Обеспечение информационной безопасности бизнеса андрианов

Книга В. В. Андрианова «Обеспечение информационной безопасности бизнеса» — скачать в fb2, txt, epub, pdf или читать онлайн. Оставляйте комментарии и отзывы, голосуйте за понравившиеся.

Ещё 5 цитат

ОБЕСПЕЧЕНИЕ 
ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ БИЗНЕСА

2-е издание, переработанное и дополненное

Москва
2011

П А Б Л И Ш Е Р З

УДК 65.012.8
ББК 65.290.4с51
 
А65

ISBN 978-5-9614-1364-9

© ООО «Центр исследований 
платежных систем и расчетов», 2010
© ООО «Альпина», 2010

А65

Андрианов В.В.

Обеспечение информационной безопасности бизнеса / В. В. Андрианов, 
С. Л. Зефиров, В. Б. Голованов, Н. А. Голдуев. — 2-е изд., перераб. и доп. — М.: 
Альпина Паблишерз, 2011. — 373 с.

ISBN 978-5-9614-1364-9

Данную книгу можно назвать практической энциклопедией. В ней дан 
максимальный охват проблематики обеспечения информационной безопас-
ности, начиная с современных подходов, обзора нормативного обеспечения 
в мире и в России и заканчивая рассмотрением конкретных направлений 
обеспечения информационной безопасности (обеспечение ИБ периметра, 
противодействие атакам, мониторинг ИБ, виртуальные частные сети и мно-
гие другие), конкретных аппаратно-программных решений в данной области. 
Книга будет полезна бизнес-руководителям компаний и тем, в чью компетен-
цию  входит решение технических вопросов обеспечения информационной 
безопасности. 

УДК 65.012.8
ББК 65.290.4с51

Все права защищены. Никакая часть этой книги не может 
быть воспроизведена в какой бы то ни было форме и каки-
ми бы то ни было средствами, включая размещение в сети 
Интернет и в корпоративных сетях, а также запись в па-
мять ЭВМ для частного или публичного использования, 
без письменного разрешения владельца авторских прав. 
По вопросу организации доступа к электронной библиоте-
ке издательства обращайтесь по адресу lib@alpinabook.ru. 

Под общей редакцией А.П. Курило
Руководитель проекта по маркетингу и рекламе М.Г. Ручкина

Содержание

Предисловие А. А. Стрельцова ...................................................................................................7

Предисловие С. П. Расторгуева ..............................................................................................11

Введение.................................................................................................................................................17

1. 
Философия информационной безопасности бизнеса .................................25

1.1. Бизнес и информация .................................................................................................25

1.1.1. 
Информационная сущность бизнеса ..................................................25

1.1.2. 
Информационные характеристики бизнеса ..................................27

1.1.3. 
Уязвимости процессов накопления знаний 
(самообучения) ...............................................................................................29

1.1.4. 
Определение информационной безопасности ................................33

1.2. Материальные и нематериальные (информационные) аспекты 
бизнеса .................................................................................................................................34

1.2.1. 
Общая структура информационной сферы. 
Связь с материальным миром ..............................................................34

1.2.2. 
Правовая среда бизнеса и ее свойства ...............................................40

1.2.3. 
Учредительная и лицензионная база организации ....................41

1.2.4. 
Отражение материального мира ........................................................41

1.2.5. 
Внутренняя нормативная база организации ...............................44

1.2.6. 
Информационная сфера — 
главный источник рисков бизнеса ......................................................46

1.3. Модель информационной безопасности бизнеса .......................................49

1.3.1. 
Мотивация ........................................................................................................49

1.3.2. 
Риски, рисковые события, ущербы и уязвимости. Полезные 
для построения моделей свойства .....................................................52

1.3.3. 
Обобщенная модель распределения ресурсов 
организации в условиях рисков .............................................................54

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА

1.3.4. 
Ущербы и негативные последствия ....................................................57

1.3.5. 
Риск-ориентированный подход к обеспечению ИБ ......................60

1.3.6. 
Модель с изменением цели ........................................................................65

1.3.7. 
Об идентификации событий ИБ ..........................................................66

1.3.8. 
Предварительный анализ .........................................................................71

1.3.9. 
Накопление знаний .......................................................................................72

