Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 50

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 50)

Особого внимания, на наш взгляд, заслуживает проведение контроля в сфере корпоративного управления безопасностью орга­низации. Основными направлениями контроля могут быть: про­верка исполнения требований законов и корпоративных актов, решений органов управления в сфере обеспечения безопасности организации и ее структурных звеньев; разработка и исполнение документов организационно-методического характера, опреде­ляющих порядок установления режима коммерческой тайны и его обеспечения; реагирование администрации на изменения в хозяйственной ситуации, имеющие негативные последствия для обеспечения безопасности, и др. Реализация этой функции, по существу, определяет правомерный и эффективный характер работы всего механизма защиты КЗИ.

На практике внимание чаще всего уделяется контролю тех сфер, где документы и изделия, содержащие КЗИ, постоянно нахо­дятся на хранении в специально выделенных помещениях, и поэтому требующие их физической сохранности, а также документы и из­делия, временно хранящиеся у исполнителей, используемые ими при выполнении производственных, коммерческих и управленческих функций. Безусловно, что каждой из названных сфер присущи свои характерные направления контроля за состоянием безопас­ности. Выборочный анализ материалов о работе организаций в этих сферах позволяет сформулировать примерные направления контрольной деятельности, которые во многом определяются спецификой самой организации.

В сфере обеспечения физической сохранности документов и из­делий в местах их постоянного хранения такими направлениями работы по контролю могут быть: выявление признаков хищения документов и изделий, содержащих КЗИ; проведение служеб­ного расследования по факту недостачи (утраты) документов и изделий; выявление фактов безучетного уничтожения или порчи документов и изделий; установление причин разрушения тех­нических и программных материальных носителей, содержащих КЗИ, и др.

Что касается документов и изделий, временно хранящихся на рабочих местах исполнителей, то основными направлениями контроля в данном случае считаются: выявление причин и об­стоятельств, способствующих изготовлению (тиражированию) документов на материальных носителях, не учтенных в СБ; пре­дупреждение использования документов лицами, не имеющими право доступа к такой информации; предупреждение выдачи документов и изделий посторонним лицам, не имеющим доступа к КЗИ организации; предупреждение несанкционированного доступа к КЗИ с использованием технических средств либо ви­зуальным путем; предупреждение утечки КЗИ при пользовании автоматизированными информационными системами, их сетями, техническими средствами связи, обработки и отображения ин­формации, а также иными информационными технологиями и средствами их обеспечения; предупреждение возможной выдачи исполнителям конфиденциальных работ избыточного объема охраняемой информации, содержащейся в документах; контроль за определением соответствия грифа «Коммерческая тайна» кон­фиденциальности выполняемых работ; предупреждение необос­нованной рассылки грифованных документов; предупреждение включения КЗИ в документы, открыто публикуемые в печати; предупреждение утечки КЗИ при регистрации и отчетности НИОКР; предупреждение утечки КЗИ при проведении служеб­ных совещаний; предупреждение утечки КЗИ при использовании технических средств, средств вычислительной техники и связи, телекоммуникадий и др., не оборудованных соответствующими системами защиты.

С учетом специфики деятельности организации и возможных изменений ее хозяйственной ситуации могут быть определены и иные направления контрольной деятельности.

Названным сферам контрольной деятельности присущи свои объекты контроля. В сфере корпоративного управ/гения безопас­ностью организации объектами контроля являются: исполнение решений общего собрания акционеров (учредителей), приказов и указаний руководителя организации по вопросам охраны ком­мерческих секретов; своевременность разработки и внедрения организационно-распорядительных документов, определяющих порядок охраны КЗИ в подразделениях; эффективность реали­зации планов мероприятий по охране КЗИ; и др.

В сфере обеспечения физической сохранности документов и изделий в местах их постоянного хранения объектами контроля являются, во-первых, это выполнение требований корпоративных норм, определяющих порядок хранения документов и изделий в специально оборудованных и охраняемых помещениях, в це­хах изготовления продукции и других местах, где проводятся исследования, опытно-конструкторские работы и испытания образцов. Во-вторых, это учет обработки документов и техниче­ской документации к разрабатываемым изделиям. В литературе большинство авторов отмечают сложившуюся на практике опре­деленную схему обработки конфиденциальных документов.

