Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 53

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 53)

в организации, хозяйственной ситуации; уровень управления системой обеспечения безопасности и его соответствие целям и задачам организации.

Контрольные вопросы

1. Объясните, в чем заключается специфика контроля в об­ласти защиты информации?

2. Определите сферы контрольной деятельности, объект и субъект контроля в сфере обращения КЗИ.

3. Сформулируйте цели, задачи и функции контроля в сфере обращения КЗИ.

4. Какие виды, формы и методы контроля используются для получения объективной информации о состоянии режима обес­печения безопасности организации?

5. Расскажите о процессе и основных стадиях контроля в сфе­ре обращения КЗИ.

6. Раскройте сущность проектирования системы контроля в сфере обращения КЗИ.

7. Дайте общую характеристику систем контроля в информа­ционной сфере коммерческой организации.

8. Расскажите о направлениях выбора организацией техноло­гий контроля.

Глава 12

Аналитическая работа в сфере обращения КЗИ

§ 1. Сущность и функции аналитической работы

Деятельность любой коммерческой организации требует на­дежного комплексного правового, организационного и информа­ционно-аналитического обеспечения. Принятие управленческих решений базируется на получении качественной, достоверной и своевременной информации о различных сферах деятельности конкурентов с целью получения конкурентных преимуществ. Такая информация может быть получена организацией путем ве­дения конкурентной разведки и противодействия недозволенным законом способам промышленного шпионажа, используемым конкурентами. Конкурентная разведка ведется, как правило, с легальных позиций путем анализа открытых опубликованных источников информации.

Нужно отметить, что понятие «конкурентная разведка» посте­пенно входит в лексику рыночной экономики России. Происхо­дит своего рода «конверсия» государственных разведывательных технологий в сферу деятельности коммерческих организаций. В открытой печати появляется все больше статей, посвященных этой проблеме.

Новые информационные технологии значительно облегчают решение задачи поиска информации. Относительная дешевизна доступа к информационным ресурсам типа Интернет, базам данных, системам поиска информации позволяет работникам организации готовить качественные материалы, пригодные для принятия решений. Стратегические решения по достижению конкурентных преимуществ на рынке принимаются организа­цией с учетом наличия собственной базы данных, часть которой составляет КЗИ, защищаемая от промышленного шпионажа.

Учитывая потенциальную возможность получения конкурента­ми КЗИ с использованием различных способов промышленного шпионажа, организации должны предпринимать адекватные меры по предупреждению утечки (разглашения) таких сведе­ний. Важнейшим направлением решения этой задачи является осуществление аналитической деятельности в сфере обращения КЗИ. Аналитическая деятельность в этой сфере тесно связана с правовой работой¹. Она направлена на поиск и объяснение фактов правонарушений, совершаемых в сфере обращения КЗИ, причем на ранней стадии их обнаружения, в ходе проведения контрольной работы. Результаты АИ в этой сфере позволяют судить о состоянии обеспечения информационной безопасности в подразделениях и в целом организации, о фактах, свидетель­ствующих о возникновении угроз и связанных с ними каналах возможной утечки КЗИ, о причинах и условиях, способствую­щих совершению правонарушений в этой сфере, формулировать научно обоснованные рекомендации о возможных вариантах действий руководства относительно устранения последствий утечки КЗИ и о принятых мерах предупреждения нарушений в сфере обращения КЗИ.

В этой связи представляется важным раскрытие сущности аналитической работы, занимающей центральное место в систе­ме научно-методического обеспечения деятельности по охране конфиденциальности информации. Выполнение аналитической работы в сфере обращения КЗИ требует использования опре­деленных способов и приемов, которые составляют методоло­гический аппарат. В науке принято различать общую и частную методологию. В философской литературе под общей методологией науки понимается учение о методах познания и преобразования действительности. В различных отраслях юридического знания используется частная методология. Цивилистической науке при­сущи свои способы и приемы, которые используются для анализа и познания ее предмета и получения необходимого результата². Судя по большинству публикаций в юридической литературе, следует отметить, что содержание общенаучных и частнонауч-ных методов познания не претерпело существенных изменений при их применении в рыночных условиях хозяйства. Вместе с тем о необходимости изменения направленности в научных исследованиях и получения научных фактов в процессе анализа хозяйственной деятельности справедливо указывают Б. И. Пу­тинский и Д.Н. Сафиуллин. Они, в частности, отмечают: «Без научных фактов не могут быть точно поставлены обобщения, разработаны концепции. Между тем, проблема установления

фактов в правовой сфере до сих пор не привлекала должного вни­мания» ¹. Возрождение в России коммерческого права как науки со всей очевидностью подтверждает тенденции в исследованиях не только комментирования правовых норм и институтов, но и анализа ценного практического опыта правовой деятельности в торговой сфере².

