Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 27
Текст из файла (страница 27)
Ведение конфиденциального делопроизводства с нарушением требований, установленных в организации, может стать одним из серьезных каналов утечки КЗИ. Конфиденциальное делопроизводство представляет собой вид деятельности, включающий вопросы обеспечения режима конфиденциальности при документировании и различных письменных материалов (документов) в процессе производства и управления организацией. Как показывает проведенный выборочный опрос работников-исполнителей конфиденциальных работ, около 6% из числа опрошенных лиц отмечают это обстоятельство как возможный канал утечки КЗИ. Нарушения режима КЗИ при ведении конфиденциального делопроизводства выражаются в невыполнении или ненадлежащем выполнении работниками специальных отделов служебных обязанностей, установленных должностной инструкцией. Это может привести к утечке КЗИ в процессе создания и хранения документов, содержащих такую информацию. Серьезными последствиями для организаций могут быть нарушения, связанные с физической сохранностью документов и дезорганизацией порядка докумен-тационного обеспечения деятельности организаций.
Нужно отметить, что процесс создания документа, в частности, составление черновиков, печатание, проверка отпечатанного текста, визирование, согласование и утверждение документа, а также организации документов (учет, поиск, хранение, обращение, пользование, отправка, уничтожение и другие операции) достаточно четко регламентированы соответствующими нормативными правовыми актами и корпоративными документами.
Анализ исследования приемов и методов охраны конфиденциальных сведений, применяемых в конфиденциальном делопроизводстве в ряде организаций, которые выборочно были изучены автором, позволяет выделить основные функции конфиденциального делопроизводства. Невыполнение или ненадлежащее выполнение работниками своих обязанностей в рамках выделенных нами функций (направлений) может привести к утечке охраняемой информации. Допускаемые при этом нарушения обычно составляют:
• отсутствие должного контроля со стороны руководства за созданием, оформлением документов;
• нарушения, допускаемые работниками специальных подразделений, которые связаны с надлежащим учетом и хранением
документов;
« нерегулярное проведение проверок наличия документов на рабочих местах исполнителей и в местах их хранения;
• несвоевременное составление номенклатуры дел и неправильное оформление первичных документов;
• нарушение порядка размножения и копирования документов;
• неправильная организация информационно-справочного аппарата;
• несвоевременная подготовка документов к передаче на архивное хранение;
• нарушение требований, предъявляемых к порядку уничтожения конфиденциальных документов.
В организациях ведется патентно-лицензионная, изобретательская и рационализаторская работа, связанная с правовой охраной изобретений, оформляемых в установленном порядке, с оказанием помощи авторам в оформлении, регистрации и защите их прав на результаты интеллектуальной деятельности. В процессе этой работы, как показывает выборочный анализ документов в организациях, имеют место случаи, когда руководство в обход патентного подразделения (патентоведа) направляет на исполнение документы в иные структурные подразделения, не имеющие права решения патентно-лицензионных вопросов с внешними организациями.
Анализ таких ситуаций показывает, что нарушениями режима КЗИ, ведущими к возможной утечке охраняемой информации, в данном случае могут быть, во-первых, несоблюдение порядка оформления материалов на предполагаемые изобретения; во-вторых, расширение круга лиц, которые знакомятся с первичной информацией, связанной с подготовкой заявок на изобретения; в-третьих, самостоятельная переписка подразделений без ведома патентного подразделения и принятие решений по вопросам патентно-лицензионной работы.
Третья группа ВКУ КЗИ включает нарушения, которые возникают в процессе производственной и хозяйственной деятельности организации. Условно эту группу можно обозначить как «материальные потоки» объекта.
Материальные потоки в виде изделий, комплектующих деталей, готовых товаров и иных материальных ценностей обеспечивают решение основных задач, стоящих перед организациями. Например, решение производственных, научных и хозяйственных задач связано с транспортировкой конфиденциальных изделий и документов. Информационное обеспечение НИОКР предполагает регулярный обмен КЗИ между разработчиками и соисполнителями, что связано с обращением охраняемой информации и доставкой ее в виде документов с использованием различных видов связи (направление почтой, телеграфом, доставка писем нарочным порядком и др.).
