4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 47

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 47)

собственника, который наделяет соответствующие органы управ­ления и отдельных лиц, полномочиями по реализации контроля над трудовым процессом, включая и контрольные функции в сфере обращения КЗИ.

Контроль в сфере обращения КЗИ следует рассматривать как действия по установлению состояния защищенности жизненно важных интересов организаций в информационной сфере от внут­ренних и внешних угроз, как организацию системы получения данных о состоянии работы по защите КЗИ, как осуществление проверок качества и своевременности выполнения требований по сохранению коммерческой тайны, включая сведения, составляю­щие государственную тайну, переданные в порядке выполнения госзаказа, а также персональные данные работников.

Контроль за функциональными направлениями деятельно­сти организации осуществляется собственниками или уполно­моченными ими ^лицами в соответствии с их полномочиями, определенными в ГК РФ, иных законах и корпоративных актах (устав, учредительный договор и др.). В зависимости от объема контролируемой информации в коммерческой организации на различных ее уровнях управления создаются специализирован­ные органы зашиты информации, получившие название «службы безопасности» (СБ), которые выполняют функцию контроля.

Сферами контрольной деятельности являются разработкам осу­ществление мер по защите охраняемой собственником или уполномо­ченным им лицом информации, которая специально выделяется как имеющая коммерческую значимость. Эта информация использу­ется и охраняется в различных видах научно-производственной, управленческой, коммерческой и иной деятельности. В этой связи контроль можно рассматривать, во-первых, как функцию управления предприятием и его структурными подразделения­ми в области информационной безопасности, выражающейся в целенаправленной деятельности руководителей различных звеньев, направленной на защиту частных интересов органи­зации. Во-вторых, контроль как завершающая стадия процесса производства и обмена товаров (торговли), включая маркетинг, ценообразование, финансы, планирование, бухгалтерский учет, управление персоналом и др. В-третьих, контроль как неотъем­лемая часть любой выполняемой работы и оказываемой услуги, связанной с использованием КЗИ, и в этой связи его проведение связано с принятием решений по обеспечению информационной безопасности на уровне структурного подразделения или орга­низации в целом.

объект, допущенных отклонений от требований управленческих решений, от принятых принципов организации и правового регулирования¹.

Контроль в сфере хозяйственной деятельности отличается оп­ределенной спецификой. Наиболее полно вопросы организации контроля за деятельностью хозяйственной организации рассмот­рены Е.А. Кочериным². И хотя теоретические положения были разработаны Е.А. Кочериным еще в советский период, многие из них сохраняют свою актуальность и сегодня. Вместе с тем большая часть сформулированных им положений нуждаются в пересмотре, корректировке в соответствии с современными реалиями, дополнении. В этой связи важно определить систему теоретических положений, позволяющих раскрыть специфику ор­ганизации контроля, его техники и технологии на корпоративном уровне управления применительно к предмету учебной дисципли­ны, с учетом сложившихся новых управленческих технологий, включающих контроль в число важнейших средств достижения целей коммерческой организации.

Закон о коммерческой тайне (ст. 10) обязывает обладателя охраняемых им сведений осуществлять контроль за соблюдением установленного порядка обращения с информацией, составля­ющей коммерческую тайну. Речь в данном случае идет не об административном контроле со стороны органов государства, а о корпоративном контроле, осуществляемом на уровне ком­мерческой организации.

Осуществление контроля в области охраняемой информации имеет определенные особенности, которые нужно учитывать в условиях корпоративного управления коммерческой организаци­ей и защиты ее интересов с использованием правового института коммерческой тайны. В числе особенностей следует назвать, во-первых, объективную необходимость контроля, обусловленного различными факторами развития коммерческой организации. К. Маркс писал, что «труд по надзору и управлению необходимо возникает всюду, где непосредственный процесс производства имеет вид общественно-комбинированного процесса, а не явля­ется разъединенным трудом самостоятельных производителей» ³. Во-вторых, контроль осуществляется с ведома и по указанию

собственника, который наделяет соответствующие органы управ­ления и отдельных лиц полномочиями по реализации контроля над трудовым процессом, включая и контрольные функции в сфере обращения КЗИ.