Технологическая схема обработки конфиденциальных доку­ментов включает следующие этапы: прием, первичная обработка, предварительное рассмотрение и распределение поступивших документов; традиционный учет поступивших документов и формирование справочно-информационного банка данных по документам; автоматизированный учет поступивших документов и формирование справочно-информационного банка данных по документам; оформление и учет носителей конфиденциальной информации; изготовление конфиденциальных документов; учет подготовленных конфиденциальных документов; проверка наличия документов, дел и носителей информации; уничтожение документов, дел и носителей информации . Названные этапы обработки документов в различных комбинациях могут исполь­зоваться организациями. В любом случае документооборот, со­провождающий производственную и коммерческую деятельность организации, урегулирован распорядительными документами, и требует в этой связи осуществления контроля за исполнением требований режима на каждом из этапов обработки конфиден­циальных документов.

В сфере обеспечения физической сохранности документов и изделий, временно хранящихся на рабочих местах исполнителей, объектами контроля могут быть: соблюдение порядка распреде­ления охраняемой информации по уровням управления органи­зацией и ее подразделениями, а также разграничение доступа работников к КЗИ, необходимой им для выполнения трудовых обязанностей; обоснование доступа работников к различным видам документов и изделий, содержащих КЗИ; исполнение требований режима конфиденциальности при пользовании до­кументами на рабочих местах в процессе выполнения НИОКР, изготовления опытных образцов; соблюдение процедуры оформ­ления конфиденциальных номенклатурных дел, состоящих их традиционных бумажных и магнитных носителей, и другие объ­екты контроля в этой сфере.

Процесс определения объектов контроля связан с выбором сил и средств, которые могут быть задействованы в контроль­ной деятельности. Такой деятельностью в основном занимаются работники службы безопасности и руководители различных уровней управления в силу возложенных на них трудовых обя­занностей. На общественных началах (нештатные работники) при создании условий надлежащего материального стимулирования в подразделениях приказом руководителя назначаются лица, которые участвуют в работе различных комиссий (экспертные, постоянно-действующие технические комиссии и др.). Комиссии создаются для проверки состояния режима КЗИ в конкретном подразделении или на отдельном направлении деятельности организации (например, выполнение НИОКР, заключение ком­мерческих сделок и др.).

Периодичность и сроки проведения контрольных проверок устанавливаются, как правило, отдельно для каждого объекта контроля с учетом специфики сферы и направления контроль­ной деятельности. В этой связи трудно переоценить значение проектирования системы контроля. Суть этой работы состоит в определении и утверждении руководством организации оп­ределенного алгоритма действий для решения задач контроля, который на практике условно обозначается как регламент кон­трольных работ.

Для каждого уровня управления системой охраны КЗИ харак­терными являются правила, регулирующие порядок контрольной деятельности. В частности, различают регламенты контрольных работ, проводимых в рамках всей организации, дочернего (зависи­мого) общества, структурного производственного подразделения, аппарата управления, также подразделений, входящих в состав СБ (подразделения конфиденциального делопроизводства, ре­жима, охраны, противодействия конкурентным разведкам и др.). Независимо от уровня управления регламент контрольных работ позволяет накапливать информацию об объеме контроля и пери­одичности его проверки, о составе лиц, которые осуществляли контроль на основании корпоративных норм с использованием конкретных методик контроля, о результатах контроля (выяв­ленных нарушениях в сфере обращения КЗИ).

