4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 52
Описание файла
Документ из архива "Северин В.А. Комплексная защита информации на предприятии (20xx).doc", который расположен в категории "". Всё это находится в предмете "правоведение" из 10 семестр (2 семестр магистратуры), которые можно найти в файловом архиве МГУ им. Ломоносова. Не смотря на прямую связь этого архива с МГУ им. Ломоносова, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
Текст 52 страницы из документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
Нужно отметить, что для каждой системы контроля, действующей в сфере охраны КЗИ, может быть разработана своя технология контроля. Технологическая цепочка изучения состояния обеспечения безопасности организации состоит из ряда узловых звеньев, что имеет важное практическое значение. Информация об этом может быть получена, во-первых, путем изучения договорной, финансово-экономической, управленческой и иной документации, относящейся к контролируемому объекту; во-вторых, обобщения и изучения практики обеспечения охраны КЗИ; в-третьих, установления неформальных контактов с руководителями и исполнителями конфиденциальных работ и регулярного общения с ними.
Проведение проверок состояния обеспечения безопасности организации требует использования различных методов практического осуществления контрольной деятельности. Среди них по своему значению следует выделить метод стратегического и тактического контроля. Суть стратегического контроля заключается в том, что для получения нужной информации о состоянии охраны коммерческих секретов, не нужен сплошной контроль всех без исключения материалов. Как правильно замечает А.М. Омаров, «стратегический контроль оправдан тем более, что по сравнению с контролем всех видов деятельности он требует меньших затрат и оставляет больше места для неформального контроля»'. Достаточно охватить контролем узловые вопросы, изучение которых позволит понять, где сосредоточиваются наиболее важные сведения, каким образом осуществляется обращение КЗИ и какие меры предприняты для ее защиты. При изучении этих вопросов работники СБ знакомятся с документами и материалами, содержащими информацию о состоянии обеспечения безопасности.
К числу таких документов, которые чаще всего являются предметом изучения, следует отнести: 1) материалы предыдущих проверок о состоянии режима КЗИ (заключения о надежности охраны коммерческих секретов с использованием правовых, организационных и технических средств; акты (справки), в которых имеются сведения о состоянии учета документов и изделий, содержащих КЗИ, нарушений режима конфиденциальности при выполнении работ и оказании услуг; и др.); 2) реагирование администрации по устранению имеющихся недостатков и нарушений в сфере обеспечения безопасности (годовые отчеты о работе службы безопасности, доклады на Общих собраниях акционеров (учредителей), промежуточные отчеты руководителей подразделений о состоянии режима охраны КЗИ на совещаниях у руководства организации; протоколы общих собраний акционерного общества, где обсуждались вопросы, относящиеся к охране коммерческих секретов; перспективные и текущие планы работы СБ, относящиеся к обеспечению безопасности организации; приказы и распоряжения, изданные за определенный период, содержащие информацию о состоянии режима охраны КЗИ в конкретных подразделениях; корпоративные акты (положения, инструкции и др.), методики, относящиеся к исследуемому направлению или объекту обеспечения безопасности.
Важные сведения могут быть получены путем изучения материалов, относящихся к аналитической работе, которая ведется СБ в сфере обращения КЗИ. Изучение материалов позволит сделать определенные выводы: о количестве проведенных аналитических исследований и их результатах, об уровне постановки этой работы, использовании результатов исследования для усовершенствования действующей системы охраны КЗИ; о выявленных возможных каналах утечки конфиденциальной информации на конкретных направлениях деятельности организации; причинах и обстоятельствах появления новых каналов утечки информации; своевременности принятия мер по закрытию или нейтрализации возможных каналов утечки конфиденциальной информации; дополнительных мерах по совершенствованию аналитической работы.
Нужно отметить, что изучение документальных материалов, относящихся к аналитической работе, осуществляется в первоочередном порядке. Результаты такой работы способствуют более полному и осмысленному изучению других направлений деятельности по обеспечению безопасности организации и определяют ход дальнейшей проверки.