1.3.10. Интерпретация характеристик риска 
для управления ИБ .......................................................................................75

1.3.11. Общая модель обеспечения ИБ бизнеса .............................................78

1.3.12. Проблемы практической реализации модели 
обеспечения ИБ организации ..................................................................82

2. Существующие модели менеджмента (управления), 
применимые для обеспечения информационной 
безопасности бизнеса ..................................................................................................................87

2.1. Модели непрерывного совершенствования ..................................................87

2.1.1. 
Модели непрерывного совершенствования и корпоративное 
управление ........................................................................................................87

2.1.2. 
Вопросы реализации моделей непрерывного 
совершенствования и процессного подхода 
в организации ..................................................................................................95

2.1.3. 
Модели непрерывного совершенствования 
и международные стандарты ...........................................................102

2.2. Стандартизированные модели менеджмента. 
Аспекты контроля и совершенствования. Интеграция .......................105

2.2.1. 
Стандартизированные модели менеджмента 
в системе корпоративного управления ........................................105

2.2.2. 
Универсальные требования к стандартам 
на системы менеджмента ...................................................................115

2.2.3. 
Шаги реализации 
стандартной СМИБ организации ....................................................121

2.2.4. 
Реализация моделей менеджмента в целевых 
задачах организации («частные менеджменты») .................139

2.3. Модели COSO, COBIT, ITIL .....................................................................................144

2.4. Контроль и аудит (оценки, измерения) в моделях менеджмента 
(управления) .................................................................................................................159

Содержание 5

3. Оценка информационной безопасности бизнеса. 
Проблема измерения и оценивания 
информационной безопасности бизнеса ....................................................................169

3.1. Способы оценки информационной безопасности ..................................169

3.2. Процесс оценки информационной безопасности ...................................173

3.2.1. 
Основные элементы процесса оценки..............................................173

3.2.2. 
Контекст оценки 
информационной безопасности организации ............................174

3.2.3. 
Мероприятия и выходные данные процесса оценки ................178

3.2.4. 
Способы измерения атрибутов объекта оценки .....................190

3.3. Применение типовых моделей оценки на основе оценки процессов 
и уровней зрелости процессов для оценки информационной 
безопасности .................................................................................................................197

3.3.1. 
Модель оценки информационной безопасности 
на основе оценки процессов ...................................................................197

3.3.2. 
Оценка информационной безопасности 
на основе модели зрелости процессов ............................................204

3.4. Риск-ориентированная оценка 
информационной безопасности ........................................................................210

4. Проблема персонала в задачах обеспечения информационной 
безопасности бизнеса ...............................................................................................................215

4.1. Общие сведения ..........................................................................................................215

4.1.1. 
Тенденции.........................................................................................................215

4.1.2. 
Термины и определения ...........................................................................217

4.1.3. 
Общая характеристика угроз ............................................................220

4.1.4. 
Примеры инцидентов ...............................................................................223

4.2. Формализованное представление угроз ИБ от персонала .................234

4.2.1. 
Цели моделирования угроз ....................................................................234

4.2.2. 
Типология инцидентов ............................................................................235

4.2.3. 
Факторная модель .....................................................................................240

4.2.4. Некоторые модели угроз ............................................................................273

4.2.5. 
Внешние сообщники внутреннего злоумышленника ..............275

4.2.6. 
Типология мотивов ...................................................................................277

4.2.7. 
Сговор ................................................................................................................278

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА

4.2.8. 
Деятельность внутреннего злоумышленника 
с точки зрения формальных полномочий ....................................278

 
Управление идентификационными данными 
и доступом (IBM Восточная Европа/Азия) ................................279

4.3. Противодействие угрозам ИБ  от персонала .............................................291

4.3.1. 
Общий подход к противодействию ..................................................291

4.3.2. 
Обеспечение осведомленности персонала в области ИБ ........ 293

4.3.3. 
Получение информации от сотрудников организации .........293

4.3.4. 
Организационные аспекты ...................................................................294

4.3.5. 
Скрытность противодействия .........................................................294

4.3.6. 
Управление системой ролей ..................................................................295

4.3.7. 
Программно-технические средства защиты 
от утечек информации ..........................................................................310

