Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 7
Текст из файла (страница 7)
Определенное выше понятие состава дестабилизации положено нами в основу типизации ДФ, обусловливающих существование угроз безопасности организации. Как представляется, типизация ДФ имеет существенное значение для принятия решения о направлениях зашиты КЗИ в конкретной хозяйственной ситуации, сложившейся в организации. Ее разработка способствует получению информационного материала для составления примерного перечня конкретных угроз интересам организации. Этим угрозам должны адекватно противостоять конкретные меры, составляющие содержание системы обеспечения безопасности. Реализация этих мер может осуществляться различными подразделениями, на которые могут быть возложены конкретные обязанности по обеспечению безопасности организации.
Определение примерного перечня ДФ необходимо для нахождения более эффективных способов защиты и противодействия возможным угрозам безопасности. Их типизация может быть проведена на основе учета взаимодействия элементов, образующих содержательную сторону дестабилизирующих явлений и процессов. Такой способ применяется во многих организациях'. Он представляется достаточно наглядным и позволяет определить
1 Экономическая безопасность России. М., 2005. С. 643—647.
основные направления деятельности организации по обеспечению ее безопасности.
Объект дестабилизации занимает в типизации ДФ базисное, практически неизменное положение. Его место определяется основными жизненно важными интересами организации, связанными с получением прибыли. Этой цели подчинены все другие интересы. Остальные элементы состава дестабилизации в типизации ДФ выстраиваются в такой последовательности и взаимозависимости, которая позволяет им находиться в прямой связи с объектом дестабилизации.
Ключевое место в типизации ДФ отводится субъекту дестабилизации, действия либо бездействие которого определяют характер и содержание угроз организации. Субъектами дестабилизации, на наш взгляд, могут выступать:
1) конкуренты (конкурирующая организация) в лице своих представителей;
2) персонал организации (администрация, руководители структурных подразделений, менеджеры и другие работники);
3) партнеры, в том числе дочерние и зависимые общества, клиенты, посредники и другие лица, ведущие предпринимательскую деятельность;
4) рэкет и иные формы организованной преступности;
5) государственные органы и органы местного самоуправления в лице государственных и муниципальных служащих;
6) сторонние юридические и физические лица, действующие в своих интересах, противоречащие частным интересам организации.
Важным этапом типизации ДФ является определение наиболее характерных дестабилизирующих явлений и процессов, составляющих содержание объективной и субъективной стороны дестабилизации организации. Эта работа представляет собой значительную трудность для любой организации.
Дестабилизирующие факторы, определяющие содержание объективной стороны дестабилизации, могут проявляться в виде следующих внешних действий субъектов: принятие отдельных нормативных правовых актов, ущемляющих имущественные интересы организаций (налогообложение, кредитование, инвестирование и др.); целенаправленное вытеснение организации с определенного рынка товаров (работ, услуг) путем использования недобросовестных форм конкуренции; невыполнение или ненадлежащее выполнение контрагентами договорных обязательств, связанных с охраной конфиденциальности информации; вмешательство криминальных структур в управление организацией и определение направлений ведения ею бизнеса (заключение невыгодных сделок, слияние компаний, доведение партнеров до банкротства и др.); неправомерный доступ криминальных структур к КЗИ о хозяйственном и финансовом состоянии организации; использование приемов недобросовестной конкуренции для получения КЗИ о деятельности коммерческой организации за счет сращивания государственных и криминальных структур; ведение промышленного шпионажа по сбору и распространению КЗИ отечественными и зарубежными конкурентами; совершение иных неправомерных действий в отношении организации, запрещенных нормами действующего законодательства.
Дестабилизирующие факторы, определяющие содержание субъективной стороны дестабилизации, могут проявляться в следующих непосредственных действиях организации и ее персонала: неправомерное получение информации о деятельности партнеров, конкурентов и иных лиц, что может быть связано с последующим разбирательством в суде; отсутствие материальных и иных условий, обеспечивающих функционирование системы безопасности организации; пренебрежительное отношение руководства организации к вопросам сохранения сведений, составляющих коммерческую тайну; отсутствие в корпоративных актах норм, определяющих требования к персоналу по обеспечению охраны конфиденциальности информации; несоблюдение работниками требований обеспечения собственной безопасности при работе с КЗИ; недобросовестное отношение к исполнению своих трудовых обязанностей, связанных с использованием и охраной КЗИ; получение личной коммерческой выгоды за счет использования КЗИ в ущерб интересам организации и др.
