4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 53

7. Дайте общую характеристику систем контроля в информа­ционной сфере коммерческой организации.

8. Расскажите о направлениях выбора организацией техноло­гий контроля.

Глава 12

Аналитическая работа в сфере обращения КЗИ

§ 1. Сущность и функции аналитической работы

Деятельность любой коммерческой организации требует на­дежного комплексного правового, организационного и информа­ционно-аналитического обеспечения. Принятие управленческих решений базируется на получении качественной, достоверной и своевременной информации о различных сферах деятельности конкурентов с целью получения конкурентных преимуществ. Такая информация может быть получена организацией путем ве­дения конкурентной разведки и противодействия недозволенным законом способам промышленного шпионажа, используемым конкурентами. Конкурентная разведка ведется, как правило, с легальных позиций путем анализа открытых опубликованных источников информации.

Нужно отметить, что понятие «конкурентная разведка» посте­пенно входит в лексику рыночной экономики России. Происхо­дит своего рода «конверсия» государственных разведывательных технологий в сферу деятельности коммерческих организаций. В открытой печати появляется все больше статей, посвященных этой проблеме.

Новые информационные технологии значительно облегчают решение задачи поиска информации. Относительная дешевизна доступа к информационным ресурсам типа Интернет, базам данных, системам поиска информации позволяет работникам организации готовить качественные материалы, пригодные для принятия решений. Стратегические решения по достижению конкурентных преимуществ на рынке принимаются организа­цией с учетом наличия собственной базы данных, часть которой составляет КЗИ, защищаемая от промышленного шпионажа.

Учитывая потенциальную возможность получения конкурента­ми КЗИ с использованием различных способов промышленного шпионажа, организации должны предпринимать адекватные меры по предупреждению утечки (разглашения) таких сведе­ний. Важнейшим направлением решения этой задачи является осуществление аналитической деятельности в сфере обращения КЗИ. Аналитическая деятельность в этой сфере тесно связана с правовой работой¹. Она направлена на поиск и объяснение фактов правонарушений, совершаемых в сфере обращения КЗИ, причем на ранней стадии их обнаружения, в ходе проведения контрольной работы. Результаты АИ в этой сфере позволяют судить о состоянии обеспечения информационной безопасности в подразделениях и в целом организации, о фактах, свидетель­ствующих о возникновении угроз и связанных с ними каналах возможной утечки КЗИ, о причинах и условиях, способствую­щих совершению правонарушений в этой сфере, формулировать научно обоснованные рекомендации о возможных вариантах действий руководства относительно устранения последствий утечки КЗИ и о принятых мерах предупреждения нарушений в сфере обращения КЗИ.

В этой связи представляется важным раскрытие сущности аналитической работы, занимающей центральное место в систе­ме научно-методического обеспечения деятельности по охране конфиденциальности информации. Выполнение аналитической работы в сфере обращения КЗИ требует использования опре­деленных способов и приемов, которые составляют методоло­гический аппарат. В науке принято различать общую и частную методологию. В философской литературе под общей методологией науки понимается учение о методах познания и преобразования действительности. В различных отраслях юридического знания используется частная методология. Цивилистической науке при­сущи свои способы и приемы, которые используются для анализа и познания ее предмета и получения необходимого результата². Судя по большинству публикаций в юридической литературе, следует отметить, что содержание общенаучных и частнонауч-ных методов познания не претерпело существенных изменений при их применении в рыночных условиях хозяйства. Вместе с тем о необходимости изменения направленности в научных исследованиях и получения научных фактов в процессе анализа хозяйственной деятельности справедливо указывают Б. И. Пу­тинский и Д.Н. Сафиуллин. Они, в частности, отмечают: «Без научных фактов не могут быть точно поставлены обобщения, разработаны концепции. Между тем, проблема установления

фактов в правовой сфере до сих пор не привлекала должного вни­мания» ¹. Возрождение в России коммерческого права как науки со всей очевидностью подтверждает тенденции в исследованиях не только комментирования правовых норм и институтов, но и анализа ценного практического опыта правовой деятельности в торговой сфере².

