Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 25

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 25)

Объективная сторона правонарушения режима конфиден­циальности КЗИ проявляется в двух формах: действие или бездействие работника, нарушающего правовые запреты или предписания, предусмотренные Законом и иными нормативно-правовыми актами. В обоих случаях имеет место выразившийся вовне поступок, подрывающий охраняемый в организации поря­док сохранности коммерческой тайны, открывающий возможные каналы для утечки КЗИ. В зависимости от размера причиненного ущерба деяние может быть квалифицировано как преступление, предусмотренное ст. 183 УК РФ, либо дисциплинарный про­ступок. В любом случае Закон предусматривает привлечение работника к ответственности.

Субъективная сторона правонарушения режима конфиден­циальности КЗИ характеризуется прежде всего психическим отношением лица к совершенному им деянию. Вина есть оп­ределенное состояние психики субъекта, которое заключается в отрицательном отношении его к частным интересам организа­ции. Это проявляется в случае умышленного или неосторожного разглашения КЗИ.

Говоря об объекте правонарушения режима конфиденци­альности КЗИ, следует отметить, что каждое правонарушение выражается ли оно в действии или бездействии, всегда есть посягательство на определенный, охраняемый Законом объект. Этот вывод юридической науки является общетеоретическим и его можно экстраполировать на всю область правонарушений, в том числе и совершаемых в сфере обращения КЗИ.

Таким образом, правонарушение режима конфиденциальности КЗИ может быть охарактеризовано как противоправное виновное деяние вменяемого и дееспособного лица, совершаемое в форме умысла или неосторожности, причиняющее ущерб организации и наказуемое в соответствии с нормами действующего законо­дательства.

Для получения характеристики правонарушений важно рас­пределить по группам ВКУ КЗИ и проанализировать их связь с нарушениями.

При этом существенное значение имеет установление возмож­ности появления каналов утечки такого рода информации.

Изучение материалов дисциплинарной практики в отдельных организациях торговли, транспорта, связи и промышленности за пятилетний период показывает, что были допущены такие нару­шения режима конфиденциальности КЗИ, которые выразились в фактическом невыполнении или ненадлежащем выполнении служебных обязанностей, закрепленных в корпоративных актах, трудовом договоре, а также обязательств, вытекающих из дого­ворных отношений.

Анализ результатов изучения личных дел работников, допус­тивших нарушения режима конфиденциальности КЗИ, матери­алов служебных расследований в сфере соблюдения трудовой и договорной дисциплины показывает, что наибольшее число работников были подвергнуты дисциплинарным взысканиям за совершение следующих нарушений:

• утрату удостоверений, пропусков, ключей от режимных поме­щений, хранилищ, сейфов (металлических шкафов), личных печатей — 12%;

• пронос без разрешения работников СБ на территорию органи­зации видео- и фотосъемочной, звукозаписывающей, радио­передающей, принимающей и множительно-копировальной аппаратуры личного пользования; недонесение о фактах утечки конфиденциальных сведений руководству структурного под­разделения и СБ; вынос документов и изделий, содержащих коммерческую тайну, без разрешения руководителя органи­зации, его заместителей или начальника СБ — 4%;

• неправильное определение грифа «Коммерческая тайна» до­кумента (изделия); несвоевременное направление документов для приобщения к делу с отметками об исполнении и резо­люцией начальника подразделения; оставление открытыми и не опечатанными после окончания работы помещений (хранилищ) — по 3% случаев;

• в 2% случаев работники были наказаны за оставление доку­ментов, содержащих коммерческую тайну, на рабочих столах при выходе из помещения, нарушение установленного порядка ознакомления прикомандированных лиц с такого рода доку­ментами и изделиями, перевозку таких документов и изделий личным и общественным транспортом и перемещение с ними в места, не связанные с выполнением заданий;