4.3.8. 
Расследование инцидентов ....................................................................310

4.3.9. 
Раскрытие информации об инцидентах .......................................312

1. 
Приложение ............................................................................................................................315

Архитектура стандартов защиты информации и обеспечения 
информационной безопасности ........................................................................315

Общие сведения ..............................................................................................................315

2. Приложение ............................................................................................................................331

Подходы к формированию нормативного обеспечения системы 
информационной безопасности организации ..........................................331

Обзор современных средств управления доступом 
(ЗАО «Инфосистема Джет») ..................................................................................346

3. Приложение (справочное) .............................................................................................351

Примеры метрик для измерения атрибутов ...............................................351

4. Приложение ............................................................................................................................361

ЗАО «ЕС-лизинг» .....................................................................................................................361

5. Приложение  ...........................................................................................................................367

Монитор TopCM ......................................................................................................................367

Список литературы .....................................................................................................................369

Участники проекта 
«Обеспечение информационной безопасности бизнеса» ...............................372

Предисловие А. А. Стрельцова

Среди множества проблем социально-экономического развития России 
в условиях формирования глобального постиндустриального общества 
заметное место занимает организация устойчивого функционирования 
и безопасности использования информационных систем и информацион-
но-коммуникационных сетей, обеспечивающих экономическую деятель-
ность. По мере усложнения информационной инфраструктуры бизнеса 
влияние данного фактора на результаты деятельности коммерческих ор-
ганизаций будет возрастать. Это наглядно видно на примере развития 
экономики США, для которых обеспечение компьютерной безопасности 
стало одним из национальных приоритетов XXI в.
Проблема обеспечения информационной безопасности бизнеса имеет 
много аспектов, но все они так или иначе объединены необходимостью 
стандартизации принимаемых решений — своеобразной платой за преодо-
ление «проклятия размерности», порождаемого сложностью управляемых 
процессов.
Предлагаемая вниманию читателей книга «Обеспечение информацион-
ной безопасности бизнеса» посвящена рассмотрению стандартов обеспече-
ния информационной безопасности коммерческой организации, представ-
ляющей собой основного субъекта экономики общества. В данном случае 
стандарты — это прежде всего система правил поведения лиц, участвующих 
в принятии и реализации решений по построению системы обеспечения 
информационной безопасности организации. С этой точки зрения стандар-
ты являются важным элементом культуры постиндустриального общества, 
оказывающей непосредственное влияние на эффективность экономической 
деятельности не только организации, но и общества в целом. Установление 
стандартов поведения и следование им — важный показатель социальной 
зрелости общества и общей культуры его членов. Стандарты являются той 
основой культуры массового производства и потребления, без которой рас-
ширение специализации в осуществлении производственной деятельности 
и потребления ее продуктов, на которых наряду с частной инициативой 
базируется глобальная экономика мира, было бы невозможным.

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА

Как показывает опыт, одной из наиболее сложных проблем обеспечения 
информационной безопасности является объяснение руководителю орга-
низации в доходчивой форме, чем именно занимается коллектив специ-
алистов по информационной безопасности, почему на эту работу нужно 
тратить значительные финансовые и иные ресурсы, чего именно можно 
ожидать в результате этих затрат и как он лично может убедиться в том, 
что выделенные ресурсы не потрачены впустую. Подобные вопросы воз-
никают не только на уровне руководства организации, но и на уровне 
многих руководителей федерального, регионального и  местного масшта-
ба. Предлагаемая вниманию читателей книга делает существенный шаг 
вперед в поиске ответов на эти вопросы.
Книга подготовлена авторским коллективом, члены которого обладают 
большим опытом практической работы по решению сложных проблем 
обеспечения информационной безопасности в различных сферах эконо-
мической деятельности.
Авторы предприняли попытку поставить и решить задачу развития 
стандартов обеспечения информационной безопасности применительно 
к деятельности коммерческой организации, увязать связанные с этим во-
просы с бизнес-процессами, которые для любой коммерческой организа-
ции являются приоритетными. Предлагаемый авторами подход к стандар-
тизации процессов обеспечения информационной безопасности органи-
зации базируется на результатах философского осмысления проблемы, ее 
сущности, а кроме того, на возможных проявлениях в реальной жизни 
и на разработке структурированных описаний (схем-моделей) стандарти-
зируемых процессов.
Структурно работа состоит из четырех разделов основного материала 
и приложений.
В первом разделе на основе изучения роли и места информации в биз-
нес-процессах, а также анализа видов информации, в которых данные 
процессы проявляются (учредительная и лицензионная база организации, 
правовая сфера бизнеса, внутренняя нормативная база организации, внеш-
няя и внутренняя отчетность, материальные и информационные активы 
и т. п.), разработана обобщенная схема — модель информационной без-
опасности бизнеса. Данная модель основана на анализе источников воз-
никновения рисков снижения эффективности бизнеса, возникающих в ин-
формационной сфере организации.
На основе анализа известных схем — моделей осуществления менед-
жмента разработана схема — модель управления процессами обеспечения 
информационной безопасности организации или управления рисками 