Специальное описание совокупности приемов и способов, применяемых в какой-либо деятельности или исследовании, составляет частную методологию. В данную совокупность входят не только технические приемы исследования, но и принципи­альные теоретические положения, аксиомы мировоззренческого характера, определяющие путь научного исследования, пределы (границы) последнего, его основные взаимосвязи — внешние и внутренние. Аналитическая работа включает в свой арсенал не только метод анализа, но и другие методы, используемые для изучения процессов и явлений, происходящих в сфере обраще­ния КЗИ.

Аналитические исследования в сфере обращения КЗИ опи­раются на основные философские категории, методы и приемы исследования, базирующиеся на теоретических положениях науки гражданского и коммерческого права и ряда отраслей публичного права (криминология, административное и уголовное право и др.), и других наук гуманитарного цикла (социология, социальная психология, экономическая теория и др.)

Методология, используемая при проведении исследований в этой сфере, включает не только категории, выражающие наиболее общие законы развития природы, общества и мышления, но и категории, отражающие специфические стороны, связи процес­са познания и его воплощения в практическую хозяйственную деятельность³. К числу важнейших принципов, лежащих в основе проведения АИ в сфере обращения КЗИ, следует отнести: причаст­ность к действительности как к объективной реальности (при­менительно к возникающим угрозам безопасности организации и связанных с ними существующих ВКУ КЗИ); необходимость отличия существенных элементов от второстепенных, связанных с Изучением хозяйственной ситуации в сфере обращения КЗИ;

признание постоянства и изменяемости элементов, составляю­щих изучаемую систему ВКУ КЗИ и мер по предупреждению нарушений правового режима в этой сфере; учет историчности (фактор времени) изучаемых явлений, оказывающих влияние на процесс отнесения сведений к КЗИ, их использование и правовую охрану; признание значения противоречий в развитии феномена КЗИ в условиях рыночной экономики; конкретность и объек­тивность при выборе объекта исследования и непосредственном проведении АИ.

Названные принципы составляют общеметодологическую базу для эффективного проведения АИ и получения научно обосно­ванных рекомендаций по выявлению ВКУ КЗИ, их закрытию или нейтрализации действия в условиях деятельности организации.

Использование методологии имеет важное практическое значение для получения научно обоснованных результатов ис­следования, а именно: она позволяет четко определить границы исследования в сфере обращения КЗИ и возможность использо­вания его результатов для развития теории и практики защиты такой информации; дает возможность избежать недооценки роли теории в объяснении процессов возникновения причин и обстоятельств, ведущих к образованию ВКУ, использования правовых средств для предупреждения НРК проводимых работ; обеспечивает научную организацию АИ в сфере обращения КЗИ и оценку исследования проблем правового регулирования в этой сфере; предостерегает исследователей от упрощенного подхода к проблеме взаимосвязей ВКУ КЗИ с НРК работ и другими неизученными в правовом отношении явлениями, которые возникают в процессе хозяйственной деятельности; позволяет получить не только новое знание о ВКУ, причинах и обстоятель­ствах, их обусловливающих, и об эффективности принимаемых мер предупреждения, но и понять существо изучаемых явлений применительно к деятельности организации.

Методология имеет определенную связь с методикой исследова­ния, которая создается на основе определенных ею положений. Осуществление аналитической работы возможно на основе ис­пользования определенной методологии и методики, которые представляют собой систему своеобразных научных правил.

