Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 42
Текст из файла (страница 42)
для охраны коммерческих тайн и предупреждения правонарушений В ЭТОЙ сфере.
В целях обеспечения предупреждения правонарушений в рассматриваемой сфере целесообразно различать основные уровни проведения профилактических мероприятий общество в целом (отдельные отрасли экономики), социальные группы (коммерческие организации), индивидуальный уровень. На уровне микросреды, индивидуальном уровне, меры более высоких уровней представляют собой конкретизацию общесоциальных и специальных мер в отношении отдельного лица, имеющего доступ к КЗИ, или группы таких лиц. Индивидуальная профилактика направлена на устранение неправильно сформированных (деформированных) потребностей, интересов, ценностных ориентацией, которые при наличии соответствующей хозяйственной ситуации способны приводить к правонарушениям. Меры индивидуального характера включают общевоспитательные мероприятия, правовое корпоративное воздействие, контроль за поведением лиц, совершивших дисциплинарные проступки, связанные с нарушениями режима конфиденциальности КЗИ, которые в большинстве случаев реализуются на практике администрацией организаций.
В юридической литературе практически не раскрыто содержание и объем понятия «меры предупреждения правонарушений, совершаемых в сфере обращения КЗИ». Многие авторы1 используют это понятие для обозначения конкретных действий администрации по проверке персонала, допускаемого к коммерческой тайне, ограничению доступа работников к таким сведениям, усилению контроля на различных этапах обращения такой информации и использования других организационных форм предупреждения в сфере обращения КЗИ. Отсутствие единообразного понимания мер предупреждения правонарушений в сфере обращения КЗИ отрицательно отражается на решении практических задач. На основании ГОСТ Р52069.0-2003 «Защита информации. Система стандартов. Основные положения» и ГОСТ Р50922-96 «Защита информации. Основные термины и определения» можно сформулировать понятие мер предупреждения правонарушений, которые направлены на предотвращение деятельности, связанной с «неправомерным обращением» использования КЗИ.
Во-первых, мера — это использование администрацией организации правовых средств для защиты КЗИ от непреднамеренного воздействия (ошибки персонала, сбои технических и программных средств и др.), несанкционированного воздействия (нарушение установленных правил, приводящее к утрате, уничтожению или сбою функционирования носителя информации); несанкционированного доступа (получение работником КЗИ с нарушением разрешительной системы доступа); неконтролируемого распространения КЗИ (утечка) и несанкционированного доведения КЗИ (разглашения); предотвращение получения КЗИ конкурентной разведкой.
Во-вторых, содержание мер предупреждения направлено на устранение обстоятельств, приводящих к утечке (разглашению) КЗИ.
В-третьих, действия администрации, составляющие содержание мер, основываются на сложившемся в организации порядке, регулируемом законами и корпоративными актами.
Рассмотрим меры организационно-управленческого, воспитательного и правового характера, которые дают достаточно полное представление о содержании профилактики в сфере обращения КЗИ.
§ 4. Меры предупреждения обстоятельств организационно-управленческого характера
Действие этих мер направлено на наведение должного порядка, повышение уровня трудовой и договорной дисциплины в сфере сохранности коммерческих секретов. Нарушения в корпоративном управлении производством относятся к числу факторов, оказьшалощих существенное влияние на механизм совершения правонарушений в сфере обращения КЗИ.
Курс на обеспечение экономической безопасности корпоративных образований, в том числе и в сфере информационной безопасности, являются в условиях нестабильности и противоречивости реформационных процессов, неизменным и последовательным в деятельности организаций по предотвращению возможного ущерба. Важнейшими направлениями этой работы в сфере защиты информационной среды организаций являются дальнейшее совершенствование структуры корпоративного управления производством, повышение ответственности руководителей различных уровней за решение вопросов, связанных с обеспечением режима конфиденциальности КЗИ, улучшение трудовой и договорной дисциплины исполнения, совершенствование системы стимулирования, учета и контроля.
Совершенствование структуры корпоративного управления производством. Эта мера способствует формированию устойчивого, но подвижного механизма информационной безопасности организации в условиях рыночной экономики. Устойчивость механизма объясняется закреплением прав субъектов на КЗИ, а подвижность предполагает их изменение и дополнение в связи с возникновением либо прекращением тех или иных направлений деятельности, связанных с использованием КЗИ.
Речь идет о четком распределении компетенции между подразделениями службы безопасности и производственными подразделениями, что позволит избежать дублирования в работе и улучшить координацию совместных действий по обеспечению режима конфиденциальности КЗИ. Регулирование деятельности этих звеньев непосредственно связаны с практикой предупреждения правонарушений в сфере обращения КЗИ.
