2.4 Защита от недобросовестной конкуренции
Еще одно важнейшее направление работы по управлению знаниями — защита от недобросовестной конкуренции. Функционирование в условиях рынка вынуждает компании развивать конкурентные преимущества, в том числе — накапливать полезную информацию (управленческую, научно-техническую, торговую и пр.). Для машиностроительного предприятия наибольшую ценность представляют новые технологии и технические решения, позволяющие создавать продукцию с эксклюзивными качественными показателями. Естественно, именно эта конфиденциальная информация представляет особый интерес для конкурентов. Как же защитить ее?
Для обеспечения права предприятия владеть, использовать и распоряжаться своим интеллектуальным активом (инновационными техническими решениями), а также защиты его от несанкционированного применения используются различные методы:
патентование изобретений, полезных моделей промышленных образцов;
регистрация торговых марок;
заключение лицензионных/франшизных соглашений;
получение авторских прав.
При этом нередко возникает вопрос о том, какой способ защиты лучше выбрать: получить патент на новое техническое решение или сохранить новое ноу-хау как коммерческую тайну.
Решения о целесообразности патентования новых технических решений (ТР) на нашем заводе принимает экспертная комиссия под председательством главного инженера. Комиссия учитывает множество факторов: значимость конкретных разработок, наличие спроса на продукцию, созданную на основе этих ТР, перспективность использования разработок и имеющиеся возможности для их коммерческой реализации.
Технические решения охраняются в режиме коммерческой тайны в случаях, когда:
невозможно проконтролировать их использование (техоснастка);
сложно доказать факт использования (смеси, композиции);
публикация полученного патента раскрывает оригинальное направление решения задачи (фактически является явной подсказкой конкурентам для создания альтернативных вариантов устройств или способов).
Но остается вопрос: «Как защитить «нетехнические» творческие решения, а именно: управленческие, финансовые, организационные, маркетинговые ноу-хау?» Они также являются частью корпоративных знаний и существенной составляющей конкурентоспособности компании.
Наиболее распространенный (и надежный) метод защиты подобной информации — внедрение на предприятии разрешительной системы допуска/доступа, разграничивающей права пользователей на доступ к коммерческой тайне. Основные принципы этого подхода:
при занесении информации в базу данных определяется уровень ее конфиденциальности, а также — кто из работников получает право доступа к ней);
сотрудник получает доступ к определенным сведениям только по специальному разрешению;
использование конфиденциальной информации контролируется;
все факты обращения к этим сведениям регистрируются.
Разработка и внедрение на «ЛИПЛИН» разрешительной системы доступа к конфиденциальной информации проводились поэтапно.
I этап. Прежде всего, мы постарались найти ответы на следующие вопросы:
Имеется ли на предприятии информация, которая требует защиты?
Какие сведения подлежат защите от конкурентов?
Для чего и от кого надо их защищать?
По каким каналам наиболее вероятна утечка информации?
Какие методы защиты информации являются оптимальными для нашего предприятия?
Собрав необходимую информацию, мы смогли очертить круг проблем и наметить пути их решения.
II этап. Далее приступили к разработке системы доступа — комплексной системы защиты информации (КСЗИ). Мы считаем, что это обязательная составная часть бизнес-процесса по обеспечению экономической безопасности.
Ключевым звеном КСЗИ является заводская экспертная комиссия по защите информации. Основные задачи экспертной комиссии:
формирование перечня сведений, составляющих коммерческую тайну предприятия;
разработка и внедрение нормативно-методических документов, инструкций, положений по защите информации на заводе;
разработка и реализация мероприятий по защите информации (включая экономическое обоснование и согласование места и времени);
координация действий структурных подразделений предприятия по защите информации;
контроль соблюдения требований по защите информации в подразделениях завода.
Установление степени конфиденциальности (уровня защиты) информации происходит в следующем порядке:
Подразделения завода самостоятельно определяют виды знаний, которые требуют защиты. При этом они руководствуются специально разработанной «Методикой по формированию перечня сведений, составляющих коммерческую тайну». В их число входят данные о производстве, подготовке производства, маркетинге, финансах, управлении инвестиционными проектами, формировании инфраструктуры информационного обеспечения, бухгалтерском учете, составляющих механизма сертификации персонала, программном и методическом обеспечении учебного процесса по отдельным направлениям и др. Легитимность этих сведений устанавливается юридическим отделом предприятия.
Сотрудник, ответственный за преобразование и управление бизнес-процессами, утверждает «Перечень…», после чего направляет его в заводскую экспертную комиссию по защите информации для обобщения и систематизации.
Рассмотрев полученные данные, заводская экспертная комиссия по защите информации дает заключение о целесообразности отнесения данной информации к сведениям, составляющим коммерческую тайну. При принятии решений комиссия исходит из обеспечения финансовых и экономических интересов нашей организации.
