Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 48
Текст из файла (страница 48)
в них сведений; привитие работникам навыков ответственного отношения к информации, защищаемой в интересах собственника; и др.
Реализация названных функций контроля по установлению режима коммерческой тайны и его обеспечению связана с соблюдением определенных принципиальных требований, предъявляемых к его осуществлению. Контроль по возможности должен быть, во-первых, всеобъемлющим, т.е. охватывать все направления деятельности, по которым ведется работа, связанная с использованием и охраной сведений, имеющих коммерческую значимость для собственника организации. Во-вторых, планомерным, т.е. мероприятия по введению правового режима охраны КЗИ и контроля за их исполнением должны находить отражение не только в планах работы подразделений СБ, но и в структурных подразделениях организации, а также быть доведены до конкретных исполнителей. В-третьих, целенаправленным, т.е. предусматривать достижение конкретных и перспективных целей по всем направлениям работы в сфере правового обеспечения информационной безопасности организации. В-четвертых, объективным, т.е. основанным не на личных взглядах и суждениях, а на основе анализа выполнения требований, установленных корпоративными актами. В-пятых, доказательным, т.е. основанным на конкретных фактах, документах и событиях, а не на догадках, домыслах и предположениях
Обобщение и анализ практики ведения контроля за порядком установления режима коммерческой тайны и его обеспечением позволяют выделить следующие его характерные недостатки, которые чаще всего имеют место в организациях.
2. Контрольная работа не всегда ориентирована на происходящие изменения в хозяйственной ситуации, которые требуют в этой связи совершенствования действующей системы обеспечения безопасности организации за счет внедрения информационных технологий, использования научных методов охраны конфиденциальности информации.
3. Контроль часто направлен не на предупреждение, а на фиксацию уже допущенных недостатков, а то и правонарушений, в деятельности, связанной с использованием и охраной КЗИ. При этом выявляются такие недостатки, которые устранить уже невозможно, либо нецелесообразно в силу увеличения затрат на поддержание системы охраны КЗИ в рабочем состоянии.
4. Не ведется должной работы по устранению или нейтрализации причин возникновения недостатков, выявленных в ходе контроля. В результате одни и те же нарушения фиксируются при каждой очередной проверке.
5. Нарушается принцип планового проведения контроля. Это выражается в том, что комплексные проверки и обследования состояния режима КЗИ по отдельным направлениям (канал внешнеторговых операций, проведение НИОКР и др.) ведутся после возникновения чрезвычайных происшествий или иных негативных явлений, возникающих в процессе обращения КЗИ.
Устранение названных недостатков требует соблюдения ряда условию-
• о привлечении к проведению контроля ведущих специалистов по соответствующим направлениям деятельности организации, которые профессионально могут расширить предметную сферу контроля и обеспечить его более высокое качество за счет использования знаний и умений;
• повышении уровня знаний и умений лиц, ведущих контроль путем обучения их использованию передовых технологий и методик контроля;
• проведении исследований эффективности контроля на определенных направлениях и этапах работы по установлению режима коммерческой тайны и его обеспечению и разработка на этой основе мер по совершенствованию корпоративного регулирования и улучшения практики применения контроля в рассматриваемой сфере.
Существенное значение для получения объективной информации о состоянии режима обеспечения безопасности имеет правильное использование известных науке методов контроля1. Состояние и поведение объекта контроля определяется с помощью общих методов, а отдельных его характеристик — с помощью частных методов. Отдельные пространственные, временные, количественные, качественные и структурные характеристики объекта контроля познаются с помощью частных методов контроля.
К ним относятся такие методы, как счетный, визуальный, сравнения, инвентаризации и другие, используемые в контрольной деятельности. С помощью названных методов осуществляется, например, контроль за наличием охраняемых собственником документов, правильностью и обоснованностью записей в учетных материалах об их движении.