Наибольшее число опрошенных (37%) заявили, что недостатки в организации труда являются основной причиной и условием, способствующим нарушениям режима конфиденциальности проводимых работ. Вследствие этого меры, которые проводились по устранению или нейтрализации причин и условий, способствующих правонарушениям режима конфиденциальности, в большинстве случаев (об этом заявили 75% правонарушителей) носили организационный характер. Об этом свидетельствуют данные изучения дисциплинарной практики ряда организаций за пятилетний период. С целью исключения случаев нарушений в сфере обращения КЗИ издавались приказы и распоряжения по следующим направлениям:
• усиление воспитательно-профилактической работы (32% случаев);
• устранение недостатков пропускного и внутриобъектового режима (27%);
• предупреждение возможной утечки охраняемой информации по конкретно выявленным ВКУ КЗИ (17%);
• улучшение порядка учета, хранения и движения документов и изделий с грифом «Коммерческая тайна» (16%).
Важное значение, по мнению опрошенных лиц, допущенных к КЗИ, имеет конкретизация служебных обязанностей работников подразделений СБ и руководителей производственных подразделений в сфере сохранности коммерческих секретов. На это обстоятельство как меру предупреждения указали 42% опрошенных лиц. Одновременно они отметили слабую работу руководителей производственных подразделений по защите коммерческих секретов. Закрепление в корпоративных актах компетенции подразделений, прав и обязанностей в сфере сохранности коммерческих секретов в должностных положениях и инструкциях для каждого руководителя и исполнителя конфиденциальных работ способствует устранению дублирования, повышает личную ответственность, положительно влияет на подбор, расстановку и воспитание кадров, устраняет возможность производного толкования полномочий, как со стороны вышестоящих руководителей, так и самих работников, что в конечном итоге ведет к качественному выполнению функций, а значит, и предупреждению возможности утечки охраняемых сведений.
С целью повышения персональной ответственности представляется целесообразным внести в должностные инструкции дополнения в виде следующих формулировок: Для руководителей:
• в раздел «Обязанности» — «Выполнять и контролировать выполнение подчиненными работниками требований режима конфиденциальности в сфере обращения КЗИ»;
• в раздел «Ответственность» — «Отвечает за организацию, контроль и выполнение требований режима конфиденциальности в сфере обращения КЗИ лично и подчиненными работниками и несет юридическую ответственность в соответствии с законодательством Российской Федерации».
Для исполнителей:
• в раздел «Обязанности» — «Выполнять требования режима конфиденциальности в сфере обращения коммерчески значимой информации»;
• в раздел «Ответственность» — «Отвечает за выполнение требований конфиденциальности в сфере обращения коммерчески значимой информации и несет юридическую ответственность в соответствии с законодательством Российской Федерации». В рамках общего совершенствования структуры корпоративного управления важное значение, несомненно, приобретает совершенствование структуры подразделений, занимающихся непосредственно обеспечением режима конфиденциальности проводимых работ. Предложения по этому вопросу сводятся в основном к четкому разграничению функций отделов конфиденциального
делопроизводства и режима, что позволит высвободить часть работников, переключить их на выполнение контрольно-проверочной, воспитательной и профилактической работы» на проведение работ, связанных с автоматизацией функций СБ, на укрепление штатной численности аналитического подразделения по выявлению возможных каналов утечки охраняемой информации и разработке мер по их предупреждению, на разработку и внедрение технических и организационных средств по защите коммерческих секретов.
Повышение ответственности руководителей и работников-исполнителей конфиденциальных работ связано прежде всего с их качественным подбором, расстановкой и обучением, что имеет значение дня предупреждения утечки охраняемой информации.
Подбор кадров, как известно, заключается в выявлении, изучении и оценке кандидатур работников, наиболее полно отвечающих общим и специальным требованиям. Особое внимание следует уделять подбору кадров и оценке их деятельности с точки зрения добросовестности, знания дела и профессиональных способностей. Основополагающими предпосылками выполнения требований, предъявляемых к лицам, допускаемым к КЗИ, выступают развитие их способностей и формирование личности.
Планомерная профессиональная подготовка, непрерывное повышение квалификации кадров создает предпосылки и является гарантией того, что руководители и исполнители конфиденциальных работ смогут выполнить возложенные на них служебные обязанности и приобрести уверенность в работе по охране КЗИ.
Хорошим инструментом для проверки указанных каналов является аттестация специалистов и руководителей. В рыночных условиях должны быть учтены эффективность труда и компетентность каждого работника, в том числе и его отношение к вопросам сохранения коммерческих секретов.