Опрос работников ряда организаций показывает, что 3% из числа опрошенных считают нарушения, допускаемые при транспортировке грузов и почты, возможными каналами утечки КЗИ. Надежное сопровождение и охрана изделий, содержащих КЗИ, при их транспортировке за пределами охраняемой территории организации, причем порой на значительные расстояния, является важнейшей задачей администрации. Закон о коммерческой тайне не регулирует процедуру обращения изделий и документов, составляющих КЗИ. Поэтому работа ведется в организациях на основании норм ГК РФ, регулирующих перевозку и хранение с учетом необходимости охраны КЗИ. Условия охраны КЗИ в период транспортировки изделий и документов согласовываются сторонами в договоре. Непосредственные меры по охране КЗИ осуществляются организациями-контрагентами в соответствии с принятым у них порядком, урегулированным корпоративными актами. Как показывают данные проведенного опроса, работники, обеспечивающие движение материальных ценностей и документов, содержащих КЗИ, в 52% случаев ознакомлены с требованиями корпоративных актов по охране КЗИ, в 37% случаев — были устно ознакомлены в общих чертах либо не ознакомлены.
В качестве примера рассмотрим ситуацию, связанную с обеспечением КЗИ, которая одно время наблюдалась в наиболее конкурентоспособной отрасли экономики — авиационной промышленности. Одним из уязвимых участков сохранения конфиденциальности информации о результатах НИОКР является подготовка и проведение летных испытаний опытных образцов изделия. Анализ имеющихся данных показал, в частности, что сложилась определенная правоприменительная практика, когда при вылете самолетов с установленными на них изделиями, в местах проведения испытаний, выписываются товарно-транспортные накладные, которые предварительно направляются на испытательные полигоны с указанием грифа конфиденциальности информации об изделиях. По прибытии самолета на полигон работники службы безопасности проверяют наличие на нем изделий и соответствие их сопроводительной документации. Изделия учитываются и хранятся на товарном складе в соответствии со ст. 913 ГК РФ, договором между организациями на проведение испытаний с соблюдением порядка, устанавливаемого корпоративными нормами.
При проведении летных испытаний ответственность за сохранность испытываемых изделий возлагается в зависимости от нахождения летательного аппарата в воздухе или на земле соответственно на бортинженера или бортмеханика.
В целях предотвращения вылетов самолетов с изделиями на другие аэродромы без оформления соответствующих товарораспорядительных документов СБ осуществляет визирование карточек готовности летательного аппарата к вылету.
Самолеты, на которых установлены испытываемые изделия, находящиеся постоянно или временно на стоянках аэродромов войсковых частей Министерства обороны РФ и других ведомств, сдаются под войсковую охрану. Обязанности по передаче самолета под охрану возложены на командира корабля. На стоянках летательные аппараты оборудованы противоугонными устройствами, исключающими несанкционированные запуски авиадвигателей, причем эти средства приводятся в рабочее состояние независимо от времени суток. При вынужденных посадках самолета командир корабля организовывает его охрану до прибытия воинского подразделения силами экипажа.
На предприятиях, эксплуатирующих летательные аппараты, создается из числа штатных работников группа уполномоченных лиц службы безопасности по работе с изделиями. С уполномоченными регулярно проводятся занятия по изучению требований режима конфиденциальности и выявлению ВКУ КЗИ при испытании изделий. Нарушения установленного порядка учета, хранения и движения изделий открывают пути для возможной утечки КЗИ.
Порядок транспортировки почты регламентирован внутренними корпоративными актами организаций. При его нарушении появляются возможности утечки охраняемой информации. Чаще всего нарушения проявляются при доставке работниками-исполнителями почты на личном транспорте, без вооруженного сопровождения охраны, а также в несогласовании со СБ маршрутов движения транспорта, на котором осуществляется доставка почты и изделий.
