"Финансовая газета. Региональный выпуск", 2007, N 41

ОХРАНА ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ ПРЕДПРИЯТИЯ:

ПОЛИТИКА БЕЗОПАСНОСТИ

Каждая коммерческая компания занимается сбором и обработкой информации независимо от ее функций и целей. Она должна учитывать важные аспекты обработки информации в своих операциях, включая различные виды учета, автоматизацию бизнес-процессов, маркетинговую, аналитическую и управленческую деятельность.

Прежде чем приступать к описанию подходов к созданию политики безопасности для организации охраны объектов интеллектуальной собственности (ИС) предприятия, рассмотрим, что понимается под данными объектами.

Согласно конвенции, учреждающей ВОИС, ИС включает права, относящиеся:

к литературным, художественным и научным произведениям, в том числе компьютерным программам, базам данных и топологиям интегральных схем;

к научным открытиям;

к изобретениям во всех областях человеческой деятельности;

к промышленным образцам;

к товарным знакам, знакам обслуживания, фирменным наименованиям и коммерческим обозначениям;

к исполнительской деятельности артистов звукозаписи, радио- и телевизионным передачам.

Последний пункт представляет интерес для организаций со специфичной сферой деятельности, все остальные объекты ИС в том или ином объеме могут сопутствовать деятельности практически любой компании. Необходимо отметить, что имущественные авторские права на произведения, созданные по заданию работодателя, в том числе на разработанные программы и базы данных, переходят к нему и составляют его ИС. Товарный знак, промышленный образец, изобретение получают правовую охрану после регистрации в соответствующих органах, но соответствующие документы также хранятся и в организации. Помимо этого организация может создавать документы и другие объекты ИС, перечисленные в списке, которые не могут получить охрану, но могут иметь первостепенное значение для ведения бизнеса и представлять интерес для конкурирующих организаций. Подобные документы/объекты могут быть отнесены к коммерческой тайне и получить статус охраняемых.

В соответствии с Федеральным законом от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (в ред. от 24.07.2007) предприниматель или юридическое лицо обязаны обеспечить надлежащую защиту данным, отнесенным к коммерческой тайне, чтобы суд счел предпринятые меры достаточными. В основе построения защиты конфиденциальной информации лежит политика безопасности.

Таким образом, в статье речь пойдет о принципах создания корпоративного документа, содержащего правила политики безопасности по отношению к объектам ИС, представленным в виде электронных или бумажных документов, а также к данным, отнесенным к коммерческой тайне. Многие принципы построения политики безопасности заимствованы из бумажного документооборота, поэтому для электронных и бумажных данных может применяться единая политика безопасности.

Информация, которая создается или собирается компанией, является ее интеллектуальной собственностью. Кроме того, компания может иметь дело и с информацией партнеров и клиентов. Необходимо уделять повышенное внимание охране объектов ИС сторонних организаций. Подобную охрану следует требовать для собственной информации, передаваемой третьим лицам.

Любые действия пользователей на компьютерах и в сетях приводят либо к перемещению, либо к обработке информации. Помимо этого, информация находится в стадии хранения на информационных ресурсах предприятия. Руководство каждой компании должно понимать важность обеспечения безопасности информационных ресурсов и охраны ИС.

Информационные угрозы

Чаще всего считается, что основная угроза исходит от внешних источников. Безусловно, компания должна защищаться от внешних нападений на информационные ресурсы. Но, как показала мировая практика, более чем в 70% случаев информационная защита нарушается изнутри собственным персоналом. Следовательно, политику безопасности следует строить на принципах минимальных привилегий (сотрудник должен знать только то, что необходимо для выполнения своей работы), а также разделения секретов и полномочий.

Многочисленные попытки взломов и успешные нападения на корпоративные вычислительные сети остро ставят проблему обеспечения информационной безопасности <1>. Основной поток угроз исходит от мгновенно распространяющихся вирусных эпидемий и хакерских атак. Если для борьбы с вирусами методы защиты достаточно хорошо отлажены (необходимо иметь современный постоянно обновляемый антивирусный пакет), то действия хакерских атак порой сложны для классификации правонарушений, что не позволяет разработать универсальное средство борьбы с ними. Необходим индивидуальный подход в каждом случае.

