Метод «OPSEC» (Operation Security) – концепція системного підходу до забезпечення захисту конфіденційної інформації. Автор - відомий американський фахівець з забезпечення безпеки А. Паттокос. Метод «OPSEC» є універсальним та може використовуватись як для захисту технологічних та комерційних секретів підприємства, так і для забезпечення безпеки збереження державної таємниці.
За твердженням А. Паттокоса метод «OPSEC» є ефективним засобом приховування намірів, планів, заходів, технологій, що дозволяє постійно бути на крок попереду супротивника.
Суть методу в тому, щоб припинити, запобігти або обмежити витік тієї частини інформації, яка може дати конкуренту можливість дізнатися або «вирахувати» те, що здійснює або планує здійснити підприємство, і, в результаті, випередити його на ринку.
Процес організації захисту інформації за методом «OPSEC» проходить поетапно:
Перший етап («аналіз об'єкта захисту») полягає у визначенні того, що необхідно захищати. На цьому етапі проводиться аналіз по наступним напрямкам:
– з’ясовується, яка інформація потребує захисту;
– з’ясовується найбільш важливі елементи (критичні елементи) інформації, що захищається;
– визначається термін життя критичної інформації (час, необхідний конкуренту для реалізації здобутої інформації);
– визначаються ключові елементи інформації (індикатори), що відображають характер інформації, що захищається;
– індикатори класифікуються за функціональними зонами підприємства (виробничо-технологічні процеси, система матеріально-технічного забезпечення виробництва, персонал фірми, фінанси, управління тощо).
В ході другого етапу здійснюється «виявлення загроз». При цьому:
– визначається, кого може зацікавити інформація, яка захищається;
– оцінюються методи, що можуть бути застосовувані конкурентами для отримання цієї інформації;
– розробляється система заходів протидії витоку такої інформації.
На третьому етапі аналізується ефективність підсистем забезпечення безпеки (фізична безпека, безпека документації, надійність персоналу тощо).
Потім моделюється спланована операція і складається хронологічний опис подій (або їх функціональних зв'язків), безпеку яких необхідно забезпечити. Для кожної події спланованої операції визначаються індикатори, які можуть слугувати відправними даними для виявлення критичної інформації. Визначаються можливі специфічні джерела інформації, аналіз яких може привести до виявлення таких індикаторів (телефонні розмови по незахищеним каналам, недбале ставлення до чернеток, передача зайвої інформації в ході ведення переговорів, а також усталені стереотипи, шаблони в повсякденній роботі і процедурах тощо).
У ході четвертого етапу на основі проведених на перших трьох етапах аналітичних досліджень визначаються необхідні додаткові заходи з безпеки. При цьому перелік додаткових захисних заходів, що дають змогу «закрити» виявлені вразливі напрямки, супроводжується оцінкою витрат, пов'язаних із застосуванням кожного з таких заходів. Зіставлення очікуваного зниження вразливості інформації і майбутніх витрат дозволяє оцінити економічну доцільність запропонованих заходів.
На п'ятому етапі керівниками компанії розглядаються подані пропозиції з усіма необхідними заходами безпеки і розрахунок їх вартості та ефективності.
Шостий етап – етап реалізації прийнятих додаткових заходів безпеки, з урахуванням встановлених пріоритетів.
Сьомий етап полягає у здійсненні контролю за додатковими заходами безпеки. При цьому перевіряється ефективність вжитих заходів, виявляються незахищені або знов виниклі вразливі місця. Заходи з забезпечення безпеки інформації доводяться до оптимального рівня, вводиться постійний контроль за їх функціонуванням.