Методология определяет общие правила, точнее, философские принципы, использование которых учитывает специфику объекта исследования в сфере обращения КЗИ. В этом смысле методоло­гия является механизмом, реализующим процесс аналитического исследования. Использование методики позволяет определить применительно к конкретному объекту исследования, в каком порядке и в какой последовательности следует применять те или иные методы. При этом определяется набор необходимых методов и устанавливаются правила их применения в АИ. Сама процедура использования этих методов есть техника исследования. С этой точки зрения методика и техника АИ приближаются к практике осуществления такого исследования. В литературе аксиоматич­ным является утверждение о том, что между методологией и методикой АИ, которые выполняют свою функциональную роль, всегда существует тесная связь через методы научного исследо­вания¹. В этом плане можно говорить, что методология является своего рода стратегией, а методика позволяет решать тактические задачи в конкретном исследовании.

На практике мы чаше всего имеем дело с методикой АИ. Под методикой ЛИ в сфере обращения КЗИ следует понимать совокуп­ность конкретных приемов, способов, средств (инструментариев) сбора, обработки и анализа информации о нарушении норм конфиденциальности КЗИ и их связи с ВКУ такой информации, о причинах и обстоятельствах, способствующих утечке охраняе­мой информации, о личности правонарушителя режима конфи­денциальности КЗИ, и мерах предупреждения нарушений в этой сфере. Результатами АИ принято считать сформулированные выводы о состоянии информационной безопасности организа­ции в целом или на отдельных направлениях ее деятельности, рекомендации субъектам, осуществляющим предупредительную деятельность в сфере обращения КЗИ.

Программа проведения аналитических исследований в сфере обращения КЗИ. При подготовке и проведении АИ важным представляется соблюдение определенных организационных ус­ловий. Опыт проведения АИ показывает, что любое из них тре­бует прежде всего четкой его организации и учета имеющихся в организации ресурсов. В этом плане АИ мало чем отличается от маркетинговых исследований . Исследование должно быть плановым. Это означает необходимость разработки программы и отдельных планов по анализу конкретных объектов исследования в целом по организации или ее отдельным подразделениям либо по конкретным направлениям деятельности.

Программа содержит основные мероприятия, раскрываю-шие цель, задачи, объект предмет и сроки исследования, силы, средства и используемые методики. Выполнение программы предусматривает разработку плана проведения АИ, который ут­верждается руководителем организации. План имеет оперативный характер. В нем указываются сроки выполнения мероприятий и ответственные исполнители*

Программой определяются общие задачи ЛИ. Их содержание должно раскрывать масштабность и последовательность действий исследователей. К числу общих задач следует отнести: изучение явлений и процессов, связанных с выявлением угроз безопасности организации, ВКУ КЗИ и разработка мер по их предупреждению; обобщение эмпирических данных и получение новых фактов по предметной области исследования; практические рекомендации субъектам, занимающимся использованием и охраной конфи­денциальности КЗИ.

Наряду с постановкой общих вопросов определяются кон­кретные задачи, способы и процедуры исследования, в частности, по сбору и обработке информации. Например, когда целью АИ является обнаружение ВКУ КЗИ в связи с разработкой нового изделия и продвижением его на рынок, то задачами соответ­ственно могут выступать: получение данных, характеризующих состояние режима конфиденциальности на объектах, где сосредо­точены коммерческие секреты; установление возможных каналов утечки охраняемой информации на участках деятельности таких объектов; определение причин и обстоятельств, способствующих утечке охраняемой информации; выработка рекомендаций по воз­действию на условия, способствующие функционированию ВКУ и мер по предупреждению нарушений. При этом следует иметь в виду, что в процессе проведения исследования, задачи могут уточняться. Это может быть связано с изменением хозяйствен­ной ситуации, недостаточностью финансирования исследований, возможностями использования сил и средств и др.

При выполнении исследований следует выделять и проводить различие между объектом и предметом исследования. Объектом исследования является сфера обращения КЗИ в отдельных под­разделениях или в целом организации, либо ее часть при выпол­нении договорных работ с контрагентами. Предмет исследования составляет та сторона объекта, которая непосредственно подлежит изучению в ходе проведения АИ. Это может быть анализ обра­щения КЗИ при ведении коммерческих переговоров, связанных с заключением договора на поставку товара и др.

