Время предпринимать 17/05/2010 20:05
АРХАНГЕЛЬСКИЙ: Добрый вечер, друзья. В эфире программа "Время предпринимать", и я, ведущий программы Глеб Архангельский. Говорим мы сегодня об очень важной и очень насущной теме: "Информационная безопасность бизнеса".
Любой бизнес – это деньги, любые деньги – это риски. И один из серьёзных рисков – это риск потери важной информации, ухода сотрудника с важной информацией, конкурентной разведке со стороны ваших недоброжелателей и так далее. Мы сегодня должны разобраться в том, как защитить и обезопасить бизнес, который вы создаёте или которым сейчас управляете, от таких вот негативных ситуаций и от этих рисков.
Сегодня у нас в гостях Роман Ромачев, владелец компании "Р-техно", занимающейся конкурентной разведкой. Добрый вечер, Роман.
РОМАЧЕВ: Добрый вечер.
АРХАНГЕЛЬСКИЙ: В этом бизнесе не принято называть клиентов, но я знаю, что в числе компании Романа клиенты из компаний из списка "Форбс", то есть достаточно серьёзные и значимые компании, которые задумываются о своей безопасности всерьёз.
Второй наш гость – Андрей Аскерко, владелец компании "Спецагент", так же занимающейся безопасностью бизнеса, информационной безопасностью. Добрый вечер, Андрей.
АСКЕРКО: Добрый вечер.
АРХАНГЕЛЬСКИЙ: Компания Андрея специализируется в основном на девелоперской отрасли, на строительстве, и работает с компаниями из десятки крупнейших российских компаний на этом рынке.
И сегодня мы разбираем практическую ситуацию, работаем в формате кейса. Поставщик практического кейса у нас Алексей Конюченко, основатель IT-компании "Top-7". Добрый вечер, Алексей.
КОНЮЧЕНКО: Добрый вечер.
АРХАНГЕЛЬСКИЙ: Алексей представитель бизнес-инкубатора "Точка входа", который в своё время упоминал Сергей Выходцев, бывший на одной из наших передач. Его компании полтора года, в компании десять человек. Алексей, вам слово. Ситуация, которая вызвала ваш интерес к теме информационной безопасности бизнеса, какую проблему вы бы хотели поставить, чтобы мы её вместе с нашими гостями смогли разобрать и дать полезные рекомендации?
КОНЮЧЕНКО: Моя компания существует полтора года. Сейчас мы работаем в рамках бизнес-инкубатора "Точка входа", в частности создаём проект портала и сам портал "Точки входа". И вот недавно один из сотрудников ушёл с работы и не вернулся, и забрал с собой вместе всю информацию. Причём не только забрал информацию, но и удалил её у нас. Найти сотрудника не представлялось возможным в течение определённого времени. За это время компания понесла значительные убытки, мы серьёзно потеряли, отношение клиентов наших ухудшилось.
Хотелось бы сегодня найти решение этой проблемы, как в дальнейшем вести бизнес так, чтобы не возникало ситуаций с уходом сотрудников и уводом информации.
АРХАНГЕЛЬСКИЙ: А сотрудник был чем-то серьёзно обижен, что произошло?
КОНЮЧЕНКО: Мне до сих пор непонятны причины его ухода. Мне не удалось с ним пообщаться до сих пор.
АРХАНГЕЛЬСКИЙ: Есть вероятность, что он кому-то эту информацию продал или это просто такая месть?
КОНЮЧЕНКО: Скорее всего, это месть, возможно даже глупая месть. Просто месть ради мести.
АРХАНГЕЛЬСКИЙ: Просто пока не очень понятно, кому можно было бы продать эту информацию. Компания ещё небольшая, страшной конкурентной борьбы у вас наверняка ни с кем нет, чтобы эту информацию кому-то продавать. Хорошо, практическая ситуация понятна. Слово гостям.
Какие вещи компании нужно предпринимать, чтобы вот такие ситуации не повторялись, не происходили? Как выстраивать линии глубоко эшелонированной обороны?
РОМАЧЕВ: Добрый вечер. Я бы хотел начать издалека и привести краткую цитату из закона о предпринимательской деятельности, что это такое. Предпринимательская деятельность – деятельность, направленная на свой страх и риск, с целью получения прибыли.
К сожалению, у нас многие предприниматели первую фразу этого предложения не замечают, и гонятся только за прибылью. То есть, безопасность – это комплекс мер для обеспечения устойчивости и стабильности вашего бизнеса. К сожалению, мало кто из начинающих предпринимателей уделяет этому должное внимание. Сейчас мы говорим об информационной безопасности, но мне бы хотелось подчеркнуть, что это комплекс мер, то есть это и кадровая безопасность, и информационная безопасность, и техническая безопасность, и другие виды безопасности.
АРХАНГЕЛЬСКИЙ: Давайте сразу классифицируем, и какими-то простыми словами поясним, что такое кадровая безопасность.
РОМАЧЕВ: Кадровая безопасность – это работа с кадрами, изучение кадров, проверка кадров, мотивация, работа с группами рисков, классификация кадров по группам рисков. То есть, это работа с кадрами.
Если мы сейчас 100% внимания уделим только информационной безопасности, обвешаемся кучей техники и аппаратурой, и не уделим кадровой безопасности, то простой человек может взять и унести информацию с работы, как и произошло. И тут не помогут никакие технологические, технические решения. То есть это комплекс мер, и подходить к этой проблеме нужно системно.
АРХАНГЕЛЬСКИЙ: Хорошо. В этом комплексе мы поняли – кадровая безопасность. Действительно, проверяй людей, понимай, что за люди, какие это люди, какие риски есть у этих людей. Информационная безопасность что такое?
РОМАЧОВ: Информационная безопасность – это обеспечение безопасности той информации, которой вы обладаете, сохранение конфиденциальности, охрана.
АРХАНГЕЛЬСКИЙ: Резервное копирование, пароли.
РОМАЧЕВ: В том числе. Это всего лишь одна из частей информационной безопасности.
АРХАНГЕЛЬСКИЙ: Разграничение уровней доступов к информации.
РОМАЧЕВ: Совершенно верно. Сразу хочу сказать, что большинство проблем информационной безопасности решается организационными мерами, то есть не техническими, а именно организационными. То есть, необходимо подписывать с сотрудниками соглашение о конфиденциальности, необходимо разграничивать доступы и так далее.
АРХАНГЕЛЬСКИЙ: То есть в примере Алексея просто по-хорошему человек не мог бы уничтожить всю информацию компании, потому, что он имел бы доступ только к той части, которая строго нужна ему по его должностным обязанностям.
РОМАЧЕВ: Совершенно верно. Например, какой-нибудь системный администратор, который работает в компании, должен был это всё это дело бэкапить, то есть делать резервные копии и сохранять. К тому же необходимо было проверить, что это за человек пришёл к вам, собрать рекомендации о нём. Это как раз кадровая безопасность.
