4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 3

Обеспечение безопасности организаций связано с разработкой и осуществлением организационных, правовых, технических, виновных в совершении нарушений; 4) имеющих значение для понимания причин нарушений режима КЗИ и осуществления субъектами предупредительной деятельности.

Нарушения режима КЗИ чаще всего выражаются в невы­полнении или ненадлежащем выполнении работниками своих служебных обязанностей и партнерами договорных обязательств. Администрация организаций оперирует существенно сужен­ным представлением о формах проявления нарушений режима КЗИ, ведущих к появлению ВКУ информации. Реагирование порой связывается лишь с нарушениями внутриобъектового и пропускного режима, лежащими «на поверхности» и не требу­ющими больших усилий по их выявлению. Вместе с тем другие нарушения, которые ведут к разглашению (утечке) КЗИ, не устанавливаются и меры по ним не принимаются. Речь идет о нарушениях на каналах оперативной связи с использованием мобильных телефонов и Интернет, переписки по служебным вопросам, публикации материалов в открытой печати, приема и увольнения работников, работы с командированными лицами, связанными с функционированием допускной и разрешительной системы в организациях.

Выяснение правовой природы названных нарушений требует учета связи противоречий и причин нарушений режима КЗИ. Общая причина нарушении режима КЗИ обусловлена существованием противоречий в социально-экономическом развитии страны и с несвоевременным или неправильным их разрешением в ры­ночных условиях хозяйствования. На основе анализа факторов, способствующих совершению нарушений режима КЗИ, можно выделить ряд противоречий, ведущих к дестабилизации положения организации в области обеспечения ее ИБ. Речь идет об отсутствии должного реагирования администрации на происходящие измене­ния в законодательстве и коммерческой практике, оказывающие влияние на стабильность хозяйственной ситуации, и принятии адекватных мер защиты КЗИ; о нормативных требованиях, предъявляемых к подбору кадров, имеющих доступ к КЗИ, и практикой назначения на должности лиц, не подготовленных к выполнению функциональных обязанностей по охране кон­фиденциальности информации; о закреплении в корпоратив­ных актах и трудовых договорах функций отдельных категорий работников, профессионально занимающихся защитой КЗИ, и объективными возможностями их надлежащего выполнения в практической деятельности; об установленной нормами зако­нодательства системе реализации ответственности за нарушения в сфере обращения КЗИ и несоблюдении на практике принципа неотвратимости ответственности за совершение нарушений ре­жима КЗИ и др.

Названные противоречия имеют конкретные причины, действу­ющие на уровне организаций, которые в свою очередь обуслов­лены различными обстоятельствами организационно-управленче­ского, материально-экономического и правового характера. Можно говорить о недостатках в организации и управлении процессом обеспечения ИБ, отсутствии должного порядка и договорной дисциплины во взаимоотношениях с партнерами по защите КЗИ; о несовершенстве корпоративного и договорного регулирования отношений по защите КЗИ, о недостатках в практике применения санкций за разглашение КЗИ, проведении контрольной и анали­тической работы по выявлению и процессуальному оформлению фактов нарушений.

Установление особенностей личности правонарушителей ре­жима коммерческой тайны важно для решения комплекса задач в сфере правового обеспечения ИБ организаций. Получение ха­рактеристики на них представляет большую сложность с учетом специфики их профессиональной деятельности в сфере обраще­ния КЗИ, взаимодействия личности и ситуаций, возникающих в связи с изменением оперативной обстановки в организации.

Изучение социально-демографических признаков, нравствен­ных свойств и психологических особенностей лиц, совершивших правонарушения в информационной сфере, где обращается КЗИ, показывает, что они тесно взаимосвязаны и взаимообусловлены, обеспечивают целостную характеристику только в их совокупности и могут рассматриваться в качестве информационной модели лич­ности нарушителя режима коммерческой тайны. При проведении воспитательно-профилактической работы следует учитывать, что социально-демографические особенности не являются таковыми, которые указывали на отличия правонарушителей режима коммер­ческой тайны от законопослушных граждан. У лиц, совершивших такие правонарушения, более деформировано правовое сознание (например, представление о концептуальных положениях право­вого обеспечения ИБ организации, знание правовых норм в этой сфере и др.). И главное, у них более деформировано сознательное отношение в силу отсутствия необходимых материальных стиму­лов к соблюдению требований режима коммерческой тайны, чем у законопослушных граждан.