Изучение состояния обеспечения безопасности организации требует получение его характеристики с использованием общих методов контроля. К ним относятся предварительный, направляющий, фильтрующий и последующий контроль. Рассмотрим возможность использования названных методов в сфере обращения КЗИ. Метод предварительного контроля используется на стадии формирования нового направления деятельности организации, разработки, проектирования какого-либо вида (модернизации) изделий, в процессе которых будет использоваться КЗИ. С его помощью устанавливается правильность сформулированных целей, достоверность и точность прогнозов об объекте контроля для определения сил и средств, стратегии и тактики контрольной деятельности в сфере обеспечения безопасности организации. Метод направляющего контроля используется непрерывно СБ с момента начала действий по слежению за состоянием контролируемого объекта до момента достижения цели. Это может быть начало коммерческих переговоров и подписание договора по их завершению. В ходе направляющего контроля осуществляется сравнение и оценка позиций участников коммерческих переговоров, состояние поведения объекта контроля, корректирующее воздействие на их поведение в целях решения поставленных собственником (руководством) задач. Циклы направляющего контроля могут многократно повторяться для достижения целей запланированного результата.
Метод фильтрующего контроля применяется на определенных, узловых этапах деятельности по установлению режима коммерческой тайны и его обеспечению. Чаще всего этот метод применяется в управленческой деятельности, связанной, например, с визированием в различных подразделениях, включая и СБ, рассылаемых грифованных документов, содержащих КЗИ. Метод последующего контроля применяется для определения результатов эффективности работы по охране конфиденциальности КЗИ на различных этапах ее обращения. Примером применения этого метода на практике является проведение ежегодной проверки наличия грифованных документов, содержащих КЗИ.
В практической деятельности осуществляется, как правило, комплексное применение перечисленных методов контроля.
Выборочный анализ деятельности организаций показывает, что применяются самые различные виды и формы контроля, выбор которых зависит от намечаемых целей и задач контроля применительно к конкретным объектам и предметам контроля. Наибольшее распространение получили такие виды проверок, как плановые, внеплановые, разовые, внезапные, сплошные, выборочные, целевые, комплексные и другие, а также использование различных форм контроля как: обследование, проведение конкурсов, социологических исследований, заслушивание руководителей подразделений и обсуждение их отчетов о состоянии режима КЗИ, оценка и учет такой работы при аттестации работников, прием зачетов по знанию требований законодательства и корпоративных актов в сфере обеспечения информационной безопасности на конкретном объекте организации. Их особенности следует учитывать при создании системы контроля в организации.
Важное значение для понимания контроля, осуществляемого в рамках организации, имеет учет сил и средств, обеспечивающих реализацию контрольной функции. Традиционно в организациях сложилась практика, когда контроль за установлением режима коммерческой тайны и его обеспечением осуществляют собственники (акционеры, учредители), руководители высшего звена управления, руководители структурных подразделений, и иных звеньев управления, где непосредственно обращается КЗИ, работники, выполняющие наряду с основной работой контрольные функции по роду своей работы, и работники СБ, профессионально занимающиеся этими вопросами.
Создание эффективной системы контроля в организации зависит не только от имеющихся подготовленных кадров, умеющих вести контроль, проявляющих творчество и инициативу, но и от наличия организационно-правовых, технических и иных средств контроля, обеспечивающих сбор, получение, систематизацию и обработку информации об объектен предмете контроля. Качество получаемой информации находится в прямой зависимости от четкого определения обязанностей, прав и ответственности работников, осуществляющих контроль за обращением КЗИ на своем участке работы. Здесь важным является не только формальное включение этих условий в трудовой договор, но и конкретизация обязанностей работника в должностных инструкциях.
К средствам контроля относятся: корпоративные акты и иные документы, определяющие порядок ведения контроля (положения, инструкции, графики, планы, памятки и т.п.); средства оргтехники (карточки, картотеки и др.); технические средства связи (телефоны, телефаксы и др.) и различные виды сигнализации: средства снятия я отображения информации (теле- и видеокамеры и др.): системы обработки информации (ЭВМ и др.).
