CC BY-NC-ND
106
Г.А. Шевцова, А.А. Мозгов
Особенности защиты информации в выставочной деятельности
В статье представлены проблемные аспекты подготовки участия организации в выставочной деятельности, имеющей в обращении конфиденциальную информацию. Недостаточность разработки темы информационной безопасности в сфере выставочной деятельности влечет за собой слабую нормативно-правовую базу, которая необходима для регулирования вопросов защиты информации в этой сфере.
Ключевые слова: выставочная деятельность, уязвимость безопасности конфиденциальной информации, защита информации в выставочной деятельности, безопасность предоставления выставочных услуг.
Выставки обладают комбинированными свойствами продвижения товаров и услуг на рынок, и потому выставка - один из наиболее эффективных маркетинговых инструментов. С помощью выставок эффективно решаются задачи представления и продвижения товаров и услуг, новейших достижений во всех (социальной, экономической, научной) сферах деятельности, как отдельных организаций, так и целых регионов и даже государств. Выставки представляют эти достижения широкому кругу лиц, среди которых есть как обыватели, так и специалисты. При этом одна из важнейших особенностей выставок заключается в том, что на выставках создаются и продаются не материальные продукты, а информация о товарах и услугах и их особенностях. То есть выставки - это информационные площадки, центры сосредоточения информации о научных, экономических, культурных и управленческих достижениях, новейших товарах и услугах, их достоинствах и преиму-ществах1.
В условиях конкуренции, сложившихся в свете изменений, происходящих в современной мировой экономике, при возрастающей потребности в широком представлении достижений не только отдельных организаций, но и отдельных стран, информация, циркулирующая в сфере выставочной деятельности, обретает особую
© Шевцова Г.А., Мозгов А.А., 2016
ценность, переходя в разряд стратегических ресурсов организаций, государств, общества.
В условиях такой конкуренции организациям, стремящимся, например, к усилению своего влияния на определенных рынках сбыта, или же к поиску новых рынков сбыта и способов выхода на эти рынки, следует учитывать значение и ценность информации о продвигаемых товарах и услугах. Именно выставки позволяют наиболее эффективно решить сразу целый ряд задач, сопутствующих процессу продвижения товаров и услуг на определенных рынках сбыта2. Так, в рамках одной выставки можно одновременно провести презентацию новых товаров и услуг организации, совместив эту работу с работой по выпуску рекламной продукции для данных товаров и услуг, предпринять шаги по выведению их на международные рынки, изучить сопутствующий спрос на различных рынках. При этом свою продукцию можно продемонстрировать не только целевой аудитории, но и посетителям, не входящим в ее состав.
Выставки решают для организации не только задачу эффективного распространения рекламных материалов между максимальным количеством потенциальных покупателей, но и дают возможность для работы в области поиска новых партнерских связей и заключения различных соглашений, реализации решений имидж-рекламы3. Можно с уверенностью утверждать, что для любой организации участие в выставке - это один из наиболее эффективных способов заявить о себе и расширить партнерские связи.
Информация, оглашаемая на выставках, имеет для организации зачастую колоссальное значение. Это обусловлено несколькими факторами. В первую очередь - значениями регулярности проходящих выставок, а конкретнее - периодами относительного затишья и пустоты в рекламной деятельности, имеющими место в периоды между выставками. А также тем, что выставки охватывают огромные аудитории потенциальных потребителей экспонируемых товаров и услуг. В этих условиях наиболее оптимальным решением является демонстрация новинок организации, инновационных решений и ноу-хау. Иными словами, когда выставка по соответствующей тематике проходит лишь раз в год, или даже раз в несколько лет, имеет смысл демонстрировать на такой выставке лишь самую новую продукцию организации. Логично, что часто информация о таких новинках, готовящихся иногда даже специально к датам выставок, является конфиденциальной, принадлежащей к разряду коммерческой тайны. Кроме того, выставочная деятельность является и сама по себе, и также в связке с иной деятельностью по обмену информацией с внешней средой - рекламной
и издательской, опционально, сопровождается переговорными процессами, создающими дополнительные уязвимости безопасности конфиденциальной информации. В силу этих особенностей выставочной деятельности, а также в силу значимости оглашаемой на выставке информации задача защиты информации в выставочной деятельности является не просто актуальной, но стоит весьма остро для любой организации.
