Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 47
Текст из файла (страница 47)
собственника, который наделяет соответствующие органы управления и отдельных лиц полномочиями по реализации контроля над трудовым процессом, включая и контрольные функции в сфере обращения КЗИ.
Контроль в сфере обращения КЗИ следует рассматривать как действия по установлению состояния защищенности жизненно важных интересов организаций в информационной сфере от внутренних и внешних угроз, как организацию системы получения данных о состоянии работы по защите КЗИ, как осуществление проверок качества и своевременности выполнения требований по сохранению коммерческой тайны, включая сведения, составляющие государственную тайну, переданные в порядке выполнения госзаказа, а также персональные данные работников.
Контроль за функциональными направлениями деятельности организации осуществляется собственниками или уполномоченными ими лицами в соответствии с их полномочиями, определенными в ГК РФ, иных законах и корпоративных актах (устав, учредительный договор и др.). В зависимости от объема контролируемой информации в коммерческой организации на различных ее уровнях управления создаются специализированные органы защиты информации, получившие название «службы безопасности» (СБ), которые выполняют функцию контроля.
Сферами контрольной деятельности являются разработка и осуществление мер по защите охраняемой собственником или уполномоченным им лицом информации, которая специально выделяется как имеющая коммерческую значимость. Эта информация используется и охраняется в различных видах научно-производственной, управленческой, коммерческой и иной деятельности. В этой связи контроль можно рассматривать, во-первых, как функцию управления предприятием и его структурными подразделения* ми в области информационной безопасности, выражающейся в целенаправленной деятельности руководителей различных звеньев, направленной на защиту частных интересов организации. Во-вторых, контроль как завершающая стадия процесса производства и обмена товаров (торговли), включая маркетинг, ценообразование, финансы, планирование, бухгалтерский учет, управление персоналом и др. В-третьих, контроль как неотъемлемая часть любой выполняемой работы и оказываемой услуги, связанной с использованием КЗИ, и в этой связи его проведение связано с принятием решений по обеспечению информационной безопасности на уровне структурного подразделения или организации в целом.
Такой подход к раскрытию понятия контроля в сфере информационной безопасности организации предметно связан с обращением КЗИ и позволяет избежать распространенной ошибки, когда контроль связывается только с деятельностью СБ и рассматривается лишь как средство обнаружения недостатков в данной сфере. Возможности контроля значительно шире. Он может рассматриваться прежде всего как средство активного побуждения к дозволительным действиям лиц, вовлеченных в сферу обращения КЗИ; как один из основных инструментов получения данных о состоянии производственных процессов и совершения коммерческих сделок, работ и услуг, связанных с использованием КЗИ и ее охраной, как важнейший рычаг управления в сфере обеспечения безопасности организации.
Важное место в системе контроля занимают объект и субъект контроля1. К числу объектов контроля в сфере обращения КЗИ могут быть отнесены системы производства, маркетинга, планирования, трансакционные издержки при заключении сделок, и другие их элементы, а также отдельные процессы, и операции. Примерами подконтрольных объектов можно назвать процесс разработки изделий с охраняемыми параметрами, обращения документов, содержащих КЗИ и порядок доступа к ним, соблюдение требований конфиденциальности при использовании документации на рабочих местах при сборке изделий и др.
Субъектом контроля выступает человек, причем контролем могут заниматься отдельно уполномоченное ответственное лицо, группа лиц либо специализированное подразделение СБ, которые осуществляют возложенные на них в соответствии с корпоративными нормами, трудовым договором, контрольные функции. Примером контроля, где субъектом выступает отдельное лицо является ежедневная проверка руководителем подразделения либо работником СБ правильности И обоснованности учета движения документов, Имеющих гриф «Коммерческая тайна».
Группа лиц, назначенных приказом руководителя организации для участия в комиссии по проверке состояния режима КЗИ в каком-либо структурном подразделении, выступает самостоятельным субъектом контроля. Результаты их контрольной деятельности отражаются в специально составляемом акте, который служит основанием для принятия решения. То же самое можно сказать и о группе акционеров, контролирующих использование конфиденциальной информации в интересах акционерного общества.
