Защита информационных интересов в области коммерческой тайны

1 Введение

Вступление человечества  в  XXI век знаменуется бурным развитием информационных технологий во всех сферах общественной жизни. Информация стала стратегическим ресурсом, производственной силой и дорогим товаром. Это не может не вызывать стремление государств, организаций и отдельных граждан получить преимущества за счет овладения информации, недоступной оппонентам, а также за счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты своих информационных ресурсов.

В условиях рыночной экономики предприятия оказались перед лицом жесткой конкуренции и криминальными элементами,  появилось большое число инсайдеров, которые жаждут получить контроль над технологией для извлечения материальной выгоды. От адекватного решения этих проблем зависят перспективы дальнейшего существования предприятия или фирмы на рынке.  В хозяйственной деятельности предприятий и организаций объективно сложились принципиально новые приоритеты – защита информационных интересов в области коммерческой тайны в целях обеспечения экономической и системы комплексной информационной  безопасности (СКИБ). Какое значение для предприятия имеет КИБ, и почему при разговоре с обывателем нередко слышишь «а что это такое?». Большинство авторов[1] при определении понятия такой системы справедливо включают в нее три взаимосвязанных элемента:           «интересы - угрозы - защита», отмечая при этом их основополагающую роль в непрерывном процессе обеспечения безопасности любого объекта, общества и государства. Безусловно, это имеет прямое отношение и к построению системы обеспечения информационной безопасности (ИБ) организации. Под интересами в данном случае понимаются частные интересы организаций и индивидуальных предпринимателей, динамично связанные с их экономическими (коммерческими) целями и задачами[1,6].

Угрозы (внутренние и внешние) обычно выражаются в негативных проявлениях, реально или потенциально препятствующих организации по достижению своих частных целей и создающих опасность ее жизненно важным интересам. Под защитой информации в данном случае имеются в виду меры организационно - правового, научно – методического и программно –аппаратного характера, реализация которых позволяет защищать коммерческую значимую информацию (КЗИ) от непреднамеренного воздействия, несанкционированного доступа, от разглашения и утечки информации, включая деятельность по предотвращению получения информации конкурентной разведкой с целью обеспечения стабильного и устойчивого экономического развития организации [3,8,9].

Названные положения определяют общие условия формирования системы безопасности любой организации. Для решения задачи по созданию надежной системы безопасности важно иметь точное представление о понятии, целях и принципах обеспечения ИБ организации.

Деятельность по обеспечению охраны конфиденциальной информации может быть представлена в виде совокупности продолжающихся в течение длительного времени действий, направленных на увеличение доходов организации, исключение неоправданных расходов, сохранение на рынке производства и реализации товаров или получение иной коммерческой выгоды.

Целями обеспечения ИБ организации являются: защита их законных прав во взаимоотношениях с органами государственной власти и местного самоуправления, партнерами и конкурентами; поддержание внутреннего порядка управления; повышение конкурентоспособности производимых товаров; развитие кооперативных связей и недопущение зависимости от недобросовестных конкурентов и партнеров; ориентация развития техники и технологии на мировые стандарты по профилю деятельности организации; создание благоприятной рыночной конъюнктуры и рост прибыли за счет эффективного использования КЗИ.

Проблема обеспечения информационной безопасности на всех уровнях может  быть решена успешно только в том  случае, если создана и функционирует  комплексная система защиты информации (КСЗИ), охватывающая весь жизненный цикл работы предприятия и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Поэтому, целью своего диплома я избрал разработку проекта КСЗИ в производственном цехе компании «Сибагро К». В качестве объекта защиты выступает централизованный архив рецептур по изготовлению пищевых добавок применяемых в мясоперерабатывающей промышленности, а именно, добавки для изготовления колбасных изделий и мясных полуфабрикатов.

Для достижения поставленной цели, мной были сформулированы следующие задачи:

1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
3. Составить перечень сведений конфиденциального характера;
4. Выявить объекты защиты, оформленные в виде списка объектов, подлежащих защите;
5. Построить модель злоумышленника;
6. Проанализировать степень защищенности объектов защиты по каждому из видов защиты информации  (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ, криптографическая ЗИ);

 

2.Анализ объекта защиты

 

2.1 Постановка задачи

 

В данной главе предлагается рассмотреть  структуру объекта, а именно производственный цех пищевых добавок ООО «Сибагро К», с целью выявления конфиденциальной информации.

 

2.2 Анализ общей характеристики  объекта защиты, оформленного в                     виде «Паспорта предприятия»

Цех смешивания пищевых  добавок является структурным подразделением общества с ограниченной ответственностью «Сибагро К».

• Место расположения объекта – г. Новосибирск, Ленинский район, ул. Станционная 61, производственная база ООО «Сибагро К».
• Численность персонала: 30 человек
• Источник финансирования – собственные средства ООО «Сибагро К»
• Общая площадь производственных помещений – 640,8 м2
• Цех пищевых добавок – здание переменной этажности. Основная часть здания – шестиэтажное, с учетом технического этажа. Основные сооружения – склад сырья и готовой продукции, производственный корпус (производственные помещения, цеховая лаборатория, кабинет начальника цеха, кабинет ИТР).
• Здание цеха пищевых добавок находится на территории производственной базы общей площадью земляного участка 37173 м2, который огорожен забором.
• Вход людей в здание осуществляется через контрольно – пропускной  пункт, находящийся на первом этаже, по пропускам.

Доступ имеет свои разграничения:

• В производственные помещения цеха на 1,2,3 и 4-х этажах имеют доступ все сотрудники цеха.
• В помещение склада сырья и готовой продукции, находящегося на первом этаже, имеют доступ только кладовщик и грузчик.
• В помещении ИТР на 3 этаже, где находится конфиденциальная информация, имеют доступ только сотрудники ИТР.
• В помещение лаборатории на 2 этаже, где находится конфиденциальная информация, имеют доступ только технологи.
• Доступ в кабинет начальника цеха в его отсутствие запрещен.
• Доступ в помещение конференц - зала  на пятом этаже возможен только с разрешения начальника цеха.

Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на территории производственной базы и обслуживается сотрудниками предприятия ООО «Сибагро К».

В состав ВТСС входит:

• телефонный аппарат (в кабинете начальника цеха и в кабинете мастеров, телефонная связь осуществляется через общую АТС производственной базы).
• компьютер (в кабинете начальника цеха, заместителя начальника цеха, оператора 1С, в лаборатории), состоящего из системного блока, монитора, мыши, клавиатуры.
• принтер (в кабинете начальника цеха 1шт.).
• факс (в кабинете начальника цеха 1шт.).

В здании цеха пищевых добавок в  каждом кабинете по 1 окну, в каждом производственном помещении по 6 окон. Все окна тройной стеклопакет. На окнах кабинета установлены жалюзи. Окна с одной стороны здания цеха выходят на подъездные железнодорожные пути, остальные на территорию производственной базы.

Количество стояков отепления  соответствует количеству окон. Трубы  системы отопления проходят по всем этажам, заканчиваются в бойлерной 

 

на первом этаже здания.

Стены, потолок – железобетонные плиты толщиной 400мм, изнутри здания отделаны гипсокартонном, толщиной 10мм. Пол - железобетонные плиты толщиной 400мм, обработаны безыскровым составом.

В кабинете начальника цеха, ИТР – линолеум.

Количество дверей соответствует  количеству кабинетов и производственных помещений  в здании.

Двери входа в здание – железные укрепленные.

Требование к монтажу кабельной  проводки – скрытый монтаж.

Основные направления деятельности цеха пищевых добавок: научная разработка, производство пищевых добавок и  смесей для производства колбасных изделий на основе соевого белка.