Перечень названных внешних и внутренних дестабилизирующих факторов не является исчерпывающим. Их взаимосвязь и взаимодействие с другими элементами состава дестабилизации позволяют выявить угрозы объекту, т.е. судить о возможности возникновения реальных и потенциальных угроз безопасности организации. На этой основе можно моделировать различные изменения хозяйственной ситуации, ведущие к дестабилизации безопасности организации.
Использование данного способа типизации ДФ на практике состоит в построении графических конструкций взаимосвязи объективной стороны, субъекта и субъективной стороны дестабилизации, обусловливающих изменение хозяйственной ситуации по отношению к исследуемому объекту дестабилизации. Полученные конструкции взаимодействия элементов дестабилизации позволяют понять, какие действия либо бездействие субъектов представляют угрозы безопасности организации и могут причинить вред ее жизненно важным интересам. Выявленные таким образом угрозы безопасности организации необходимо учитывать при разработке и реализации адекватных мер противодействия.
§ 2. Организационные аспекты осуществления мониторинга безопасности коммерческой организации
В теории на концептуальном уровне описаны различные подходы к созданию автоматизированной системы управления мониторингом угроз информационной безопасности коммерческих организаций (финансово-промышленных групп, холдингов, консорциумов, ассоциаций и т.д.). При формулировании предложений ученым» использован опыт разработки аналогичных по структуре систем в советский период. Нужно отметить, что в литературе давно и активно обсуждается проблема автоматизации функций работников службы безопасности, однако при этом не всегда учитываются особенности организационного и правового обеспечения создания такой системы2.
Вопрос о том, каким образом выявлять угрозы информационной безопасности, которые в общем виде сформулированы в Доктрине информационной безопасности РФ, и главное, как предупреждать возникновение этих угроз, приобретает в настоящее время особую актуальность и практическую значимость.
При их изучении следует иметь в виду, что большая часть источников угроз интересам личности, общества и государства, которые названы в Доктрине, давно известны. Их противодействию в бывшем Советском Союзе уделялось весьма серьезное внимание. Особенно, когда речь шла о защите государственных интересов. Однако с образованием Российской Федерации, переходом ее к рыночной экономике и вхождением в мировое
21
информационное сообщество, количественный и качественный состав угроз ИБ многократно возрос. Появились новые опасности как внутри страны, так и исходящие извне. Особенно это характерно для коммерческих организаций, которые вынуждены с использованием собственных сил и средств, осуществлять противодействие угрозам их бизнесу.
В этих условиях представляется важным определить на уровне организации алгоритм разработки системы сбора и анализа данных об источниках угроз ее безопасности. Функционирование этой системы позволит эффективно осуществлять меры предупреждения угроз на ранних стадиях их возникновения.
Задача состоит в проведении организациями постоянной работы, связанной с выявлением и предупреждением угроз ИБ. В короткий промежуток времени в различных звеньях системы деятельности организаций возникают внутренние и внешние угрозы ИБ. Реакция органов управления организаций на возникающие угрозы разглашения (утечки) КЗИ, зачастую проявляется в действиях по ликвидации их последствий. Вместе с тем задача состоит, образно говоря, не в «тушении очагов пожара», явившихся источником разглашения КЗИ, а в выявлении причин чрезвычайного происшествия и разработке мер по их предупреждению.
В этих условиях, на наш взгляд, должна быть разработана и внедрена постоянно действующая система, функциональными задачами которой будет оперативное выявление, оценка, прогнозирование и выдача рекомендаций по предупреждению внутренних и внешних угроз ИБ в наиболее важных сферах деятельности организаций, на конкретных участках работы, где сосредоточены коммерческие секреты. Решение этой задачи видится в разработке комплексно-целевой программы создания и внедрения автоматизированной системы управления мониторингом угроз информационной безопасности коммерческих организаций.
Сущность предлагаемой системы характеризуется следующими положениями. Проектирование и разработка системы должны осуществляться с соблюдением определенных принципов. К числу основных принципов следует отнести:
• функционально-организационный и территориальный принцип создания системы, позволяющий учитывать сферу интересов коммерческих организаций;
• комплексный охват информационной сферы с учетом имущественных интересов организаций и анализа их взаимоотношений с государственными органами, органами местного самоуправления, партнерами, клиентами, заказчиками и т.д.;
• единство организационного, правового, информационного, математического и технического обеспечения системы;
• принцип последовательности разработки и внедрения отдельных составных звеньев системы (информационно-справочная система, оперативного контроля по выявлению и анализу возможных угроз ИБ, прогнозирования событий на объектах контроля и моделирования мер по предупреждению причин и условий, способствующих возникновению угроз ИБ и закрытию ВКУ конфиденциальной информации);
• принцип типизации технических элементов системы, методов преобразования информации и алгоритмов решения задач, связанных с возникновением угроз и их предупреждением; возможность адаптации и развития системы, применительно к любому уровню коммерческой организации;
• принцип непрерывного развития системы.
