Специальные проверочные мероприятия 3. Организационные вопросы (Игорь Чернов, Директор ТОО «Informsecurity»)

Специальные проверочные мероприятия 3

Организационные вопросы

 

 

Игорь Чернов,

Директор ТОО «Informsecurity»

 

Смотри в корень!

Козьма Прутков.

 

В наше время и стены имеют уши.

Народная мудрость.

 

Много лет занимаясь вопросами планирования и проведения специальных проверок помещений, очень часто сталкиваюсь с двумя моментами. Чисто организационными и казалось бы очень простыми. Момент первый - почти все из заказчиков неправильно понимают назначение специальных проверок. То есть зачем они нужны. Момент второй - многие из заказчиков, понимая что такие проверки необходимо проводить регулярно, не могут самостоятельно разработать систему периодичности таких проверок. Это и понятно, так как с одной стороны хочется сэкономить деньги (это в наше кризисное время актуально), а с другой стороны опасность утечки информации тоже вещь реальная и всё чаще входящая в нашу жизнь. И в результате такой утечки можно потерять не только то, что сэкономлено, но и то, что нажито непосильным трудом. Таких случаев всё больше. И возникает вопрос - как сделать так, чтобы за меньшие деньги получить максимум защиты.

Об этих двух моментах и поговорим.

Момент первый - зачем нужны специальные проверки. Главная ошибка здесь - многие думают, что специальная проверка необходима только для того, чтобы найти «жучок», или, если по-другому, «закладку». Это не так. На самом деле при проведении специальной проверки помещения решаются три задачи. Первая - определение действующего канала утечки информации. Я писал уже в одной из своих статей, что каналов утечки информации всего два - человеческий фактор и техника. При проведении специальной проверки происходит подтверждение, каким путём уходит информация. То есть какой именно канал используется вашими «доброжелателями» для её получения. Решение этой задачи очень важно особенно в том случае, когда утечка информации зафиксирована, то есть имеются признаки, её подтверждающие. И главное здесь - пресечь эту утечку, а для этого необходимо точно определить, какой из каналов используется. Для того чтобы не распылять силы и средства и не тратить время. Вторая задача - получить после проверки «стерильное» помещение, в котором можно обговаривать важные вопросы не боясь, что информация, циркулирующая в помещении, попадёт не в те уши. Задача третья - профилактическая. Проводя регулярные и качественные проверки по нелинейному временному графику, вы создаёте вашим «доброжелателям», планирующим похитить у вас информацию используя «жучки», большие сложности. Так как не имея возможности предугадать временной алгоритм проверок у них нет возможности спланировать, подготовить и осуществить мероприятия по «прослушке». И они скорее всего откажутся от своей затеи, и будут искать иные способы получения интересующей их информации. Чем значительно облегчат вам жизнь. Принцип здесь очень простой, давно известный и работающий. Пример - ни один серьёзный домушник не будет взламывать квартиру, находящуюся на сигнализации и имеющую на двери наклейку «Объект охраняется серьёзной охранной компанией». Тот же принцип.

Момент второй - периодичность специальных проверок. На самом деле тут всё просто. Плясать надо от самого начала, то есть от бюджета. Для начала вы должны решить, какой бюджет в какой период времени вы готовы выделить для организации и проведения таких проверок. Затем исходя из бюджета, используя сложившиеся на рынке цены на такие проверки, рассчитать сколько помещений вы можете проверить в этот временной период. Потом разделить все свои проверяемые помещения по категориям. Первая категория - те помещения, в которых постоянно ведутся разговоры, которые могут представлять интерес для «доброжелателей». И которые проверяются регулярно. Вторая категория - те помещения, в которых подобные разговоры проводятся время от времени. И которые проверять можно выборочно. И планировать проверки исходя из оперативной необходимости, которую определяет уполномоченный сотрудник службы безопасности либо руководитель компании.

Приведу пример. Допустим, вы готовы выделить на проведение таких проверок триста тысяч тенге в месяц. Почему триста тысяч? - спросите вы. Очень просто. Это средняя зарплата квалифицированного специалиста, способного такие проверки проводить. То есть просто представьте себе, что вы такого специалиста взяли на работу. И это вы ещё и сэкономите. Так как для специалиста нужна профессиональная поисковая техника, без неё никуда. Нанять специалиста имеющего набор такой техники обойдётся вам значительно дороже. Или можете купить эту технику сами, она в свободной продаже, но самый простой комплект, с которым можно качественно работать, обойдётся вам от трёх миллионов тенге. А серьёзный комплект обойдётся раза в два-три дороже. Так что пусть будет триста тысяч. Далее путём несложных расчётов вы получите количество квадратных метров своих помещений, которые вы можете проверить. Пусть это будет сто восемьдесят квадратных метров. Переходим непосредственно к помещениям. Всего у вас есть шесть помещений, в которых необходимо время от времени проводить проверки. Общая площадь которых двести пятьдесят квадратных метров. Два из них - первой категории. Это кабинет генерального директора и комната переговоров. Их площадь - восемьдесят квадратных метров и они проверяются всегда. Итого у вас остаётся четыре помещения второй категории, площадь которых сто семьдесят квадратных метров, и которые нужно время от времени проверять. И сто квадратных метров, которые вы можете проверить, не превышая бюджет. А дальше всё просто. Исходя из оперативной необходимости вы выбираете те помещения второй категории, которые по вашему мнению должны быть проверены. И меняете их при проведении следующей проверки. Проводя проверки по нелинейному временному алгоритму. Создавая тем самым проблемы вашим «доброжелателям». Которые не имею возможности предугадать когда будет следующая проверка и какие помещения будут проверяться.

На самом деле никакой разницы нет, какой бюджет вы определите для проведения регулярных проверок. Триста тысяч, сто, или пятьсот. В месяц или в квартал. Это каждый решает сам, исходя из своих потребностей. То есть из необходимости защищать важную информацию, из количества, площади и категорий проверяемых помещений, и из планируемых отрезков времени между проверками. Важен принцип.

И в заключение несколько полезных советов. Совет первый. Не обязательно проводить специальную проверку ровно один раз в месяц. Можно растянуть её на два-три раза. Например, в первый раз проверить помещения первой категории, а второй раз проверить помещения второй категории. Чем чаще в вашем офисе появляются люди с проверочной техникой, тем больше головной боли у ваших «доброжелателей». Это закон. Совет второй. Вы вольны в своём выборе. Никто не может вам помешать второй раз за месяц проверить одно из помещений первой категории за счёт помещения второй категории. Или два раза подряд проверить одно из помещений второй категории. Экспромт тут только приветствуется. И опять же ведёт к головной боли у ваших заклятых друзей. Ну и совет третий. Вы опять же вольны в своём выборе. Вы можете месяц или два экономить. Такие месяцы есть всегда. Когда компания работает в плановом режиме и не участвует в каких-то серьёзных проектах или тендерах. Когда вашим «доброжелателям» просто нет необходимости получать информацию о том, как, например, генеральный директор распекает главного технолога за опоздание на работу. То есть проверять не сто восемьдесят квадратных метров, предусмотренных вашим бюджетом, а сто. А потом приходит сложное время. Когда компания ввязывается в конкурентную борьбу на миллион. И когда всем «доброжелателям» очень нужно знать планы компании. И вот тут вы можете эффективно потратить сэкономленное. Увеличив количество проверок. И тем самым опять же добавив головной боли «доброжелателям». И не превысив бюджет, что в наше кризисное время актуально.

Берегите себя.

 

Следите за новостями zakon.kz в: