Принимаемые меры противодействия с экономической точки зрения будут приемлемы, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. Можно выбрать или определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня.

Ввести обязательное правило аутентификации, т. е. проверки подлинности подписи и содержания, для всех документов, поступающих в фирму по различным информационным каналам, если этот документ определяет ответственность фирмы в связи с заключенными договорами (контрактами), другими финансовыми обязательствами. Особо следует обращать внимание при этом на сообщения о расторжении договоров, открытые документы, поступившие под электронной подписью. Необходимо предусматривать ситуацию, при которой личный код отправителя может быть у него украден, и злоумышленник может воспользоваться им от лица владельца, или сначала прислать фирме якобы верный открытый ключ, а потом присылать под него соответствующим образом подписанные сообщения.

4. ПРЕДОТВРАЩЕНИЕ УТЕЧКИ ИНФОРМАЦИИ И ПЕРЕКРЫТИЕ КАНАЛОВ УТЕЧКИ

Каналы утечки информации в случае запуска новой продукции разнообразны. К ним могут относиться следующие ситуации:

— мало кто знает, как запускать новую продукцию. Вы полагаете, что на этой стадии информация представляет собой тайну. Не следует заблуждаться. Большая часть информации уже прошла через те этапы, где утечка вероятна и даже возможна: решения финансистов, покупаемые или заявленные патенты и т. п. Во все эти операции вовлечено много людей, что делает совершенно невозможным полное соблюдение секретности;

— создается подразделение или команда для наблюдения за сбытом продукции. О ее существовании хорошо известно всем сотрудникам фирмы. Новые действия членов такой команды расширяют круг посвященных;

— делается сообщение, публикуется информация;

— выпускается продукция. Все могут ее купить. Общество защиты прав потребителей имеет право исследовать и сравнивать с другой подобной продукцией. Конкуренты в такой ситуации имеют возможность детально знакомиться с продукцией и изделиями фирмы. Все характеристики продукции и изделий становятся достоянием общественности;

— продукция фиксируется, классифицируется и, возможно, даже становится статистическим объектом;

— продукция исчезает, ее место занимает новая.

Выделение необходимого источника для получения информации позволяет в большинстве случаев добраться к информации напрямую.

Прежде чем представлять, что утечка информации происходит в результате подслушивающего устройства на телефонной линии, разумнее предусмотреть и проверить следующие возможности:

— проанализировать состояние архивов, информационных систем всех видов договорной практики, перечень клиентуры, привлекаемой фирмой для поставок, сбыта, разработки отдельных деталей и направлений при создании новой продукции, порядок размножения документов, методы сбора и уничтожения отходов производства и бумажных носителей информации;

— краны, управляющие выходом потока информации, чаще открыты больше, чем необходимо;

— центры распределения информации (телефонистки, секретариат, вспомогательный персонал руководства фирмы).

Это самые рискованные точки, они многочисленны и поддаются контролю с трудом.

Для обеспечения этих точек мероприятиями по обеспечению безопасности фирмы можно рекомендовать следующие меры:

— установить в фирме режущий аппарат и в обязательном порядке по окончании рабочего дня уничтожать в нем все ненужные документы;

— управлять конфиденциальностью данных в компьютерах, приняв специальный код;

— контролировать доступ к компьютеру извне, запретить на протяжении определенного времени пользование и задать сигнал тревоги, если введенный код неверен или введен ошибочно. Это способствует предотвращению кражи данных и защищает всю систему от разрушения;

— периодически делать копии охраняемой информации и помещать их в надежное место;

— ограничить выход информации до минимума;

— для введения в заблуждение лица, предпринимающего попытку несанкционированного доступа, информацию можно подвергнуть некоторой упаковке: подинформация дается информация правдивая, но разрозненная или неполная, или слишком общая, информация ложная; сверхинформация — дается большое количество информации, но часть ее является бесполезной или ложной, но все это делается так, чтобы невозможно было это обнаружить;

— ограничить места приема посетителей и не оставлять их одних от момента прихода до выхода из помещений фирмы;

— не злоупотреблять набором стажеров и временных сотрудников которые часто имеют доступ к огромному количеству информации. Следует остерегаться «студентов» в возрасте от 30 лет и старше;