Обеспечение безопасности организаций связано с разработкой и осуществлением организационных, правовых, технических, воспитательных и иных мер, направленных на поддержание установленного порядка выполнения конфиденциальных работ и обращения с документами и изделиями, содержащими КЗИ, в целях предотвращения ее разглашения (утечки).

Сложившаяся в организациях система мер, устанавливающая и обеспечивающая режим конфиденциальности КЗИ, получила в теории и на практике название как система «режимных мер». Она включает в себя две основные группы.

Во-первых, это меры, устанавливающие режим коммерческой тайны до начала производства и реализации товаров, выполнения работ и оказания услуг.

Во-вторых, это меры, обеспечивающие безопасность организа­ции в процессе обращения КЗИ при производстве и реализации товаров (работ, услуг):

В основу данной классификации положен принцип учета разделения деятельности в области охраны конфиденциальности информации, определяющий необходимость первоначального установления режима коммерческой тайны в организации, где обращается КЗИ, а затем режимного обеспечения проводимых конфиденциальных работ с использованием различных пра­вовых и иных средств (ст. 10 Закона о коммерческой тайне). Организация должна заранее предпринять усилия по созданию необходимых материальных и иных условий сохранения в тайне важной для нее информации и тем самым обеспечить закрытие ВКУ КЗИ или нейтрализацию их действия.

В связи с этим первая группа режимных мер, по сути, образует режим конфиденциальности. КЗИ, определяемый в Законе о ком­мерческой тайне как коммерческая тайна со всеми составляющи­ми его элементами, о которых в общих чертах говорится в ст. 10 данного Закона. Эффективность режимных мер этой группы определяется условиями, широко используемыми на практике и закрепленными в Законе. Меры признаются разумно доста­точными в том случае, если исключается доступ к информации любых лиц без согласия обладателя и обеспечивается возможность ее использования работниками и контрагентами без нарушения режима конфиденциальности КЗИ»'Установленный режим, с од<* ной стороны, должен гарантировать сохранность коммерческих секретов, а с другой — может ограничивать права работников и взаимоотношения с партнерами по поводу передачи им КЗИ. При выборе режимных мер следует учитывать возможные отри­цательные последствия их применения с учетом задач, стоящих перед организацией, и соблюдения принципа законности,

\ По содержанию первая группа режимных мер включает меро­приятия подготовительного характера, направленные на реальное обеспечение защиты КЗИ путем установления соответствующего режима допуска и доступа лиц к такой информации и требующие соответствующего ресурсного обеспечения. К их числу относятся такие мероприятия, как изучение оперативной обстановки орга­низации в целях выявления угроз ее безопасности, определение перечня сведений, составляющих КЗИ, закрепление в корпора­тивных актах требований к лицам, допускаемым к коммерческим секретам, а также порядка установления, изменения и снятия грифа «Коммерческая тайна», определение порядка учета, хра­нения и обращения конфиденциальных документов и изделий, содержащих такие сведения, разработку мер организационно-технического характера по противодействию разведывательной деятельности конкурирующих фирм (легендирование, маскировка и зашифровка объекта и работ), осуществление мероприятий, связанных с защитой КЗИ в рамках трудовых и гражданско-правовых отношений, и др.

Вторая группа режимных мер включает мероприятия по выявлению угроз и возможных каналов утечки КЗИ, установ­лению причин и обстоятельств, способствующих совершению правонарушений в сфере обращения такого рода информации, осуществлению контроля за выполнением требований режима конфиденциальности КЗИ. Содержанием мер данной группы являются мероприятия обеспечительного характера, которые включают: 1) формирование методической базы по выявлению правонарушений в сфере обращения КЗИ путем проведения сис­тематического и всестороннего контроля за фактическим состоя­нием режима конфиденциальности КЗИ на всех стадиях научной, производственной и коммерческой деятельности, воспитатель­но-профилактической работы в трудовых коллективах с учетом состояния трудовой и договорной дисциплины, моделирования ВКУ КЗИ на основе результатов аналитических и маркетинговых исследований; 2) принятие мер по предупреждению нарушений режима конфиденциальности КЗИ в процессе производства то­варов (работ, услуг); 3) пресечение незаконных действий лиц в сфере обращения КЗИ путем передачи материалов о выявленных нарушениях в следственные и административные органы, а также направления исков в суд о возмещении убытков и др.