АРХАНГЕЛЬСКИЙ: Хорошо. Кадровая, информационная. Какие ещё?
РОМАЧЕВ: Есть ещё так называемая конкурентная разведка – это информационно-аналитическое обеспечение бизнеса. Как раз информация ложится в основу всей безопасности. То есть, владея информацией, вы можете спрогнозировать, предвидеть те или иные риски. То есть информационно-аналитическая работа – составляющая часть вообще всей системы безопасности.
АРХАНГЕЛЬСКИЙ: Хорошо. Это было мнение Романа Ромачева, владельца компании "Р-техно". Андрей, есть ли у вас что-то добавить к этой классификации?
АСКЕРКО: Добрый вечер. Мне кажется, что эту ситуацию можно разбить как бы на две части. Алексей спрашивал, что делать сейчас, и что надо было бы сделать, я так понимаю, в прошлом времени. Вот это и получается. То, что надо было сделать тогда, когда люди приходят на работу в компанию, соответственно, как Роман сказал, что необходимо было обеспечить кадровую безопасность и, соответственно, информационную безопасность.
Если бы человек имел какую-то подписку или обязательство о неразглашении коммерческой тайны или неразглашении той деятельности, которой он занимался на работе, соответственно, можно было бы ему предъявить какие-то претензии. Соответственно, если бы были резервные копии той информации, которой он обладал, то этот ущерб, наверное, не было бы столь тяжёл. Соответственно, в той ситуации, когда человек ушёл, унёс и нанёс некий ущерб, то тут уже надо смотреть. Конечно, тяжело сейчас предъявлять ему претензии, если он не подписывал никакие договора, никакие обязательства о коммерческой тайне или конфиденциальности.
АРХАНГЕЛЬСКИЙ: Насколько я понимаю, речь пока идёт не о разглашении информации, а о том, что он просто уничтожил информацию. Давайте я простой такой человеческий вопрос задам. Есть смысл в милицию пойти и подать заявление, что такое произошло?
АСКЕРКО: Смысла, наверное, мне кажется, если исходить из реальной нашей жизни, из практики работы с правоохранительными органами, наверное, нет. Потому что нет никаких документов, подтверждающих, что он унёс что-то, и нет подтверж
дающих документов, что он имел доступ к этой информации. Нет договора, нет обязательства о неразглашении конфиденциальной информации.
Это первый вопрос, который зададут в милиции. Поскольку статья 183-я Уголовного кодекса предусматривает, что человек имеет доступ и, соответственно, это документально оформлено. Если этого не было, то вам просто скажут: "Ребята, извините, нет ни состава, ни объекта".
АРХАНГЕЛЬСКИЙ: Это было мнение Андрея Аскерко, владельца компании "Спецагент". Роман?
РОМАЧЕВ: Да, я хотел бы добавить, что у предпринимателей сложился стереотип, что информация – это что-то такое воздушное, что нельзя пощупать. Я хочу сказать, что информация – это такой же актив, такой же компьютер, машина, недвижимость компании, который стоит защищать и отстаивать. Естественно, юридическое сопровождение защиты актива, оно как бы ключевое. То есть, если нет бумажки – нет претензий.
АРХАНГЕЛЬСКИЙ: Тогда, если вытаскивать первые полезные практические рекомендации в области информационной безопасности, что нужно делать? Режим коммерческой тайны на предприятии вводить, ещё что-то? Ваши советы, три-пять шагов, которые любому предприятию стоит сделать.
РОМАЧЕВ: Первое – необходимо юридически оформить, то есть подписать соглашение о конфиденциальности. Необходимо периодически проводить обучение среди сотрудников, разъяснять, что это такое. И до каждого сотрудника доносить информацию о том, какого рода информация вокруг него, с которой он работает, является коммерческой тайной.
АРХАНГЕЛЬСКИЙ: То есть, вот я сейчас на уровне совсем простых, таких тупых технических шагов. В компании появляются: положение о конфиденциальной информации, приложение к трудовому договору, касающееся конфиденциальной информации, перечень информации, которая составляет вот эту коммерческую тайну. Что ещё из таких конкретных вещей, которые надо сделать?
РОМАЧЕВ: Как я уже сказал, нужно проводить обучение сотрудников. Хотя бы раз в полгода рассказывать, что есть такое конфиденциальная информация...
АРХАНГЕЛЬСКИЙ: Чем это чревато, где там сто сорок какая-то статья Уголовного кодекса.
РОМАЧЕВ: Совершенно верно. Какая административная ответственность, уголовная ответственность. Всё это доносить персонально каждому. Для этого должен быть некий специалист, или сотрудник службы безопасности, либо сам генеральный директор, либо на аутсорсинге...
АРХАНГЕЛЬСКИЙ: Ну, если компания небольшая, это явно сам генеральный директор.
РОМАЧЕВ: Да, сам генеральный директор должен об этом заботиться. Это так или иначе вытекает в его конечную прибыль. Если он об этом не заботится, то нет прибыли.
АРХАНГЕЛЬСКИЙ: Хорошо. Это было мнение Романа Ромачова, владельца компании "Р-техно". Андрей, есть ли у вас что-то к таким практическим шагам добавить об информационной безопасности?
АСКЕРКО: Тут хочется что добавить? Для того, чтобы ввести режим конфиденциальности в организации, нужно несколько провести подготовительных мероприятий. Если это не сотрудник безопасности, а генеральный директор маленькой компании, то он должен определить для себя, что же является у него подпадающим под коммерческую тайну, то есть определить перечень.
АРХАНГЕЛЬСКИЙ: Давайте на примере нашей сегодняшней компании. Алексей, что у вас является информацией, составляющей коммерческую тайну, а что не является для вас? Насколько это очевидно или неочевидно?
КОНЮЧЕНКО: Скорее всего, почти вся информация, с которой мы работаем, она является коммерческой тайной. Потому что практически вся информация, которой мы владеем, это вся информация произведена нашей компанией.
АРХАНГЕЛЬСКИЙ: По сути, это ваши активы и есть, поскольку компания занимается программированием.
КОНЮЧЕНКО: Плюс клиентская база.
РОМАЧЕВ: Я бы хотел подправить это заблуждение, что всё, что есть у вас в компании, является коммерческой тайной. Совершенно нет. У вас нет понимания, что это такое, поэтому вы говорите, что всё коммерческая тайна. Далеко не всё. Например, бухгалтерский баланс, отчётность – это не коммерческая тайна.
АРХАНГЕЛЬСКИЙ: Она просто не имеет права быть коммерческой тайной.
РОМАЧЕВ: Совершенно верно. Поэтому я бы порекомендовал посмотреть законы...
АРХАНГЕЛЬСКИЙ: А какой разграничительный признак? Какой-то вот простой, понятный.