     
   ————————————————————————————————
   

<1> Мельников Ю.Н., Теренин А.А. Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак // Банковские технологии, 2003. - N 1. - С. 46 - 51; 2003. - N 2. - С. 44 - 51.

В настоящее время распространенной угрозой стала рассылка несанкционированных электронных писем (спам). Такие сообщения отнимают время у сотрудников компаний и их ИТ-специалистов, занимают место на сервере, они влекут прямые финансовые затраты на трафик. Во избежание этого современные антивирусные пакеты часто снабжаются компонентами защиты от нежелательных несанкционированных электронных сообщений. Кроме того, осуществляется фильтрация входящей почты (адреса отправителя, адреса компьютера, с которого письмо было отправлено, содержимого заголовка и сообщения).

Отдельно отметим административные правонарушения (авторские и смежные права, патентные права, средства индивидуализации) и преступления, связанные с нарушениями прав на объекты ИС:

незаконное использование изобретения, полезной модели, промышленного образца;

разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них;

использование чужого средства индивидуализации (товарного знака и т.п.);

незаконное использование предупредительной маркировки в отношении не зарегистрированного в Российской Федерации средства индивидуализации;

присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб.

Подключение к Интернету

Большинство внешних нарушений информационной безопасности происходит в точке выхода корпоративной сети в Интернет. Большую угрозу, которую таит в себе подключение компании к Интернету, представляют хакеры и взломщики корпоративных информационных систем. Поэтому необходимо реализовать защищенное подключение к Интернету с помощью межсетевых экранов или брандмауэров. Они способны фильтровать входящий и исходящий трафики в соответствии с правилами политики безопасности.

Существует возможность отключать и включать разрешения на использование сетевых протоколов, различных сетевых служб, конференций и т.п. При этом необходимо руководствоваться принципом минимизации предоставляемых сервисов исходя из производственных потребностей сотрудников. Целесообразно также использовать системы автоматизированного детектирования атак или вторжений в корпоративную вычислительную сеть.

При подключении внутренней сети компании к Интернету ее недобросовестные сотрудники могут передавать важную конфиденциальную информацию во внешнюю среду. При этом все предпринимаемые административные меры по обеспечению информационной безопасности будут бессильны, поэтому необходимо проводить инструктаж или должна существовать программа обучения пользователей Интернета. Следует также разработать правила, регламентирующие использование запатентованной информации и ИС компании. До сведения персонала должна доводиться ее политика безопасности и ответственность пользователей за представление компании во Всемирной сети.

В некоторых случаях необходимо ограничивать объем пересылаемой корреспонденции, а также производить сканирование поступающих сообщений на наличие вредоносных программ, таких, как вирусы или трояны. Вирус, заразивший рабочую станцию сотрудника или сервер сети, может передавать наружу, на адрес злоумышленника, различную информацию, среди которой могут оказаться конфиденциальные данные компании.

Информация, пересылаемая по открытым каналам связи (Интернет, e-mail), может быть перехвачена сторонними лицами. В качестве мер предосторожности следует использовать шифрование, туннелирование, защищенные каналы связи и технологию VPN (Virtual Private Network, Виртуальные частные сети).

Кроме того, пользователи должны заботиться о разумных границах представления личных данных. В Интернете существуют специализированные сервисы для сбора информации. При заполнении любых он-лайн форм (регистрационных и не только) необходимо руководствоваться принципом минимизации передаваемых данных. Если большое количество сотрудников передаст пусть даже небольшие объемы информации на один сайт, в целом лица, организовавшие сайт, получат довольно обширную информацию о компании.

Пользователи Интернета не должны передавать никакой информации, которая раскрывала бы сведения об ИС или деловой активности компании. Следует также вводить ограничения на создание сотрудниками корпорации собственных web-ресурсов с общим доступом. Минимальным требованием должно стать предъявление содержимого публикуемого web-ресурса специальной комиссии.

