно предоставить всем специалистам ор ганизации. При таком подходе излишние усилия по защите сведе ний не затрачиваются. Сотрудники организации могут использовать в работе концептуальную информацию, не составляющую тайны, без ограничений.
Важнейшим принципом защиты организационной, технологи ческой, параметрической и эксплуатационной информации, пред ставляющей собой КТ, является ограничение доступа к сведениям, которые позволяют несанкционированно повторить результат со ответствующей процедуры, выдержать технологические параметры, достигнуть определенных характеристик продукции, обеспечитьэф фект утилизации (по скорости, экологической чистоте) и т. д.
Для технологической информации научно-технического тера защита от несанкционированного доступа должна обеспечи ваться также до появления у фирм-конкурентов технологий такого же качества или еще более высоких технологий того же назначения Зачастую нецелесообразно отражать в документах в явном виде
ответствующие нюансы технологии (режимы обработки, пРиса1ь ки, технологические среды и т. д.), более эффективно и с п о л ь зо в а принцип ноу-хау («знаю, как»). Защиту этой информации ре*ом дуется строить на основе распределения «изюминки» по констрУ
150
бенностям технологического оборудования. Значение иВцЫМ оС определяющего уровень технологии, может быть задано ^раМеТра’ з другие процессы и параметры, информационно с ним но не составляющие тайны. Известны случаи успешного
сВЙззНиЫ^ нИЯ в целях защиты процедур бытового, а также культо- йсП°ль3°кхгра, внешне не имеющих непосредственного отношения в010 Х31цаемому технологическому процессу, которые, на первый
к заШя1^тдаЮТ дань традициям, национальным или религиозным вЗГЛЯД’ остям местного населения и т. д., а на самом деле и состав
ит с £ ь пР°Цесса-
пяметрическую информацию в области науки и техники це-
боазно защищать только в той части параметров, в которой леС°°гкут выифыш по сравнению с параметрами изделий (продук- Д0СТГконкурентов. В фирменных документах общего пользования
ЦИ1пует обозначать параметрическую информацию в виде значений аметров не выше тех, о которых имеет представление конкурент.
Подобного рода принципы целесообразно использовать как осноVзащиты эксплуатационной информации. Максимальные меры секретности должны приниматься, когда конкурирующие фирмы имеют одинаковые или близкие уровни организации работы и тех нологической культуры производства.
При идентификации параметрической информации необходимо обращать особое внимание на другие, информационно связанные с ней параметры, которые сами по себе не составляют КТ. В отдельных случаях с использованием такого рода, казалось бы, малозначитель ных параметров может быть составлено довольно точное представле ние о защищаемой КТ. Известен пример того, как во время Второй мировой войны американские аналитики, получив в свое распоря жение вешалку для одежды с нового немецкого бомбардировщика, определили его основные тактико-технические характеристики.
Для обеспечения безопасности тайны указанные малозначитель ные параметры целесообразно защищать как служебную информа цию сучетом того, что для получения на основе их анализа сведений относительно самой тайны потребуется приложить значительные Усилия квалифицированных специалистов, что сопряжено с боль-
ими затратами и не всегда осуществимо.
Информация подлежит защите, если эффективность ее исполь-
ни аНИЯзначит’ и ценность, зависит от сохранения в тайне от орга- 3аций-конкурентов. Используемые методы и средства защиты инМиРнМации>составляющей КТ организации, должны исключить или «Во ИМизиРовать до приемлемого уровня с точки зрения показателя ожный ущерб от утечки информации, составляющей КТ, —
151
затраты по организации защиты информации, составляют |
|
неправомерные или неосторожные действия с охраняемой |
^ |
ческой информацией. |
°^ерч |
Эффективная защита предпринимательской КТ возможи |
|
обязательном выполнении следующих условий: |
а Прн |
— единство в решении производственных, коммерческих |
|
нансовых вопросов; |
*Фи* |
—персональная ответственность руководителей всех
за обеспечение сохранности конфиденциальной информаВНе{*
—организация специального делопроизводства, порядка хп^И;
ния, перевозки носителей КТ; Не'
— оптимальное ограничение числа лиц, имеющих допуск к
формации, составляющей КТ; Ин'
— выполнение требований по обеспечению сохранности КТп проектировании и размещении специальных помещений в процессе НИОКР, испытаний и производства изделий, пол писания контрактов, при проведении важных совещаний*
—наличие охраны и пропускного режима на территорию ор^. низации;
—плановость разработки и осуществления мер по защите КТ систематический контроль над эффективностью принимае мых мер;
—создание системы обучения исполнителей правилам обеспе чения сохранности КТ.
В целях обеспечения защиты КТ фирмами должны использовать ся следующие организационные методы [46].
1. Создание собственных специализированных подразделений (информационно-аналитических; антикризисных групп; службы безопасности; подразделения внутреннего аудита, кэптивных стра ховых компаний).
2.Введение режима секретности производимых работ.
3.При заключении трудового договора между руководителем
предпринимательской ф ирм ы и сотрудником необходимо отражать обязательства последнего по неразглашению КТ. Наличие подобно го документа дает юридическую возможность применения разлнч-
ных санкций к работникам, виновны м в утечке конфиденциально
информации.
4. Важнейшим направлением защиты КТ организации явЛЯС1^ стабильность кадрового состава. Если состав к в а л и ф и ц и р о в а н н специалистов меняется из-за высокой текучести, бесценные Р работки фирмы будут становиться бесплатным достоянием ко
рентов.
152