Выставочная деятельность является предметом научных исследований экономики, социологии, политологии, психологии, юриспруденции и международных отношений. Однако несмотря на значительный объем литературы во многих областях научных исследований, многие вопросы организации защиты информации в выставочной деятельности не были в достаточной степени освещены, а деятельность по защите информации в выставочной сфере, в процессе подготовки и участия организаций в выставках изучена слабо. Это отчасти обусловлено тем, что все еще слабо изучены сами выставки - и как специфические организации, и как экономический и культурный феномен, и как маркетинговый инструмент.
Большая часть опубликованных материалов на темы, касающиеся выставок, либо не затрагивает вопросы защиты информации, либо затрагивает их поверхностно. Меж тем вопросы защиты информации в выставочной деятельности охватывают не только сферы технического оснащения и организационных мер по поддержанию режима конфиденциальности в процессе рекламной и издательской деятельности, но и вопросы маркетинга, управления, кадрового оснащения и подготовки персонала.
Недостаточная разработанность темы защиты информации в сфере выставочной деятельности влечет за собой недостаточную полноту теоретической базы по данной тематике, что, в свою очередь, отражается на качестве предлагаемых практических решений, которые рекомендуется применять для решения задач защиты информации в сфере выставочной деятельности. Это одна из главных фундаментальных проблем защиты информации в сфере выставочной деятельности на сегодняшний день.
Эта проблема тесно связана и находится практически в прямой зависимости от другой основной проблемы - руководители организаций-экспонентов при подготовке к выставкам чаще всего недооценивают серьезность угроз безопасности информации, которые могут возникать в процессе выставочной деятельности, и соответственно пренебрегают мерами защиты информации.
Тем более остро, в свете обозначенных проблем, стоят проблемы, связанные с человеческим фактором, с действиями персонала.
Независимо от уровня подготовки персонала человеческий фактор, всегда имеющий место в процессе выставочной деятельности, оставляет возможность реализации таких угроз конфиденциальности информации, как незапланированное разглашение информации, составляющей коммерческую тайну, и даже банальная кража или утеря носителей информации, в том числе самих выставочных экспонатов.
А между тем одна из важнейших особенностей выставок заключается в том, что в процессе подготовки и участия в выставках происходит интенсивный обмен информацией между организацией и внешней средой. Даже при наличии у организации действующей системы защиты информации в процессе выставочной деятельности может возникать множество дополнительных каналов утечки конфиденциальной информации, множество дополнительных условий для реализации угроз конфиденциальности информации, ее целостности, доступности. Кроме того, информация, обрабатываемая в процессе выставочной деятельности, предназначается для оглашения, а значит, к моменту оглашения должны быть решены и задачи сохранения ее достоверности, своевременности, полноты. Угрозы безопасности информации могут возникать на всех этапах выставочной деятельности.
Такая опасность обусловлена в первую очередь многообразием видов деятельности, сопутствующих процессу участия организации в выставках, что соответственно добавляет множество дополнительных факторов, влияющих на условия поддержания режима информационной безопасности.
В частности, условия наибольшей опасности для конфиденциальности информации на этапе подготовки к выставке создает процесс производства рекламы. Этот процесс характеризуется наиболее интенсивным обменом потенциально и фактически конфиденциальной информацией как с внешней средой, так и внутри организации. Специфика процесса производства рекламной продукции в выставочной деятельности заключается в многообразии целей, которые преследуются при производстве этих материалов. Они могут использоваться как непосредственно в рекламной деятельности, так и в качестве элементов оформления выставочного стенда, в качестве материалов, используемых при публикации пресс-релизов, или для передачи их представителям специализированной прессы. Это верно как для организаций, рекламирующих свою собственную деятельность, так и для подрядчиков и субподрядчиков, экспонирующих на выставках продукцию своих заказчиков или разрабатывающих рекламные материалы для других организаций.
