4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 2
Описание файла
Документ из архива "Северин В.А. Комплексная защита информации на предприятии (20xx).doc", который расположен в категории "". Всё это находится в предмете "правоведение" из 10 семестр (2 семестр магистратуры), которые можно найти в файловом архиве МГУ им. Ломоносова. Не смотря на прямую связь этого архива с МГУ им. Ломоносова, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
Текст 2 страницы из документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
Настоящий учебник является по существу первой попыткой системного освещения деятельности по комплексному обеспечению охраны конфиденциальности информации и состоит из 12 глав, сгруппированных в трех разделах.
В первом разделе «Организационное обеспечение деятельности по охране конфиденциальности информации» раскрываются сущность, предмет и методы регулирования комплексной системы зашиты информации в организации, угрозы интересам коммерческой организации и основные параметры построения системы
10
Введение
ее безопасности, обобщается опыт защиты секретной информации в советский период, исследуется порядок осуществления организацией права на установление режима коммерческой тайны, рассматривается методика определения степени конфиденциальности коммерчески значимой информации и система мер по установлению режима коммерческой тайны.
Во втором разделе «Правовое обеспечение деятельности по охране конфиденциальности информации» дается характеристика нарушений режима коммерческой тайны и их связи с возможны* ми каналами утечки информации, причин и обстоятельств, им способствующих, и мер по их предупреждению в сфере обращения коммерчески значимой информации.
В третьем разделе «Научно-методическое обеспечение деятельности по охране конфиденциальности информации» исследуются система и методы контроля, сущность аналитической работы, организация и методика аналитических исследований в сфере обращения коммерчески значимой информации.
Учебник носит комплексный характер и предназначен для студентов старших курсов, аспирантов и преподавателей юридических факультетов и вузов, руководителей и специалистов предприятий и организаций1, а также для подготовки специалистов с высшим образованием по техническим и экономическим специальностям, изучающих гражданское, коммерческое и информационное право, вопросы экономической и информационной безопасности фирм и корпоративных образований.
Раздел I
ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ДЕЯТЕЛЬНОСТИ ПО ОХРАНЕ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ
В литературе1 содержатся различные подходы к регулированию комплексной системы обеспечения безопасности организаций. Большинство авторов при определении понятия такой системы справедливо включают в нее три взаимосвязанных элемента: «интересы — угрозы — защита», отмечая при этом их основополагающую роль в непрерывном процессе обеспечения безопасности любого объекта общества и государства. Безусловно, этот вывод имеет прямое отношение к построению системы обеспечения ИБ организаций, но требует уточнения применительно к механизму безопасности организации. Под интересами в данном случае понимаются частные интересы организаций и индивидуальных предпринимателей, динамично связанные с их экономическими (коммерческими) целями и задачами3.
Угрозы (внутренние и внешние) обычно выражаются в негативных проявлениях, реально или потенциально препятствующих организации по достижению своих частных целей и создающих опасность ее жизненно важным интересам. Под защитой информации в данном случае имеются в виду меры организационного, правового и научно-методического характера, реализация которых позволяет защищать коммерчески значимую информацию (КЗИ) от непреднамеренного воздействия, несанкционированного доступа, от разглашения и утечки информации4, включая деятельность по предотвращению получения информации конкурентной разведкой с целью обеспечения стабильного и устойчивого экономического развития организации.
Названные положения определяют общие условия формирования системы безопасности любой организации. Для решения задачи по созданию надежной системы безопасности важно иметь точное представление о понятии, целях и принципах обеспечения
ИБ организаций. Понятия «обеспечить», «обеспечение» в широком смысле слова определяются в русском языке как один из видов деятельности и как средство деятельности. Как вид деятельности «обеспечение» означает совокупность действий, предпринимаемых для того, чтобы сделать нечто «вполне возможный, действительным, реально выполнимым» 1, а как средство деятельности — «то, чем обеспечивают кого-нибудь или что-нибудь» 2. А.А. Стрельцов3 отмечает, что в первом случае речь идет об одном из видов деятельности, связанном с действиями, предпринимаемыми для того, чтобы сделать нечто «вполне возможным, действительным, реально выполнимым», а во втором — как средство деятельности. По мнению А.А. Стрельцова, структура понятия «обеспечение» включает «деятельность по обеспечению — оказание помощи субъектам в достижении поставленных ими целей», «средства обеспечения — совокупность материальных, духовных, финансовых, правовых, организационных и технических средств...» и «субъекты обеспечения — индивиды, организации, органы государства, осуществляющие деятельность по обеспечению» 4.