Специальное описание совокупности приемов и способов, применяемых в какой-либо деятельности или исследовании, составляет частную методологию. В данную совокупность входят не только технические приемы исследования, но и принципи­альные теоретические положения, аксиомы мировоззренческого характера, определяющие путь научного исследования, пределы (границы) последнего, его основные взаимосвязи — внешние и внутренние. Аналитическая работа включает в свой арсенал не только метод анализа, но и другие методы, используемые для изучения процессов и явлений, происходящих в сфере обраще­ния КЗИ.

Аналитические исследования в сфере обращения КЗИ опи­раются на основные философские категории, методы и приемы исследования, базирующиеся на теоретических положениях науки гражданского и коммерческого права и ряда отраслей публичного права (криминология, административное и уголовное право и др.), и других наук гуманитарного цикла (социология, социальная психология, экономическая теория и др.)

Методология, используемая при проведении исследований в этой сфере, включает не только категории, выражающие наиболее общие законы развития природы, общества и мышления, но и категории, отражающие специфические стороны, связи процес­са познания и его воплощения в практическую хозяйственную деятельность³. К числу важнейших принципов, лежащих в основе проведения АИ в сфере обращения КЗИ, следует отнести: причаст­ность к действительности как к объективной реальности (при­менительно к возникающим угрозам безопасности организации и связанных с ними существующих ВКУ КЗИ); необходимость отличия существенных элементов от второстепенных, связанных с Изучением хозяйственной ситуации в сфере обращения КЗИ;

признание постоянства и изменяемости элементов, составляю­щих изучаемую систему ВКУ КЗИ и мер по предупреждению нарушений правового режима в этой сфере; учет историчности (фактор времени) изучаемых явлений, оказывающих влияние на процесс отнесения сведений к КЗИ, их использование и правовую охрану; признание значения противоречий в развитии феномена КЗИ в условиях рыночной экономики; конкретность и объек­тивность при выборе объекта исследования и непосредственном проведении АИ.

Названные принципы составляют общеметодологическую базу для эффективного проведения АИ и получения научно обосно­ванных рекомендаций по выявлению ВКУ КЗИ, их закрытию или нейтрализации действия в условиях деятельности организации.

Использование методологии имеет важное практическое значение для получения научно обоснованных результатов ис­следования, а именно: она позволяет четко определить границы исследования в сфере обращения КЗИ и возможность использо­вания его результатов для развития теории и практики защиты такой информации; дает возможность избежать недооценки роли теории в объяснении процессов возникновения причин и обстоятельств, ведущих к образованию ВКУ, использования правовых средств для предупреждения НРК проводимых работ; обеспечивает научную организацию АИ в сфере обращения КЗИ и оценку исследования проблем правового регулирования в этой сфере; предостерегает исследователей от упрощенного подхода к проблеме взаимосвязей ВКУ КЗИ с НРК работ и другими неизученными в правовом отношении явлениями, которые возникают в процессе хозяйственной деятельности; позволяет получить не только новое знание о ВКУ, причинах и обстоятель­ствах, их обусловливающих, и об эффективности принимаемых мер предупреждения, но и понять существо изучаемых явлений применительно к деятельности организации.

Методология имеет определенную связь с методикой исследова­ния, которая создается на основе определенных ею положений. Осуществление аналитической работы возможно на основе ис­пользования определенной методологии и методики, которые представляют собой систему своеобразных научных правил.