Так как на этом этапе информация, несомненно, содержит конфиденциальную составляющую, то угрозы нарушения конфиденциальности, целостности и доступности информации могут быть реализованы с наибольшим ущербом. Проведение экспертизы этих материалов на предмет наличия в них конфиденциальной информации и последующее составление перечней конфиденциальной информации, содержащейся в этих материалах, является необходимостью. Пренебрежение мерами защиты информации на этапе производства рекламы гарантированно создает условия для нарушения конфиденциальности информации и несанкционированного оглашения конфиденциальной информации.
При этом остро стоит необходимость решения задач контроля над деятельностью рекламопроизводителя, независимо от того, является ли он третьим лицом, которому была передана информация, или же реклама разрабатывается с использованием ресурсов самой организации. По окончании этапа разработки рекламной продукции и ее производства рекламоносители не должны содержать информацию, составляющую коммерческую тайну организации. При этом важно не допустить искажения достоверности информации, которая будет отображена на рекламоносителях.
Процесс контроля является достаточно трудоемким и подразумевает заключение различных договоров с рекламопроизводителя-ми, в том числе и договоров о неразглашении, обязывающих компании или сотрудников, занимающихся производством рекламы, охранять конфиденциальность переданной им информации.
Необходимость действовать в правовом поле для обеспечения защиты конфиденциальности своей информации в процессе ведения выставочной деятельности открывает еще одну фундаментальную проблему как в сфере защиты информации в выставочной деятельности, так и в сфере ведения выставочной деятельности в общем, проблему, присущую этой сфере в Российской Федерации.
Крайне слаба нормативно-правовая база, которая необходима, чтобы регулировать вопросы выставочной деятельности. По степени нормативной обеспеченности законодательство Российской Федерации в сфере регулирования выставочной деятельности значительно отстает как относительно ситуации в других отраслях, так и относительно соответствующих сфер законодательства других стран. Иными словами, российское законодательство в сфере ведения выставочной деятельности не актуализировано относительно международных законов и соглашений, соответственно которым осуществляется сотрудничество в этой сфере с другими странами. Оно оторвано от современных реалий развития и функционирования рынка выставочных и рекламно-выставочных услуг и мероприятий.
В частности, отсутствуют как Федеральный закон о выставочной или выставочно-ярмарочной деятельности, так и комплекс национальных стандартов, регламентирующих требования к качеству и безопасности предоставления выставочных услуг. Иными словами, отсутствует единая система регулирования выставочной деятельности, а существующая система не соответствует сложившейся иерархии и структуре нормативных и правовых документов, регулирующих деятельность в основных отраслях экономики.
К сожалению, явные проблемы с законодательным обеспечением в сфере выставочной деятельности обусловливают и специфику работы в этой сфере. Руководителю организации-экспонента при подготовке к участию в выставке и непосредственно при участии приходится руководствоваться целым рядом различных законов, относящихся к различным сферам законодательства. Каждый из этих законов регулирует малую часть того, что в целом составляет единый процесс подготовки к выставке.
В силу такой неоднородности законодательной базы, а также в силу отсутствия единых механизмов контроля в правовой сфере, в том числе касательно информационной безопасности, некоторые правовые методы защиты информации в сфере выставочной деятельности применять на практике оказывается весьма сложно. Это касается, например, составления отдельных договоров об охране экспонатов, составляющих коммерческую тайну, с оргкомитетами выставочных площадок. С одной стороны, это должно было бы быть распространенной практикой, но в реальности оргкомитет выставочной площадки чаще всего отвечает за охрану выставочных экспонатов лишь косвенно, заключая договоры об оказании охранных услуг с частными охранными организациями. Выходит, что экспоненту пришлось бы, в худшем случае, заключать отдельный договор с охранной организацией, ответственной за поддержание пропускного режима на территории выставки. Кроме того, экспоненту пришлось бы составлять отдельные списки экспонатов и материалов, составляющих коммерческую тайну, и раскрывать их и оргкомитету, и охранной организации, а значит, заключать и соглашения о неразглашении - все это является весомой дополнительной нагрузкой и на материальные, и на человеческие ресурсы организации. Соотношение затрат ресурсов и получаемой выгоды говорит не в пользу таких правовых решений. Поэтому многие экспоненты предпочитают решать вопросы охраны своих экспонатов с помощью ресурсов своих собственных выставочных стендов.