Технологическими решениями предусмотрена организация производства пищевых добавок для изготовления колбасных изделий  на основе соевого белка с тремя линиями по производству смесей. Все три линии с общей системой управления и компьютерным обеспечением. Производство пищевых добавок предусмотрено по упрощенной схеме – дозирование и смешивание готовых ингредиентов, получаемых от зарубежных и отечественных производителей. Пищевые добавки – это смеси измельченных до определенной дисперсии пищевых веществ, имеющий в своей основе соевый белок (муку). Данные пищевые добавки предназначаются  для использования их в производстве колбас и фарша.

Получаемое сырье размещается  на складе цеха, откуда подается на четвертый этаж грузовым лифтом грузоподъемностью 2 тонны. На четвертом этаже производственного здания выполняется загрузка емкостей производственного оборудования фирмы «ТЕХНЕКС». Заполнение емкостей производится через загрузочное устройство УЗ-П1. Продукт из бункеров в каждый весовой дозатор транспортируется пневмоактиваторами. Дозированные, согласно разработанным рецептам порции, подаются в смесители СП-500. Готовые смеси из смесителей направляются

 в модули дозирования и  фасовки Мо-30-120-Ш1. Модули дозирования и фасовки укомплектованы мешкозашивочными машинами и ручной машинкой для зашивки бумажных мешков.

Предприятие ООО «Сибагро К» единственное в регионе занимается производством  специальных пищевых смесей. Вообще в России существуют не более десяти фирм конкурентов, производящих аналогичную продукцию. Компания «Сибагро К» занимается современными наукоемкими технологиями, более прогрессивными чем у конкурентов, мощным научным и внедренческим потенциалом, широким ассортиментом продукции. Отличительной особенностью компании «Сибагро К» является разработка новых рецептур смесей и рецептур для производства колбасных изделий.

На предприятии отсутствуют  сведения, составляющие государственную тайну, но ведется работа с коммерческой и служебной тайной. Существует ряд нормативных актов регламентирующих правила пользования этими сведеньями. Здание производственного цеха входит в отдельную локальную сеть. В основном имеется доступ к ограниченному числу сайтов этой сети, необходимые в ходе трудовой деятельности. Информация о каждом выходе в сеть фиксируется системным администратором. Выход в сеть Интернет отсутствует.

Основными объектами защиты является:

• АРМ начальника цеха, оператора 1С, руководителя лаборатории, заместителя начальника цеха;
• конфиденциальная информация (документируемая информация, рецептуры);
• кабинет начальника цеха;

В цехе пищевых добавок разработана часть мер по защите информации:

• заключен договор об охране помещений цеха и территорий производственной базы;
• разработаны должностные инструкции служащих, разграничивающие их права и обязанности;
• режим видеонаблюдения внешнего периметра зданий;
• пожарная сигнализация помещений цеха выполняется от приборов приемно-контрольных пожарной сигнализации типа «Сигнал-20» устанавливаемых в помещении охраны. Для пожарной сигнализации используются датчики типа ИП-212-3СУ, ИП 103-4/1ИБ, ИПР -3СУ; ИПР-535 Гарант, типа ИП-212-45М и ручные пожарные извещатели.
• инструкции по охране периметра, по эксплуатации системы охранной сигнализации и видеонаблюдения;
• положение о конфиденциальном документообороте;
• описание технологического процесса обработки коммерческой информации;
• установлена антивирусная системы защиты на АРМ;
• разграничен доступ к АРМ паролями.

 

2.3 Описание модели бизнес-процесса

Модель бизнес-процесса  построена с помощью системы бизнес -моделирования «Бизнес-инженер». Программный продукт «Бизнес-инженер» является профессиональным инструментальным средством моделирования деятельности предприятия и разработки регламентирующих документов. Данный инструмент бизнес - моделирования поддерживает полный цикл проектирования организации: от разработки стратегии, ключевых показателей и бизнес-процессов до анализа и оптимизации оргструктуры, повышения эффективности персонала, проектов, построения системы менеджмента качества, финансов и информационной системы предприятия.

С помощью данной модели построил бизнес-процесс «Производство продукции»

 

2.3.1 Назначение

Настоящее положение  о бизнес-процессе в компании ООО  «Сибагро К» регламентирует распределение  ответственности и внутренние взаимодействия структурных подразделений и должностных лиц в процессе «Производство продукции».

