Репортаж с семинара "Противодействие промышленному шпионажу силами службы безопасности предприятия", организованного Учебным центром "Информзащита", в рамках XII Международного Форума "Технологии безопасности". Семинар посетили более 200 руководителей и специалистов в области информационной и экономической безопасности.

На семинаре выступили ведущие эксперты отрасли, специалисты компаний InfoWatch, "Борлас Секьюрити Системз", Учебного центра «Информзащита» и др.

С докладом "Современное понимание функций и задач служб безопасности коммерческих предприятий" на семинаре выступил Емельянников М.Ю., директор департамента ООО "Борлас Секьюрити Системз".

Основными задачами служб безопасности коммерческих предприятий, подчеркнул докладчик, являются защита предприятия от внешних и внутренних угроз, организация и осуществление работы по защите и сохранению сведений с ограниченным доступом, организация взаимодействия с государственными органами, службами безопасности контрагентов, а также контроль состояния безопасности, повышение квалификации специалистов и осведомленности персонала. Главные проблемы - раздробленность подразделений безопасности, отсутствие единого руководства, нехватка специалистов, высокая стоимость решений, услуг и квалифицированных кадров на рынке безопасности и отсутствие методологии обоснования затрат в современных терминах бизнеса. Пути решения проблемы, по мнению докладчика, это оптимизация структуры службы безопасности, создание единого руководства по управлению службой, оценка реальности угроз, построение системы безопасности "под риски", передача сложных и непрофильных задач на аутсорсинг, а также внешний консалтинг и аудит.

В докладе "Недобросовестная конкуренция и промышленный шпионаж. Технические средства промышленного шпионажа" Кеменова Н.П., ведущего специалиста Учебного центра "Информзащита", были представлены существующие на российском рынке средства промышленного шпионажа и даны их функциональные и технические характеристики. Были проанализированы радио- и радиотехнические средства, средства ПЭМИН, телевизионные, инфракрасные, фотографические и акустические средства.

Предотвращению нарушений политики безопасности предприятия и способам выявления специальных технических средств негласного получения информации было посвящено выступление Бузова Г.А., заведующего лабораторией защиты информации от утечки по техническим каналам Учебного центра "Информзащита".

Важную роль в обеспечении предотвращения нарушений политики безопасности, по мнению докладчика, играет грамотно построенная и организованная работа службы безопасности предприятия, одна из задач которой - выявление специальных технических средств (СТС) негласного получения информации. Рассматривая проблемы выявления СТС, предназначенных для негласного съема информации, докладчик сделал небольшой экскурс, в котором проанализировал современное состояние специальных технических средств негласного съема информации и привел следующие выводы:

• за последние годы резко увеличилось количество компаний, незаконно использующих СТС для получения необходимой им информации;

• активно стали использоваться СТС, применяющие легальные каналы для передачи информации.

В связи с этим, наиболее эффективным методом противодействия указанным нарушениям является организация непрерывного круглосуточного радиоконтроля охраняемых помещений, что, в свою очередь, вызывает необходимость применения оборудования, позволяющего в автоматическом режиме производить постоянный радиомониторинг заданных объектов.

Компьютерная сеть предприятия как возможный канал утечки конфиденциальной информации была рассмотрена Собецким И.В., ведущим специалистом Учебного центра "Информзащита". Докладчик проиллюстрировал на конкретных примерах внешние и внутренние каналы утечки из сети предприятия. Были показаны внешние угрозы, такие как  взлом или обход периметра сети, взлом периферийных узлов сети и абонентских пунктов, снятие информации по техническим каналам и внутренние – предоставление общего доступа к конфиденциальной информации, уязвимость к методам социальной инженерии, нарушение правил эксплуатации СКЗИ, подключение к корпоративной сети посторонних устройств, отключение штатных средств защиты от НСД, хищение и копирование информации на собственные носители и др. Проверить, насколько уязвима конфиденциальная информация в организации, по мнению докладчика, можно по следующим признакам: несоблюдение требований Закона РФ № 98-ФЗ «О коммерческой тайне» и деятельность компании вне правового поля.