Кроме того, нужно принимать во внимание специфику работы с определенными видами тайн. При этом в тексте основополагающего в вопросах защиты коммерческой тайны закона - закона
«О коммерческой тайне» - не упоминаются слово «выставка» или словосочетание «выставочная деятельность». Тем не менее механизмы обеспечения конфиденциальности защищаемой информации, описанные в этом законе, могут быть использованы не только на стадии отбора информации, которая будет разглашена в процессе непосредственного участия в выставке, но и при контактах с контрагентами. Например, при заключении договоров с организациями, ответственными за подготовку рекламных материалов, а также с другими организациями, сотрудничество с которыми необходимо для организации, желающей экспонировать свою продукцию на выставке.
Для выставочной деятельности существуют и другие нюансы, уникальные исключительно для этого вида деятельности. Наличие таких особенностей обусловлено тем, что в ходе выставки информацию можно получить не только посредством изучения специально подготовленных печатных и иных рекламных материалов, но и осматривая сами экспонаты, а также беседуя с задействованным в работе на стендах персоналом. В частности неотъемлемыми частями выставочного процесса являются такие виды деятельности, как промышленный шпионаж и изучение продукции конкурентов. Поэтому в процессе участия в выставке, организации, в целях защиты конфиденциальной информации, следует проявлять осторожность не только в выборе выставочных образцов, но и в выборе способа их презентации, а также в подборе персонала и составлении должностных инструкций.
Особое место в процессе подготовки к выставке занимают такие задачи, как выбор типа выставочного стенда и согласование режима работы стенда. При проектировании выставочного стенда закладывается система технической защиты информации. Ориентиром при этом является то, какая конфиденциальная информация и в каком виде должна быть предоставлена для оглашения в режиме ограниченного доступа, если такая возможность предусмотрена. При этом информация о конфигурации системы защиты, закладываемой в проект выставочного стенда, в процессе подготовки к выставочной деятельности также может считаться конфиденциальной информацией, подлежащей защите.
Уникальность выставочных условий, в которых осуществляется выставочная деятельность персонала организации и ее выставочного стенда, является еще одной особенностью выставок, крайне важной при рассмотрении вопросов защиты информации. В первую очередь, сам выставочный стенд - это конструкция, собираемая с нуля на территории выставочных площадей всего за несколько дней. Это хрупкие конструкции, предназначенные, в первую
очередь, для размещения рекламных материалов и эффективной демонстрации экспонатов. Даже если система защиты информации заложена в проект выставочного стенда, его функционал никак не будет способен полностью отвечать всем требованиям, предъявляемым к режимным помещениям, в которых производится обработка конфиденциальной информации или хранение носителей конфиденциальной информации. В первую очередь, хрупкость конструкции выставочных стендов обусловливает невозможность организации достаточно эффективной системы контроля физического доступа, включающей в себя контрольно-пропускные пункты и эффективные средства запирания дверей. Поэтому в условиях выставки особенно актуальными становятся угрозы безопасности информации, обусловленные слабыми мерами по ограничению доступа, применяемыми к носителям конфиденциальной информации. Особенно это актуально для стендов, на которых производится оглашение информации, предназначенной для ограниченного распространения.
Отчасти эта проблема решается посредством размещения на стенде выставочного персонала в необходимом количестве и составлением четких должностных инструкций, в которых вопросы защиты конфиденциальности информации и защиты носителей информации должны быть раскрыты. Не стоит забывать, однако, что в условиях выставочной суеты повышается и риск ошибок персонала.
