Цель: сформировать практические навыки идентификации источников и носителей конфиденциальной информации, оценки их информативности и потенциальных рисков утечки.
Продолжительность: 60 мин.
1. Вводная часть
- кратко повторяем ключевые понятия: источник информации, носитель информации, конфиденциальная информация (лекция);
- вспоминаем классификацию защищаемых техническими средствами источников (люди, документы, продукция и т. д.) и носителей (люди, материальные тела, поля, микрочастицы) информации;
- задача: проанализировать кейсы, выявить источники и носители информации, оценить риски их утраты, повреждения или раскрытия.
2. Кейсы, с которыми будем работать:
Кейс 1. Утечка через сотрудника
В компании разрабатывается новый состав биоразлагаемого пластика. Ведущий химик регулярно обсуждает детали проекта с другом-журналистом, не осознавая конфиденциальности информации. В итоге в отраслевом издании появляется статья с техническими деталями.
Кейс 2. Утечка через отходы
На предприятии по производству электроники бракованные платы и черновые расчёты выбрасываются в общий контейнер без уничтожения. Конкурент находит в мусоре образцы плат и расчёты, восстанавливает схему нового устройства.
Кейс 3. Утечка через документацию
Инженер оставляет на столе черновик отчёта с параметрами нового двигателя. Посетитель из партнёрской компании фотографирует документ на смартфон. Позже в сети появляются утечки с теми же параметрами.
Кейс 4. Утечка через продукцию
Компания выпускает новую модель смартфона с уникальным алгоритмом шумоподавления. Конкурент покупает устройство, разбирает его, анализирует микросхему и воспроизводит алгоритм в своём продукте.
Кейс 5. Утечка с комбинированными источниками утечки (сотрудник + документы + продукция)
Крупная производственная компания разрабатывает инновационный продукт — высокотехнологичное оборудование для промышленности. В процессе работы над проектом сотрудники имеют доступ к конфиденциальным документам: техническим чертежам, исходным кодам ПО, коммерческим соглашениям с партнёрами. Продукция ещё не запущена в массовое производство, но уже привлекает внимание конкурентов.
3. Практическая часть
Выполните для каждого из кейсов:
3.1. Идентификацию источников информации - перечислите все возможные источники согласно приведённой в лекциях классификации (люди, документы, продукция, датчики и т. д.).
Формат: нумерованный список.
3.2. Определение носителей информации - укажите, на каких носителях (люди, материальные тела, поля, микрочастицы) фиксируется информация в кейсе.
Формат: таблица.
3.3. Оценка информативности и рисков - для каждого источника и носителя информации оцените их:
- уровень информативности (высокий/средний/низкий);
- вероятность утечки (высокая/средняя/низкая);
- возможные каналы утечки (устно, документ, сеть, отходы и т. д.).
Формат: таблица
3.4. Предложения по защите информации техническими способами: предложите 2–3 конкретные меры защиты для наиболее подверженных рисками раскрытия, повреждения или утраты источников и носителей информации.
Формат: нумерованный список мер для каждого критичного источника.
Время на один кейс: 10–12 мин.
4. Обсуждение и выводы
1. Презентуем анализы кейсов:
- ключевые источники и носители;
- самые высокие риски;
- меры защиты.
2. Делаем выводы:
- какие типы источников чаще дают высокие риски?
- какие носители сложнее всего контролировать?
- какие универсальные меры защиты можно выделить?
Критерии оценки
- 20 баллов: полный анализ всех кейсов, корректная классификация источников и носителей, обоснованная оценка рисков, реалистичные меры защиты.
- 15 баллов: незначительные пропуски в анализе, неполные таблицы, 1–2 некритичные ошибки в оценке рисков.
- 10 баллов: анализ 1 кейса, существенные пробелы в идентификации источников / носителей, слабые предложения по защите.
- 6 баллов: фрагментарный анализ, грубые ошибки в классификации, нереалистичные меры.