Расстановка кадров — логическое продолжение деятельности по подбору работников. В полной мере следует использовать избрание по конкурсу и выбору руководителей, с тем чтобы лица, халатно относящиеся к служебным обязанностям по сохранению коммерческой тайны, не принимались на работу в организацию. В настоящее время при сохранении коммерческих секретов нельзя полагаться только на интуицию, жизненный опыт, личные способности. Нужны профессиональные базовые знания, которыми должны обладать руководители всех звеньев управления и работники СБ. Элементарные знания по вопросам защиты охраняемой информации нужны и работникам производственных подразделений, имеющих доступ к КЗИ. Представляется важным развитие методической базы обучения, концентрации внимания слушателей на осмысливании хозяйственных ситуаций. Целенаправленной должна быть подготовка преподавательских кадров. Решение этих вопросов требует координации научно-методической работы, которая ведется почти в 40 вузах (МГУ, Российский государственный гуманитарный университет, Московский государственный инженерно-физический институт (технический университет) и др.) страны.
Улучшение дисциплины исполнения во многом зависит от внедрения научной организации труда в дело обеспечения защиты коммерческих секретов. Речь идет о создании необходимых условий для работы исполнителей конфиденциальных работ и документов с целью предупреждения возможности ознакомления с этими работами посторонних лиц.
Создание необходимых условий для работы лиц, имеющих доступ к КЗИ, как меру предупреждения правонарушений в этой сфере отметили 67% опрошенных работников-исполнителей конфиденциальных работ.
Следует шире использовать накопленный еще в советский период опыт в деле обеспечения защиты секретов, изживать излишнюю внутреннюю отчетность, ненужные совещания, на которых раскрываются сведения, составляющие коммерческую тайну, неточную постановку задач. На повышение требовательности со стороны вышестоящих руководителей среднего и низшего звена как меры предупреждения указали 20% опрошенных работников-исполнителей конфиденциальных работ.
В целом нужно сказать, что 35% опрошенных указали на совершенствование контрольной и аналитической работы СБ по выявлению, пресечению и предупреждению правонарушений в сфере обращения КЗИ как эффективную меру по уменьшению опасности утечки (разглашения) охраняемой информации.
Совершенствование системы стимулирования деятельности по охране коммерческих секретов. Служба безопасности в практической деятельности столкнулась с необходимостью повышения уровня материального стимулирования, внедрения внутреннего хозрасчета в деле обеспечения сохранности коммерческих сек* ретов. Опрос работников, имеющих доступ к КЗИ, показал, что большинство из них считают эффективной мерой п реду преждения правонарушений — повышение авторитета сотрудников СБ за счет расширения их прав и улучшения материального положения. Некоторые из опрошенных прямо указали в качестве стимула', повышающего уровень работы по сохранению коммерческих секретов, установление работникам организации «надбавки за секретность». Стимулы могут быть материальными (заработная плата, премии, ссуды, льготные кредиты, бесплатное лечение, путевки, транспортные расходы и др.) и нематериальными (престижность труда, общественное признание, возможность служебного роста, дополнительный отпуск и др.). Нужно сказать, что в какой-то степени этот вопрос решается субъектами Российской Федерации в связи с принятием Закона о государственной тайне (ст. 29). Так, например, решением Правительства Москвы были установлены надбавки к должностному окладу лицам, допущенным к особой важности документам и изделиям, — 25%, совершенно секретным — 15, секретным — 10%. Средства на финансирование мероприятий по защите государственной тайны предусматриваются в федеральном бюджете Российской Федерации.
В соответствии с Законом о государственной тайне установлены надбавки работникам СБ за стаж работы в этих подразделениях, при условии, что они выполняют работы, связанные с использованием сведений, составляющих государственную тайну. Вопрос о «надбавке за конфиденциальность» решается коммерческими организациями самостоятельно в рамках устанавливаемого ими фонда заработной платы подразделениям, с учетом объема выполняемых работ по охране КЗИ. Закон «О коммерческой тайне» не устанавливает каких-либо ограничений на этот счет. Важно, чтобы, во-первых, администрация закрепила в корпоративных актах процедуру установления и выплаты надбавок, а во-вторых, дифференцированно использовала этот стимул для повышения качества работы по охране КЗИ.
Необходимо, используя надбавки, создать такие условия — экономические и организационные, которые стимулировали бы качественный, производительный труд, инициативу и предприимчивость в деле использования и охраны КЗИ. И наоборот, плохая работа, бездеятельность, безответственность — самым непосредственным образом, должны сказываться на материальном и служебном положении.