Еще одной особенностью выставочной деятельности является то, что в процессе непосредственного участия в выставке состав угроз и приоритет, отдаваемый тем или иным угрозам, значительно меняется. Так, угрозы нарушения конфиденциальности информации остаются действительными только для отдельных видов информации и связанных с ними носителей. Речь идет, конечно, о рекламных материалах, предназначенных для закрытых показов, а также об определенных экспонатах, утеря которых может повлечь за собой финансовые потери в силу утечки конфиденциальной информации, содержащейся в этих экспонатах. При этом утеря носителя такой информации в результате его необратимых повреждений - не такая большая проблема, так как ущерб от такой утери будет нанесен только качеству выставочного процесса. Это нежелательно, но не катастрофично. Остальные материалы, к моменту опубликования в рамках выставки, в подавляющем большинстве своем уже не содержат никакой конфиденциальной информации.
При всех проблемах, косвенно или напрямую касающихся работы персонала, процессу подбора персонала для участия в выставке следует уделять особое внимание. В том числе и потому, что персонал стенда в условиях выставки является одновременно и инст-
рументом для сдерживания угроз безопасности информации, и источником этих угроз.
Кроме квалифицированных и компетентных работников компании, уполномоченных в процессе выставки решать различные вопросы, для эффективной работы стендов необходимо также огромное количество промоперсонала. Зачастую такой персонал набирается РИ-менеджером в рекламных агентствах, которые предоставляют также и супервайзеров, следящих за работой промо-утеров. Так как в отношении участников выставки конкурентами могут быть использованы меры агентурной разведки - вербовка, покупка конфиденциальной информации, выведывание информации под каким-либо благовидным предлогом, то на подготовительном этапе состав участников выставки должен быть включен в состав конфиденциальных сведений. Относительно этой информации также актуальны все те угрозы нарушения конфиденциальности информации, что и для любой другой. Кроме того, при разработке системы защиты информации выставочного стенда и при рассмотрении возможных угроз безопасности информации на выставочном стенде внештатный промо-персонал, нанятый для работы на стенде необходимо рассматривать и как потенциальных внешних, и как потенциальных внутренних нарушителей.
Особенности работы с персоналом выставочного стенда - это также особенность выставочной деятельности, которую следует учитывать при решении вопросов защиты информации.
Отдельно стоит отметить сложности проведения переговоров в условиях выставки. Кроме проблемы предоставления второй участвующей в переговорах стороне определенной информации, существует также и проблема сокрытия разглашаемой в процессе переговоров информации от третьих лиц, что соотносится в условиях выставки с определенными сложностями.
В первую очередь, информация, разглашаемая второй стороне, не должна содержать сведений, составляющих коммерческую тайну и других сведений, не предназначенных для разглашения. Угроза неправомерного ознакомления с защищаемой информацией является главной в этом процессе. В данном случае угроза может быть реализована только внутренним нарушителем. То же справедливо и для такой сферы, как работа с посетителями, осуществляемая персоналом стенда в процессе непосредственного участия в выставке.
В соответствии с особенностями выставочного процесса, наибольшие трудности вызывает именно проблема организации закрытого переговорного процесса в условиях выставки. Эта проблема решаема, если выставочная площадка располагает собственным помещением, предназначенным для переговоров, которое
соответствует всем требованиям как безопасности в целом и защиты информации в частности, предъявляемым к помещениям такого типа. Однако если выставочная площадка не может предоставить такое помещение, то проблему необходимо решать средствами конструкции выставочного стенда или иными средствами. Противодействие угрозам неправомерного ознакомления с защищаемой информацией также стоит в этом вопросе на первом месте. Угрозы могут быть реализованы как внутренним, так и внешним нарушителем, при условии слабости или полного отсутствия системы контроля физического доступа, организованной на выставочном стенде.