На практике широко используется метод тактического контроля, который ориентирован на проверку отдельных направлений и объектов контроля. Рассмотрим отдельные направления использования этого метода при изучении материалов проверки. Изучение порядка учета документов и изделий, содержащих КЗИ, имеет важное значение для оценки эффективности управления защитой коммерческих секретов в этой предметной деятельности СБ. В ходе проверки учета документов и изделий может быть сформулирован вывод об эффективности действующей системы учета и сохранности документов и изделий, и правомерности решений, которые принимаются в этой сфере.
Важное место в получении информации о фактическом состоянии дел в сфере охраны КЗИ занимают отчеты и доклады предыдущих лет о состоянии этой работы. Документы такого рода содержат обобщенную оценку результатов работы по обеспечению охраны коммерческих секретов. При их изучении следует учитывать, что в них содержатся в большей степени субъективные оценки руководителей различных уровней. Изучение отчетов позволяет, во-первых, структурно выделить главные направления, на которых было сосредоточено внимание подразделений по охране коммерческих секретов, а также установить, какие меры предпринимались по предупреждению правонарушений в этой сфере. Во-вторых, изучение отчетов раскрывает своего рода «панорамы» предстоящей проверки, способствует более четкому определению направлений проверки и основных мер по совершенствованию работы в области обеспечения безопасности.
Определенные сведения можно получить при изучении протоколов, приказов и распоряжений. В этих документах обычно фиксируются какие-либо факты и события, ход и результаты проведенной работы. При изучении этих документов можно получить сведения о фактах и событиях, имевших место в предшествующий период в сфере обращения КЗИ (сведения об утрате документов и изделий, о разглашении КЗИ, о результатах служебного расследования и наложении взысканий на работников и т.д.); тенденции в работе по обеспечению охраны коммерческих секретов за определенный период.
Изучение материалов о планировании мероприятий по охране КЗИ позволяет: получить представление об уровне профессиональной подготовки работников службы безопасности, занятых разработкой планов в сфере охраны КЗИ; оценить содержательную часть планирования с учетом хозяйственной ситуации; ознакомиться с формами, методами, способами и приемами, которые используются для реализации функции «безопасность организации»; оценить эффективность используемых правовых средств при решении вопросов в сфере обеспечения безопасности.
Следующим направлением применения данного метода является практическая деятельность, связанная с уничтожением конфиденциальных документов в подразделении. В данном случае изучается методика отбора, учета и уничтожения конфиденциальных документов; ход процесса, связанного с правомерностью принятия и исполнения решения об уничтожении документа. При этом обращается внимание на наличие актов, подтверждающих уничтожение документов.
В практической деятельности используются возможности комплексного применения стратегического и тактического методов для проверки надежности сохранения конфиденциальной информации, имеющей для организации особую коммерческую значимость. Анализ порядка доступа к документам, имеющим высший разряд конф иденциальности и работы с ними, требует проверки процесса обращения таких документов в производственной и управленческой деятельности. Проведение проверки предусматривает выяснение круга лиц, допущенных к таким документам. Речь идет о правовых основаниях доступа лиц в соответствии с разрешительной системой (наличие утвержденного руководителем организации списка лиц, допускаемых к таким документам, полномочия руководителей в иерархической структуре по передаче таких документов на исполнение, необходимость доступа работников к таким сведениям в связи с выполнением трудовых обязанностей и др.). В процессе проверки анализируется действующий порядок доступа лиц к конкретным документам на основании резолюции руководителей, имеющих соответствующие полномочия, а также проверяется фактическое ознакомление работников с такими документами. Обращается внимание на условия производственной обстановки, в которой работают исполнители с такого рода документами.
Широкое распространение на практике получил сравнительный метод. Сущность этого метода состоит в сопоставлении определенных показателей, характеризующих состояние обеспечения безопасности организации, и соответствии его требованиям законодательства и корпоративных актов. Метод сравнения позволяет выявить количественные и качественные показатели состояния режима КЗИ и определить тенденции в использовании форм и методов обеспечения безопасности организации: С помощью этого метода можно установить тенденции расширения или ограничения круга лиц, допускаемых к документам и работам, содержащим КЗИ. Объяснение причин уменьшения или увеличения числа лиц, допущенных и фактически ознакомившихся с КЗИ, следует увязывать с тенденцией спада или роста производства и продаж товаров, при изготовлении и реализации которых используется КЗИ. Если причины не установлены, то не исключены нарушения в доступе лиц к работам и документам, содержащим КЗИ.