РОМАЧЕВ: Коммерческая тайна – это информация, которая представляет определённую ценность лицам в силу неизвестности третьим лицам, соответственно. То есть, если информация, которой вы обладаете, способна нанести вам какой-то финансовый материальный ущерб, то это относится к коммерческой тайне.
АРХАНГЕЛЬСКИЙ: Или прибыль вы создаёте на её основе.
РОМАЧЕВ: Совершенно верно, либо вы создаёте прибыль. Но есть информация, которая не составляет коммерческую тайну, есть информация, которая составляет служебную тайну, персональные данные. То есть, здесь большое разграничение. И коммерческая тайна, тут тоже всё в законе чётко разграничено, что это есть.
АРХАНГЕЛЬСКИЙ: То есть посмотреть закон о коммерческой тайне и сформулировать для себя в своей компании. Это было мнение Романа Ромачова, владельца компании "Р-техно". Алексей?
КОНЮЧЕНКО: У меня вопрос к Роману: какую ещё литературу можно почитать кроме закона?
РОМАЧЕВ: Я понял. Сразу хочу сказать, что закон о коммерческой тайне у нас в России практически не работает. Это первое. То есть, вы почитаете его, поймёте для себя, но тяжело...
АРХАНГЕЛЬСКИЙ: Вы поймёте, как оно в принципе предполагается, как должно быть.
РОМАЧЕВ: Я отслеживаю судебную практику, и мне известен только один случай, когда страховая компания судилась со своим сотрудником.
АРХАНГЕЛЬСКИЙ: Хорошо. Мы говорили об информационной безопасности бизнеса. Вернёмся к этому разговору после небольшой рекламной паузы.
Реклама.
***
АРХАНГЕЛЬСКИЙ: В эфире "Время предпринимать", я – ведущий программы Глеб Архангельский. Говорим мы об информационной безопасности бизнеса. И в гостях у нас: Роман Ромачев, владелец компании "Р-техно", занимающейся конкурентной разведкой; Андрей Аскерко, владелец компании "Спецагент", обеспечивающей безопасность бизнеса, в том числе информационную безопасность; Алексей Конюченко, владелец компании "Top-7", автор сегодняшнего кейса, который мы сегодня разбираем. Практическая ситуация, на основе которой мы пытаемся сформулировать какую-то программу построения безопасности в каждом отдельном бизнесе.
И мы говорили о том, как хорошо всё у нас с точки зрения закона о коммерческой тайне, то есть как у нас всё плохо, и как он не работает. И вот здесь интересно послушать гостей, что на самом деле работает, что не работает? А то Алексей и наши слушатели понапишут всяких режимов коммерческой тайны на предприятии, у них сотрудник информацию уничтожит, а предъявить ему они ничего не смогут, и судебная практика будет не на их стороне. Вот где реальность, где практическая наша жизнь и что там сейчас происходит?
РОМАЧЕВ: Практическая наша жизнь далека от совершенства. Расскажу свой случай относительно сохранности коммерческой тайны. В одном из крупных предприятий служба безопасности получила сигнал о том, что один из сотрудников пытается продать клиентскую базу. Мы организовали контрольную закупку под всеми видами наблюдений, под контролем органов МВД, то есть мы написали заявление, и они всё это дело сопровождали. Совершили контрольную закупку, человека повязали тут же на месте.
И потом компания решила договориться с ним по-хорошему. То есть, ему дали понять, что этого делать не надо, и его отпустили, преподав урок всем сотрудникам компании. То есть это был внутренний такой PR, что был такой случай.
АРХАНГЕЛЬСКИЙ: То есть, в принципе, могли посадить, но не посадили.
РОМАЧЕВ: Совершенно верно, не стали выносить сор из избы. Это было сделано как некий мотивационный шаг для всех сотрудников, что служба безопасности бдит, такое совершать нельзя, есть определённая ответственность. Насколько я сейчас знаю, в этой компании никаких проблем с информационной безопасностью и с сохранностью коммерческой тайны нет.
Проблема ещё заключается в следующем. Даже если вы подпишете все документы, соберёте всю информацию о сотруднике, и сотрудник этот совершит то или иное правонарушение, то обратившись в органы МВД, скорее всего, вы никакого отклика не получите.
То есть, проблема в сборе доказательной базы. Для того чтобы вам обратиться в органы МВД, вам необходимо самому всё собрать и подготовить. Это тоже довольно серьёзная проблема. Без серьёзных квалифицированных кадров, без поддержки простой генеральный директор, в силу некомпетентности в этих вопросах, может её не собрать. То есть тут ещё есть проблема в сборе доказательной базы.
АРХАНГЕЛЬСКИЙ: Это было мнение Романа РомачЕва, владельца компании "Р-техно".
КОНЮЧЕНКО: Я так понял, что у нас спасение утопающих – дело рук самих утопающих. Понятно, что это связано со спецификой нашего строя, государства.
АРХАНГЕЛЬСКИЙ: У меня возникло ощущение, что все вот эти предварительные меры не дадут возможности нашкодившего человека посадить, но, по крайней мере, они дадут некое моральное воздействие. Что-то подписали, понимают ответственность. По крайней мере, люди понимают, что это незаконно. Посадят их или не посадят – это другой вопрос, но, по крайней мере, понимают, что они нарушают закон и так делать нехорошо.
КОНЮЧЕНКО: К сожалению или к счастью, мы живём в России, и у нас русский менталитет такой, что никакая бумажка его не перебьёт. Если человек захотел унести информацию, он её унесёт. Тем более зная, что закон у нас не всегда работает так, как он должен работать, тем более в малом бизнесе. Я понимаю, что для большой корпорации типа "Intel" и других, для них очень важно организовать информационную безопасность, и они могут решить...
АРХАНГЕЛЬСКИЙ: Ну, есть деньги на службу безопасности, чтобы развлекаться вот такими вот игрищами, которые нам Роман сегодня описал.
АСКЕРКО: На самом деле это называется профилактика, а не игрища.
АРХАНГЕЛЬСКИЙ: Про профилактику. Как раз хотел задать такой вопрос нашим гостям. Понятно, что при существующем законодательстве, при существующей практике, при существующих органах МВД, которым, может быть, не всегда интересно такой мелочёвкой заниматься, явно вопрос сводится к профилактике в первую очередь. И мы с вами говорили об информационной безопасности, режиме коммерческой тайны и так далее.
И мы говорили о кадровой безопасности. Вот здесь хотелось бы подробнее развить эту тему. Как делать эту профилактику, как подстраховаться, как не взять на работу неправильных людей? Или, если люди взяты не очень правильные, то, по крайней мере, чтобы минимизировать риски вот в таких ситуациях, как произошла с Алексеем?
АСКЕРКО: В России есть некая статистика, что процентов 10-15% персонала в любой компании, особенно в крупных – это люди, потенциально готовые совершить некое преступление, хищение, противоправные деяния. И процентов 70 персонала – те, которые колеблются. Соответственно, если...