Методология определяет общие правила, точнее, философские принципы, использование которых учитывает специфику объекта исследования в сфере обращения КЗИ. В этом смысле методоло­гия является механизмом, реализующим процесс аналитического исследования. Использование методики позволяет определить применительно к конкретному объекту исследования, в каком порядке и в какой последовательности следует применять те или иные методы. При этом определяется набор необходимых методов и устанавливаются правила их применения в АИ. Сама процедура использования этих методов есть техника исследования. С этой точки зрения методика и техника АИ приближаются к практике осуществления такого исследования. В литературе аксиоматич­ным является утверждение о том, что между методологией и методикой АИ, которые выполняют свою функциональную роль, всегда существует тесная связь через методы научного исследо­вания¹. В этом плане можно говорить, что методология является своего рода стратегией, а методика позволяет решать тактические задачи в конкретном исследовании.

На практике мы чаше всего имеем дело с методикой АИ. Под методикой ЛИ в сфере обращения КЗИ следует понимать совокуп­ность конкретных приемов, способов, средств (инструментариев) сбора, обработки и анализа информации о нарушении норм конфиденциальности КЗИ и их связи с ВКУ такой информации, о причинах и обстоятельствах, способствующих утечке охраняе­мой информации, о личности правонарушителя режима конфи­денциальности КЗИ, и мерах предупреждения нарушений в этой сфере. Результатами АИ принято считать сформулированные выводы о состоянии информационной безопасности организа­ции в целом или на отдельных направлениях ее деятельности, рекомендации субъектам, осуществляющим предупредительную деятельность в сфере обращения КЗИ.

Программа проведения аналитических исследований в сфере обращения КЗИ. При подготовке и проведении АИ важным представляется соблюдение определенных организационных ус­ловий. Опыт проведения АИ показывает, что любое из них тре­бует прежде всего четкой его организации и учета имеющихся в организации ресурсов. В этом плане АИ мало чем отличается от маркетинговых исследований . Исследование должно быть плановым. Это означает необходимость разработки программы и отдельных планов по анализу конкретных объектов исследования в целом по организации или ее отдельным подразделениям либо по конкретным направлениям деятельности.

Программа содержит основные мероприятия, раскрываю-шие цель, задачи, объект предмет и сроки исследования, силы, средства и используемые методики. Выполнение программы предусматривает разработку плана проведения АИ, который ут­верждается руководителем организации. План имеет оперативный характер. В нем указываются сроки выполнения мероприятий и ответственные исполнители*

Программой определяются общие задачи ЛИ. Их содержание должно раскрывать масштабность и последовательность действий исследователей. К числу общих задач следует отнести: изучение явлений и процессов, связанных с выявлением угроз безопасности организации, ВКУ КЗИ и разработка мер по их предупреждению; обобщение эмпирических данных и получение новых фактов по предметной области исследования; практические рекомендации субъектам, занимающимся использованием и охраной конфи­денциальности КЗИ.

Наряду с постановкой общих вопросов определяются кон­кретные задачи, способы и процедуры исследования, в частности, по сбору и обработке информации. Например, когда целью АИ является обнаружение ВКУ КЗИ в связи с разработкой нового изделия и продвижением его на рынок, то задачами соответ­ственно могут выступать: получение данных, характеризующих состояние режима конфиденциальности на объектах, где сосредо­точены коммерческие секреты; установление возможных каналов утечки охраняемой информации на участках деятельности таких объектов; определение причин и обстоятельств, способствующих утечке охраняемой информации; выработка рекомендаций по воз­действию на условия, способствующие функционированию ВКУ и мер по предупреждению нарушений. При этом следует иметь в виду, что в процессе проведения исследования, задачи могут уточняться. Это может быть связано с изменением хозяйствен­ной ситуации, недостаточностью финансирования исследований, возможностями использования сил и средств и др.

При выполнении исследований следует выделять и проводить различие между объектом и предметом исследования. Объектом исследования является сфера обращения КЗИ в отдельных под­разделениях или в целом организации, либо ее часть при выпол­нении договорных работ с контрагентами. Предмет исследования составляет та сторона объекта, которая непосредственно подлежит изучению в ходе проведения АИ. Это может быть анализ обра­щения КЗИ при ведении коммерческих переговоров, связанных с заключением договора на поставку товара и др.

Характеристики

Список файлов книги