2.3.2 Область применения

Настоящее положение должны знать  и использовать в своей работе ответственные должностные лица и участники бизнес-процесса "Производство продукции" производственного цеха ООО «Сибагро К».

 

2.3.3 Бизнес-процесс производственного цеха ООО «Сибагро К»

 

Для данного проекта  воспользуюсь конкретными функциями  программы Бизнес-инженера, а именно: мастером построения диаграмм и табличным методом моделирования.

В рамках этапа "Описание организационной структуры" разработал несколько моделей организационной структуры, основной является модель, построенная по принципу подчиненности и принципу входимости (Рисунок 2.1).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

На базе организационной структуры выявил подразделения и должности, существующие в компании, а также их роли на производстве

(Таблица 2.1).

 

 

 

 

 

Таблица 2.1 -Организационная структура и бизнес - роли

№	Должность	Бизнес-роли
P.	Начальник цеха	Планирование производства и контроль за выделением рецептур
P1.	Кладовщик	Прием ингредиентов, их выдача на производство, прием конечной продукции
P2.	Оператор 1С	внесение  материалов использованных для производства пищевых добавок  в компьютерную базу.
P3.	Заместитель начальника цеха	Контроль всего технологического процесса
P3.1.	Мастер	Производство и контроль продукции
P3.2.	Рабочий	Участвует в производстве продукции
P3.3.	Специалист по качеству	Контроль качества продукции
P4.	Руководитель лаборатории	Разработка рецептур  и модернизация  состава уже созданных.

 

        

 

 

 

      

 

 

 

 

 

 

 

 

 

На основании бизнес – ролей, следующим  этапом разработки процесса моделирования является создание Дерева бизнес-процесса "Производство продукции" (Рисунок 2.2).

 

 

 

На основании полученных схем и таблиц, и  программы Бизнес- инженер, для каждого этапа производства смоделируем распределение ответственности за коммерчески значимую информацию( Таблица 3.2 ).

 

 

 

 

    

 

 

Таблица 2.2 - Распределение ответственности и участия структурных единиц верхнего уровня  в бизнес-процессах (N-номер уровня конфиденциальной информации)

№	Должность	Роль в процессе	№	Название процесса
P1.	Начальник цеха	¦ Выдает рецептуры для производства	B1.2.	Планирование производства
		¦ выдает рецептуры	B1.2.1.	разработка рецептур
P2.	Кладовщик	¦ Ответственный за процесс	B1.1.	Прием, складирование сырья и  материалов и их выдача на производство
		¦ Ответственный за процесс	B1.6.	Складирование готовой продукции
P2.	Оператор 1С	¦ Вводит информацию о количестве израсходованной продукции и т.п.	. B1.4.	Изготовление продукции
P2.	Заместитель начальника цеха	¦ Контролирует в процессе	B1.4.	Изготовление продукции
		¦  Получает от нач. цеха рецептуры и следит за их использованием	B1.3.	Подготовка производства
P2.	Руководитель лаборатории	| Исполнитель процесса	B1.2.1	Разработка рецептур

 

Руководствуясь полученными данными, следует идентифицировать информационные потоки, участвующие в описываемых бизнес-процессах, представляющие из себя информацию, размещенную на бумажных носителях, устную информацию и информацию в электронном виде.

Проанализировав таблицу 3.2,  и на основании анализа общей характеристики объекта, я пришел к выводу, что  доступ  к коммерчески значимой информации, в основном, циркулирует на первом и вторых уровнях, а именно на этапе разработке и последующем использовании рецептуры.

Данный этап нигде не документируется, вследствие чего, будет сложно определить, на каком из этапов производства информация была утеряна и кто будет ответственен за это.

Поэтому, в целях контроля за КЗИ  необходимо разработать порядок  выдачи конфиденциальной информации на бумажных носителях (журнал выдачи рецептур изготовления пищевых добавок).