Контроль в сфере обращения КЗИ следует рассматривать как действия по установлению состояния защищенности жизненно важных интересов организаций в информационной сфере от внут­ренних и внешних угроз, как организацию системы получения данных о состоянии работы по защите КЗИ, как осуществление проверок качества и своевременности выполнения требований по сохранению коммерческой тайны, включая сведения, составляю­щие государственную тайну, переданные в порядке выполнения госзаказа, а также персональные данные работников.

Контроль за функциональными направлениями деятельно­сти организации осуществляется собственниками или уполно­моченными ими лицами в соответствии с их полномочиями, определенными в ГК РФ, иных законах и корпоративных актах (устав, учредительный договор и др.). В зависимости от объема контролируемой информации в коммерческой организации на различных ее уровнях управления создаются специализирован­ные органы защиты информации, получившие название «службы безопасности» (СБ), которые выполняют функцию контроля.

Сферами контрольной деятельности являются разработка и осу­ществление мер по защите охраняемой собственником или уполномо­ченным им лицом информации, которая специально выделяется как имеющая коммерческую значимость. Эта информация использу­ется и охраняется в различных видах научно-производственной, управленческой, коммерческой и иной деятельности. В этой связи контроль можно рассматривать, во-первых, как функцию управления предприятием и его структурными подразделения* ми в области информационной безопасности, выражающейся в целенаправленной деятельности руководителей различных звеньев, направленной на защиту частных интересов органи­зации. Во-вторых, контроль как завершающая стадия процесса производства и обмена товаров (торговли), включая маркетинг, ценообразование, финансы, планирование, бухгалтерский учет, управление персоналом и др. В-третьих, контроль как неотъем­лемая часть любой выполняемой работы и оказываемой услуги, связанной с использованием КЗИ, и в этой связи его проведение связано с принятием решений по обеспечению информационной безопасности на уровне структурного подразделения или орга­низации в целом.

Такой подход к раскрытию понятия контроля в сфере ин­формационной безопасности организации предметно связан с обращением КЗИ и позволяет избежать распространенной ошибки, когда контроль связывается только с деятельностью СБ и рассматривается лишь как средство обнаружения недостатков в данной сфере. Возможности контроля значительно шире. Он может рассматриваться прежде всего как средство активного по­буждения к дозволительным действиям лиц, вовлеченных в сферу обращения КЗИ; как один из основных инструментов получения данных о состоянии производственных процессов и совершения коммерческих сделок, работ и услуг, связанных с использованием КЗИ и ее охраной, как важнейший рычаг управления в сфере обеспечения безопасности организации.

Важное место в системе контроля занимают объект и субъект контроля¹. К числу объектов контроля в сфере обращения КЗИ могут быть отнесены системы производства, маркетинга, плани­рования, трансакционные издержки при заключении сделок, и другие их элементы, а также отдельные процессы, и операции. Примерами подконтрольных объектов можно назвать процесс разработки изделий с охраняемыми параметрами, обращения документов, содержащих КЗИ и порядок доступа к ним, соб­людение требований конфиденциальности при использовании документации на рабочих местах при сборке изделий и др.

Субъектом контроля выступает человек, причем контролем могут заниматься отдельно уполномоченное ответственное лицо, группа лиц либо специализированное подразделение СБ, которые осуществляют возложенные на них в соответствии с корпора­тивными нормами, трудовым договором, контрольные функции. Примером контроля, где субъектом выступает отдельное лицо является ежедневная проверка руководителем подразделения либо работником СБ правильности И обоснованности учета движения документов, Имеющих гриф «Коммерческая тайна».

Группа лиц, назначенных приказом руководителя организации для участия в комиссии по проверке состояния режима КЗИ в ка­ком-либо структурном подразделении, выступает самостоятель­ным субъектом контроля. Результаты их контрольной деятельно­сти отражаются в специально составляемом акте, который служит основанием для принятия решения. То же самое можно сказать и о группе акционеров, контролирующих использование конфи­денциальной информации в интересах акционерного общества.

