4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 53
Описание файла
Документ из архива "Северин В.А. Комплексная защита информации на предприятии (20xx).doc", который расположен в категории "". Всё это находится в предмете "правоведение" из 10 семестр (2 семестр магистратуры), которые можно найти в файловом архиве МГУ им. Ломоносова. Не смотря на прямую связь этого архива с МГУ им. Ломоносова, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
Текст 53 страницы из документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
7. Дайте общую характеристику систем контроля в информационной сфере коммерческой организации.
8. Расскажите о направлениях выбора организацией технологий контроля.
Глава 12
Аналитическая работа в сфере обращения КЗИ
§ 1. Сущность и функции аналитической работы
Деятельность любой коммерческой организации требует надежного комплексного правового, организационного и информационно-аналитического обеспечения. Принятие управленческих решений базируется на получении качественной, достоверной и своевременной информации о различных сферах деятельности конкурентов с целью получения конкурентных преимуществ. Такая информация может быть получена организацией путем ведения конкурентной разведки и противодействия недозволенным законом способам промышленного шпионажа, используемым конкурентами. Конкурентная разведка ведется, как правило, с легальных позиций путем анализа открытых опубликованных источников информации.
Нужно отметить, что понятие «конкурентная разведка» постепенно входит в лексику рыночной экономики России. Происходит своего рода «конверсия» государственных разведывательных технологий в сферу деятельности коммерческих организаций. В открытой печати появляется все больше статей, посвященных этой проблеме.
Новые информационные технологии значительно облегчают решение задачи поиска информации. Относительная дешевизна доступа к информационным ресурсам типа Интернет, базам данных, системам поиска информации позволяет работникам организации готовить качественные материалы, пригодные для принятия решений. Стратегические решения по достижению конкурентных преимуществ на рынке принимаются организацией с учетом наличия собственной базы данных, часть которой составляет КЗИ, защищаемая от промышленного шпионажа.
Учитывая потенциальную возможность получения конкурентами КЗИ с использованием различных способов промышленного шпионажа, организации должны предпринимать адекватные меры по предупреждению утечки (разглашения) таких сведений. Важнейшим направлением решения этой задачи является осуществление аналитической деятельности в сфере обращения КЗИ. Аналитическая деятельность в этой сфере тесно связана с правовой работой1. Она направлена на поиск и объяснение фактов правонарушений, совершаемых в сфере обращения КЗИ, причем на ранней стадии их обнаружения, в ходе проведения контрольной работы. Результаты АИ в этой сфере позволяют судить о состоянии обеспечения информационной безопасности в подразделениях и в целом организации, о фактах, свидетельствующих о возникновении угроз и связанных с ними каналах возможной утечки КЗИ, о причинах и условиях, способствующих совершению правонарушений в этой сфере, формулировать научно обоснованные рекомендации о возможных вариантах действий руководства относительно устранения последствий утечки КЗИ и о принятых мерах предупреждения нарушений в сфере обращения КЗИ.
В этой связи представляется важным раскрытие сущности аналитической работы, занимающей центральное место в системе научно-методического обеспечения деятельности по охране конфиденциальности информации. Выполнение аналитической работы в сфере обращения КЗИ требует использования определенных способов и приемов, которые составляют методологический аппарат. В науке принято различать общую и частную методологию. В философской литературе под общей методологией науки понимается учение о методах познания и преобразования действительности. В различных отраслях юридического знания используется частная методология. Цивилистической науке присущи свои способы и приемы, которые используются для анализа и познания ее предмета и получения необходимого результата2. Судя по большинству публикаций в юридической литературе, следует отметить, что содержание общенаучных и частнонауч-ных методов познания не претерпело существенных изменений при их применении в рыночных условиях хозяйства. Вместе с тем о необходимости изменения направленности в научных исследованиях и получения научных фактов в процессе анализа хозяйственной деятельности справедливо указывают Б. И. Путинский и Д.Н. Сафиуллин. Они, в частности, отмечают: «Без научных фактов не могут быть точно поставлены обобщения, разработаны концепции. Между тем, проблема установления
фактов в правовой сфере до сих пор не привлекала должного внимания» 1. Возрождение в России коммерческого права как науки со всей очевидностью подтверждает тенденции в исследованиях не только комментирования правовых норм и институтов, но и анализа ценного практического опыта правовой деятельности в торговой сфере2.