Использование сил и средств, обеспечивающих реализацию контрольной функции, зависит от сложившейся в организации хозяйственной (оперативной обстановки), ситуации, которая требует от руководителей соответствующих распоряжений и действий. В связи с этим можно говорить о начале процесса контроля1, который можно рассматривать как упорядоченную деятельность по ведению слежения уполномоченными липами за установлением режима коммерческой тайны него обеспечением на основе корпоративных актов, использования соответствующих принципов, методов и технологий. Процесс контроля характеризуется своей содержательной частью, которая позволяет убедиться в том, что происходит в процессе контроля, организационной, отвечающей на вопрос — кем, гае и когда производился контроль. И. наконец, технологическая составляющая процесса контроля, объясняет — каким образом, и в какой последовательности следует выполнять контрольные функции.
Структурно процесс контроля может быть представлен в виде следующих взаимосвязанных элементов: определение источников информации, от которых будут поступать сведения о состоянии объекта контроля; фиксирование контролируемых характеристик объекта; систематизация, обработка и получение контрольной информации; принятие решений по итогам контроля в зависимости от предоставленных полномочий; выработка и осуществление корректирующего действия на подконтрольный объект.
Названными элементами определяются основные стадии контроля.
• фиксации существующего состояния контролируемого объекта в данный период времени (первая стадия);
• исследования, состоящего в определении с применением научных методов, критериев соответствия фактического состояния объекта корпоративным нормам, а также формулировании выводов и предложений, необходимых для принятия решения (вторая стадия);
• реализации полученных данных для корректирующего воздействия на объекты контроля.
В практической деятельности осуществляется, как правило, комплексное применение перечисленных методов контроля.
Выборочный анализ деятельности организаций показывает, что применяются самые различные виды и формы контроля, выбор которых зависит от намечаемых целей и задач контроля применительно к конкретным объектам и предметам контроля. Наибольшее распространение получили такие виды проверок, как цдановые, внеплановые, разовые, внезапные, сплошные» аыбо-рочные, целевые, комплексные и другие, а также использование различных форм контроля как: обследование, проведение конкурсов, социологических исследований, заслушивание руководителей подразделений и обсуждение их отчетов о состоянии режима КЗИ, оценка и учет такой работы при аттестации работников, прием зачетов по знанию требований законодательства и корпоративных актов в сфере обеспечения информационной безопасности на конкретном объекте организации. Их особенности следует учитывать при создании системы контроля в организации.
Важное значение для понимания контроля, осуществляемого в рамках организации, имеет учет сил и средств, обеспечивающих реализацию контрольной функции. Традиционно в организациях сложилась практика, когда контроль за установлением режима коммерческой тайны и его обеспечением осуществляют собственники (акционеры, учредители), руководители высшего звена управления, руководители структурных подразделений, и иных звеньев управления, где непосредственно обращается КЗИ, работники, выполняющие наряду с основной работой контрольные функции по роду своей работы, и работники СБ, профессионально занимающиеся этими вопросами.
Создание эффективной системы контроля в организации зависит не только от имеющихся подготовленных кадров, умеющих вести контроль, проявляющих творчество и инициативу, но и от наличия организационно-правовых, технических и иных средств контроля, обеспечивающих сбор, получение, систематизацию и обработку информации об объекте и предмете контроля. Качество получаемой информации находится в прямой зависимости от четкого определения обязанностей, прав и ответственности работников, осуществляющих контроль за обращением КЗИ на своей участке работы. Здесь важным является не только формальное включение этих условий в трудовой договор, но и конкретизация обязанностей работника в должностных инструкциях.
К средствам контроля относятся: корпоративные акты и иные документы, определяющие порядок ведения контроля (положсния, инструкции, графики, планы, памятки и т.п.); средства оргтехники (карточки, карийски и др.); технические средства спя <и (телефоны, телефаксы и др.) и различные виды сигнализации; средства снятия и отображения информации (теле и видеокамеры И Др.); СИСТеМЫ обработки информации (ЭВМ и др.).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