АРХАНГЕЛЬСКИЙ: И всего 20 остаётся тех, которые точно не совершат?
АСКЕРКО: Нет, там 15 остаётся, которые совершенно лояльны. Ну, это, наверное, те, которые получают достаточно высокую заработную плату.
АРХАНГЕЛЬСКИЙ: Мне кажется, это никак не связано. Ваш опыт как показывает?
АСКЕРКО: Возможно, возможно. Кстати, наш опыт подсказывает, что, чем больше зарплата, тем больше у человека возможностей и искушений. Ну, вернёмся к профилактике. Соответственно, для того, чтобы вот эти 70% людей колеблющихся понимали, что не надо колебаться, не надо воровать, а надо способствовать тому, чтобы твои сотрудники тоже не занимались этим. Для этого нужно проводить соответствующие беседы и соответствующий контроль устанавливать в организации.
Если это мелкая организация, то при приёме на работу ты должен понимать, что за человек приходит к тебе, рисовать некий психологический портрет для себя, что он из себя представляет.
АРХАНГЕЛЬСКИЙ: Кстати, у меня вопрос к Алексею. Когда вы принимали людей на работу, Алексей, как-то вы звонили их предыдущим работодателям, как-то их проверяли? Или просто смотрели резюме, собеседовали и всё?
КОНЮЧЕНКО: Во-первых, смотрели резюме. Во-вторых, просматривали списки работодателей, где они раньше работали. И зачастую ещё просили списки телефонов друзей, с кем они общаются. Просто позвонить человеку и спросить.
АРХАНГЕЛЬСКИЙ: И звонили?
КОНЮЧЕНКО: Звонили один-два раза, но не со всеми это было, то есть на поток это не было поставлено изначально.
АРХАНГЕЛЬСКИЙ: Коллеги, гости, может быть, вы подскажете ещё какие-то способы проверки простые? То есть, понятно, если компания большая, служба безопасности мощная, там можно всякими тонкими способами прорабатывать человека. Какие-то простые, понятные технологические способы, чтобы понять?..
АСКЕРКО: Зачастую надо просто позвонить на предыдущее место работы. И бывает, что можно даже не с одним человеком пообщаться, не только в "кадрах". Если есть служба безопасности в этой организации, то можно со службой безопасности. Потому что, допустим, "кадры" могут уволить человека по собственному желанию, не задумываясь о причинах, а служба безопасности может иметь какие-то факты на этого человека. И они уже более подробно могут рассказать что-то интересное. Или начальнику его бывшему позвонить. То есть такие нюансы существуют. И 90% – это попадание в точку, что ты получишь ту информацию, которую ты хотел получить, как правило.
АРХАНГЕЛЬСКИЙ: Получается, лучше не пожалеть пару часов на то, чтобы провести такую минимальную разведку, зато подстраховаться от ситуации, которую в самом начале описал нам Алексей. Хорошо, что ещё с сотрудниками, с кадрами, с кадровой безопасностью, с профилактикой? Какие ещё советы, рекомендации?
АСКЕРКО: Самое главное всё-таки – в организации должен существовать контроль. Контроль – процедура отклонения от каких-то установленных норм. То есть, соответственно, есть нормы, установленные по коммерческой тайне. Если нет учёта этих документов, нет регулятора, как распространяется эта информация, есть у человека определённые обязанности, и он в рамках этих обязанностей должен иметь доступ к той конфиденциальной информации, которая имеется, а не ко всей информации, которая существует во всей организации, конфиденциальная. Это уже будет человека более-менее дисциплинировать.
Соответственно, если он получит какие-то документы с грифом "коммерческая тайна" и распишется за них, то он будет понимать "ага, я же расписался за них, если что-то с ними произойдёт, соответственно, ко мне вопросы возникнут". Вот такие нюансы.
АРХАНГЕЛЬСКИЙ: Андрей, у меня возникает вопрос. Для компании из десяти человек, а таких компаний среди наших слушателей, я думаю, сотни и тысячи, для компании даже из пятидесяти человек, не слишком ли сложно получается? То есть, грифы какие-то, возникает сразу такой образ закрытого советского НИИ, который разрабатывает ядерные ракеты. Ты приходишь утром, тебе из сейфа достают бумажки, ты в этих бумажках расписываешься, что ты получил этот портфельчик, потом ты его вечером сдаёшь. Ну, явно избыточно, как-то попроще надо.
АСКЕРКО: На самом деле не избыточно. Есть статистика, что мы можем потратить на безопасность достаточно маленькие суммы, чтобы обеспечить её. Но если мы потеряем, вот как Роман говорил, потеряем какую-то важную информацию, на которую в своё время не хотели потратить деньги для того, чтобы как-то отрегулировать процесс выдачи, получения информации сотрудниками, соответственно, ущерб будет в сто раз больше.
Поэтому, я считаю, такие перестраховки, грифы... А гриф как бы предусматривается федеральным законом о коммерческой тайне. Если нет на документе вот этого грифа, соответственно, милиция спросит: "А у вас тут нигде нет штампика, что это коммерческая тайна. Извините, ребята, до свидания". То есть это мелкие нюансы, но за которые можно зацепиться как с одной стороны, так и с другой.
АРХАНГЕЛЬСКИЙ: То есть, вы считаете, что стоит в это вложиться. Это было мнение Андрея Аскерко, владельца компании "Спецагент". Алексей, насколько в вашем небольшом бизнесе применима та рекомендация, которую дал Андрей? Может быть, в каком-то сокращённом виде, я не знаю.
КОНЮЧЕНКО: Обжегшись на воде, мы сейчас будем заниматься безопасностью, очень серьёзно подойдём к этому вопросу.
АРХАНГЕЛЬСКИЙ: Штампики будете ставить?
КОНЮЧЕНКО: Насчёт штампиков пока не знаю, но определённо какие-то вещи из рекомендаций наших экспертов мы применим.
АРХАНГЕЛЬСКИЙ: А у вас вообще бумажный документооборот есть или у вас всё в электронном виде?
КОНЮЧЕНКО: Бумажного практически нет. Только с клиентами. То есть, это бухгалтерия...
АРХАНГЕЛЬСКИЙ: То есть, скорее, это разграничение доступа получится информационное. На сервере папочки какие-то нужно разделить.
КОНЮЧЕНКО: Вот у меня как раз и был вопрос по этой тематике. Дело в том, что у каждого сотрудника есть компьютер, и получить информацию, даже если мы разграничим доступ, получить информацию с другого компьютера, например, у соседа подсмотреть с монитора не составит труда при желании. Как-то можно избежать этого, какие советы вы можете дать?