• по 1% случаев — за неправильное оформление документов, содержащих коммерческую тайну, в печать, несоблюдение по­рядка отчетности перед СБ: за все числящиеся за исполнителем документы и изделия при увольнении, перед уходом в отпуск, выездом в командировки; несвоевременное сообщение в кад­ровую службу об изменениях автобиографических данных; ведение переговоров с использованием конфиденциальной информации по незащищенным линиям связи; выполнение конфиденциальных работ на дому; снятие копий с такого рода документов или производство выписок из них без письменного разрешения начальника СБ; передачу и взятие без расписки документов и изделий, содержащих коммерческую тайну. Борьба с указанными выше нарушениями, совершение ко­торых характерно для малых, средних и крупных организаций, отличающихся объемом производства и численностью занятых в них работников, имеет существенное значение для устранения или нейтрализации возможности появления каналов утечки КЗИ. Хотя, конечно, уровень этой борьбы зависит от возможности использования правовых и иных средств и финансирования проводимых мероприятий. Однако борьба только с указанными выше нарушениями режима не полностью обеспечивает закрытие возможной утечки КЗИ. ,

Материалы изучения показывают, что администрация и СБ оперируют существенно суженным представлением о формах проявления нарушений режима конфиденциальности КЗИ, ве­дущих к появлению возможных каналов утечки КЗИ. Сложился определенный стереотип, при котором реагирование админи­страции связывается лишь с нарушениями внутриобъектового и пропускного режима, а другие нарушения режима конфиден­циальности КЗИ, которые прямо ведут (или могут привести) к утечке информации, не выявляются, меры предупреждения по таким нарушениям проводятся недостаточно.

Среди таких нарушений, которые еще не попадают в поле зрения администрации и СБ можно выделить следующие:

• ознакомление лиц с конфиденциальными документами, изделиями и работами, не входящими в круг их служебных обязанностей;

• направление адресатам конфиденциальных документов, к ко­торым они не имеют отношения;

• подготовка конфиденциальных документов, записей, зари­совок, расчетов на неучтенных листах бумаги, личных блок­нотах;

• нарушение порядка работы с конфиденциальными докумен­тами и изделиями, связанного с обзором их посторонними лицами;

• несвоевременное сообщение в СБ данных о внеслужебных связях с родственниками, проживающими за границей, род­ственниками, выезжающими за границу на постоянное место жительства;

• посещение без разрешения руководства организации посольств, консульств, иностранных частных компаний и фирм;

• установление радиосвязи с радиолюбителями иностранных государств;

• использование конфиденциальных сведений в открытой слу­жебной переписке, технических заданиях, статьях, докладах и выступлениях;

• преждевременная публикация научных и других работ, которые могут расцениваться на уровне изобретений или открытий, или опубликование которых запрещено в установленном по­рядке;

• сообщение устно или письменно кому бы то ни было, в том числе родственникам, конфиденциальных сведений, если это не вызвано служебной необходимостью;

• сообщение каких-либо сведений о проводимых конфиден­циальных работах при обращении по личным вопросам с жалобами, просьбами и предложениями в федеральные государственные органы власти, органы власти субъектов РФ и органы местного самоуправления.

Выборочный анализ дисциплинарной практики показывает, что перечисленные правонарушения в организациях не уста­навливались и лица за их совершение не привлекались к ответ­ственности. Порой, вне поля зрения работников СБ находятся нарушения режима конфиденциальности КЗИ, непосредственно приводящие к образованию каналов утечки такой информации. В этой связи представляется, что для закрытия возможных ка­налов утечки охраняемой информации должны с полной силой использоваться нормы Закона о коммерческой тайне и иных правовых актов о защите КЗИ.

§ 2. Классификация возможных каналов утечки информации

Для раскрытия особенностей проявления возможных каналов утечки КЗИ необходимо рассмотреть формы их выражения на основе такой классификации, которая с наибольшей полнотой отражала бы специфику факторов, определяющих характер пове­дения лиц, допускающих нарушения режима КЗИ. Продуктивен в данном отношении подход, в соответствии с которым любая организация может быть представлена как сложная организаци­онно-техническая и информационная система¹. Системное пред­ставление о коммерческой организалдии позволяет рассматривать ее во внешней среде, во взаимосвязи и взаимодействии с дру­гими-системами (организации — контрагенты, государственные органы и органы местного самоуправления и др.) при внешних возмущающих воздействиях и с учетом внутренней оперативной обстановки.

С учетом взаимодействия организации с внешней средой можно выделить и сгруппировать каналы утечки КЗИ, изучить признаки их проявления через нарушения режима конфиденци­альности проводимых работ.