Субъектом контроля, помимо подразделения СБ, может быть и головная организация, которая по договору с дочерним или зависимым обществом осуществляет прочерку состояния его информационной безопасности.
По характеру взаимодействия и уровню управления, на котором находится субъект контроля, различают внутренний и внешний контроль. Внутренним считается такой контроль, когда субъект и объект входят в одну систему, а внешним*— когда они находятся на разных уровнях управления.
Например, проверка состояния сохранности коммерческих секретов дочернего общества будет внешним контролем, а проверка руководителем структурного подразделения или лицом, им уполномоченным состояния охраны КЗИ в подразделении — внутренним контролем.
В зависимости от задач, решаемых субъектами контроля, и предоставленных им субъективных прав различают линейный, функциональный и операционный типы контроля. При линейном контроле общее собрание акционеров принимает решение о состоянии обеспечения информационной безопасности общества. При функциональном — контролируется отдельное направление, например обращение в организации документов с I рифом «Коммерческая тайна». Получение характеристики состояния режима КЗИ по конкретной НИОКР или коммерческой сделке возможно при использовании операционного типа контроля. От объекта контроля следует отличать предмет контроля, т.е. то главное, существенное, что позволяет субъекту судить о состоянии объекта контроля. Для организации объектом контроля могут быть различные виды работ, при выполнении которых используется КЗИ. Предметом контроля в данном случае будет соблюдение корпоративных норм, регулирующих процесс обращения КЗИ при выполнении работ. Предмет контроля определяется для каждой системы контроля и для каждого объекта контроля. Например, в службе безопасности организации может быть создана отдельная система контроля за исполнением конфиденциальных документов. Объектом контроля в данном случае являются документы, имеющие гриф «Коммерческая тайна», а предмет контроля — сроки их исполнения конкретными работниками.
Изучение состояния работы по установлению режима коммерческой тайны и его обеспечению предполагает правильной выбор целей, определение задан и функций контроля. Цель кон* траля в сфере правового обеспечения безопасности состоит в обеспечении единства решений и их исполнения на основании
Такой подход к раскрытию понятия контроля в сфере информационной безопасности организации предметно связан с обращением КЗИ и позволяет избежать распространенной ошибки, когда контроль связывается только с деятельностью СБ и рассматривается лишь как средство обнаружения недостатков в данной сфере. Возможности контроля значительно шире. Он может рассматриваться прежде всего как средство активного побуждения к дозволительным действиям лиц, вовлеченных в сферу обращения КЗИ; как один из основных инструментов получения данных о состоянии производственных процессов и совершения коммерческих сделок, работ и услуг, связанных с использованием КЗИ и ее охраной, как важнейший рычаг управления в сфере обеспечения безопасности организации.
Важное место в системе контроля занимают объект и субъект контроля1. К числу объектов контроля в сфере обращения КЗИ могут быть отнесены системы производства, маркетинга, планирования, трансакционные издержки при заключении сделок, и другие их элементы, а также отдельные процессы, и операции. Примерами подконтрольных объектов можно назвать процесс разработки изделий с охраняемыми параметрами, обращения документов, содержащих КЗИ и порядок доступа к ним» соблюдение требований конфиденциальности при использовании документации на рабочих местах при сборке изделий и др.
Субъектом контроля выступает человек, причем контролем могут заниматься отдельно уполномоченное ответственное лицо, группа лиц либо специализированное подразделение СБ, которые осуществляют возложенные на них в соответствии с корпоративными нормами, трудовым договором, контрольные функции. Примером контроля, где субъектом выступает отдельное лицо является ежедневная проверка руководителем подразделения либо работником СБ правильности и обоснованности учета движения документов, имеющих гриф «Коммерческая тайна».
Группа лиц, назначенных приказом руководителя организации для участия в комиссии по проверке состояния режима КЗИ в каком-либо структурном подразделении, выступает самостоятельным субъектом контроля. Результаты их контрольной деятельности отражаются в специально составляемом акте, который служит основанием для принятия решения. То же самое можно сказать и о группе акционеров, контролирующих использование конфиденциальной информации в интересах акционерного общества.