Планирование и реализация конкретней мероприятий, вытека­ющих из названных мер, зависит от многих факторов, находящихся в причинной связи с задачами, решаемыми организацией. Вместе с тем можно выделить наиболее типичные направления деятель* мости по установлению режима коммерческой тайны и обеспе­чению ИБ, которые характерны для большинства коммерческих организаций, где обращается КЗИ.

Во-первых, это установление порядка допуска и доступа лиц к КЗИ и его режимное сопровождение; оформление трудовых соглашений с работниками по поводу охраны коммерческой тайны. Нужно иметь в виду, что порядок допуска лиц к коммер­ческой тайне законодательно не закреплен. Организации про­являют собственную инициативу по проверке лиц, допускаемых к секретам, что нередко сопровождается грубыми нарушениями конституционных прав и свобод граждан. Что касается порядка доступа лиц к КЗИ, получившего на практике название «разре­шительной системы», то он конкретизируется корпоративными актами применительно к условиям деятельности той или иной организации.

Во-вторых, это создание участка (подразделения) для ведения конфиденциального делопроизводства и его материально-тех­ническое обеспечение (оборудование режимных помещений» оснащение ЭВМ, оргтехникой и т.д.).

В-третьих, это обеспечение защиты КЗИ в автоматизиро­ванных системах управления производственными и коммерче­скими процессами. Особенности технологии вычислительных и автоматизированных систем не позволяют в полной мере осуще­ствить перекрытие ВКУ КЗИ. Обеспечение режима на данном направлении работы осуществляется с помощью технических, программных, организационных и иных мер, которые позволяют повысить уровень защиты КЗИ от возможной ее утечки.

В-четвертых, это регулирование внутриобъектового и пропуск­ного режима в организациях, поддержание надежной охраны ре­жимных объектов и изделий в процессе их изготовления и транс­портировки. Особенность этого направления состоит в том, что режим конфиденциальности обеспечивается во взаимодействии с органами М ВД, транспортными и другими организациями.

В-пятых, это установление гражданско-правовых договорных отношений с отечественными и зарубежными контрагентами по поводу передачи и защиты КЗИ.

Перечисленные направления деятельности составляют предмет правового регулирования комплексной системы защиты информа­ции в организации.

§ 2. Методы комплексной системы защиты информации

в организации

Правовое регулирование отношений, возникающих в органи­зациях по поводу создания и функционирования комплексной системы защиты информации, осуществляется различными методами¹, применяемыми в частном и публичном праве, учи­тывая их познавательный потенциал. Методы, используемые при установлении и обеспечении режима коммерческой тайны, носят комплексный характер. Их применение связано с элементами корпоративного регулирования определения степени конфи­денциальности КЗИ, предупреждения причин и обстоятельств, способствующих совершению правонарушений в этой сфере, и решением других задач. При этом не исключается в случае нару­шения права организации на коммерческую тайну обращение в правоохранительные органы и суд. Это обстоятельство определяет методологию изучения явлений и процессов в сфере обращения КЗИ и ее комплексной защиты, включающей различные по своему назначению и характеру методы.

Изучение явлений и процессов в рассматриваемой сфере за­висит от правильного выбора и комплексного использования научных методов. Термин «метод» _г обозначающий «способ теоретического исследования или практического осуществления чего-нибудь» , достаточно широко используется в юридической науке. В фи­лософском смысле слово «метод» — это комплекс интеллекту­альных действий, с помощью которых наука предполагает уста­новить истины, к которым она стремится. Известный философ А. Г. Спиркин считает, что «метод — это система регулятивных принципов преобразующей, практической или познавательной, теоретической деятельности» . С помощью методов наука доказы­вает либо опровергает эти истины* Иначе формулируют понятие «метод» Б.И. Путинский и Д.Н. Сафиуллин, по мнению которых, «научные методы представляют собой идеи особого рода. Они являются инструментарием, созданным для работы с конкретным, строго определенным эмпирическим материалом» . Далее авторы совершенно правильно указывают, «что выбор методов позна­ния помимо технических возможностей определяется наиболее

¹ См.: Керимов Д. А. Общенаучная методология и методология права // Тео­ретико-методологические проблемы права. М., 2007. С. 12.

² Ожегов СИ. Словарь русского языка. М., 1988. С. 282.