Секрет

Пример

Настоящие мастера своего дела знают, что профессиональными секретами делиться нельзя. Именно эти секреты являются целью промышленного шпионажа и интриг, предметом гордости и залогом процветания, а также основой сюжета исторических легенд – вспомним лак Страдивари или ослепление авторов Храма Василия Блаженного. Чтобы Ваши профессиональные секреты не стали секретом Полишинеля, они должны быть профессионально защищены


У холдинга «Полезные ископаемые» 83 территориальных учреждения (по одному в каждом субъекте Российской Федерации). Каждое из этих территориальных учреждений имеет свои отделения во всех крупных городах субъекта федерации.

В связи с очень высоким уровнем интереса к данным компании со стороны отечественных и зарубежных конкурентов, в Службе безопасности компании есть Подразделение защиты информации, разработана политика безопасности информации, внедрены средства защиты ПК, каналов передачи данных и информационных технологий, в том числе криптографические.

В отношении проблемы использования USB-носителей Подразделение защиты информации прорабатывало в течение нескольких лет различные возможности защиты, однако все они оказались неоптимальными (см. об этом раздел «Почему нельзя защитить флешки иначе»). В итоге было принято решение залить компаундом USB-разъемы всех компьютеров, кроме тех, на которых применяются персональные средства криптографической защиты информации или ПО, защищенное технологией HASP.

Понимая половинчатость такого решения, оценивая связанные с ним неудобства для пользователей и ущерб, который необходимо сознательно нанести исправной вычислительной технике, один из сотрудников Подразделения защиты информации – Михаил – взял на себя смелость предложить руководству попробовать внедрить систему «Профессиональный секрет» в одном из территориальных учреждений, с тем чтобы оценить возможность ее внедрения в компании в целом.

Исследование особенностей работы с системой «Профессиональный секрет» показало, что при заметном снижении числа случаев заражения компьютеров информационной системы компании компьютерными вирусами и другим вредоносным ПО, значительном уменьшении количества инцидентов безопасности информации (связанных ранее с тем, что пользователи подключали к служебным компьютерам флешки, не разрешенные правилами, назначенными в системе разграничения доступа), повысилась эффективность работы сотрудников, командируемых в местные отделения территориального учреждения, снизилась нагрузка на внутреннюю сеть и уменьшилось количество сотрудников, берущих бюллетень по временной нетрудоспособности в результате переутомления (так как дома сотрудники стали больше отдыхать). Дополнительным важным результатом оказалось косвенное подтверждение выводов, сделанных ранее Службой безопасности о неблагонадежности одного из сотрудников, подозревавшихся в продаже инсайдерской информации конкурентам. Поскольку он являлся пользователем, обладавшим правом использования USB-флешки в служебной информационной системе, и использовал ее, казалось бы, исключительно в рамках своих полномочий, факт нецелевого использования информации не получалось установить однозначно. После внедрения же системы «Профессиональный секрет» этот сотрудник через непродолжительное время уволился, очевидно, потеряв интерес к работе.

Как сотрудник Подразделения защиты информации Михаил придал большое значение тому факту, что нагрузка на сотрудников этого подразделения не увеличилась с внедрением «Профессионального секрета», а напротив, управление настройками разграничения доступа стало проще в самой трудоемкой своей части – настройке мандатного доступа к устройствам.

Будучи хорошо образованным специалистом по защите информации, и понимая всю степень моральной ответственности, которая ляжет на него в случае внедрения системы «Профессиональный секрет» по всем территориальным учреждениям «Полезных ископаемых», Михаил решил проверить «Секрет» на устойчивость к профессиональной атаке. Он отдал одно из устройств, на которое записал свои отпускные фотографии, одному из своих бывших сокурсников, считающему себя специалистом по «железу». Тот, даже получив доступ к данным в памяти устройства с использованием технологий, недоступных большинству людей, не смог прочитать их, поскольку они были зашифрованы. Приятель заверил Михаила, что, зная, с помощью какого алгоритма зашифрованы данные, он сможет их расшифровать. Однако имея достаточное представление о стойкости российского ГОСТ 28147-89, Михаил вежливо отказался от этой проверки.

После того как Михаил представил данные своего исследования руководству, для принятия решения были привлечены дополнительные показатели, не обязательные при оценке действенности системы защиты информации, однако очень важные для слаженной работы профессионального коллектива – показатели удовлетворенности сотрудников. Было отмечено, что сотрудники не только не показали негативной реакции на нововведение, но и напротив, у многих из них выросла самооценка и мотивация к работе в коллективе, «Секретами» которого он обладает.

После внедрения системы «Профессиональный секрет» во всей информационной системе «Полезных ископаемых» затраты на борьбу с компьютерными вирусами, программами-шпионами и прочим вредоносным ПО, а также усилия, направленные на борьбу с утечками информации и ослабление вредя от них, были существенно снижены, что положительно сказалось на прибыльности предприятия в целом и условиях труда его сотрудников.