Субъектом контроля, помимо подразделения СБ, может быть и головная организация, которая по договору с дочерним или зависимым обществом осуществляет проверку состояния его информационной безопасности.
По характеру взаимодействия и уровню управления, на котором находится субъект контроля, различают внутренний и внешний контроль. Внутренним считается такой контроль, когда субъект и объект входят в одну систему, а внешним — когда они находятся на разных уровнях управления.
Например, проверка состояния сохранности коммерческих секретов дочернего общества будет внешним контролем, а проверка руководителем структурного подразделения или лицом, им уполномоченным состояния охраны КЗИ в подразделении — внутренним контролем.
В зависимости от задач, решаемых субъектами контроля, и предоставленных им субъективных прав различают линейный, функциональный и операционный типы контроля. При линейном контроле общее собрание акционеров принимает решение о состоянии обеспечения информационной безопасности общества. При функциональном — контролируется отдельное направление, например обращение в организации документов с грифом «Коммерческая тайна». Получение характеристики состояния режима КЗИ по конкретной НИОКР или коммерческой сделке возможно при использовании операционного типа контроля. От объекта контроля следует отличать предмет контроля, т.е. то главное, существенное, что позволяет субъекту судить о состоянии объекта контроля. Для организации объектом контроля могут быть различные виды работ, при выполнении которых используется КЗИ. Предметом контроля в данном случае будет соблюдение корпоративных норм, регулирующих процесс обращения КЗИ при выполнении работ. Предмет контроля определяется для каждой системы контроля и для каждого объекта контроля. Например, в службе безопасности организации может быть создана отдельная система контроля за исполнением конфиденциальных документов. Объектом контроля в данном случае являются документы, имеющие гриф «Коммерческая тайна», а предмет контроля — сроки их исполнения конкретными работниками.
Изучение состояния работы по установлению режима коммерческой тайны и его обеспечению предполагает правильной выбор целей, определение задач и функций контром. Цель контроля в сфере правового обеспечения безопасности состоит в обеспечении единства решений и их исполнения на основании правовых актов и корпоративных норм, получении достоверной информации о состоянии предупредительной деятельности на каналах возможной утечки КЗИ и внесении соответствующих корректив в эту деятельность с использованием различных правовых средств.
Общими задачами контроля в этой связи являются: оценка научной обоснованности и практической целесообразности установления мер правового режима КЗИ; определение фактического состояния подконтрольного объекта в целом или его частей в конкретный период времени для получения исходной информации об оперативной обстановке в подразделении и в организации в целом; установление хода выполнения плановых мероприятий и соблюдения сроков их проведения по охране конфиденциальности КЗИ; прогнозирование состояния и способности нормального функционирования подконтрольного объекта на период выполнения работ и оказания услуг, содержащих КЗИ; получение, накопление, обработка и анализ данных о функционировании отдельных элементов и всей системы охраны КЗИ в организации; выявление и определение необходимости использования имеющихся внутренних резервов для охраны отдельных направлений обращения КЗИ; изучение опыта других организаций по использованию и охране КЗИ; анализ деловых качеств и уровня профессиональной подготовки кадров, работающих в области правового обеспечения информационной безопасности; и др.
Исходя из общих задач могут быть определены частные и конкретные задачи по каждому подконтрольному объекту с учетом полномочий, предоставленных субъекту.
Цель и задачи контроля предопределяют функции субъектов контроля, которые реализуются ими в ходе практической деятельности. К числу основных функций контроля следует отнести: наблюдение за ходом работ, связанных с использованием и охраной КЗИ; установление причин и обстоятельств, которые могут привести к утечке коммерческих секретов в структурном подразделении и в организации; оказание помощи структурным подразделениям и работникам-исполнителям конфиденциальных работ в реализации мер правового режима КЗИ; вскрытие недостатков в использовании правовых средств в сфере обращения КЗИ; оказание воспитательного воздействия на формирование чувства «фирменного патриотизма» за сохранность доверенных работникам коммерческих секретов; обучение работников правильным действиям при обращении с конфиденциальными документами и использовании по назначению, содержащихся
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