Применение сравнительного метода позволяет установить тенденцию роста или снижения нарушений режима КЗИ в подконтрольном подразделении. Для этого проводится сравнительный анализ количества выявленных нарушений режима КЗИ за определенный период. Отдельно по годам может быть учтен размер причиненного ущерба. Тенденции уменьшения или увеличения количества нарушений следует увязывать с числом проведенных проверок и иных режимных мероприятий.
Проверка различных аспектов практической деятельности по охране коммерческих секретов требует использования и других методов, таких как наблюдение, устный опрос и анкетирование. Наблюдение, как представляется, должно проводиться не беспорядочно, а по определенному плану. Должны быть заранее сформулированы вопросы, ответы на которые будут получены в ходе наблюдения. Данные наблюдения фиксируются и служат доказательством совершения правонарушения, а также используются в предупредительной работе. Устный опрос позволяет выяснить мнение работников производственных подразделений и службы безопасности о действующей системе обеспечения безопасности и функционировании ее отдельных элементов. Метод анкетирования позволяет сократить время на проведение устных опросов. Для проведения письменного опроса разрабатываются специальные анкеты, которые заполняются работниками подразделений. Названные методы в основном используются
при комплексных проверках обеспечения режима безопасности
организации.
При оценке фактического состояния дел в области обеспечения безопасности организации следует учитывать психологические аспекты , влияющие на объективность выводов. На характер оценки состояния дел могут оказывать воздействие предварительные прогнозы и ожидания конкретных событии, которые были сделаны субъектом контроля до начала проверки. Особенно их воздействие усиливается, когда руководитель СБ, например, заранее убежден в том, что в подконтрольном подразделении имеют место нарушения, слабо поставлены учет и отчетность. Представляется, что оценка будет правильной и объективной в том случае, если субъект контроля не будет прогнозировать итоги проверки до ее окончания, оценивать состояние дел без учета мнения заинтересованных сторон, не будет формулировать выводы о состоянии обеспечения безопасности объекта без учета документально подтвержденной тенденции. Порой субъект контроля, оценивающий состояние дел в организации, находится под воздействием последнего события, произошедшего в конце проверки. Для исключения отрицательного воздействия «эффекта последнего события» на оценку состояния дел следует возвратиться к ранее сделанным выводам по подконтрольному объекту и расположить их в обратной последовательности. Другими словами, последнее событие сделать первым выводом и проследить логику и взаимосвязь с ним всех других выводов.
Обобщение материалов практики ряда организаций по установлению фактического состояния защиты охраняемой информации позволяет сделать вывод о комплексном применении различных методов и использовании определенных критериев для такой оценки. Важнейшими критериями оценки, характеризующими состояние дел в сфере обращения КЗИ, являются: количество и характер обнаруженных возможных каналов утечки КЗИ и меры, принятые по их нейтрализации и предупреждению; число и характер допущенных нарушений режима в подразделениях и в целом по организации, и реагирование на них руководства; соответствие организационной структуры и содержания мер, направленных на установление режима коммерческой тайны и его обеспечение, фактически сложившейся
в организации, хозяйственной ситуации; уровень управления системой обеспечения безопасности и его соответствие целям и задачам организации.
Контрольные вопросы
1. Объясните, в чем заключается специфика контроля в области защиты информации?
2. Определите сферы контрольной деятельности, объект и субъект контроля в сфере обращения КЗИ.
3. Сформулируйте цели, задачи и функции контроля в сфере обращения КЗИ.
4. Какие виды, формы и методы контроля используются для получения объективной информации о состоянии режима обеспечения безопасности организации?
5. Расскажите о процессе и основных стадиях контроля в сфере обращения КЗИ.
6. Раскройте сущность проектирования системы контроля в сфере обращения КЗИ.