Субъектом контроля, помимо подразделения СБ, может быть и головная организация, которая по договору с дочерним или зависимым обществом осуществляет прочерку состояния его информационной безопасности.

По характеру взаимодействия и уровню управления, на кото­ром находится субъект контроля, различают внутренний и внешний контроль. Внутренним считается такой контроль, когда субъект и объект входят в одну систему, а внешним*— когда они находятся на разных уровнях управления.

Например, проверка состояния сохранности коммерческих секретов дочернего общества будет внешним контролем, а про­верка руководителем структурного подразделения или лицом, им уполномоченным состояния охраны КЗИ в подразделении — внутренним контролем.

В зависимости от задач, решаемых субъектами контроля, и предоставленных им субъективных прав различают линейный, функциональный и операционный типы контроля. При линейном контроле общее собрание акционеров принимает решение о со­стоянии обеспечения информационной безопасности общества. При функциональном — контролируется отдельное направление, например обращение в организации документов с I рифом «Ком­мерческая тайна». Получение характеристики состояния режима КЗИ по конкретной НИОКР или коммерческой сделке возможно при использовании операционного типа контроля. От объекта контроля следует отличать предмет контроля, т.е. то главное, существенное, что позволяет субъекту судить о состоянии объ­екта контроля. Для организации объектом контроля могут быть различные виды работ, при выполнении которых используется КЗИ. Предметом контроля в данном случае будет соблюдение корпоративных норм, регулирующих процесс обращения КЗИ при выполнении работ. Предмет контроля определяется для каждой системы контроля и для каждого объекта контроля. На­пример, в службе безопасности организации может быть создана отдельная система контроля за исполнением конфиденциаль­ных документов. Объектом контроля в данном случае являются документы, имеющие гриф «Коммерческая тайна», а предмет контроля — сроки их исполнения конкретными работниками.

Изучение состояния работы по установлению режима ком­мерческой тайны и его обеспечению предполагает правильной выбор целей, определение задан и функций контроля. Цель кон* траля в сфере правового обеспечения безопасности состоит в обеспечении единства решений и их исполнения на основании

Такой подход к раскрытию понятия контроля в сфере ин­формационной безопасности организации предметно связан с обращением КЗИ и позволяет избежать распространенной ошибки, когда контроль связывается только с деятельностью СБ и рассматривается лишь как средство обнаружения недостатков в данной сфере. Возможности контроля значительно шире. Он может рассматриваться прежде всего как средство активного по­буждения к дозволительным действиям лиц, вовлеченных в сферу обращения КЗИ; как один из основных инструментов получения данных о состоянии производственных процессов и совершения коммерческих сделок, работ и услуг, связанных с использованием КЗИ и ее охраной, как важнейший рычаг управления в сфере обеспечения безопасности организации.

Важное место в системе контроля занимают объект и субъект контроля¹. К числу объектов контроля в сфере обращения КЗИ могут быть отнесены системы производства, маркетинга, плани­рования, трансакционные издержки при заключении сделок, и другие их элементы, а также отдельные процессы, и операции. Примерами подконтрольных объектов можно назвать процесс разработки изделий с охраняемыми параметрами, обращения документов, содержащих КЗИ и порядок доступа к ним» соб­людение требований конфиденциальности при использовании документации на рабочих местах при сборке изделий и др.

Субъектом контроля выступает человек, причем контролем могут заниматься отдельно уполномоченное ответственное лицо, группа лиц либо специализированное подразделение СБ, которые осуществляют возложенные на них в соответствии с корпора­тивными нормами, трудовым договором, контрольные функции. Примером контроля, где субъектом выступает отдельное лицо является ежедневная проверка руководителем подразделения либо работником СБ правильности и обоснованности учета движения документов, имеющих гриф «Коммерческая тайна».

Характеристики

Список файлов книги