Технические и организационные средства для обеспечения эффективной защиты конфиденциальных данных против утечки рассмотрел в своем докладе Хайретдинов Р., директор по продажам компании InfoWatch.

Докладчик перечислил следующие каналы утечки конфиденциальных данных: электронная почта, Post-запросы, печать, сменные носители. Ответ на вопрос, как обеспечить конфиденциальность при разных политиках доступа, способах идентификации пользователя, базах контентной фильтрации, журналах событий, консоли управления и аналитических средствах, по мнению докладчика, в переходе от канального решения к периметральному, с единым хранилищем контента и журналом опасных операций.

Реализации режима коммерческой тайны на предприятии был посвящен второй доклад Емельянникова М.Ю., директора департамента ООО "Борлас Секьюрити Системз".

Установление режима коммерческой тайны позволяет защитить интересы ее обладателя во взаимоотношениях с собственными работниками, контрагентами, государственными и муниципальными органами, СМИ, акционерами и даже рейдерами, отметил докладчик. Каналы утечки коммерческой тайны различны – от разглашения третьими лицами и использования в своих целях работниками и контрагентами до шпионажа конкурентов и недобросовестных действий потенциальных инвесторов и государственных контролирующих органов.

Докладчик, ссылаясь на Федеральный закон "О коммерческой тайне", привел ряд примеров реального применения в нашей стране норм закона, а также перечень мер по охране конфиденциальности информации:

• определение информации, составляющей коммерческую тайну;

• ограничение доступа к этой информации путем установления порядка обращения с ней и контроля за соблюдением такого порядка;

• учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

• регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

• нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации.

Основные задачи подразделений, отвечающих за организацию конфиденциального делопроизводства и основные составляющие конфиденциального делопроизводства, были рассмотрены в докладе "Организация конфиденциального делопроизводства на предприятии" Граве А.В., ведущего специалиста Учебного центра "Информзащита".

Докладчик выделил основные задачи организации конфиденциального делопроизводства: инструктаж персонала при приеме на работу, заключение Соглашений о конфиденциальности, разработка политики организационно-правовой защиты коммерческой тайны и организации конфиденциального делопроизводства, ведение учета лиц, допущенных к коммерческой тайне, обучение персонала требованиям конфиденциального делопроизводства, экспертиза материалов для СМИ и web-сайтов, рекламных и презентационных материалах. Не меньшее внимание, по мнению докладчика, следует уделять расследованию случаев разглашения коммерческой тайны и организации взаимодействия с правоохранительными органами, а также организации проверок условий выполнения режима коммерческой тайны на предприятиях контрагентах.

Повышению осведомленности персонала по вопросам обеспечения информационной безопасности был посвящен доклад Беленького Н.И., ведущего специалиста Учебного центра "Информзащита".

Осведомленностьв вопросах обеспечения информационной безопасности - это понимание того, какие проблемы безопасности информационных технологий могут возникнуть и знание как действовать в той или иной ситуации. Докладчик перечислил основные методы повышения осведомленности:инструктаж при приеме на работу, распространение памяток и информационных листов, средства наглядной агитации, рассылки и разделы на корпоративных порталах (с примерами инцидентов, статистикой нарушений, результатами контроля подразделений), обучение и зачеты по положениям Политики безопасности.

Предотвращению и расследованию инцидентов, связанных с деятельностью внутренних злоумышленников мешает низкая правовая культура, и низкий уровень легальных доходов населения подчеркнул во втором докладе Собецкий И.В., ведущий специалист Учебного центра "Информзащита". И как следствие -  безнаказанность мошенничества, недостаточные меры контроля, отсутствие аудита безопасности и производственной дисциплины, равнодушие к происходящему со стороны персонала, а также недоработки службы безопасности, так как зачастую не ведется профилактическая работа с персоналом, не осуществляется экспертиза проектов с точки зрения безопасности, не налажено конструктивное взаимодействие с государственными органами. Служба безопасности также должна контролировать организацию кадровой работы (от рекрутинга до увольнения сотрудников) и обеспечив правовую защиту интересов компании организовать работу IT-подразделения, отметил докладчик.