4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 2

Настоящий учебник является по существу первой попыткой системного освещения деятельности по комплексному обеспе­чению охраны конфиденциальности информации и состоит из 12 глав, сгруппированных в трех разделах.

В первом разделе «Организационное обеспечение деятельно­сти по охране конфиденциальности информации» раскрываются сущность, предмет и методы регулирования комплексной системы зашиты информации в организации, угрозы интересам коммер­ческой организации и основные параметры построения системы

10

Введение

ее безопасности, обобщается опыт защиты секретной информа­ции в советский период, исследуется порядок осуществления организацией права на установление режима коммерческой тайны, рассматривается методика определения степени конфи­денциальности коммерчески значимой информации и система мер по установлению режима коммерческой тайны.

Во втором разделе «Правовое обеспечение деятельности по охране конфиденциальности информации» дается характеристика нарушений режима коммерческой тайны и их связи с возможны* ми каналами утечки информации, причин и обстоятельств, им способствующих, и мер по их предупреждению в сфере обраще­ния коммерчески значимой информации.

В третьем разделе «Научно-методическое обеспечение деятель­ности по охране конфиденциальности информации» исследуются система и методы контроля, сущность аналитической работы, организация и методика аналитических исследований в сфере обращения коммерчески значимой информации.

Учебник носит комплексный характер и предназначен для студентов старших курсов, аспирантов и преподавателей юриди­ческих факультетов и вузов, руководителей и специалистов пред­приятий и организаций¹, а также для подготовки специалистов с высшим образованием по техническим и экономическим спе­циальностям, изучающих гражданское, коммерческое и инфор­мационное право, вопросы экономической и информационной безопасности фирм и корпоративных образований.

Раздел I

ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ДЕЯТЕЛЬНОСТИ ПО ОХРАНЕ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ

В литературе¹ содержатся различные подходы к регулированию комплексной системы обеспечения безопасности организаций. Большинство авторов при определении понятия такой системы справедливо включают в нее три взаимосвязанных элемента: «интересы — угрозы — защита», отмечая при этом их основопола­гающую роль в непрерывном процессе обеспечения безопасности любого объекта общества и государства. Безусловно, этот вывод имеет прямое отношение к построению системы обеспечения ИБ организаций, но требует уточнения применительно к механизму безопасности организации. Под интересами в данном случае понимаются частные интересы организаций и индивидуальных предпринимателей, динамично связанные с их экономическими (коммерческими) целями и задачами³.

Угрозы (внутренние и внешние) обычно выражаются в нега­тивных проявлениях, реально или потенциально препятствующих организации по достижению своих частных целей и создающих опасность ее жизненно важным интересам. Под защитой инфор­мации в данном случае имеются в виду меры организационного, правового и научно-методического характера, реализация которых позволяет защищать коммерчески значимую информацию (КЗИ) от непреднамеренного воздействия, несанкционированного доступа, от разглашения и утечки информации⁴, включая деятельность по предотвращению получения информации конкурентной развед­кой с целью обеспечения стабильного и устойчивого экономи­ческого развития организации.

Названные положения определяют общие условия формиро­вания системы безопасности любой организации. Для решения задачи по созданию надежной системы безопасности важно иметь точное представление о понятии, целях и принципах обеспечения

ИБ организаций. Понятия «обеспечить», «обеспечение» в широком смысле слова определяются в русском языке как один из видов деятельности и как средство деятельности. Как вид деятельности «обеспечение» означает совокупность действий, предпринимаемых для того, чтобы сделать нечто «вполне возможный, действитель­ным, реально выполнимым» ¹, а как средство деятельности — «то, чем обеспечивают кого-нибудь или что-нибудь» ². А.А. Стрель­цов³ отмечает, что в первом случае речь идет об одном из видов деятельности, связанном с действиями, предпринимаемыми для того, чтобы сделать нечто «вполне возможным, действительным, реально выполнимым», а во втором — как средство деятельности. По мнению А.А. Стрельцова, структура понятия «обеспечение» включает «деятельность по обеспечению — оказание помощи субъектам в достижении поставленных ими целей», «средства обеспечения — совокупность материальных, духовных, финан­совых, правовых, организационных и технических средств...» и «субъекты обеспечения — индивиды, организации, органы госу­дарства, осуществляющие деятельность по обеспечению» ⁴.