Использование регламента контрольных работ важно и для предупреждения правонарушений в сфере обращения КЗИ. С учетом периодичности контроля (например, каждый день по окончании рабочего дня, еженедельно или ежемесячно), такая работа позволяет, во-первых, установить фактическое положе­ние дел в сфере охраны КЗИ в местах постоянного хранения документов, на рабочих местах при выполнении НИОКР, изго­товлении продукции, при заключении сделок и др. Во-вторых, судить о том, кто из субъектов осуществлял контроль, и какие методики при этом были использованы. В-третьих, выявить час­тоту нарушении норм корпоративного и трудового права, степень возможного причинения ущерба организации вследствие утраты документов, содержащих КЗИ либо утечки такой информации к конкурентам. В-четвертых, данные контроля используются для усовершенствования системы мер по установлению режима и его обеспечению. В-пятых, использование регламента с учетом постоянно меняющейся хозяйственной ситуации требует регуляр­ного внесения в него изменений и дополнений в части выбора объектов, использования сил и средств контроля.

Таким образом, проектирование в любой организации системы контроля в сфере обращения КЗИ включает взаимосвязанные этапы разработки необходимых распорядительно-методических документов, установления сфер, направлений и объектов конт­роля, выбора возможных субъектов и определения средств кон­троля, применения регламента контрольных работ на различных уровнях управления организацией.

Общая характеристика систем контроля в организациях. В организациях функционируют различные системы контроля в сфере обращения КЗИ. Многие из них были разработаны еще в советский период и успешно применяются с использованием современных технологий в настоящее время. Системы контроля в рассматриваемой сфере являются частью управленческих ин­формационных систем контроля, описывающих систему управ­ления организации с помощью сбалансированных показателей ее деятельности. Их техническое и программное обеспечение напрямую зависит от используемых организацией базовых тех­нологий информационных систем.

Система контроля за обеспечением безопасности организации в ее функциональном выражении представляет собой единый механизм, который характеризуется внутренним единством, включает различные, относительно самостоятельные, но взаи­мосвязанные и дополняющие друг друга системы, работающие на различных уровнях иерархии.

Опираясь на многолетний опыт, накопленный организациями в сфере обеспечения режима охраняемой информации, в учебнике дается характеристика некоторых систем контроля.

Система коллективного контроля предназначена для на­блюдения за исполнением корпоративных требований в части обеспечения режима конфиденциальности работ, выполняемых в подразделениях организации. Основой системы является накапливаемая база данных, в которой содержатся данные о выполнении режимных требований, подлежащих контролю (объект контроля). База данных используется для удовлетворения информационных потребностей пользователей, осуществляющих контроль (субъект контроля) с учетом периодичности выполнения контрольных операций. Внесение информации в базу данных о выполнении режимных требований осуществляется работниками, уполномоченными руководителями подразделений СБ.

Электронная картотека ведется СБ или одним из ее подраз­делений. Администратором базы данных является, как правило, начальник или заместитель начальника подразделения СБ, который ознакомлен с функциями персонала, участвующего в охране КЗИ, осуществляет доступ пользователей к базе данных с учетом установленных ограничений, поддерживает технологию обеспечения безопасности данных. Он осуществляет постановку документов на контроль, напоминает исполнителям о прибли­жении сроков окончания работы, вносит в картотеку данные о состоянии исполнения режимных требований, поступающих от руководителей подразделений, информирует руководство орга­низации о ходе исполнения режимных требований и причинах их нарушения, вносит по необходимости изменения в сроки исполнения задания и состав работников-исполнителей, сни­мает по решению руководства с контроля, ранее установленные режимные требования. Обязательной функцией администратора является подготовка итоговых документов по результатам кон­троля с анализом состояния дисциплины и возможных потерь, которые могут наступить вследствие неисполнения режимных требований.

Данная система контроля с использованием ЭВМ позволяет вести оперативный контроль за исполнением режимных требо­ваний, корректировать действия персонала, закрепленного за конкретными объектами контроля, накапливать информацию о функционировании системы контроля и вести анализ эффек­тивности этой работы.

Следующей системой, которая достаточно давно используется в организациях, является автоматизированная система контроля исполнения документов^ содержащих КЗИ. Эта система представ­ляет собой комплекс взаимосвязанных правил, определяющих разрешительный порядок выдачи заданий работникам и их доступа к документам, проверки сроков и качества их исполнения, а так­же процедуры автоматизированной обработки контролируемой информации¹. Система позволяет оценивать уровень исполни­тельной дисциплины с использованием коэффициента качества работы, включающем такие критерии, как своевременность вы­полнения задания и его значимость для организации. Функциони­рование системы предполагает кодирование объектов и субъектов контроля, разработку форм документов, прием и оценку данных о фактическом исполнении документов.