В разработанном журнале будут  вести учетную запись о выдаче и возврате рецептур, а именно необходимо будет указывать имя, фамилию сотрудника,  и  дату получения (соответственно возврата тоже).

Данное мероприятие поможет  исключить вероятность небрежного использования КЗИ на производстве.

 

2.4 Модель нарушителя

 

Возможность осуществления вредительских  схем воздействия в большой степени  зависят от статуса нарушителя по отношению к информации.

Нарушителем может быть:

• сотрудник из числа обслуживающего персонала;
• пользователь;
• системный администратор;
• постороннее лицо.

На практике опасность нарушителя зависит от финансовых, материальных возможностей и квалификации нарушителя.

В качестве возможного нарушителя в  данном проекте рассматривается  субъект, имеющий доступ в служебные помещения предприятия ООО «Сибагро К», а так же имеющий доступ к работе с программными и техническими средствами [10].

Нарушитель классифицируется по уровню возможностей, предоставляемых всеми доступными средствами (Таблица 2.3).

 

Таблица 2.3 – Модель нарушителя

Уро-вень	Возможности нарушителя по технологическому процессу	Потенциальная группа нарушителей	Возможный результат  НСД
1	Нет	Служащие, не имеющие  доступа к информации, но имеющие  доступ в помещения  (обслуживающий  персонал, посетители)	Просмотр на экране монитора и хищение бумажных и машинных носителей.
2	Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации	Большинство пользователей  АС, имеющих непосредственный доступ в помещения, к АРМ, с полномочиями, ограниченными на уровне системы защиты информации (СЗИ)	Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через  сеть, просмотр информации на мониторе (несоблюдение организационных требований). Просмотр и хищение бумажных носителей.

 

 

 

 

 

Продолжение таблицы 2.3

3	Управление функционированием  АС, т.е. воздействие на базовое программное  обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями.	Администраторы АС, наделенные неограниченными полномочиями по управлению ресурсами	Доступ администратора АС к информации других пользователей  и к средствам СЗИ, непреднамеренное разрушение информации (несоблюдение организационных требований)
4	Весь объем возможностей лиц, осуществляющих ремонт технических средств АС.	Обслуживающий персонал АС. Специалисты сторонних организаций, осуществляющих поставку и монтаж оборудования для АС	Доступ обслуживающего персонала АС к МН с информацией  других пользователей, разрушение информации, установка закладных устройств (несоблюдение организационных требований при ремонте ОТСС)

 

2.5. Перечень сведений конфиденциального характера

 

 Перечень сведений конфиденциального характера разрабатываются на основании Положения «О защите коммерческой тайны» ООО «Сибагро К» и в соответствии  с Федеральным законом РФ от 29.07.2004г. № 98-ФЗ «О коммерческой тайне», Федеральным законом РФ №149-ФЗ «Об информации, информационных технологиях и о защите информации», Гражданским кодексом РФ, Трудовым кодексом РФ, иными действующими нормативными правовыми актами РФ [9,10,12].

 Составленный перечень сведений разработан с целью защиты информации, а именно:

• обеспечение эффективного управления информацией и ее использования;
• предотвращение утечки, утраты, хищения и подделки информации;
• обеспечение конфиденциальности информации;
• разграничение доступа к информации;
• обеспечение правового режима использования информации, как объекта собственности.

Право на определение перечня и состава информации, составляющей коммерческую тайну и информации конфиденциального характера принадлежит генеральному директору ООО «Сибагро К» и закрепляется в соответствующем приказе.