АСКЕРКО: Вводятся определённые пароли на каждый компьютер, и есть время контроля. Человек перестал работать на компьютере – через 5 секунд, через минуту он просто блокируется и экран закрывается. Это, по-моему, элементарные правила, которые любой системный администратор знает. И этого достаточно, ты уже ничего не подсмотришь. Человек ушёл – всё, компьютер через минуту закрылся.
АРХАНГЕЛЬСКИЙ: Это была рекомендация Андрея Аскерко, владельца компании "Спецагент". Напомню, мы говорим об информационной безопасности бизнеса, и уходим на новости. Оставайтесь с нами.
Новости.
***
АРХАНГЕЛЬСКИЙ: В эфире "Время предпринимать", я – ведущий программы Глеб Архангельский. В гостях у нас: Алексей Конюченко, владелец IT-компании "Top-7", вынесший проблему информационной безопасности на наше обсуждение; Роман Ромачов, владелец компании "Р-техно", занимающейся конкурентной разведкой; Андрей Аскерко, владелец компании "Спецагент", занимающейся информационной безопасностью бизнеса.
Мы до сих пор говорили о безопасности, о профилактике, связанной с тем, что у нас внутри: режим коммерческой тайны, сотрудники, информация и так далее. Мы пока ни слова не сказали об информационной безопасности по отношению к тому, что снаружи. В общем-то, конкуренты не дремлют, сотрудники выбалтывают во всяческих "Одноклассниках" всё, что только можно выболтать. И я предполагаю, что это один из основных каналов для конкурентной разведки. Рекомендация гостей: как обезопасить себя в этом отношении?
РОМАЧЕВ: Я бы хотел разделить понятия конкурентная разведка и промышленный шпионаж – это немного разные вещи. Конкурентная разведка – это законная деятельность, направленная на сбор информации из открытых источников, из средств массовой информации.
АРХАНГЕЛЬСКИЙ: То есть мы не подкупаем, не шантажируем.
РОМАЧОВ: Совершенно верно. Промышленный шпионаж – это то, что вы сейчас перечислили: противоправные действия, шантаж, подкуп, незаконное прослушивание. То есть это всё промышленный шпионаж.
АРХАНГЕЛЬСКИЙ: То есть мы сразу должны понимать, что наши конкуренты, уж как минимум конкурентной разведкой могут заниматься абсолютно спокойно, это совершенно законно. Если они вычитали что-то про вас из профиля вашего сотрудника в "Одноклассниках", то никаких претензий вы никому предъявить не можете.
РОМАЧЕВ: Совершенно верно. Что касается конкурентной разведки. Здесь, опять же, необходимо чётко дать понять сотрудникам, как необходимо общаться в сети Интернет, как предоставлять информацию, как выкладывать информацию на свой собственный сайт.
АРХАНГЕЛЬСКИЙ: Политику, наверное, какую-то разработать, да? Какой-то документ должен быть в компании?
РОМАЧЕВ: Абсолютно верно. Бывает так, что коммерческая тайна компании лежит даже на собственном сайте. То есть они её до того неаккуратно хранят, что выкладывают документы, которые подпадают под это понятие. Очень много, как вы сказали, общаются в "Одноклассниках", и очень много информации там выкладывается.
АРХАНГЕЛЬСКИЙ: А можем ли мы это регламентировать? Сотрудник скажет: "Извините, это моя личная жизнь. Ну, рассказал я кому-то, какой был у нас корпоративный праздник, опубликовал фотографии пьяного генерального директора в обнимку с пьяным главным бухгалтером. Это моя личная жизнь, я там общаюсь. Как вы можете мне это запретить?"
РОМАЧЕВ: Ваша личная жизнь – это всё, что вне офиса. То есть, тут тоже нужно регламентировать, какого рода информация должна быть опубликована в открытой печати в Интернете.
АРХАНГЕЛЬСКИЙ: С точки зрения законодательства, кстати, мы имеем право запретить сотруднику во внешних неформальных источниках что-либо говорить о компании, о своей работе в компании? Просто взять и запретить: "Ты не имеешь права".
РОМАЧЕВ: Конечно, конечно, можем.
АРХАНГЕЛЬСКИЙ: Можем. Это было мнение Романа Ромачова, владельца компании "Р-техно". Андрей?
АСКЕРКО: Кстати, в законе о коммерческой тайне, в перечень информации, составляющей коммерческую тайну, входит в том числе и информация личного характера о руководстве компании, о главном бухгалтере, обо всём, что связано с их работой, с их деятельностью. Это расписание деловых встреч, куда они ездят, какая у них семья, где они живут.
То есть, это всё входит в понятие "коммерческая тайна". Соответственно, когда человек новый приходит в компанию, в крупных компаниях, во всяком случае, не во всех, существует некий вводный инструктаж, на котором одним из людей, подающих информацию, присутствует сотрудник службы безопасности.
АРХАНГЕЛЬСКИЙ: Который как раз расскажет, что "если ты, уважаемый, напишешь на "Одноклассниках", что наш главбух был на корпоративе, то это – коммерческая тайна, которую ты сдаёшь. И это является, в общем-то, уголовным преступлением". Это было мнение Андрея Аскерко, владельца компании "Спецагент". Роман?
РОМАЧЕВ: Я хотел бы добавить, что здесь есть ещё такая проблема как анонимность. Бывают такие случаи, когда человек в социальной сети представляется не как Иван Иванов, а какой-то псевдоним выдумывает, соответственно, начинает такого рода беседу, фотографии выкладывает. Тут есть некая проблема в его идентификации, в сборе доказательной базы.
Опять же, опубликовать всю эту информацию можно и с домашнего компьютера, можно из Интернет-кафе. То есть здесь серьёзная проблема существует. Как бороться? Необходимо выявлять такие кадры, а уж потом...
АРХАНГЕЛЬСКИЙ: Ну, стараться их выявлять задолго до того, как это нанесёт серьёзный вред.
РОМАЧЕВ: Конечно. Потому что профилактика дешевле обходится.
АРХАНГЕЛЬСКИЙ: Хорошо. Первая линия обороны, которую мы выстроили – описать политику и внятно разъяснить сотрудникам, что и как можно выбалтывать или не выбалтывать во внешних источниках, которых сейчас, конечно, очень много. Что ещё, как подстраховаться от внешних таких, от конкурентной разведки со стороны внешних конкурентов или каких-то других...
РОМАЧЕВ: Необходимо ещё вести беседу со своими клиентами. Потому что другой источник информации о вас – это ваши собственные клиенты. То есть необходимо включать в договора пункты о конфиденциальности, причём не просто какой-то стандартный, а необходимо с ними беседовать, что такого рода информация такого контракта...
АРХАНГЕЛЬСКИЙ: Например, более детально в договоре может быть прописан пункт, что условия по платежам, по стоимости услуг, по персоналиям сотрудников, которые выполняют работу – это является конфиденциальной информацией поставщика, которую клиент не имеет права разглашать.
