Читаем Оперативная деятельность и вопросы конспирации в работе спецслужб. Т. 6 полностью

Информация «ноу-хау» относится к разряду коммерческих тайн, что порождает аспект охраны этих сведений от персонала самой фирмы, т. к. всегда существует опасность, что тот или иной сотрудник уволится и перейдет работать в конкурирующую фирму. При введении контрактной формы трудовых отношений фирма может включить в содержание контракта нераспространение информации, полученной сотрудником во время работы в фирме, в течение 1, 2, 3 и более лет. Для обеспечения выполнения этого условия фирма может выплачивать вознаграждение уволенному, что даст право фирме предъявить иск к виновному, если он разгласит коммерческую тайну или конфиденциальную информацию, нанеся таким образом материальный ущерб фирме.

Информация, которая подпадает под понятия рационализаторского предложения, изобретения и т. п., на стадии разработки и внедрения должна быть отнесена к коммерческой тайне. Принятие решения не подавать заявку на изобретение на патентоспособное техническое решение возможно только по договоренности с автором, которая выражается в письменном виде и подписывается обеими сторонами. Если работодатель в течение трех месяцев с даты уведомления его автором о созданном изобретении не подаст заявку на него и не согласует возможность задержки патентования с автором, автор вправе сам подать заявку и получить патент на свое имя.

Особое внимание должно уделяться охране договоров (контрактов), заключаемых фирмой. Охране подлежит не только текст договора, но и сам факт его заключения. Договоры (контракты) должны храниться у одного лица и выдаваться только под расписку с письменного разрешения руководителя фирмы. На лицо, ответственное за хранение договоров (контрактов) и работу с ними, возлагается персональная ответственность за утерю договоров (контрактов) или утечку информации из них. При подписании договора (контракта) представители сторон должны ставить подписи не только в конце договора (контракта), но и на каждом листе во избежание замены одного текста другим.

Организация защиты вычислительной техники диктует необходимость придерживаться следующих принципов обеспечения безопасности информации:

— простота защиты. Простые методы защиты, как привило, являются и наиболее надежными;

— открытость проектирования и функционирования средств безопасности. Эффективность защиты не должна зависеть от секретности разработки, т. к. это позволит быстрее выявить «узкие места» и не даст возможности злоумышленнику использовать их в своих интересах;

— минимизация привилегий по доступу к информации для всех, у кого нет необходимости ею обладать;

— независимость системы управления доступом от пользователей. Все лица, связанные с разработкой и функционированием защиты, не должны быть пользователями системы;

— установка ловушек для провоцирования несанкционированных действий, когда регистрируются все, кто попытается обойти систему защиты через специально оставленное «окно»;

— всеобщность применения средств разграничения доступа ко всему множеству контролируемых объектов и субъектов. Любое исключение из этого множества снижает безопасность;

— приемлемость защиты для пользователей, т. к. в противном случае будут предприниматься попытки ее обхода;

— устойчивость защиты по времени и при неблагоприятных обстоятельствах;

— подконтрольность системы защиты;

— особая личная ответственность лиц, обеспечивающих безопасность информации;

— глубина защиты, т. е. дублирование и перекрытие защиты;

— изоляция и разделение объектов защиты на группы таким образом, чтобы нарушение защиты для одной из групп не повлияло на безопасность других;

— минимизация общих механизмов защиты, что уменьшает возможность нарушения работоспособности всей системы защиты в результате выхода из строя такого общего механизма защиты, используемого различными пользователями;

— физическая защита, позволяющая предотвращать проникновение злоумышленника в те места, откуда возможны несанкционированные действия;

— запрещение доступа к информации в случае любого сбоя средства защиты, не предусмотренного разработчиками;

— надежность системы защиты: она должна быть полностью специфицирована, протестирована как по отдельным компонентам, так и в комплексе;

— гибкость и адаптивность системы защиты, в частности, невозможность целенаправленного изменения параметров системы со стороны администрации, что делает ее более эффективной;

— система защиты должна проектироваться в расчете на возможность несанкционированных действий;

— наиболее важные решения должны приниматься человеком, т. к. компьютерная система не может предусмотреть все возможные ситуации;

— существование средств контроля не должно бросаться в глаза и подлежит сокрытию от тех, к кому они применяются;

— разработка комплекса мер безопасности по каждому новому изделию, продукции еще на стадии начала их разработок в научно-исследовательских подразделениях.

Система защиты информации предусматривает два основных направления в области защиты информации: контроль доступа и засекречивание данных.