Специальное описание совокупности приемов и способов, применяемых в какой-либо деятельности или исследовании, составляет частную методологию. В данную совокупность входят не только технические приемы исследования, но и принципиальные теоретические положения, аксиомы мировоззренческого характера, определяющие путь научного исследования, пределы (границы) последнего, его основные взаимосвязи — внешние и внутренние. Аналитическая работа включает в свой арсенал не только метод анализа, но и другие методы, используемые для изучения процессов и явлений, происходящих в сфере обращения КЗИ.
Аналитические исследования в сфере обращения КЗИ опираются на основные философские категории, методы и приемы исследования, базирующиеся на теоретических положениях науки гражданского и коммерческого права и ряда отраслей публичного права (криминология, административное и уголовное право и др.), и других наук гуманитарного цикла (социология, социальная психология, экономическая теория и др.)
Методология, используемая при проведении исследований в этой сфере, включает не только категории, выражающие наиболее общие законы развития природы, общества и мышления, но и категории, отражающие специфические стороны, связи процесса познания и его воплощения в практическую хозяйственную деятельность3. К числу важнейших принципов, лежащих в основе проведения АИ в сфере обращения КЗИ, следует отнести: причастность к действительности как к объективной реальности (применительно к возникающим угрозам безопасности организации и связанных с ними существующих ВКУ КЗИ); необходимость отличия существенных элементов от второстепенных, связанных с Изучением хозяйственной ситуации в сфере обращения КЗИ;
признание постоянства и изменяемости элементов, составляющих изучаемую систему ВКУ КЗИ и мер по предупреждению нарушений правового режима в этой сфере; учет историчности (фактор времени) изучаемых явлений, оказывающих влияние на процесс отнесения сведений к КЗИ, их использование и правовую охрану; признание значения противоречий в развитии феномена КЗИ в условиях рыночной экономики; конкретность и объективность при выборе объекта исследования и непосредственном проведении АИ.
Названные принципы составляют общеметодологическую базу для эффективного проведения АИ и получения научно обоснованных рекомендаций по выявлению ВКУ КЗИ, их закрытию или нейтрализации действия в условиях деятельности организации.
Использование методологии имеет важное практическое значение для получения научно обоснованных результатов исследования, а именно: она позволяет четко определить границы исследования в сфере обращения КЗИ и возможность использования его результатов для развития теории и практики защиты такой информации; дает возможность избежать недооценки роли теории в объяснении процессов возникновения причин и обстоятельств, ведущих к образованию ВКУ, использования правовых средств для предупреждения НРК проводимых работ; обеспечивает научную организацию АИ в сфере обращения КЗИ и оценку исследования проблем правового регулирования в этой сфере; предостерегает исследователей от упрощенного подхода к проблеме взаимосвязей ВКУ КЗИ с НРК работ и другими неизученными в правовом отношении явлениями, которые возникают в процессе хозяйственной деятельности; позволяет получить не только новое знание о ВКУ, причинах и обстоятельствах, их обусловливающих, и об эффективности принимаемых мер предупреждения, но и понять существо изучаемых явлений применительно к деятельности организации.
Методология имеет определенную связь с методикой исследования, которая создается на основе определенных ею положений. Осуществление аналитической работы возможно на основе использования определенной методологии и методики, которые представляют собой систему своеобразных научных правил.