РОМАЧОВ: Ну да. Простой пример: я сейчас могу позвонить в любую компанию, сказать, что "я от бухгалтера вашего контрагента. Мне нужен акт сверки, вышлите, пожалуйста". Мне без проблем по факсу... На 80% я уверен, что мне по факсу его вышлют. Опять же, вы можете обезопасить себя на 90%, но ваш контрагент, который не уделяет безопасности бизнеса никакого внимания, он всё о вас разболтает.
АРХАНГЕЛЬСКИЙ: Вот это, кстати, очень ценная рекомендация. Мне кажется, она неочевидна. Во всяком случае, в книжках по информационной безопасности я её не встречал. Это была очень ценная рекомендация Романа Ромачова, владельца компании "Р-техно", занимающейся конкурентной разведкой. Алексей?
КОНЮЧЕНКО: У меня вопрос по обеспечению безопасности как раз при работе со своими клиентами. Например, у нас есть клиенты компании, в которых работает значительное количество человек, и договор мы заключаем с руководством или с директором, который принимает решение. А работаем с людьми, которые работают в этой компании, с исполнителями, которые не читали этот договор.
РОМАЧЕВ: Значит, чётко должны в договоре быть указаны лица, с которыми вы будете контактировать по тем или иным вопросам. То есть, какие вопросы решает тот или иной человек, доступ к какой информации он может иметь, какую информацию он может у вас запрашивать, что он может рассказывать.
КОНЮЧЕНКО: И эти лица должны быть проконсультированы?
РОМАЧЕВ: Совершенно верно.
АРХАНГЕЛЬСКИЙ: Я бы здесь добавил такой пункт, что клиент обязуется дать возможность поставщику провести некую разъяснительную работу или беседу с сотрудниками клиента, с которыми он общается.
РОМАЧЕВ: Скорее всего, вам не дадут. Это уже прерогатива самой компании проводить такого рода беседы. Но, так или иначе, нужно в договоре это дело прописать, то есть перечень лиц, которые имеют право с вами контактировать, общаться или обмениваться информацией.
АРХАНГЕЛЬСКИЙ: Мне кажется, кстати, действительно можно попросить возможности лично поработать с сотрудниками клиента.
Мне недавно рассказали такой случай, когда организация проводила тендер и, в принципе, ей нравился один поставщик, который ей первично делал предложение. И они, делая тендерный запрос, выложили в качестве тендерного запроса все технические задания, которые этот поставщик им предложил. То есть глубоко конфиденциальную информацию, которая несёт действительно определённое содержание, они выложили в открытое пространство как тендерный запрос. Но не от злодейства, а просто им никто не объяснил. По простоте душевной. Люди не понимают, что это та самая информация не должна быть в открытых источниках.
РОМАЧОВ: Незнание законов не отменяет ответственности.
АРХАНГЕЛЬСКИЙ: Хорошо. Движемся дальше. Есть у нас уже две линии обороны. Первая линия обороны – собственные сотрудники и то, что они рассказывают во внешних источниках. Вторая линия обороны – это клиенты и некие взаимоотношения с ними, простроенные с точки зрения конфиденциальности. Что ещё?
РОМАЧЕВ: Мы вскользь затронули промышленный шпионаж. Такое преступление у нас существует, и против вас могут работать совершенно незаконными методами, поэтому здесь тоже необходимо выстроить некую систему безопасности. Это проверка помещений на "жучки" и прочие технические средства негласного съёма информации. Это работа с кадрами, общение, то есть понимание, с кем люди контактируют, выявление информаторов.
АРХАНГЕЛЬСКИЙ: Подробнее про работу с кадрами, чтобы не возникло впечатления, что всё к беседам сводится. Беседуем о безопасности, беседуем о конфиденциальности.
РОМАЧЕВ: На самом деле беседа – основополагающая безопасности кадровой. Потому что с помощью бесед и общения с сотрудниками можно понимать, что творится в коллективе, и можно классифицировать тех или иных сотрудников по группе риска. Всё через беседу познаётся, поэтому как бы общение на первом месте должно быть.
АРХАНГЕЛЬСКИЙ: Что ещё кроме бесед можно сделать, чтобы противодействовать возможному промышленному шпионажу?
РОМАЧЕВ: Нужно донести, что есть такие и такие способы получения информации, нужно рассказать, что это незаконно, что за это есть определённая ответственность.
АРХАНГЕЛЬСКИЙ: То есть, если к вам подошли у метро и сказали, что это социологический опрос и за шоколадку предложили вам отдать логин и пароль к корпоративному серверу, то имейте в виду, что это не социологический опрос и вы за шоколадку совершаете уголовное преступление.
РОМАЧЕВ: Да. Даже простое ковыряние в мусорных корзинах на Западе является преступлением.
АРХАНГЕЛЬСКИЙ: Просто потому, что там может быть информация, представляющая ценность.
РОМАЧЕВ: Совершенно верно. Было достаточно много прецедентов с очень крупными компаниями, когда их сотрудники искали в мусорных корзинах конкурентов ту или иную информацию.
АРХАНГЕЛЬСКИЙ: Хорошо. Это было мнение Романа Ромачева, владельца компании "Р-техно". Алексей?
КОНЮЧЕНКО: У меня есть ещё один вопрос: как обеспечить безопасность связи? Мы работаем в Интернете, у нас очень актуальный вопрос – безопасность работы именно в Интернете.
РОМАЧЕВ: Ну, здесь нужно понимать, от каких рисков вы защищаетесь. От вирусов, от какого-то хакерского...
КОНЮЧЕНКО: Ну, здесь, наверное, я бы хотел получить рекомендации общие по всем спектрам проблем, которые у вас возникают. У вас в практике, я думаю, достаточно много таких.
РОМАЧЕВ: Я понял. Но надо понимать, от чего вы защищаетесь. Наиболее распространённые риски, опять же, это вирусы, это DOS-атаки. Есть достаточно много рекомендаций, книг, и в Интернете очень много об этом написано. Тут мы можем в каких-то общих чертах говорить, но об этом очень много сказано.
КОНЮЧЕНКО: Здесь мне больше даже интересна защита каналов связи. То есть, когда мы связываемся... Например, мы используем Skype для связи со своими клиентами, которые находятся в других городах.
РОМАЧЕВ: Skype – одна из самых защищённых систем связи, поэтому что-то там защищать дополнительно...
АРХАНГЕЛЬСКИЙ: Насколько мне известно, в Китае распространяется специальная версия Skype, специальным образом открытая китайским спецслужбам, потому что обычную версию они не смогли открыть.
РОМАЧЕВ: Совершенно верно. Но у нас не Китай, к счастью.
АРХАНГЕЛЬСКИЙ: Хотя предложения запретить Skype в России, насколько я помню, уже были.
РОМАЧЕВ: Не будем его рекламировать, но факт есть факт – одна из самых защищённых систем связи.