Четвертая группа ВКУ КЗИ— это технические каналы, обусловливающие возможность утечки такой информации. К техническим каналам утечки конфиденциальной информации относятся каналы, возникающие вследствие использования конкурентами портативных технических средств, которые могут устанавливаться непосредственно в служебных помещениях или вблизи расположения объектов организации.
Портативные технические средства конкурентной разведки позволяют решать проблему сбора КЗИ. Это достигается, во-первых, путем фиксации за магнитный или иной носитель разговоров, служебных совещаний, коммерческих переговоров по заключению торговых договоров, по каналам местной и городской телефонной связи; во-вторых, путем визуального наблюдения и фотографирования из соседних зданий передвижения контролируемых грузов, а также документов, содержащих КЗИ, с которыми работают исполнители в рабочих комнатах. Нужно отметить, что по данным, опубликованным в печати, можно судить о достаточно высоких тактико-технических характеристиках портативных средств, используемых конкурентной разведкой1. Речь идет о том, что портативные средства обладают высокой чувствительностью и разрешающей способностью, обеспечивают ведение конкурентной разведки на значительных расстояниях от разведываемых объектов. Важно отметить и возможность скрытого использования портативных средств конкурентной разведки, которые могут камуфлироваться под различные предметы повседневного обихода. В частности, могут быть замаскированы в автомашинах, в одежде и на переносимых человеком ггоелметах
(портфель, сумка и т.д.). К техническим каналам утечки КЗИ относятся также технические средства передачи информации, включающие ЭВМ, АСУ, системы звукозаписи и другие средства, участвующие в обработке, хранении и передаче КЗИ.
Анализ материалов практики защиты конфиденциальной информации, проведенный в ряде акционированных предприятий промышленности, позволяет выделить наиболее опасные с точки зрения возникновения ВКУ КЗИ направления их деятельности. Речь идет прежде всего об остаточных излучениях радио, электромагнитных и о других излучениях, которые являются опасными демаскирующими признаками любого объекта. Они проникают за периметр предприятия или установленной охраняемой зоны без участия человека и дают привязку к месту и времени проведения работ, при выполнении которых используются охраняемые параметры. Характерными в качестве примера могут быть рассмотрены излучения, образующиеся при проведении летных испытаний радиоэлектронных средств (РЭС) и при выполнении вычислительных работ на объектах электронно-вычислительной техники (ЭВТ), имеющие различные технические характеристики. Рассмотрим в этой связи отдельно каналы возможной утечки информации при проведении летных испытаний РЭС и вычислительных работ на ЭВМ.
Специалистами установлено, что одним из наиболее опасных этапов разработки радиоэлектронных средств с точки зрения возможности получения конкурентными разведками охраняемых параметров является этап проведения испытаний, в том числе летных испытаний РЭС, когда производится излучение в открытое пространство сигналов большой мощности. Практика показывает, чтобы уменьшить опасность утечки охраняемой информации при проведении летных испытаний РЭС, следует соблюдать ряд мер организационно-правового характера. Во-первых, резко сократить время проведения летных испытаний РЭС, что приведет к уменьшению вероятности обнаружения средствами конкурирующих разведок. Во-вторых, уменьшить зону обнаружения охраняемых параметров средствами ведения разведки за счет изменения пилотажно-навигационных параметров при проведении летных испытаний РЭС. В-третьих, проводить летные испытания РЭС с измененными по отношению к охраняемым параметрами.) Названные выше рекомендации следует отражать в должностных инструкциях исполнителей.
При проведении летных испытаний наземных РЭС наиболее вероятными каналами утечки охраняемых сведений являются открытые телеметрические каналы передачи информации «борт-земля». Результаты проведенного исследования позволяют сделать вывод о том, что отсутствие на летающих лабораториях аппаратуры автоматического засекречивания гарантированной криптостойкости и игнорирование разработчиками РЭС типовых кодовых переговорных таблиц при передаче телеметрической информации увеличивают опасность утечки охраняемой информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