Деятельность по обеспечению охраны конфиденциальности информации в гражданском (торговом) обороте может быть представлена в виде совокупности продолжающихся в течение длительного времени действий, направленных на увеличение доходов организации, исключение неоправданных расходов, сохранение положения на рынке производства и реализации товаров или получение иной коммерческой выгоды. Постоянный характер этих действий можно объяснить тем, что информация, обращаемая в организациях, овеществляется во всех факторах общественного производства и составляет начальный, «нулевой» цикл по отношению к любому производимому товару, выполняемой работе и оказываемой услуге. Субъектами такого рода деятельности выступают лица, относимые доктриной коммерческого права к различным видам субъектов коммерческого права5. Они реализуют свои коммерческие цели в условиях оборотоспособности товаров, являющихся объектами торгового права, а также гражданского права (выполнение НИОКР и др.). Деятельность по обеспечению охраны коммерческой тайны заключается в оказании помощи хозяйствующим субъектам в решении стоящих перед ними задач.
Обеспечение как средство деятельности, т.е. «то, чем обеспечивают кого-нибудь или что-нибудь», представляет собой совокупность материальных, финансовых, правовых, организационных, технических и иных средств, которые повышают эффективность деятельности организации по достижению своих целей. В учебнике рассматриваются правовые и организационные средства, используемые для обеспечения охраны конфиденциальности информации в гражданском (торговом) обороте.
При определении целей обеспечения ИБ организации следует учитывать, что коммерческая организация представляет собой сложную информационную систему. Это объясняется тем, что конкуренция обусловливает обновление ассортимента и улучшение качества выпускаемых товаров, достижение которых возможно за счет введения в рыночный оборот новой технической, технологической и деловой информации. В этой связи КЗИ постоянно подвергается различным внутренним и внешним угрозам со стороны конкурентов и других лиц. Меры по обеспечению ИБ организаций направлены на исключение фактов разглашения (утечки) КЗИ и несанкционированного доступа к ней. Реализация мер должна обеспечивать не только собственно безопасность статуса КЗИ, но и способствовать стабильному развитию организации, увеличению ее доходов и получению иной коммерческой выгоды.
Целями обеспечения ИБ организаций является защита их законных прав во взаимоотношениях с органами государственной власти и местного самоуправления, партнерами и конкурентами, поддержание внутреннего порядка управления, повышения конкурентоспособности производимых товаров, развитие кооперированных связей и недопущение зависимости от недобросовестных конкурентов и партнеров, ориентация развития техники и технологий на мировые стандарты по профилю деятельности организации, создание благоприятной рыночной конъюнктуры и рост прибылей за счет эффективного использования КЗИ в рекламе. Достижение указанных целей требует решения ряда задач по своевременному выявлению угроз жизненно важным интересам, оперативному использованию правовых средств предупреждения причин и обстоятельств, способствующих правонарушениям и ведущим к открытию возможных каналов утечки (ВКУ) КЗИ, пресечению неправомерных действий лиц и возмещению убытков.
Реализация задач требует от организаций соблюдения принципов законности при осуществлении мер ИБ с учетом разрешенных законом методов выявления, предупреждения и пресечения правонарушений в сфере обращения КЗИ; экономической целесообразности мероприятий по обеспечению ИБ, которые не должны снижать экономические показатели деятельности организации и ее прибыль; взаимодействия и координации мер по защите КЗИ с партнерами; профессионализма и ответственности работников, специализирующихся по конкретным направлениям ИБ организаций, их ответственности за результаты своей деятельности.
С понятием и целями обеспечения безопасности тесно соприкасаются — угрозы ИБ организаций. Угрозы национальным интересам России, действующие в информационной сфере, оказывают дестабилизирующее влияние на ИБ организаций. В их числе ведущее место занимают общие угрозы, направленные на дезорганизацию национальной экономики; экономическую блокаду в форме целенаправленной конкуренции путем вытеснения собственного производства импортом товаров из-за рубежа; технологическую блокаду, выражающуюся в существенном сокращении финансирования науки и образовании в этой связи негативных тенденций, ведущих к деградации российской экономики до уровня природно-сырьевого анклава мирового хозяйства; криминализацию общества в условиях утраты государством контроля над финансовой деятельностью организаций и др.
Кроме общих угроз, на уровне хозяйственных связей организации в гражданском (торговом) обороте действуют конкретные угрозы, которые возникают вследствие нарушений работниками режима КЗИ на каналах возможной ее утечки и контрагентами своих обязательств по охране такой информации. В данном случае под коммерческой тайной понимается режим КЗИ (п. 1 ст. 3 Закона о коммерческой тайне), имеющий коммерческую значимость, т.е. КЗИ. В отношении такой информации вводится режим коммерческой тайны. Поэтому названные в тексте термины употребляются как идентичные, если иное не оговорено специально.