Деятельность по обеспечению охраны конфиденциальности информации в гражданском (торговом) обороте может быть представлена в виде совокупности продолжающихся в течение длительного времени действий, направленных на увеличение доходов организации, исключение неоправданных расходов, сохранение положения на рынке производства и реализации то­варов или получение иной коммерческой выгоды. Постоянный характер этих действий можно объяснить тем, что информация, обращаемая в организациях, овеществляется во всех факторах общественного производства и составляет начальный, «нуле­вой» цикл по отношению к любому производимому товару, выполняемой работе и оказываемой услуге. Субъектами такого рода деятельности выступают лица, относимые доктриной ком­мерческого права к различным видам субъектов коммерческого права⁵. Они реализуют свои коммерческие цели в условиях оборотоспособности товаров, являющихся объектами торгового права, а также гражданского права (выполнение НИОКР и др.). Деятельность по обеспечению охраны коммерческой тайны заключается в оказании помощи хозяйствующим субъектам в решении стоящих перед ними задач.

Обеспечение как средство деятельности, т.е. «то, чем обеспечи­вают кого-нибудь или что-нибудь», представляет собой совокуп­ность материальных, финансовых, правовых, организационных, технических и иных средств, которые повышают эффективность деятельности организации по достижению своих целей. В учеб­нике рассматриваются правовые и организационные средства, используемые для обеспечения охраны конфиденциальности информации в гражданском (торговом) обороте.

При определении целей обеспечения ИБ организации следует учитывать, что коммерческая организация представляет собой сложную информационную систему. Это объясняется тем, что конкуренция обусловливает обновление ассортимента и улуч­шение качества выпускаемых товаров, достижение которых возможно за счет введения в рыночный оборот новой техни­ческой, технологической и деловой информации. В этой связи КЗИ постоянно подвергается различным внутренним и внешним угрозам со стороны конкурентов и других лиц. Меры по обес­печению ИБ организаций направлены на исключение фактов разглашения (утечки) КЗИ и несанкционированного доступа к ней. Реализация мер должна обеспечивать не только собственно безопасность статуса КЗИ, но и способствовать стабильному развитию организации, увеличению ее доходов и получению иной коммерческой выгоды.

Целями обеспечения ИБ организаций является защита их за­конных прав во взаимоотношениях с органами государственной власти и местного самоуправления, партнерами и конкурента­ми, поддержание внутреннего порядка управления, повышения конкурентоспособности производимых товаров, развитие коопе­рированных связей и недопущение зависимости от недобросо­вестных конкурентов и партнеров, ориентация развития техники и технологий на мировые стандарты по профилю деятельности организации, создание благоприятной рыночной конъюнктуры и рост прибылей за счет эффективного использования КЗИ в рекламе. Достижение указанных целей требует решения ряда задач по своевременному выявлению угроз жизненно важным интересам, оперативному использованию правовых средств предупреждения причин и обстоятельств, способствующих правонарушениям и ведущим к открытию возможных каналов утечки (ВКУ) КЗИ, пресечению неправомерных действий лиц и возмещению убытков.

Реализация задач требует от организаций соблюдения принципов законности при осуществлении мер ИБ с учетом разрешенных законом методов выявления, предупреждения и пресечения пра­вонарушений в сфере обращения КЗИ; экономической целесооб­разности мероприятий по обеспечению ИБ, которые не должны снижать экономические показатели деятельности организации и ее прибыль; взаимодействия и координации мер по защите КЗИ с партнерами; профессионализма и ответственности работников, специализирующихся по конкретным направлениям ИБ органи­заций, их ответственности за результаты своей деятельности.

С понятием и целями обеспечения безопасности тесно со­прикасаются — угрозы ИБ организаций. Угрозы национальным интересам России, действующие в информационной сфере, оказывают дестабилизирующее влияние на ИБ организаций. В их числе ведущее место занимают общие угрозы, направленные на дезорганизацию национальной экономики; экономическую блокаду в форме целенаправленной конкуренции путем вытес­нения собственного производства импортом товаров из-за рубе­жа; технологическую блокаду, выражающуюся в существенном сокращении финансирования науки и образовании в этой связи негативных тенденций, ведущих к деградации российской эконо­мики до уровня природно-сырьевого анклава мирового хозяйс­тва; криминализацию общества в условиях утраты государством контроля над финансовой деятельностью организаций и др.

Кроме общих угроз, на уровне хозяйственных связей органи­зации в гражданском (торговом) обороте действуют конкретные угрозы, которые возникают вследствие нарушений работниками режима КЗИ на каналах возможной ее утечки и контрагентами своих обязательств по охране такой информации. В данном случае под коммерческой тайной понимается режим КЗИ (п. 1 ст. 3 Закона о коммерческой тайне), имеющий коммерческую значимость, т.е. КЗИ. В отношении такой информации вводится режим коммерческой тайны. Поэтому названные в тексте тер­мины употребляются как идентичные, если иное не оговорено специально.