Хотя каналов утечки информации и возможных угроз существует множество, но на практике в условиях выставочной деятельности большинство из них так и остается лишь потенциальными угрозами. Главная особенность защиты информации в выставочной деятельности кроется именно в том, что существует необходимость адаптировать организационные меры и инженерно-технические средства защиты информации к выставочным условиям, накладывающим ограничения на возможности использования отдельных мер и средств. Но это касается не только средств защиты информации, но и средств ее неправомерного съема - использование таких средств в условиях выставки сопряжено с определенными трудностями, преодолеть которые чаще всего не представляется возможным.
К таким сложностям относится, например, проблема невозможности скрытного использования многих и многих средств съема информации, ввиду того что потенциальный нарушитель всегда находится на виду у большого числа людей - посетителей выставки. Кроме того, чтобы использовать средства съема информации, их нужно сначала пронести на территорию выставки, что тоже вызывает затруднение. Так, на любой выставке, открытая она или закрытая, всегда организованы и действуют контрольно-пропускные пункты, снабженные системами обнаружения запрещенных предметов у посетителей - арочные или портативные металлоде-текторы. Кроме того, часто производится досмотр ручной клади посетителей. Обыкновенно работники службы охраны компании-организатора или собственной службы охраны площадки также патрулируют территорию выставки. Все это затрудняет использование нарушителем технических средств съема информации даже в условиях равнодушия к происходящему у рядовых посетителей выставки.
Если соблюдены условия применения определенных организационных мер защиты информации, можно утверждать, что
инсайдерская информация или коммерческая тайна, раскрываемая на выставке, будет относиться только к продукции, представляемой на выставке, и не будет иметь серьезного коммерческого веса. То есть информация, раскрываемая в процессе участия компании в выставке, чаще всего не является достаточно ценной, чтобы оправдать использование сложных и дорогостоящих технических средств. Все вероятные угрозы реализуются нарушителем с низким потенциалом, чаще всего действующим из собственных корыстных интересов.
Кроме того, не стоит забывать, что на выставках разглашается информация, которая и предназначена для обнародования. Рекламная литература, фото- и видеоматериалы, материалы для презентаций и другие источники информации проходят несколько стадий отбора в процессе подготовки к участию в выставке и не являются носителями конфиденциальной информации. И здесь меры защиты информации, принимаемые на стадии подготовки к выставке, безусловно, являются очень действенными.
Таким образом, количество реальных угроз информационной безопасности, которые могут быть реализованы в процессе выставочной деятельности, а также их уровень сводятся к приемлемому минимуму самими условиями, в которых проходит выставочная деятельность. Значит, основными задачами защиты информации в сфере рекламной и выставочной деятельности являются отбор информации для оглашения и грамотное применение комплекса мер по обеспечению охраны конфиденциальности информации в процессе подготовки компании к выставке. Существует целый ряд мер, способствующих противодействию угрозам нарушения конфиденциальности информации, возникающим при подготовке и участии в выставочной деятельности, проведении переговоров и работе с посетителями. Так, контроль над охраной конфиденциальности информации осуществляется по трем направлениям принимаемых мер - правовым, организационным и техническим. Но все они служат одной цели - созданию и поддержанию политик разграничения доступа и контролю следования работников этим политикам.
Г.А. Шевцова, А.А. Мозгов Примечания
1 ГОСТ Р 53103-2008 «Деятельность выставочно-ярмарочная. Термины и определения». [Электронный ресурс] URL: http://www.rags.ru/stroyka/text/56921/ (дата обращения: 07.09.2016).
2 Распоряжение Правительства РФ от 31.07.2013 г. № 411-РП «О Московском городском совете по конгрессно-выставочной деятельности»; Положение о Московском городском совете по конгрессно-выставочной деятельности. [Электронный ресурс] URL: http://mosopen.ru/document/411_rp_2013-07-31 (дата обращения: 07.09.2016).
3 Постановление губернатора Московской области от 28.12.1998 г. № 406-ПГ «Об утверждении Положения о выставочно-ярмарочной деятельности администрации Московской области». [Электронный ресурс] URL: https://www.lawmix. ru/moscow-obl/320 (дата обращения: 07.09.2016).
