Право (1184124), страница 42
Текст из файла (страница 42)
Распространенными являются: плановые, разовые, внезапные, сплошные, выборочные, целевые и комплексные проверки, особенности которых нужно учитывать при создании систем контроля с использованием сил и средств,обеспечивающих реализацию контрольной функции. Проанализированы стадии контроля, связанныес фиксацией состояния контролируемого объекта в данный период времени, проверкой его соответствия требованиям корпоративных норм и реализацией полученных данных для корректирующеговоздействия на объект контроля.На основании полученных исследовательских данных сделан вывод, что проектируемая системаконтроля в организациях должна быть уникальной, поскольку создается для конкретного объектаконтроля, и должна включать разработку распорядительно-методических документов, используемыхв ходе контроля на различных уровнях управления, определение сфер и направлений контроля, закрепление правомочий субъектов, осуществляющих контроль в сфере обращения КЗИ.59.
Сущность аналитической работы в сфере обращения информации.Учитывая потенциальную возможность получения конкурентами КЗИ (коммерчески значимая информация, если кто не знает ) с использованием различных способов промышленного шпионажа,организации должны предпринимать адекватные меры по предупреждению утечки (разглашения) таких сведений. Важнейшим направлением решения этой задачи является осуществление аналитической деятельности в сфере обращения КЗИ.
Аналитическая деятельность в этой сфере тесно связанас правовой работой1. Она направлена на поиск и объяснение фактов правонарушений, совершаемыхв сфере обращения КЗИ, причем на ранней стадии их обнаружения, в ходе проведения контрольнойработы. Результаты АИ(аналитических исследований) в этой сфере позволяют судить о состоянииобеспечения информационной безопасности в подразделениях и в целом организации, о фактах, свидетельствующих о возникновении угроз и связанных с ними каналах возможной утечки КЗИ, о причинах и условиях, способствующих совершению правонарушений в этой сфере, формулировать научно обоснованные рекомендации о возможных вариантах действий руководства относительно устранения последствий утечки КЗИ и о принятых мерах предупреждения нарушений в сфере обращения КЗИ.Сущность аналитической работы занимает центральное место в системе научно-методическогообеспечения деятельности по охране конфиденциальности информации.
Выполнение аналитическойработы в сфере обращения КЗИ(коммерчески значимая информация если кто не знает ) требуетиспользование определённых способов и приёмов которые составляют методологический аппарат.В науке принято различать общую и частную методологию.Общая методология из философской литературы это учение о методах познания и преобразованиядействительности.Частная методология - Специальное описание совокупности приемов и способов, применяемых вкакой-либо деятельности или исследовании.Просто методология(wiki) - учение о методах, методиках, способах и средствах познания.Общеметодологичекая база для эффективного проведения АИ(аналитических исследований), получения научно обоснованных рекомендаций по выявлению ВКУ(возможных каналов утечки) КЗИ,базируется на следующих принципах:Причастность к действительности как к объективной реальности.(применительно к возникающим угрозам безопасности организации и связанных с ними существующих ВКУ КЗИ)Необходимость отличия существенных элементов от второстепенных, связанных с изучениемхозяйственной ситуации в сфере обращения КЗИПризнание постоянства и изменяемости элементов, составляющих изучаемую систему ВКУКЗИ и мер по предупреждению нарушений правового режима в этой сфереУчет историчности (фактор времени) изучаемых явлений, оказывающих влияние на процессотнесения сведений к КЗИ, их использование и правовую охрану;Признание значения противоречий в развитии феномена КЗИ в условиях рыночной экономики;Конкретность и объективность при выборе объекта исследования и непосредственном проведении АИ.Использование методологии имеет важное практическое значение для получения научно обоснованных результатов исследования, а именно:она позволяет четко определить границы исследования в сфере обращения КЗИ и возможность использования его результатов для развития теории и практики защиты такой информации;дает возможность избежать недооценки роли теории в объяснении процессов возникновенияпричин и обстоятельств, ведущих к образованию ВКУ, использования правовых средств дляпредупреждения НРК проводимых работ;обеспечивает научную организацию АИ в сфере обращения КЗИ и оценку исследования проблем правового регулирования в этой сфере;предостерегает исследователей от упрощенного подхода к проблеме взаимосвязей ВКУ КЗИ сНРК работ и другими неизученными в правовом отношении явлениями, которые возникают впроцессе хозяйственной деятельности;позволяет получить не только новое знание о ВКУ, причинах и обстоятельствах, их обусловливающих, и об эффективности принимаемых мер предупреждения, но и понять существоизучаемых явлений применительно к деятельности организации.Методология определяет общие правила, точнее, философские принципы, использование которыхучитывает специфику объекта исследования в сфере обращения КЗИ.
В этом смысле методологияявляется механизмом, реализующим процесс аналитического исследования.Здесь на почти на две страницы просто текст книги, потому что из него невозможно понять что вообще этим хотел сказать автор, но видимо он возможно будет спрашивать именно оттуда, поэтомухотя бы прочесть следует, но лучше сначала переместиться вниз, прочитать более осмысленныйтекст ниже, а потом вернуться и попытаться запомнить это.На практике мы чаше всего имеем дело с методикой АИ. Под методикой АИ в сфере обращения КЗИследует понимать совокупность конкретных приемов, способов, средств (инструментариев) сбора,обработки и анализа информации о нарушении норм конфиденциальности КЗИ и их связи с ВКУ такой информации, о причинах и обстоятельствах, способствующих утечке охраняемой информации, оличности правонарушителя режима конфиденциальности КЗИ, и мерах предупреждения нарушенийв этой сфере.