Помимо этого компания должна разработать четкие инструкции относительно публикации информации на корпоративном web-сервере и поддержания его содержимого в адекватном состоянии. Необходимо соблюдать организационные и административные меры по обеспечению безопасного функционирования всего web-сервера, скриптов, сценариев и программ, выполняющихся на нем, проводить проверки содержимого web-ресурса и регистрацию попыток взлома сайта, а также попыток и фактов замены статических или исполняемых объектов web-ресурса.

Не следует забывать и об устанавливаемом программном обеспечении (далее - ПО), полученном из открытых источников, особенно из Интернета. Никто не дает гарантии и не несет юридической ответственности за последствия использования подобных программ. В качестве организационных мер защиты необходим регламент получения, проверки, инсталляции и использования ПО, полученного бесплатно или условно бесплатно из открытых источников.

Среди административных мер обеспечения безопасности прежде всего следует выделить антивирусные системы защиты.

Правила информационной безопасности

Правила информационной безопасности (далее - ПИБ) занимают ключевую позицию в обеспечении охраны объектов ИС. Политика информационной безопасности определяет, каким образом компания хочет обеспечить безопасность информационных активов. Информация - важнейший актив компании. Не всегда руководство реально осознает ценность информационных активов, которыми обладает компания, но конкуренты готовы заплатить тысячи и даже миллионы долларов за возможность получить доступ к ней, похитить, изучить, исказить, уничтожить эти активы <2>.

     
   ————————————————————————————————
   

<2> Бармен С. Разработка правил информационной безопасности / Пер. с англ. - М.: Издательский дом "Вильямс", 2002. - 208 с.

Приведем общепринятое определение политики безопасности: политика безопасности - это набор норм, правил и практических рекомендаций, на основе которых строятся управление, защита и распределение критичной информации в системе. Она подразумевает множество правил, при соблюдении которых пользователи системы могут получить доступ к ее ресурсам, и должна охватывать все особенности процесса обработки информации. Основу политики безопасности составляет способ управления доступом субъектов информационной системы к объектам. В качестве объектов выступают ресурсы, хранящие данные, в качестве субъектов - активные сущности, способные осуществлять операции над данными объектов: пользователи и запускаемые ими программы.

ПИБ - документ высокого уровня, в котором описываются цели и задачи мероприятий в сфере охраны ИС. Политика информационной безопасности не представляет собой директиву, норматив, инструкцию или средства управления. Она обеспечивает безопасность в обобщенных терминах без специфических деталей.

Спецификация политики безопасности должна быть корректной, т.е. обладать полнотой и непротиворечивостью. Под непротиворечивостью подразумевается наличие только одного решающего правила для каждого доступа (доступ не может быть одновременно разрешен и запрещен), под полнотой - существование правила для каждого доступа, запрещающего или разрешающего его. Если для некоторого доступа не определена авторизация, то должно присутствовать правило, применяемое по умолчанию <3>.

     
   ————————————————————————————————
   

<3> Корт С.С., Боковенко И.Н. Язык описания политик безопасности // Проблемы информационной безопасности. Компьютерные системы, 1999. - N 1. - С. 17 - 25. Политика ставит своей задачей изложение целей, которые должны быть достигнуты путем внедрения этого технологического процесса. Для описания ПИБ используются общие термины, они не оперируют способами реализации. Несмотря на то что, при разработке ПИБ может потребоваться технологическая документация, она не должна быть частью политики. С одной стороны, политика безопасности предписывает пользователям, как правильно эксплуатировать систему, с другой - определяет механизмы безопасности, которые должны существовать в конкретной реализации вычислительной системы. Политика безопасности компьютерной системы может быть выражена формальным и неформальным образом. (Окончание см. "Финансовая газета. Региональный выпуск", 2007, N 42) А.Теренин К. т. н., руководитель группы тестирования ПО GE Money Bank Подписано в печать 10.10.2007 ————