АРХАНГЕЛЬСКИЙ: А какие самые незащищённые, где больше всего рисков, что не пересылать по электронной почте, где дырки?
РОМАЧЕВ: Электронная почта недобросовестно защищает общение. В чатах, опять же, какой-то чат, и начинают общаться... То есть, необходимо как бы понимать, опять же, регламентировать, какими способами связи вы общаетесь с клиентами, с контрагентами, между сотрудниками. И общаться только именно в этих системах.
АРХАНГЕЛЬСКИЙ: То есть, получается, цену клиенту называть только по Skype или как? То есть, разграничивать, скажем так, значимость информации и в зависимости от этого канал информации выбирать?
РОМАЧЕВ: Конечно. Если у вас сотрудник общается с клиентами, то желательно использовать Skype. Если у вас сотрудник не общается с клиентами, а общается только внутри компании, использовать какие-то внутрисетевые...
АРХАНГЕЛЬСКИЙ: А лучше ему вообще доступ отрубить во внешний мир.
РОМАЧЕВ: Если это Интернет-компания, то это будет проблематично. Но для внутрисетевого общения есть достаточно много программ, в том числе очень защищённых. Можно дополнительные системы защиты поставить, их достаточно много на рынке.
АРХАНГЕЛЬСКИЙ: Просто здесь у меня как владельца не очень большой компании, при этом работающей с большими компаниями, где часто маниакальные структуры безопасности, возникает вопрос к нашим гостям: как бы не переборщить? Потому что ситуация...
Недавно в одном госоргане столкнулся с ситуацией, зашифрованная, засекреченная, сейфами и печатями защищённая электронная почта внутренняя и так далее. Это настолько неудобно, что у всех руководителей ящики на mail.ru, и они с этими ящиками между собой, и с клиентами, и с внешними контрагентами перебрасывают абсолютно конфиденциальную информацию.
РОМАЧЕВ: Такая проблема существует. Безопасность не должна очень сильно нарушать бизнес процессы и тормозить их. Тут нужно найти ту самую тонкую грань, чтобы людям было удобно и безопасно.
***
АРХАНГЕЛЬСКИЙ: Вот давайте тонкую грань для не очень большого бизнеса с точки зрения вот этих вот моментов с каналами связи. Первую рекомендацию услышали – Skype. Что-то ещё? Как защитить каналы связи, не впадая в маниакальную, параноидальную структуру.
РОМАЧЕВ: Использовать какие-то шифровальные средства при передачи электронной почты. Можно просто архивировать Winrar. Winrar – достаточно хорошо защищённая программа, и вложенные файлы можно заархивировать и переслать. И очень трудно будет его...
КОНЮЧЕНКО: Заархивировать с паролем.
РОМАЧЕВ: Совершенно верно, заархивировать с паролем.
АРХАНГЕЛЬСКИЙ: То есть подбиралками паролей этот файл нелегко открыть?
РОМАЧЕВ: Зависит от того, какой пароль вы придумаете. Если вы придумаете "12345", то взломают быстро. А если вы придумаете пароль как положено, то взломать его будет крайне проблематично.
АРХАНГЕЛЬСКИЙ: Кстати, дайте пару рекомендаций про пароли. По-моему, такая очень простая тема, в которой именно "123", один пароль на все случаи.
РОМАЧЕВ: Да, да, да. Пароли должны содержать разные символы, большие и маленькие буквы, цифры, какие-то символы типа "%", "$".
АРХАНГЕЛЬСКИЙ: А потом это всё написано на стикере и приклеено к монитору, потому что запомнить это невозможно.
КОНЮЧЕНКО: Или передаётся в том же письме, где и архив.
РОМАЧЕВ: Как правило, есть два варианта пользования. Когда вы отправляете файл с паролем клиенту, и пароль отправляете ему SMS, то есть другим каналом. Эти каналы нужно разделять. То есть, как вариант: запароленный файл – электронной почтой; пароль – SMS.
АРХАНГЕЛЬСКИЙ: Ну, это очень простая и понятная рекомендация, не перегружено. Я слышал рекомендацию о паролях – выбирать какие-то фразы, которые тебе хорошо известны и понятны ("буря мглою небо кроет, вихри снежные крутя"), а в серединку где-то вставлять циферки. И такое, я так понимаю, уже никто не подберёт.
РОМАЧЕВ: Как один из вариантов. Чем длиннее фраза, тем сложнее её взломать.
АРХАНГЕЛЬСКИЙ: То есть, запомнить её, в принципе, не трудно, для этого не надо стикер на монитор клеить. Хорошо. Это была рекомендация Романа Ромачова, владельца компании "Р-техно". Андрей, есть ли у вас, что добавить?
АСКЕРКО: Если вы заметили, если не заметили – хочу ещё раз поднять. Вот вся тема крутится вокруг кадров. Человеческий фактор – самый главный...
АРХАНГЕЛЬСКИЙ: Я слышал, что чуть ли не 80 или 90% всех утечек и проблем, они от человека, и только 10-15% – от техники.
РОМАЧЕВ: Да, человек – самое слабое звено.
АСКЕРКО: Если вы взяли человека и не понимаете, что он из себя представляет, если служба безопасности, допустим, в крупной компании не проверяет людей, которые владеют какой-то бухгалтерской, финансовой информацией или интеллектуальной собственностью компании. Допустим, как живёт этот человек, чем живёт, чем он занимается. Может быть, он постоянно играет в игровые автоматы и ему постоянно не хватает денег? Соответственно, такой человек намного слабее, и он намного быстрее поддастся каким-то предложениям или шантажу конкурентов.
То есть человек – это всё-таки самое главное звено в любой организации. И вы должны понимать, что за люди работают. Тем более это важно, если у вас в компании десять человек. Вы их должны знать, как свои пять пальцев, и должны понимать, чем дышит каждый человек, особенно те, которые связаны с очень важной для вас информацией.
АРХАНГЕЛЬСКИЙ: Рекомендация глобальная, очень хорошая рекомендация Андрея Аскерко. Но мне, например, не очень понятно, а что делать конкретно? Службы безопасности нет, это небольшой бизнес – десять человек, пятьдесят человек, сто. Когда нет ещё возможности посадить 38 тысяч человек в отдельную службу безопасности.
Какие-то простые советы, простые рекомендации, применимые, как отсеять людей недобросовестных, желательно на входе, конечно, а не когда они попали в компанию?
АСКЕРКО: Сразу хочется сказать, что генеральный директор, он на то и генеральный, что он должен обладать некими навыками психологии, и понимать, что за человек. И когда он принимает на работу человека, он должен с ним беседовать не просто "где ты работал, чем занимался, чего любишь, выпиваешь, не выпиваешь?", и на этом закончили. Он понимает, что это человек идёт, допустим, системным администратором к нему, соответственно, он должен этого человека более досконально изучить и понять, что он из себя представляет. Как я уже сказал, позвонить на прежнее место работы, пообщаться.