Результатами АИ принято считать сформулированные выводы о состоянии информационной безопасности организации в целом или на отдельных направлениях ее деятельности, рекомендации субъектам, осуществляющим предупредительную деятельность в сфере обращения КЗИ.Программа проведения аналитических исследований в сфере обращения КЗИ. При подготовке и проведенииАИ важным представляется соблюдение определенных организационных условий. Опыт проведения АИпоказывает, что любое из них требует прежде всего четкой его организации и учета имеющихся ворганизации ресурсов. В этом плане АИ мало чем отличается от маркетинговых исследований .
Исследование должно быть плановым. Это означает необходимость разработки программы и отдельныхпланов по анализу конкретных объектов исследования в целом по организации или ее отдельным подразделениям либо по конкретным направлениям деятельности.Программа содержит основные мероприятия, раскрываю-шие цель, задачи, объект предмет и срокиисследования, силы, средства и используемые методики.
Выполнение программы предусматриваетразработку плана проведения АИ, который утверждается руководителем организации. План имеетоперативный характер. В нем указываются сроки выполнения мероприятий и ответственные исполнители*Программой определяются общие задачи АИ. Их содержание должно раскрывать масштабность и последовательность действий исследователей. К числу общих задач следует отнести: изучение явленийи процессов, связанных с выявлением угроз безопасности организации, ВКУ КЗИ и разработка мерпо их предупреждению; обобщение эмпирических данных и получение новых фактов по предметнойобласти исследования; практические рекомендации субъектам, занимающимся использованием и охраной конфиденциальности КЗИ.Наряду с постановкой общих вопросов определяются конкретные задачи, способы и процедуры исследования, в частности, по сбору и обработке информации.
Например, когда целью АИ является обнаружение ВКУ КЗИ в связи с разработкой нового изделия и продвижением его на рынок, то задачамисоответственно могут выступать: получение данных, характеризующих состояние режима конфиденциальности на объектах, где сосредоточены коммерческие секреты; установление возможных каналов утечки охраняемой информации на участках деятельности таких объектов; определение причин и обстоятельств, способствующих утечке охраняемой информации; выработка рекомендаций повоздействию на условия, способствующие функционированию ВКУ и мер по предупреждению нарушений. При этом следует иметь в виду, что в процессе проведения исследования, задачи могутуточняться.
Это может быть связано с изменением хозяйственной ситуации, недостаточностью финансирования исследований, возможностями использования сил и средств и др.При выполнении исследований следует выделять и проводить различие между объектом и предметомисследования. Объектом исследования является сфера обращения КЗИ в отдельных подразделенияхили в целом организации, либо ее часть при выполнении договорных работ с контрагентами. Предмет исследования составляет та сторона объекта, которая непосредственно подлежит изучению в ходе проведения АИ. Это может быть анализ обращения КЗИ при ведении коммерческих переговоров,связанных с заключением договора на поставку товара и др.Важным является не только получение результатов исследования, но и правильное их оформление сучетом целей дальнейшего использования.
В большинстве случаев по результатам АИ составляетсяотчет. К отчету могут быть приложены цифровые, графические и иные данные, характеризующиесостояние режима конфиденциальности КЗИ на конкретных объектах, методики по выявлению ВКУКЗИ и предложения по предупреждению нарушений в этой сфере.
Материалы исследований используются для подготовки управленческих решений, поэтому они должны содержать четкие, а не расплывчатые выводы теоретического характера и практические рекомендации конкретным субъектам опорядке внедрения результатов исследования.Рекомендации, вытекающие из отчета, должны содержать сведения об источниках информации, В зависимости от целей АИ используются различные источники, подтверждающие существование внешних и внутренних угроз безопасности организации, связанные с незаконным использованием КЗИ,раскрытием технологии производства и реализации товаров. Это могут быть отчетные данные о деятельности подразделений и организации в целом по обеспечению безопасности, ежегодно предоставляемые руководству и акционерам (учредителям).
Изучение опыта ряда организаций показывает,что к таким сведениям следует относиться весьма осторожно. Порой они искажены в подразделенияхи не всегда отражают реальное состояние дел по обеспечению безопасности.В аналитической работе важно учитывать данные, характеризующие хозяйственную ситуацию на различных участках деятельности организации. В частности, это могут быть данные: о контроле за использованием новейших технологий производства; о практике подбора и расстановки кадров на участках,где обращается КЗИ, и результаты их проверки на предмет лояльности фирме; о системе поощренияи взыскания работников; о прогнозах коммерческой деятельности по продвижению товаров на рынок; о партнерах, контрагентах, конкурентах, и их финансовом положении; о кредитной и инвестиционной стратегии организации, о результатах коммерческих переговоров по заключению договоров; о юридическом сопровождении коммерческих сделок и системе контроля за их исполнением,о порядке использования и передачи КЗИ; о зайдите КЗИ от несанкционированного доступа; и другие данные о деятельности службы безопасности по охране конфиденциальности информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