Важным является не только получение результатов исследо­вания, но и правильное их оформление с учетом целей дальней­шего использования. В большинстве случаев по результатам АИ составляется отчет. К отчету могут быть приложены цифровые, графические и иные данные, характеризующие состояние режима конфиденциальности КЗИ на конкретных объектах, методики по выявлению ВКУ КЗИ и предложения по предупреждению нарушений в этой сфере. Материалы исследований используются для подготовки управленческих решений, поэтому они должны содержать четкие, а не расплывчатые выводы теоретического характера и практические рекомендации конкретным субъектам о порядке внедрения результатов исследования.

Рекомендации, вытекающие из отчета, должны содержать сведения об источниках информации, В зависимости от целей АИ используются различные источники, подтверждающие существо­вание внешних и внутренних угроз безопасности организации, связанные с незаконным использованием КЗИ, раскрытием технологии производства и реализации товаров. Это могут быть отчетные данные о деятельности подразделений и организации в целом по обеспечению безопасности, ежегодно предоставляемые руководству и акционерам (учредителям). Изучение опыта ряда организаций показывает, что к таким сведениям следует отно­ситься весьма осторожно. Порой они искажены в подразделениях и не всегда отражают реальное состояние дел по обеспечению безопасности.

В аналитической работе важно учитывать данные, характеризу­ющие хозяйственную ситуацию на различных участках деятельнос­ти организации. В частности, это могут быть данные: о контроле за использованием новейших технологий производства; о прак­тике подбора и расстановки кадров на участках, где обращается КЗИ, и результаты их проверки на предмет лояльности фирме; о системе поощрения и взыскания работников; о прогнозах коммерческой деятельности по продвижению товаров на рынок; о партнерах, контрагентах, конкурентах, и их финансовом поло­жении; о кредитной и инвестиционной стратегии организации, о результатах коммерческих переговоров по заключению дого­воров; о юридическом сопровождении коммерческих сделок и системе контроля за их исполнением, о порядке использования и передачи КЗИ; о зайдите КЗИ от несанкционированного до­ступа; и другие данные о деятельности службы безопасности по охране конфиденциальности информации. Такие данные можно

получить на различных уровнях управления фирмой (решение общих собраний, материалы совещаний, приказы и др.)

Данные анализа хозяйственной ситуации позволяют, во-пер­вых, получить характеристику эффективности системы обеспе­чения безопасности на отдельных направлениях возникновения угроз и ВКУ КЗИ, а также оценить уровень достаточности режимных мер. Во-вторых, сформулировать выводы о направле­нии возникновения угроз и их трансформации в потенциально деструктивные, о причинах и обстоятельствах, способствующих нарушениям и об эффективности мер борьбы с ними. В-третьих, предложить вероятностные прогнозы развития возможных изме­нений хозяйственной ситуации вследствие реализации внешних и внутренних угроз и о расчетных вариантах возможного ущерба организации. В-четвертых, разработать предложения о повы­шении эффективности принимаемых мер по предупреждению нарушений в сфере обращения КЗИ.

Функциональные направления деятельности аналитических под­разделений. Реализация программы аналитических исследований предполагает ее организационное обеспечение. Для решения этой задачи в организациях используются различные организационные структуры. В отдельных крупных и средних организациях со­здаются штатные подразделения, выполняющие аналитическую работу. На малых предприятиях эта работа выполняется в ос­новном в рамках нештатных творческих трудовых коллективов, образуемых для решения конкретных задач. Большинство под­разделений, ведущих аналитическую работу в сфере обращения КЗИ, используют опыт аналогичных структур, которые функ­ционировали в СССР в основном на предприятиях оборонной промышленности. Это объясняется существованием определен­ной преемственности в кадровом и методическом обеспечении этой деятельности, имеющей достаточно выраженную специфику в рамках правовой работы.