АРХАНГЕЛЬСКИЙ: Это была рекомендация Андрея Аскерко, владельца компании "Спецагент". Алексей?
КОНЮЧЕНКО: У меня после кейса, описанного Романом, появилась идея. Например, я могу попросить близкого своего человека проверить нового работника на, собственно...
АРХАНГЕЛЬСКИЙ: На вшивость.
КОНЮЧЕНКО: На вшивость, да. То есть позвонить ему и спросить: "А можешь ли ты мне прислать базу клиентов?" Встречались в вашей практике примеры такие?
РОМАЧЕВ: Как вариант, такие действия иногда делают, совершают, но это немного влияет на мотивацию сотрудника. Если вы будете часто проверять, то они от вас разбегутся, потому что...
КОНЮЧЕНКО: Нет, только в начале работы. Один раз человека проверил, и если он не поддался, скорее всего, он и в будущем не будет.
РОМАЧЕВ: Не совсем так. Сегодня он может не поддаться, а завтра у него висит кредит, завтра жена заболела, нужны деньги на операцию.
АРХАНГЕЛЬСКИЙ: Ведь было же такое предложение. Дай-ка я посмотрю, кто наши конкуренты и, может быть...
РОМАЧЕВ: Да, да. Здесь лучше не навредить...
АРХАНГЕЛЬСКИЙ: То есть таких активных мероприятий, Роман, вы бы не рекомендовали?
РОМАЧЕВ: Почему? Если вы точно знаете, что человек хочет продать информацию, тогда да, надо готовить...
АРХАНГЕЛЬСКИЙ: Тогда его увольнять надо просто.
РОМАЧЕВ: Для чего увольнять? Опять же, мы не затронули тему увольнения. Увольнять нужно тоже правильно, чтобы человек ушёл от вас не со злостью, не с желанием отомстить, а ушёл от вас удовлетворённый. При увольнении сотрудника нужно у него заново брать подписи на всех документах, что он обязуется не разглашать информацию. Необходимо его инструктировать, нужно рассказывать, что он имел доступ к той информации, которая для нас является конфиденциальной. И если он будет распространять, то наступит некоторая ответственность.
Опять же, нужно говорить, что мы будем этого сотрудника мониторить, будем смотреть, куда он уходит на работу, в какую компанию устраивается. Если это конкурент, то, опять же, надо сказать, что конкурентам не должна быть рассказана информация, которой он обладал. Здесь нужен контроль и некий мониторинг в течение одного-двух лет за сотрудником, хотя бы средствами Интернета. То есть ищет он работу, не ищет, куда ушёл. Это очень легко всё делается. Многие пишут свои новые места работы в социальных сетях, то есть, тут проблем никаких нет.
АРХАНГЕЛЬСКИЙ: Хорошо. Это была рекомендация Романа Ромачова, владельца компании "Р-техно". Андрей, добавите ли вы что-то к этому?
АСКЕРКО: Наверное, нет.
АРХАНГЕЛЬСКИЙ: Хорошо. Тогда у нас есть классический, очень любимый мною блок нашей передачи – книги. Такой вопрос Алексей уже сегодня задавал. Что бы вы посоветовали почитать или посмотреть (фильмы тоже могут быть очень поучительны) на тему информационной безопасности бизнеса?
РОМАЧЕВ: У нас в России достаточно много в последнее время выпускается книг по безопасности бизнеса. У меня, например, библиотека насчитывает около 300 книг. И очень много авторов, очень много написано. Но, к сожалению, о коммерческой тайне написано очень мало. Я бы вообще рекомендовал бы подходить, как я сказал ранее, к безопасности комплексно, и покупать книги, где рассказывается о безопасности бизнеса в комплексе, а не просто о каком-то куске коммерческой тайны. Потому что проблема системна, и уделяя внимание одной проблеме, уделяя другой, вы как бы систему рушите.
У нас достаточно много интересных книг. Есть книга Игоря Нежданова "Технологии разведки для бизнеса", есть книга Евгения Ющука "Конкурентная разведка". Там, кстати, очень много рассказано о том, как нужно собирать информацию из открытых источников.
АРХАНГЕЛЬСКИЙ: Соответственно, как защищаться, чтобы такую информацию не собрали на тебя.
РОМАЧЕВ: Да, да, да. У меня есть книга "Конкурентная разведка" в соавторстве с Игорем Неждановым. Опять же, издательство "Ось-89" выпускает целую серию по безопасности бизнеса. Там уже где-то 15 книг выпущено очень интересных.
АРХАНГЕЛЬСКИЙ: Это была рекомендация Романа Ромачова, владельца компании "Р-техно" и, как мы выяснили, ещё и соавтора книги. Мне об этом не было известно. Андрей, ваш совет?
АСКЕРКО: По поводу книг Роман много чего интересного сказал, да и книги перечислил. Я бы хотел ещё рекомендовать такую книгу, я, правда, не помню автора, "Искусство обмана". Очень интересная книга, которая, я думаю, генеральному директору любой компании будет интересна.
АРХАНГЕЛЬСКИЙ: Издательство не помните?
АСКЕРКО: Издательства тоже, к сожалению, не помню. Но можно в Интернете набрать "Искусство обмана", она распространённая, интересная книга.
Потом, сейчас выпускается очень много журналов, по-моему, "Коммерсантом" – "Генеральный директор", "Финансовый директор". И там очень много информации, которая непосредственно касается безопасности бизнеса, IT-безопасности. Сейчас очень много полезной информации.
РОМАЧЕВ: Да. Есть ещё такой журнал "Директор по безопасности". Он как раз довольно-таки практичный, и там больше практики, нежели теории, очень много кейсов. Тоже рекомендую.
АРХАНГЕЛЬСКИЙ: Хорошо. На входе, скажем, генеральному директору стоило бы это почитать, не впадая в маниакальную параноидальность, всё-таки ознакомиться. Спасибо нашим гостям за рекомендации.
Напомню, друзья, мы говорили об информационной безопасности бизнеса. Разобрали эту тему и с точки зрения безопасности со стороны сотрудников, кадровой безопасности, информационной безопасности и с точки зрения взаимоотношений с внешним миром, с клиентами, социальными сетями, с нашими сотрудниками после того, как они перестали быть сотрудниками компании.
Напомню, в гостях у нас были: Роман Ромачов, владелец компании "Р-техно", занимающейся конкурентной разведкой; Андрей Аскерко, владелец компании "Спецагент", обеспечивающей информационную безопасность бизнеса; Алексей Конюченко, владелец компании "Top-7", одной из компаний, входящих в бизнес-инкубатор "Точка входа". Который и был поставщиком практической проблемы информационной безопасности.
Всем до свидания. В эфире была программа "Время предпринимать". До встречи в следующий понедельник.
© Finam.fm