Методология определяет общие правила, точнее, философские принципы, использование которых учитывает специфику объекта исследования в сфере обращения КЗИ. В этом смысле методология является механизмом, реализующим процесс аналитического исследования. Использование методики позволяет определить применительно к конкретному объекту исследования, в каком порядке и в какой последовательности следует применять те или иные методы. При этом определяется набор необходимых методов и устанавливаются правила их применения в АИ. Сама процедура использования этих методов есть техника исследования. С этой точки зрения методика и техника АИ приближаются к практике осуществления такого исследования. В литературе аксиоматичным является утверждение о том, что между методологией и методикой АИ, которые выполняют свою функциональную роль, всегда существует тесная связь через методы научного исследования1. В этом плане можно говорить, что методология является своего рода стратегией, а методика позволяет решать тактические задачи в конкретном исследовании.
На практике мы чаше всего имеем дело с методикой АИ. Под методикой ЛИ в сфере обращения КЗИ следует понимать совокупность конкретных приемов, способов, средств (инструментариев) сбора, обработки и анализа информации о нарушении норм конфиденциальности КЗИ и их связи с ВКУ такой информации, о причинах и обстоятельствах, способствующих утечке охраняемой информации, о личности правонарушителя режима конфиденциальности КЗИ, и мерах предупреждения нарушений в этой сфере. Результатами АИ принято считать сформулированные выводы о состоянии информационной безопасности организации в целом или на отдельных направлениях ее деятельности, рекомендации субъектам, осуществляющим предупредительную деятельность в сфере обращения КЗИ.
Программа проведения аналитических исследований в сфере обращения КЗИ. При подготовке и проведении АИ важным представляется соблюдение определенных организационных условий. Опыт проведения АИ показывает, что любое из них требует прежде всего четкой его организации и учета имеющихся в организации ресурсов. В этом плане АИ мало чем отличается от маркетинговых исследований . Исследование должно быть плановым. Это означает необходимость разработки программы и отдельных планов по анализу конкретных объектов исследования в целом по организации или ее отдельным подразделениям либо по конкретным направлениям деятельности.
Программа содержит основные мероприятия, раскрываю-шие цель, задачи, объект предмет и сроки исследования, силы, средства и используемые методики. Выполнение программы предусматривает разработку плана проведения АИ, который утверждается руководителем организации. План имеет оперативный характер. В нем указываются сроки выполнения мероприятий и ответственные исполнители*
Программой определяются общие задачи ЛИ. Их содержание должно раскрывать масштабность и последовательность действий исследователей. К числу общих задач следует отнести: изучение явлений и процессов, связанных с выявлением угроз безопасности организации, ВКУ КЗИ и разработка мер по их предупреждению; обобщение эмпирических данных и получение новых фактов по предметной области исследования; практические рекомендации субъектам, занимающимся использованием и охраной конфиденциальности КЗИ.
Наряду с постановкой общих вопросов определяются конкретные задачи, способы и процедуры исследования, в частности, по сбору и обработке информации. Например, когда целью АИ является обнаружение ВКУ КЗИ в связи с разработкой нового изделия и продвижением его на рынок, то задачами соответственно могут выступать: получение данных, характеризующих состояние режима конфиденциальности на объектах, где сосредоточены коммерческие секреты; установление возможных каналов утечки охраняемой информации на участках деятельности таких объектов; определение причин и обстоятельств, способствующих утечке охраняемой информации; выработка рекомендаций по воздействию на условия, способствующие функционированию ВКУ и мер по предупреждению нарушений. При этом следует иметь в виду, что в процессе проведения исследования, задачи могут уточняться. Это может быть связано с изменением хозяйственной ситуации, недостаточностью финансирования исследований, возможностями использования сил и средств и др.
При выполнении исследований следует выделять и проводить различие между объектом и предметом исследования. Объектом исследования является сфера обращения КЗИ в отдельных подразделениях или в целом организации, либо ее часть при выполнении договорных работ с контрагентами. Предмет исследования составляет та сторона объекта, которая непосредственно подлежит изучению в ходе проведения АИ. Это может быть анализ обращения КЗИ при ведении коммерческих переговоров, связанных с заключением договора на поставку товара и др.
