1. ГЛАВНАЯ
  2. АРХИВ НОМЕРОВ ЖУРНАЛА "СЕКРЕТАРСКОЕ ДЕЛО"
  3. ЖУРНАЛ "СЕКРЕТАРСКОЕ ДЕЛО" N9 2013 ГОД
  4. Отрезал – и спи спокойно

Отрезал – и спи спокойно

Автор: Яна Харина

Интервью с директором по безопасности одной из крупных энергетических компаний, который из соображений секретности не стал называть своего имени

– В каких бизнесах роль производственных секретов (далее – ПС) сверхважна?

– В любых бизнесах, т. к. везде есть конкуренты. Но цена ПС будет зависеть от остроты конкуренции (передел уже поделенного рынка, захват бизнеса) и стоимости бизнеса (крупные, средние или мелкие компании-конкуренты).

– Что бы вы отнесли к понятию ПС?

– 1-я группа: технические новшества, новое ПО, новые материалы в строительстве, химии, новые банковские продукты, покупка или продажа активов, новые инвестпроекты, адвокатская тактика и стратегия защиты, и многое другое. Все, что дает экономический эффект, с которым можно захватить часть рынка и обойти конкурента.

2-я группа: действия против конкретных конкурентов (PR-компании, дезинформация, получение ПС конкурентов и т. п.).

– Обычно ограничивают круг «допущенных» к ПС... Но как это делать в частных компаниях, например, торговых?

– Порядок уже отработан в секретном делопроизводстве. Первыми лицами определятся степень конфиденциальности (секретности) определенного направления. Ставится пометка КМ (коммерческая тайна) и далее «конфиденциально» («секретно») или «строго конфиденциально» («совершенно секретно»). Заранее разрабатывается порядок допуска, обработки, хранения всей информации, касающейся данного направления. Фиксируется круг лиц, допущенных к данной информации (он также определяется руководством). Дополнительно можно ввести градацию «служебная информация».

Круг посвященных лиц сужается по градации – «служебная информация», «конфиденциально», «строго конфиденциально». В электронных средствах системные администраторы формируют ресурсы с ограничением допуска. Твердые копии хранятся определенным способом также с ограничением допуска (например, к папкам с материалами вводится список допущенных сотрудников). Канцелярия выдает материалы в соответствии с этим списком.

Пересылка материалов по электронной почте осуществляется с применением VPN-каналов, шифрования. Весь это порядок разрабатывается и фиксируется в утвержденных документах компании, который обычно называется «Политика информационной безопасности», «Порядок работы с конфиденциальной информацией» и т. д. В корпоративной сети устанавливается система контроля работы с конфиденциальной информацией на основе DLP-технологии (Data Leak или Loss Prevention). Свой порядок разрабатывается для любой компании, независимо от вида ее деятельности. Это происходит при том существенном условии, что владельцы и руководство компании правильно понимают важность проблемы. Подобными задачами должен заниматься специальный сотрудник или даже целое подразделение защиты информации.

– Стоит ли ограничивать доступ к информации личному помощнику или секретарю? Или просто нужно правильно подбирать и мотивировать их? Где «золотая середина»?

– С одной стороны, это действенная и справедливая политика кнута и пряника, применяемая к личным помощникам. С другой стороны, лично я подбирал бы на такие позиции людей, которых хорошо знаю. Если таких не оказывается, то стоит прислушаться к рекомендациям тех людей, которых хорошо знаешь. При этом ограничение доступа всегда полезно.

В спецслужбах заведен порядок – сотрудники смежных подразделений каждый день встречаются в курилке, на спортивных площадках и т. п., но никогда не знают, кто и чем конкретно занимается. Интересоваться не принято. Никто и не скажет.

– Аппарат Правительства недавно закупил печатные машинки (чтобы избежать утечки данных через Интернет), глядя на «шереметьевского пленника»... Это поможет?

– Этого можно не делать, если компьютер не подключен к сети и Интернету, а также не поддерживает подключение внешних накопителей данных. Но в данном случае это кардинальная мера – отрезал и спи спокойно.

– Знает один – не знает никто. Знают два – знают все. Насколько это справедливо сейчас?

– С меткостью высказывания можно согласиться и сейчас, с той поправкой, что в реальности работают и знают даже не двое, а целые коллективы. В этой связи нужно разрабатывать продуманную и гибкую систему ограничения доступа к информации, защиты от несанкционированного доступа, от утечки, разрушения, потери информации,и контроля всего этого. Над этой проблемой уже давно работают крупные компании, которые специализируются на хранении изащите информации.

– Маркетинговые секреты – это, прежде всего, скрупулезный сбор информации... Как догадаться, что кто-то из ваших сотрудников ее уже собирает?

– Это тот случай, когда догадываться не нужно и даже вредно. Служба безопасности компании «с присущим ей умением» скрупулезно выявляет подобных субъектов. Это обычная практика СБ в крупных компаниях.

– Увольнение – это потенциальная утечка? Как подстраховаться?

– Да, это так. Страховка – предыдущее ограничение доступа к информации (здесь вы всегда вспомните, как правильно вы ограничивали допуск) и расставание без обид. Кроме того, при приеме на работу, в соответствии с утвержденной политикой информационной безопасности компании, каждый вновь принятый сотрудник подписывает в отделе кадров «Обязательство» о не разглашении коммерческой тайны. По закону «О коммерческой тайне» за разглашение КТ нарушитель преследуется по закону.

–«Казачка» заказывали? Как «раскусить» засланного новичка?

– При приеме на работу каждый кандидат должен проходить проверку через СБ.

– Стив Джобс все новые разработки вел последние годы на секретных базах... Есть иные варианты?

– Иные варианты есть, но все они принципиально похожи на опыт Стива Джобса. Если компания настолько крупная, что может себе это позволить, – почему бы и нет?

– Лучший способ сокрытия секретов – дезинформация?

– Это не лучший способ, но его можно успешно применять наряду с традиционными способами сокрытия информации. Дезу можно пустить как в целях раздувания успехов для запугивания конкурентов, так и в целях того, чтобы показать, насколько все плохо, тем самым притупив их бдительность. Принцип дзюдо и любого иного восточного единоборства гласит «Если хочешь пойти направо, сделай шаг налево. Если хочешь оттолкнуть – потяни на себя».

– Дайте, пожалуйста, десять советов по улучшению безопасности.

– Информационная безопасность основывается на трех принципах:

  • защиты от утечки информации;
  • защиты от искажения информации;
  • защиты от разрушения информации.

Многие предприниматели ограничиваются работой только с первым принципом, забывая о других. Поэтому дам советы, исходя из этой градации:

  1. Все законы войны распространяются на искусство ведения бизнеса – китайская мудрость.
  2. Понять свою нишу.
  3. Понять, кто ваши конкуренты.
  4. Оценить свой бизнес.
  5. Ограничить доступ к информации гибко и безболезненно для работы компании в целом.
  6. Нанять советника по безопасности или даже целую службу.
  7. Быть внимательным при выборе личного помощника, в идеале – нанимать человека, которого хорошо знаете.
  8. Вести разумную кадровую политику, принимать взвешенные кадровые решения.
  9. При увольнении сотрудника – расставаться без обид.
  10. Все показать – это значит все скрыть: не всегда имеет смысл тратить ресурсы на сокрытие некоторых фактов деятельности компании.
Беседовала Елена Колтунова, 4metka@mail.ru
Вернуться в раздел