Перечень сведений, составляющих коммерческую тайну, утверждается и вводится в действие приказом по предприятию.
Затем в структурные подразделения направляются выписки из «Перечня сведений, составляющих коммерческую тайну по подразделению».
Сотрудники всех подразделений обязаны руководствоваться данным «Перечнем» в своей работе.
III этап. Ознакомление персонала со сведениями, составляющими коммерческую тайну предприятия, осуществляется через разрешительную систему допуска.
Юридической основой внедрения данной системы является право собственника информации (предприятия) назначать уполномоченных лиц, которые определяют пользователей информации и устанавливают их полномочия. Приказом генерального директора руководители, ответственные за преобразование и управление бизнес-процессами, назначаются уполномоченными лицами собственника информации.
Для доступа к знаниям, составляющим коммерческую тайну предприятия, сотрудники должны получить специальное разрешение. Разрешения на доступ к такой информации оформляются в соответствии со списками, сформированными руководителями структурных подразделений. В списки пользователейвключают конкретных специалистов, которым эта информация необходима для выполнения своих должностных обязанностей.
Сотрудники, получившие разрешение на доступ к информации, составляющей коммерческую тайну предприятия, проходят первичный инструктаж по защите информации и подписывают договор — обязательство по неразглашению коммерческой тайны. Инструктаж проводят специалисты группы защиты информации и отдела кадров.
IV этап. Чтобы предупредить утечку конфиденциальной информации в системе защиты важно 1) непрерывно отслеживать текущую ситуацию, 2) прогнозировать возможность появления новых угроз. Одним из инструментов управления рисками является «Перечень угроз». Его разработка и корректировка на нашем предприятии также проводится пошагово.
На первом шаге эксперты заводской экспертной комиссии по защите информации:
разрабатывают «Перечень текущих угроз информации предприятия»;
рассчитывают коэффициент вероятности атаки;
проводят экспертную оценку возможной величины ущерба.
Эта работа выполняется на основании статистических данных за отчетный период (о возникновении угроз для обрабатываемой на предприятии информации) — в соответствии с международными стандартами по компьютерной безопасности ISO/IEC 15408, ИСО/МЭК 15408-2002 (Common Criteria for Information Technology Security Evaluation — Общие критерии оценки безопасности информационных технологий).
На втором шаге исходя из текущего перечня угроз, коэффициентов вероятности атаки, величины возможного ущерба и статистических данных выполняется экспертная оценка рисков (утечки информации). Анализ рисков — это количественная (качественная) оценка ущерба, который может быть нанесен в случае реализации угрозы с учетом вероятности ее появления. Далее перечень наиболее вероятных угроз информации ранжируется — в зависимости от величины риска.
На основании этих данных определяются «Требования по защите конфиденциальной информации и знаний».
V этап. В соответствии с «Требованиями по защите конфиденциальной информации и знаний» на заводе внедрены следующие системы:
система легализации пользователей, автоматизированных рабочих мест (АРМ) и программного обеспечения;
разрешительная система допуска-доступа;
система антивирусной защиты;
система резервного копирования и восстановления информации;
система защиты каналов связи и электронных коммуникаций,
обучение администраторов и пользователей компьютерных систем.
Мобильность системы защиты информации и знаний поддерживается комплексом организационно-правовых, инженерно-технических и программных мероприятий.
VI этап. «Сама по себе» даже сверхсовершенная техническая система работать не будет, поэтому особое внимание у нас уделяется предупредительной и профилактической работе с персоналом. Люди проходят обучение по темам:
«Характер и состав сведений, составляющих коммерческую тайну предприятия»;
«Возможные угрозы и каналы утечки информации и знаний, составляющих коммерческую тайну предприятия»;
«Законодательство России в области защиты информации и интеллектуальной собственности»;
«Правила защиты информации и порядок работы сотрудников с информацией, составляющей коммерческую тайну предприятия, — в документированном и электронном виде»;
«Действия персонала при возникновении нештатных и экстремальных ситуаций».
Дополнительно проводятся практические занятия по курсам:
«Эксплуатация и обеспечение информационной безопасности компьютерных систем» — для администраторов компьютерных систем структурных подразделений;
«Обеспечение безопасности информации и корпоративных баз знаний при эксплуатации компьютерных систем» — для пользователей.
Кроме того, регулярно проходят семинары и собеседования по конкретным направлениям защиты информации:
при подготовке и переподготовке работников различных профессий;
во время проведения совещаний-инструктажей по фактам утечки конфиденциальной информации.
Наши сотрудники воспринимают достижения специалистов и новаторов производства как реальные ценности, которые принадлежат всему коллективу Новокраматорского машиностроительного завода. Сегодня преимущество во времени осознается бизнесом как важный (а нередко и решающий) фактор конкурентной борьбы. Поэтому большинство наших работников понимают, что защита полезной информации, являющейся основой корпоративных знаний, — задача каждого.
|