нарушения ее информационной безопасности. Данная схема представлена 
во втором разделе. С учетом устоявшегося подхода к унификации описаний 
процессов менеджмента предложено стандартизованное описание системы 
менеджмента информационной безопасности организации, а также реа-
лизации ее отдельных составляющих (менеджмента рисков, инцидентов, 
активов, документов и т. п.).
Возможные методики оценки уровня информационной безопасности 
организации и примеры их использования рассмотрены в третьем разделе.
В четвертом разделе основное внимание сосредоточено на исследова-
нии проблем противодействия «внутренним» угрозам информационной 
безопасности, исходящим от сотрудников организации. Предложена соот-
ветствующая модель угроз и рассмотрены возможные меры по противо-
действию этим угрозам.
В приложении приведены справочные материалы по архитектуре стан-
дартов защиты информации и обеспечения информационной безопасности 
и др., а также изложены подходы к формированию нормативного обеспе-
чения системы информационной безопасности организации.
Практическая значимость книги заключается в том, что в ней с единых 
методологических позиций рассмотрены проблемы формирования систе-
мы обеспечения информационной безопасности организации как упоря-
доченной совокупности нормативных, организационных и технических 
решений, позволяющих не только обеспечить противодействие угрозам 
нарушения информационной безопасности, но и повысить прозрачность 
процесса построения и функционирования таких систем.
Предложенные в книге выводы и рекомендации базируются на анали-
зе конкретных нормативных и методических материалов, подкрепляются 
наглядными иллюстрациями и обладают значительным потенциалом даль-
нейшего развития.
Материалы книги будут полезны ученым и специалистам, занимаю-
щимся вопросами обеспечения информационной безопасности организа-
ций, а также студентам, изучающим соответствующие учебные курсы.

А. А. Стрельцов,

профессор, заслуженный деятель науки Российской Федерации,
доктор технических наук, доктор юридических наук

 Предисловие А. А. Стрельцова 9

Предисловие С. П. Расторгуева

Проблема обеспечения информационной безопасности — вечная про-
блема, и она будет вечной до тех пор, пока под безопасностью мы будем 
понимать состояние или ощущение защищенности интересов (целей) 
организации в условиях угроз. Почему? Потому что состояние защищен-
ности — это субъективное понятие. У волка оно одно, а у овцы — со-
всем другое. В случае же человека или социума все еще гораздо сложнее, 
и в общем случае никогда нельзя сказать, чем все это дело закончится, 
как в известной даосской притче про старика (http://pritchi.castle.by/
ras-14-1.html): «Жил в одной деревне старик. Был он очень беден, но все 
императоры завидовали ему, потому что у него был прекрасный белый 
конь. Никто никогда не видел подобного коня, отличавшегося красотой, 
статью, силой… Ах, что за чудо был этот конь! И императоры предлагали 
хозяину за коня всё, что только бы он пожелал! Но старик говорил: “Этот 
конь для меня не конь, он — личность, а как можно продать, скажите 
на милость, личность? Он — друг мне, а не собственность. Как же можно 
продать друга?! Невозможно!” И хотя бедность его не знала пределов, 
а соблазнов продать коня было немыслимое количество, он не делал 
этого.
И вот однажды утром, зайдя в стойло, он не обнаружил там коня. И со-
бралась вся деревня, и все сказали хором: “Ты — глупец! Да мы все заранее 
знали, что в один прекрасный день этого коня украдут! При твоей-то бед-
ности хранить такую драгоценность!.. Да лучше бы ты продал его! Да ты бы 
получил любые деньги, какие бы ни запросил, — на то и императоры, 
чтобы платить любую цену! А где теперь твой конь? Какое несчастье!”
Старик же сказал: “Ну-ну, не увлекайтесь! Скажите просто, что коня 
нет в стойле. Это — факт, все же остальное — суждения. Счастье, несча-
стье… Откуда вам это знать? Как вы можете судить?”
Люди сказали: “Не обманывай! Мы, конечно, не философы. Но и не на-
столько дураки, чтобы не видеть очевидного. Конь твой украден, что, ко-
нечно же, несчастье!” Старик ответил: “Вы — как хотите, а я буду придер-
живаться такого факта, что раз стойло пусто, то коня там нет. Другого же 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА

я ничего не знаю — счастье это или несчастье, потому что это всего лишь 
маленький эпизод. А кто знает, что будет потом?”
Люди смеялись. Они решили, что старик от несчастья просто рехнулся. 
Они всегда подозревали, что у него не все дома: другой бы давно продал 
коня и зажил как царь. А он и в старости оставался дровосеком: ходил 
в лес, рубил дрова, собирал хворост, продавал его и еле-еле сводил концы 
с концами, живя в бедности и нищете. Ну а теперь стало очевидным, 
что он — сумасшедший.
Но через пятнадцать дней конь неожиданно вернулся. Он не был укра-
ден, он сбежал в лес. И вернулся не один, но привел с собой дюжину диких 
лошадей. И снова собрались люди и сказали: “Да, старик, ты был прав! Это 
мы — глупцы! Да он и впрямь счастье! Прости нашу глупость милосердно!”
Старик ответил: “Да что вы, ей-богу! Ну вернулся конь. Ну лошадей 
привел — так что ж? Не судите! Счастье, несчастье — кто знает?! И это 
лишь маленький эпизод”…» и так далее… Таких маленьких эпизодов бы-
ло очень много в жизни этого старика, как их много и у каждого из нас.
Поражение — это не всегда поражение. Оно только сейчас поражение, 
но благодаря ему приобретается мудрость, опыт и сноровка, которые ста-
новятся основой будущих побед. А обещанная мудрость — это разве по-
ражение? Если мудрость — это плата за поражение, то что же тогда по-
ражение? Теряется одно, приобретается совсем другое. Теряются матери-
альные ценности, приобретается знание. Теряется время, приобретается 
поэтическое состояние души. Уходит забота, приходит радость.
В свете сказанного думается, что проблема безопасности, и инфор-
мационной безопасности в частности, — вечная проблема, которая если 
и решается, то только на короткое мгновение, пока у субъекта соответ-
ствующее состояние души или, проще говоря, определенное состояние 
защищенности. Но из этого многопараметрического пространства, в ко-
тором единственным критерием, благословляющим на деятельность, 
является состояние субъекта, есть один правильный выход. Этот выход 
называется «сужение области исследования». Именно этим путем пошли 
авторы книги, назвав ее «Обеспечение информационной безопасности 
бизнеса». При таком подходе появляется способ измерить это самое ми-
фическое состояние защищенности, которое теперь меряется совсем 
просто — скоростью изменения активов. В этой ситуации становится 
понятным, что такое ущерб и какими могут быть риски. Задача приоб-
ретает реальные очертания, и появляются вполне материальные крите-
рии, которыми можно оперировать, используя классический инструмен-
тарий.