Характеристика нарушений режима КЗИ включает совокупность признаков: 1) раскрывающих структуру нарушений и иерархии управления по видам производственной и коммерческой деятельности; 2) характеризующих сферы профессиональной деятельности исполнителей, в которых наблюдаются проявления нарушений; 3) отражающих личностные особенности лиц, виновных в совершении нарушений; 4) имеющих значение для понимания причин нарушений режима КЗИ и осуществления субъектами предупредительной деятельности.
Нарушения режима КЗИ чаще всего выражаются в невыполнении или ненадлежащем выполнении работниками своих служебных обязанностей и партнерами договорных обязательств. Администрация организаций оперирует существенно суженным представлением о формах проявления нарушений режима КЗИ, ведущих к появлению ВКУ информации. Реагирование порой связывается лишь с нарушениями внутриобъектового и пропускного режима, лежащими «на поверхности» и не требующими больших усилий по их выявлению. Вместе с тем другие нарушения, которые ведут к разглашению (утечке) КЗИ, не устанавливаются и меры по ним не принимаются. Речь идет о нарушениях на каналах оперативной связи с использованием мобильных телефонов и Интернет, переписки по служебным вопросам, публикации материалов в открытой печати, приема и увольнения работников, работы с командированными лицами, связанными с функционированием допускной и разрешительной системы в организациях.
Выяснение правовой природы названных нарушений требует учета связи противоречий и причин нарушений режима КЗИ. Общая причина нарушений режима КЗИ обусловлена существованием противоречий в социально-экономическом развитии страны и с несвоевременным или неправильным их разрешением в рыночных условиях хозяйствования. На основе анализа факторов, способствующих совершению нарушений режима КЗИ, можно выделить ряд противоречий, ведущих к дестабилизации положения организации в области обеспечения ее ИБ. Речь идет об отсутствии должного реагирования администрации на происходящие изменения в законодательстве и коммерческой практике, оказывающие влияние на стабильность хозяйственной ситуации, и принятии адекватных мер защиты КЗИ; о нормативных требованиях, предъявляемых к подбору кадров, имеющих доступ к КЗИ, и практикой назначения на должности лиц, не подготовленных к выполнению функциональных обязанностей по охране конфиденциальности информации; о закреплении в корпоративных актах и трудовых договорах функций отдельных категорий работников, профессионально занимающихся защитой КЗИ, и объективными возможностями их надлежащего выполнения в практической деятельности; об установленной нормами законодательства системе реализации ответственности за нарушения в сфере обращения КЗИ и несоблюдении на практике принципа неотвратимости ответственности за совершение нарушений режима КЗИ и др.
Названные противоречия имеют конкретные причины, действующие на уровне организаций, которые в свою очередь обусловлены различными обстоятельствами организационно-управленческого, материально-экономического и правового характера. Можно говорить о недостатках в организации и управлении процессом обеспечения ИБ, отсутствии должного порядка и договорной дисциплины во взаимоотношениях с партнерами по защите КЗИ; о несовершенстве корпоративного и договорного регулирования отношений по защите КЗИ, о недостатках в практике применения санкций за разглашение КЗИ, проведении контрольной и аналитической работы по выявлению и процессуальному оформлению фактов нарушений.
Установление особенностей личности правонарушителей режима коммерческой тайны важно для решения комплекса задач в сфере правового обеспечения ИБ организаций. Получение характеристики на них представляет большую сложность с учетом специфики их профессиональной деятельности в сфере обращения КЗИ, взаимодействия личности и ситуаций, возникающих в связи с изменением оперативной обстановки в организации.
Изучение социально-демографических признаков, нравственных свойств и психологических особенностей лиц, совершивших правонарушения в информационной сфере, где обращается КЗИ, показывает, что они тесно взаимосвязаны и взаимообусловлены, обеспечивают целостную характеристику только в их совокупности и могут рассматриваться в качестве информационной модели личности нарушителя режима коммерческой тайны. При проведении воспитательно-профилактической работы следует учитывать, что социально-демографические особенности не являются таковыми, которые указывали на отличия правонарушителей режима коммерческой тайны от законопослушных граждан. У лиц, совершивших такие правонарушения, более деформировано правовое сознание (например, представление о концептуальных положениях правового обеспечения ИБ организации, знание правовых норм в этой сфере и др.). И главное, у них более деформировано сознательное отношение в силу отсутствия необходимых материальных стимулов к соблюдению требований режима коммерческой тайны, чем у законопослушных граждан.