Названные принципы лежат в основе разработки контура комплексно-целевой программы создания системы, которая может включать, на наш взгляд, три самостоятельные подпрограммы:
• быстрого выхода на автоматизацию основных функций, связанных с установлением режима коммерческой тайны в организации (сбор и анализ информации для включения в Перечень сведений, составляющих коммерческую тайну, формирование и обеспечение функционирования допускной и разрешительной системы и др.);
• достижения основного результата автоматизации функций, связанных с обеспечением установленного в организации режима обращения КЗИ (выявление, оценка и прогноз возможных угроз ИБ, ВКУ КЗИ применительно к условиям конкретной хозяйственной ситуации с использованием различных форм и методов);
• моделирования мер по предупреждению угроз и закрытию ВКУ КЗИ, позволяющая в автоматизированном виде осуществлять выдачу рекомендаций субъектам (служба безопасности, руководители структурных подразделений и др.) по использованию правовых и иных средств в целях предупреждения нарушений установленного режима коммерческой тайны и пресечению выявленных правонарушений.
При проектировании системы учитывается существующая в крупных организациях специфика иерархической структуры
управления (ассоциация, холдинг, корпорация и т.п.) и распределение функций между основным и дочерними хозяйственными обществами, и их структурными подразделениями. Заказчиком системы может выступить основное акционерное общество, которое на основании договора о совместной деятельности с дочерним обществом, выполняет функции головной организации-заказчика, разрабатывает и согласовывает техническое задание на разработку системы, заключает договор и обеспечивает выполнение обязательств.
Проектируемая система может включать различные технологические режимы ее работы. В частности, она может выполнять функции справочно-информационного обслуживания и управления системой защиты КЗИ.
Во-первых, справочно-информационное обслуживание состоит в обеспечении необходимой информацией собственных подразделений организации и контрагентов в режиме «запрос—ответ» по вопросам обеспечения ИБ. Поэтому с контрагентами дополнительно заключается договор на оказание информационных услуг.
Во-вторых, система выполняет обеспечительную функцию управления системой безопасности. Режим управления системой состоит из ряда детерминированных операций. В частности, информационные потоки регламентированы по времени и кругу пользователей; соответствующие данные об угрозах выдаются оперативно в объеме поставленных задач; поступающие к субъектам данные используются в целях предупреждения возможных угроз безопасности; корректируются действия субъектов по нейтрализации и устранению причин, способствующих возникновению угроз, которые могут привести к утечке КЗИ; осуществляется оперативное оповещение субъектов о появлении угроз, при этом их действия контролируются системой с помощью ЭВМ. Полученные таким образом результаты, позволяют оперативно оценивать хозяйственную ситуацию и эффективность принимаемых мер по охране конфиденциальности КЗИ.
Решение задач, связанных с разработкой и функционированием системы, предполагает соблюдение ряда условий: обеспечение организационного единства выполняемых научно-исследовательских и проектных работ со стороны головного разработчика системы; согласование частных технических заданий соисполнителям на разработку опытного образца системы; формирование заказчиком условий рамочного (основного) договора и их согласование с головной организацией — разработчиком; определение сроков выполнения работы и ее отдельных этапов; заключение договоров с соисполнителями на выполнение отдельных частей НИОКР, включая и опытный образец системы; привлечение к этой работе специалистов различного профиля (юристов, социологов, экономистов, математиков, программистов и др.); обеспечение гибких форм управления трудовым коллективом с учетом специализации разработчиков и аналитиков на различных этапах создания и эксплуатации системы.
Работа по созданию системы выполняется в несколько этапов. Для первого этапа характерно развертывание головным разработчиком научно-исследовательских, проектных и макетных работ, практическое решение задач справочного, учетного, аналитического и контрольного характера с учетом типизации угроз организации-заказчика.
Второй этап связан с автоматизацией процессов подготовки, сбора, обработки и выдачи информации о возможных угрозах безопасности организации, причинах и условиях, способствующих разглашению (утечке) КЗИ, выполняемых на основании договора с заказчиком, в котором учтены особенности его хозяйственной деятельности, а также согласованы условия по охране конфиденциальности информации. Окончание работ на этом этапе позволит обеспечить организацию оперативной информацией о причинах и условиях возникновения возможных угроз ИБ, об открытии ВКУ КЗИ; совмещение функций управления и оперативного контроля за развитием хозяйственной ситуации на конкретных направлениях деятельности организации; получение необходимой информации для моделирования ситуаций, ведущих к угрозам ИБ с помощью ЭВМ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