Функционирование ВКУ КЗИ происходит с учетом сложив­шихся внутренних связей и внешних информационных потоков организации, которые представлены в виде схемы (рис. 7.2.1).

Рассмотрим особенности проявления нарушений режима конфиденциальности на возможных каналах утечки КЗИ, их распространенность и наиболее уязвимые участки деятельности организации, где чаще всего могут фиксироваться типичные проявления, обусловливающие существование и функциони­рование каналов возможной утечки КЗИ. Рассмотрим группы ВКУ КЗИ, которые обусловлены обстоятельствами правового и организационного характера.

Первая группа ВКУ КЗИ включает каналы оперативной связи, существующие в организации.

Наряду с использованием новейших информационных тех­нологий каждая организация имеет традиционные телефонные

(1) «Каналы связи» (4) «Технические каналы»

Циркуляция КЗИ в организации

(2) «Переписка» (5) «Внешние окна»

(3) «Материальные потоки» (6) «Людские потоки»

Охраняемый периметр

Рис. 7.2.1. Схема информационных потоков организации

линии общего пользования. На эти линии приходится более 60% объема услуг коммуникационного рынка страны¹. Кроме того, ор­ганизации используют, по необходимости, телеграф и радиосвязь. Конечные технические устройства коммуникации устанавливают­ся в режимных подразделениях (помещениях) организации, где циркулирует охраняемая информация. Линии связи имеют выход за охраняемый периметр организации и подвержены технической возможности несанкционированного снятия КЗИ.

Нужно отметить общемировую тенденцию, когда конкури­рующие фирмы, ведущие промышленный шпионаж широко используют технические средства для перехвата охраняемой информации, передаваемой по незащищенным каналам связи, используя для этих целей радио- и радиотехническую аппаратуру, установленную, например, на автомобилях и других средствах, а также аппаратуру, переносимую их агентурой. Это позволяет осуществлять несанкционированное прослушивание линий свя­зи, связывающих организацию с внешним деловым миром. Для обработки полученной информации конкурентами используются современные информационные ЭВМ, системы и технологии, методы системного анализа, математической логики и искусст­венного интеллекта. С помощью технических средств вводная информация преобразуется в качественно новую выводную информацию. Из сопоставления множества разрозненных све­дений путем анализа конкурирующим фирмам удается раскрыть охраняемую информацию.

В условиях кооперации и специализации производства, ве­дения коммерческой деятельности любая организация имеет множество деловых связей, соединяющих ее с другими предпри­ятиями, научно-исследовательскими институтами, конструктор­скими бюро. Данные анализа показывают, что ежегодно растет число служебных междугородних и международных телефонных переговоров (СМТП). С введением мобильной телефонной свя­зи их число увеличивается в геометрической прогрессии, хотя в отдельных крупных организациях администрация запрещает ра­ботникам использование мобильных телефонов в рабочее время. Опрос работников организаций показал, что 47% из них считают ведение СМТП без соблюдения правил режима конфиденциаль­ности КЗИ крайне опасным ВКУ такой информации.

В организациях установлен определенный порядок ведения СМТП. В частности, еще с советских времен существует прак­тика определения номеров телефонов, разрешенных для ведения СМТП. Ведутся списки лиц, допущенных к ведению перегово­ров. Администрацией установлены правила и определен порядок ведения СМТП. Разработаны и периодически пересматриваются корпоративные акты, регулирующие ведение СМТП. Уточняются перечни несекретных технических терминов, характеристик слов, фраз и других косвенных признаков, раскрывающих охраняемую в организации информацию.;

Ежегодно, обычно в начале года, в организации происходит уточнение списков лиц, допущенных к ведению СМТП.

В отдельных организациях имеются специально оборудован­ные места (кабины) для ведения СМТП, что упрощает контроль за ведением переговоров. Если отсутствуют специальные кабины, то в подразделениях, обычно у руководителей отделов и секторов, устанавливаются телефоны, с которых разрешено ведение СМТП. Контроль за соблюдением требований режима конфиденциаль­ности , за доступом к ведению СМТП работников организации, ведением журналов учета СМТП возлагается на руководителей подразделений.

Характеристики

Список файлов книги