Предисловие С. П. Расторгуева 13

Вот только для случая информационной безопасности этот классиче-
ский инструментарий уже несколько иной. А иной потому, что использу-
ется в других условиях. В условиях, когда человечество погрузилось в ин-
формационную эпоху и между человеком и человеком прочно встало 
техническое средство, способное генерировать, усиливать и блокировать 
любые информационные потоки. Более того, даже угрозы в этих услови-
ях выглядят уже по-другому, их значимость смещается от угроз типа «укра-
дут информацию» к угрозам «навяжут информацию». Потому что если 
информацию навяжут, то тем самым навяжут и внешнее скрытое управ-
ление.
Понятно, что состояние защищенности у человека, отдыхающего 
на пляже Сочи, и человека, защищенного броней танка, но который идет 
в атаку, разные. Хотя во втором случае сверху целый слой брони и под-
держка огневой мощи.
Когда нет физических угроз, то и физическая защита не нужна, а вот 
информационная — нужна всегда. Поэтому совершенно правильно авторы 
акцентируют основное внимание на угрозах информационной безопас-
ности. Ибо получение информации и на ее основе изменение знания — 
постоянный процесс. Если под знанием понимать совокупность сведений, 
выраженную в структуре системы и функциональных элементах этой 
структуры, то становится понятным, как определенные структурные мо-
дификации могут приводить систему чуть ли не к полному разрушению. 
И чем значимее информация для принятия решений, тем важнее грамот-
но построенная система обеспечения информационной безопасности, га-
рантирующая устойчивость развивающегося знания от угроз в информа-
ционной сфере.
Целью информационной угрозы является активизация действий, от-
ветственных за нарушение привычного или запланированного режима 
функционирования, т. е. за вывод системы за пределы допустимого ре-
жима функционирования, либо отказ системы от определенных действий 
и / или ресурсов, необходимых для достижения собственных целей. Здесь 
и далее под допустимым режимом функционирования понимается такое 
функционирование информационной системы, которое обеспечено не-
обходимыми материальными ресурсами для достижения поставленной 
цели. В информационную эпоху реализация угрозы в большинстве слу-
чаев осуществляется через искажение адекватности модели миру. Этой 
проблеме посвящено достаточно материалов данной книги, и это пра-
вильно. Система не всегда способна в реальном времени понять, явля-
ется ли конкретное сообщение угрозой. Так, например, по сообщениям 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕСА

американской прессы, предупреждения о террористическом акте 11 сен-
тября 2001 года были у спецслужб за несколько дней до трагедии, но им 
не придали нужного значения. Они не соответствовали той модели ми-
ра, которая именно в тот момент была доминирующей у аналитиков.
В свое время противник, окружив город и устраиваясь на ночлег, раз-
жигал костры. В пределах видимости с крепостных стен у каждого костра 
располагалось по 5–7 воинов. А дальше, за пределами видимости, — по од-
ному человеку у костра. Для «умных», умеющих считать и делать выводы, 
численность армии мгновенно увеличивалась в несколько раз. Получает-
ся, что всегда возможны ситуации, когда «умным» быть опасно, ибо во мно-
гом факт того, что сообщения нарушают адекватность модели мира, за-
висит от самого информационного субъекта, от созданной им модели 
мира, от его образа мира.
Любое живое существо всегда имеет несколько каналов получения 
информации, которые частично подстраховывают друг друга. Точно 
так же любая сложная социальная система: фирма, государство, — также 
имеет несколько независимых каналов сбора информации об окружаю-
щем мире и о самой себе. Определенный параллелизм присутствует 
и при обработке информации аналитическими центрами. И только в том 
случае, если результаты и рекомендации совпадают, система «может счи-
тать», что ее модель мира адекватна миру. Однако в случае серьезного 
целенаправленного информационного «продавливания» тех или иных 
идей, событий, сообщений происходит деформация уровня восприятия, 
и порой на самом деле мало значимый элемент искажает картину мира. 
В результате этого искажения в социуме активизируются соответствую-
щие действия (алгоритмы), необходимые для их обработки. Поэтому во-
просам принятия решений и уделяется все больше внимания при решении 
задач по обеспечению информационной безопасности, тем более в биз-
несе.
При этом авторы, исследуя данную проблему, специально акцентируют 
внимание на следующем важном нюансе: не всегда следование норматив-
ным требованиям (в частности, ИСО серии 9000) повышает эффективность 
бизнеса и защиты этого самого бизнеса. Порой эти требования увеличи-
вают объемы отчетных формализованных материалов, за которыми может 
и ничего не стоять.
Мне же хотелось добавить к сказанному еще и то опасение, что если 
конкурент знает, чем вы пользуетесь (каким инструментом), что делаете 
(какие процессы) и как делаете (в рамках каких регламентов), то для него 
проще организовать скрытое управление вами.