К перечню  сведений, составляющих коммерческую тайну и сведений конфиденциального характера производственного цеха пищевых добавок ООО «Сибагро К» относятся:

• технологическая и техническая документация;
• состав поставщиков и потребителей продукции, товаров, услуг и сырья, иных контрагентов;
• содержание конкретных предпринимательских договоров;
• структура цены и условия конкретных сделок;
• сведения о предполагаемом спросе и предложении на товары и услуги Общества;
• текущие данные о размерах имущества Общества и его денежных средствах, сведения о запасах на складе сырья, материалов;
• нормативы, используемые в составление бухгалтерских отчетов;
• содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности;
• рабочие документы органов управления производственного цеха пищевых добавок;
• материалы анализа финансово - хозяйственной деятельности производственного цеха пищевых добавок;
• сведения о режиме работы производства, производственных мощностях, типе и размещении оборудования;
• сведения о применяемых методах управления производственного цеха пищевых добавок;
• сведения о подготовке, принятия и использования отдельных решений руководства ООО «Сибагро К» по научно-техническим, коммерческим, организационным вопросам;
• сведения о планах расширения или прекращения различных видов деятельности производственного цеха и их обоснование;
• сведения о планах закупок и продаж;
• сведения о направлениях маркетинговых исследований, результатах изучения рынка, содержащих оценки состояния и перспективы развития рыночной коньюктуры;
• сведения о заинтересованности в приобретении товара;
• сведения о методах расчета цен на продукцию и размерах скидок;
• сведения о целях, задачах, программах перспективных научных исследований;
• сведения о методах защиты от всевозможных подделок;
• сведения об особенностях используемых и разрабатываемых технологий и специфике их применения;
• сведения о порядке и состоянии организации защиты коммерческой тайны Общества;
• сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации Общества;
• сведения о репутации персонала производственного цеха пищевых добавок;
• любые специальные знания, включая практический опыт специалистов, применяемые не только в производстве, но и в других областях предпринимательской деятельности.
• сведения о фактах, событиях и обстоятельствах частной жизни учредителей и работников производственного цеха, позволяющие идентифицировать их личность, за исключением сведений, разрешенных законами РФ на распространение;
• тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;
• служебные сведения, доступ к которым ограничен.

 

 

2.6. Вывод

В второй главе проведены исследования объекта защиты (цеха пищевых добавок ООО «Сибагро К»). Разработан список конфиденциальной информации подлежащей защите, а также разработан порядок регистрации передачи конфиденциальной информации сотрудникам цеха в связи с необходимостью производства продукции.

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Этапы разработки комплексной системы  по защиты информации в производственном цехе пищевых добавок ООО «Сибагро К»

 

3.1.Постановка  задачи

Обеспечить цех пищевых добавок  ООО «Сибагро К» дополнительными техническими и программно-аппаратными средствами защиты информации.

 

3.2 Система контроля доступа

 

3.2.1 Общие положения

Контроль доступа – это система, контролирующая доступ к двери/дверям, и отвечающая за их открытие/закрытие. Самый распространенный пример системы  контроля (СКД) – система электронных замков. Есть множество уровней и типов электронных систем контроля- доступа. Все они в зависимости от функциональности и размеров, могут отличаться по стоимости, но их общая цель – ограничение доступа закрытым дверям и охраняемым территориям. Ограничение доступа достигается с помощью таких устройств, как считыватель проксимити-карт, биометрический контроль кейпады и т.д. После установки этих систем их можно настроить или запрограммировать как через модем обычного компьютера, так и с помощью прямого соединения, LAN или WAN.

Систему контроля и управления доступом можно разделить на 2 группы:

1. автономные;
2. сетевые.

Главная черта автономных систем КД, то, что она строится на основе одного или нескольких автономных контроллеров без участия управляющего компьютера [7,5].

В системах СКУД все контроллеры доступа связаны  между собой и представляют единую сеть, управляемую с одного или  нескольких компьютеров. Вся цепь точек  прохода работает с одной базой данных.

Поэтому не приходится тратить время на перепрограммирование или изменение информации для каждого контроллера в отдельности. С помощью специального ПО сотрудники отдела безопасности могут получать разноплановые отчеты о событиях, вносить в базу данных новых пользователей или удалять идентификаторы. Причем все это можно делать в считанные секунды – управление системой происходит в режиме реального времени.

Возникает вопрос: какое устройство в системе играет роль стражника, ответственного за  пропуск пользователей?