Розділ «4.10. Інформаційне забезпечення системи забезпечення конкурентоспроможності підприємства»

4. Розробка контрзаходів.

5. Реалізація контрзаходів. Не зупиняючись докладно на змісті цих етапів (оскільки вони можуть бути різними в залежності від конкретної ситуації), хотілося б нагадати азбучну істину: "Краще самому знайти вразливі місця в своїй системі захисту інформації, ніж це зробить ваш конкурент".

Концепція системного підходу до забезпечення захисту конфіденційної інформації(одержала назву методу OPSEC (Operation Security). Цей підхід був розроблений американськими фахівцями під час в'єтнамської війни для підвищення ефективності захисту конфіденційної інформації і зменшення вартості забезпечення її схоронності. За твердженням автора методу - відомого американського фахівця в області забезпечення безпеки А. Паттоккоса, OPSEC є ефективним засобом приховання намірів, планів, заходів, технологій, дозволяє постійно бути "на крок поперед супротивника". Застосування цього методу в цивільній сфері означає стійка підтримка конкурентоздатності виробленої продукції, фінансового стану підприємства. Суть методу полягає в тому, щоб припинити, запобігти або обмежити витік тієї частини інформації (найбільш конфіденційної), що може дати конкурентові можливість "довідатися" або "обчислити", що здійснює або планує ваше підприємство, і, у результаті, випередити його на ринку.

Процес організації захисту інформації з методу OPSEC розбитий на сім етапів, а саме:.

Етап 1. Аналіз об'єкта захисту

На цьому етапі визначають те, що необхідно захистити. Аналіз проводиться по наступних напрямках:

o виявляється, яка інформація має потребу в захисті;

o виявляються найбільш важливі елементи (критично) інформації, що захищається;

o визначається термін життя критичної інформації (час, необхідний конкуренту для реалізації добутої інформації);

o визначаються ключові елементи інформації (індикатори), що відбивають характер охоронюваної інформації;

o класифікуються індикатори по функціональних зонах підприємства (виробничо-технологічні процеси, системи матеріально-технічного забезпечення виробництва, персонал фірми, фінанси, управління тощо).

Етап 2. Виявлення загроз

На цьому етапі:

o визначається, кого може зацікавити інформація, що захищається;

o оцінюються методи, застосовувані конкурентами для одержання цієї інформації, а також ймовірні напрямки використання слабких місць в існуючій на підприємстві системі забезпечення безпеки в конкретному випадку;

o розробляється система заходів щодо припинення дій конкурента.

Етап 3. Аналіз ефективності

На цьому етапі аналізується ефективність прийнятих і постійно діючих підсистем забезпечення безпеки (фізична безпека, безпека документації, надійність персоналу, безпека ліній зв'язку тощо). Потім моделюється планована операція і складається хронологічний опис подій (або їхніх функціональних зв'язків), безпека яких необхідно забезпечити. Для кожної події планованої операції визначаються індикатори, що можуть служити відправними даними для виявлення критичної інформації. Визначаються можливі специфічні джерела інформації, аналіз яких може привести до виявлення таких індикаторів (статті в пресі, прес-релізи, телефонні розмови по незахищених каналах, недбале відношення до чернеток, передача зайвої інформації у ході ведення переговорів, а також сталі стереотипи, шаблони в повсякденній роботі і процедурах тощо).

Етап 4. Визначення необхідних заходів безпеки

У ході цього етапу на основі проведених на перших трьох етапах аналітичних досліджень визначаються необхідні додаткові заходи по забезпеченню безпеки. При цьому перелік додаткових захисних мір, що дозволяють "закрити" виявлені уразливі напрямки, супроводжується оцінкою витрат, зв'язаних із застосуванням кожної міри. Зіставлення очікуваного зниження уразливості й майбутніх витрат дозволяє оцінити економічну доцільність пропонованих мір.