Возможности этой системы используются в деятельности СБ, которая осуществляет контроль за соблюдением формальных процедур, связанных с передачей документов, содержащих КЗИ в подразделения, и ознакомлением с ними работников-испол­нителей. Решение этой задачи осложняется тем, что в крупных организациях имеются обособленные структурные подразделения, часто расположенные территориально в различных субъектах Российской Федерации. В этих условиях без организации эф­фективной системы контроля за обращением грифованных доку­ментов увеличивается опасность утечки охраняемой информации. Контроль за исполнением документов ведется централизованно работниками конфиденциального делопроизводства основного общества с участием представителей филиалов и дочерних об­ществ. Определяется последовательность прохождения докумен­тов по обособленным подразделениям и порядок ознакомления с ними исполнителей. Указываются сроки возврата документов. Такой порядок позволяет контролировать процесс прохождения документов, содержащих КЗИ, иметь данные о месте их нахож­дения и осуществлять координацию действий работников по срокам исполнения.

На практике достаточно распространенной является система контроля за соблюдением режима конфиденциальности информации при осуществлении организацией внешних связей. Контроль за обес­печением режима КЗИ при проведении совместных работ с кон­трагентами ведется на основании заключенных договоров между организациями, с учетом принятых сторонами обязательств по соблюдению условий конфиденциальности. В договоре или в от­дельных документах, прилагаемых к нему, определяются сферы, направления и объекты контроля, круг работников, участвующих в совместных работах, их доступ к определенным категориям КЗИ, указываются процедуры контроля за реализацией мер по охране конфиденциальности информации. Важно отметить, что система в этом плане может выполнять предупредительную роль,

т.е. фиксировать несанкционированные контакты участников, выполняющих совместные работы, с лицами, не имеющими к ним отношения. Решение задачи по созданию такой системы видится в предварительном согласовании с контрагентами режимных требований, которые в одинаковой степени будут соблюдаться сторонами. Желательно, чтобы письменная договоренность об этом была достигнута перед подписанием договора о совместной работе. Такой порядок позволит СБ предварительно организовать работу по установлению режима коммерческой тайны в подраз­делениях, которые будут участвовать в совместных работах.

Нами были рассмотрены лишь общие принципиальные по­ложения, касающиеся работы отдельных систем контроля, отде­льные элементы которых используются при формировании сис­темы контроля за деятельностью работников-исполнителей в сфере обращения КЗИ. В ряде организаций используются с применением ЭВМ различные модифицированные варианты универсальной автоматизированной системы контроля исполнения (УАСКИ), которая была разработана и внедрена в 1970-х гг. на большин­стве предприятий промышленности, торговли, строительства и транспорта . Система УАСКИ позволяла на функциональном уровне упорядочить выдачу заданий и контроль за сроками их исполнения, учет оценки качества выполнения заданий, опре­делять текущие значения обобщающих показателей качества работы, готовить предложения по материальному стимулирова­нию и повышению качества работы. Система УАСКИ являлась непременной частью комплекса обшей системы управления предприятием. Принципы этой системы были использованы при внедрении ЭВМ в практику работы РСО отдельных предприятий. Автоматизированный контроль исполнения корпоративных реше­ний продолжает оставаться актуальным и в рыночных условиях. Эта система и сегодня успешно применяется СБ на основе ис­пользования принципов линейного контроля в общей структуре управления информационными системами.

Проектирование такой системы ориентировано на предметную область контроля за исполнением мероприятий в сфере безопас­ности организации и состоянием качества работы исполнителей по охране КЗИ. Принцип линейного контроля позволяет ру­ководителям различных уровней систематически осуществлять контроль за выполнением работниками трудовых обязанностей, вытекающих из корпоративных актов и гражданско-правовых

Характеристики

Список файлов книги