Характеристика нарушений режима КЗИ включает совокуп­ность признаков: 1) раскрывающих структуру нарушений и ие­рархии управления по видам производственной и коммерческой деятельности; 2) характеризующих сферы профессиональной деятельности исполнителей, в которых наблюдаются проявле­ния нарушений; 3) отражающих личностные особенности лиц, виновных в совершении нарушений; 4) имеющих значение для понимания причин нарушений режима КЗИ и осуществления субъектами предупредительной деятельности.

Нарушения режима КЗИ чаще всего выражаются в невы­полнении или ненадлежащем выполнении работниками своих служебных обязанностей и партнерами договорных обязательств. Администрация организаций оперирует существенно сужен­ным представлением о формах проявления нарушений режима КЗИ, ведущих к появлению ВКУ информации. Реагирование порой связывается лишь с нарушениями внутриобъектового и пропускного режима, лежащими «на поверхности» и не требу­ющими больших усилий по их выявлению. Вместе с тем другие нарушения, которые ведут к разглашению (утечке) КЗИ, не устанавливаются и меры по ним не принимаются. Речь идет о нарушениях на каналах оперативной связи с использованием мобильных телефонов и Интернет, переписки по служебным вопросам, публикации материалов в открытой печати, приема и увольнения работников, работы с командированными лицами, связанными с функционированием допускной и разрешительной системы в организациях.

Выяснение правовой природы названных нарушений требует учета связи противоречий и причин нарушений режима КЗИ. Общая причина нарушений режима КЗИ обусловлена существованием противоречий в социально-экономическом развитии страны и с несвоевременным или неправильным их разрешением в ры­ночных условиях хозяйствования. На основе анализа факторов, способствующих совершению нарушений режима КЗИ, можно выделить ряд противоречий, ведущих к дестабилизации положения организации в области обеспечения ее ИБ. Речь идет об отсутствии должного реагирования администрации на происходящие измене­ния в законодательстве и коммерческой практике, оказывающие влияние на стабильность хозяйственной ситуации, и принятии адекватных мер защиты КЗИ; о нормативных требованиях, предъявляемых к подбору кадров, имеющих доступ к КЗИ, и практикой назначения на должности лиц, не подготовленных к выполнению функциональных обязанностей по охране кон­фиденциальности информации; о закреплении в корпоратив­ных актах и трудовых договорах функций отдельных категорий работников, профессионально занимающихся защитой КЗИ, и объективными возможностями их надлежащего выполнения в практической деятельности; об установленной нормами зако­нодательства системе реализации ответственности за нарушения в сфере обращения КЗИ и несоблюдении на практике принципа неотвратимости ответственности за совершение нарушений ре­жима КЗИ и др.

Названные противоречия имеют конкретные причины, действу­ющие на уровне организаций, которые в свою очередь обуслов­лены различными обстоятельствами организационно-управленче­ского, материально-экономического и правового характера. Можно говорить о недостатках в организации и управлении процессом обеспечения ИБ, отсутствии должного порядка и договорной дисциплины во взаимоотношениях с партнерами по защите КЗИ; о несовершенстве корпоративного и договорного регулирования отношений по защите КЗИ, о недостатках в практике применения санкций за разглашение КЗИ, проведении контрольной и анали­тической работы по выявлению и процессуальному оформлению фактов нарушений.

Установление особенностей личности правонарушителей ре­жима коммерческой тайны важно для решения комплекса задач в сфере правового обеспечения ИБ организаций. Получение ха­рактеристики на них представляет большую сложность с учетом специфики их профессиональной деятельности в сфере обраще­ния КЗИ, взаимодействия личности и ситуаций, возникающих в связи с изменением оперативной обстановки в организации.

Изучение социально-демографических признаков, нравствен­ных свойств и психологических особенностей лиц, совершивших правонарушения в информационной сфере, где обращается КЗИ, показывает, что они тесно взаимосвязаны и взаимообусловлены, обеспечивают целостную характеристику только в их совокупности и могут рассматриваться в качестве информационной модели лич­ности нарушителя режима коммерческой тайны. При проведении воспитательно-профилактической работы следует учитывать, что социально-демографические особенности не являются таковыми, которые указывали на отличия правонарушителей режима коммер­ческой тайны от законопослушных граждан. У лиц, совершивших такие правонарушения, более деформировано правовое сознание (например, представление о концептуальных положениях право­вого обеспечения ИБ организации, знание правовых норм в этой сфере и др.). И главное, у них более деформировано сознательное отношение в силу отсутствия необходимых материальных стиму­лов к соблюдению требований режима коммерческой тайны, чем у законопослушных граждан.