Важным является не только получение результатов исследования, но и правильное их оформление с учетом целей дальнейшего использования. В большинстве случаев по результатам АИ составляется отчет. К отчету могут быть приложены цифровые, графические и иные данные, характеризующие состояние режима конфиденциальности КЗИ на конкретных объектах, методики по выявлению ВКУ КЗИ и предложения по предупреждению нарушений в этой сфере. Материалы исследований используются для подготовки управленческих решений, поэтому они должны содержать четкие, а не расплывчатые выводы теоретического характера и практические рекомендации конкретным субъектам о порядке внедрения результатов исследования.
Рекомендации, вытекающие из отчета, должны содержать сведения об источниках информации, В зависимости от целей АИ используются различные источники, подтверждающие существование внешних и внутренних угроз безопасности организации, связанные с незаконным использованием КЗИ, раскрытием технологии производства и реализации товаров. Это могут быть отчетные данные о деятельности подразделений и организации в целом по обеспечению безопасности, ежегодно предоставляемые руководству и акционерам (учредителям). Изучение опыта ряда организаций показывает, что к таким сведениям следует относиться весьма осторожно. Порой они искажены в подразделениях и не всегда отражают реальное состояние дел по обеспечению безопасности.
В аналитической работе важно учитывать данные, характеризующие хозяйственную ситуацию на различных участках деятельности организации. В частности, это могут быть данные: о контроле за использованием новейших технологий производства; о практике подбора и расстановки кадров на участках, где обращается КЗИ, и результаты их проверки на предмет лояльности фирме; о системе поощрения и взыскания работников; о прогнозах коммерческой деятельности по продвижению товаров на рынок; о партнерах, контрагентах, конкурентах, и их финансовом положении; о кредитной и инвестиционной стратегии организации, о результатах коммерческих переговоров по заключению договоров; о юридическом сопровождении коммерческих сделок и системе контроля за их исполнением, о порядке использования и передачи КЗИ; о зайдите КЗИ от несанкционированного доступа; и другие данные о деятельности службы безопасности по охране конфиденциальности информации. Такие данные можно
получить на различных уровнях управления фирмой (решение общих собраний, материалы совещаний, приказы и др.)
Данные анализа хозяйственной ситуации позволяют, во-первых, получить характеристику эффективности системы обеспечения безопасности на отдельных направлениях возникновения угроз и ВКУ КЗИ, а также оценить уровень достаточности режимных мер. Во-вторых, сформулировать выводы о направлении возникновения угроз и их трансформации в потенциально деструктивные, о причинах и обстоятельствах, способствующих нарушениям и об эффективности мер борьбы с ними. В-третьих, предложить вероятностные прогнозы развития возможных изменений хозяйственной ситуации вследствие реализации внешних и внутренних угроз и о расчетных вариантах возможного ущерба организации. В-четвертых, разработать предложения о повышении эффективности принимаемых мер по предупреждению нарушений в сфере обращения КЗИ.
Функциональные направления деятельности аналитических подразделений. Реализация программы аналитических исследований предполагает ее организационное обеспечение. Для решения этой задачи в организациях используются различные организационные структуры. В отдельных крупных и средних организациях создаются штатные подразделения, выполняющие аналитическую работу. На малых предприятиях эта работа выполняется в основном в рамках нештатных творческих трудовых коллективов, образуемых для решения конкретных задач. Большинство подразделений, ведущих аналитическую работу в сфере обращения КЗИ, используют опыт аналогичных структур, которые функционировали в СССР в основном на предприятиях оборонной промышленности. Это объясняется существованием определенной преемственности в кадровом и методическом обеспечении этой деятельности, имеющей достаточно выраженную специфику в рамках правовой работы.