4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 48
Текст из файла (страница 48)
Группа лиц, назначенных приказом руководителя организации для участия в комиссии по проверке состояния режима КЗИ в каком-либо структурном подразделении, выступает самостоятельным субъектом контроля. Результаты их контрольной деятельности отражаются в специально составляемом акте, который служит основанием для принятия решения. То же самое можно сказать и о группе акционеров, контролирующих использование конфиденциальной информации в интересах акционерного общества.
Субъектом контроля, помимо подразделения СБ, может быть и головная организация, которая по договору с дочерним или зависимым обществом осуществляет проверку состояния его информационной безопасности.
По характеру взаимодействия и уровню управления, на котором находится субъект контроля, различают внутренний и внешний контроль. Внутренним считается такой контроль, когда субъект и объект входят в одну систему, а внешним — когда они находятся на разных уровнях управления.
Например, проверка состояния сохранности коммерческих секретов дочернего общества будет внешним контролем, а проверка руководителем структурного подразделения или лицом, им уполномоченным состояния охраны КЗИ в подразделении — внутренним контролем.
В зависимости от задач, решаемых субъектами контроля, и предоставленных им субъективных прав различают линейный, функциональный и операционный типы контроля. При линейном контроле общее собрание акционеров принимает решение о состоянии обеспечения информационной безопасности общества. При функциональном — контролируется отдельное направление, например обращение в организации документов с грифом «Коммерческая тайна». Получение характеристики состояния режима КЗИ по конкретной НИОКР или коммерческой сделке возможно при использовании операционного типа контроля. От объекта контроля следует отличать предмет контроля, т.е. то главное, существенное, что позволяет субъекту судить о состоянии объекта контроля. Для организации объектом контроля могут быть различные виды работ, при выполнении которых используется КЗИ. Предметом контроля в данном случае будет соблюдение корпоративных норм, регулирующих процесс обращения КЗИ при выполнении работ. Предмет контроля определяется для каждой системы контроля и для каждого объекта контроля. Например, в службе безопасности организации может быть создана отдельная система контроля за исполнением конфиденциальных документов. Объектом контроля в данном случае являются документы, имеющие гриф «Коммерческая тайна», а предмет контроля — сроки их исполнения конкретными работниками.
Изучение состояния работы по установлению режима коммерческой тайны и его обеспечению предполагает правильной выбор целей, определение задач и функций контром. Цель контроля в сфере правового обеспечения безопасности состоит в обеспечении единства решений и их исполнения на основании правовых актов и корпоративных норм, получении достоверной информации о состоянии предупредительной деятельности на каналах возможной утечки КЗИ и внесении соответствующих корректив в эту деятельность с использованием различных правовых средств.
Общими задачами контроля в этой связи являются: оценка научной обоснованности и практической целесообразности установления мер правового режима КЗИ; определение фактического состояния подконтрольного объекта в целом или его частей в конкретный период времени для получения исходной информации об оперативной обстановке в подразделении и в организации в целом; установление хода выполнения плановых мероприятий и соблюдения сроков их проведения по охране конфиденциальности КЗИ; прогнозирование состояния и способности нормального функционирования подконтрольного объекта на период выполнения работ и оказания услуг, содержащих КЗИ; получение, накопление, обработка и анализ данных о функционировании отдельных элементов и всей системы охраны КЗИ в организации; выявление и определение необходимости использования имеющихся внутренних резервов для охраны отдельных направлений обращения КЗИ; изучение опыта других организаций по использованию и охране КЗИ; анализ деловых качеств и уровня профессиональной подготовки кадров, работающих в области правового обеспечения информационной безопасности; и др.
Исходя из общих задач могут быть определены частные и конкретные задачи по каждому подконтрольному объекту с учетом полномочий, предоставленных субъекту.
Цель и задачи контроля предопределяют функции субъектов контроля, которые реализуются ими в ходе практической деятельности. К числу основных функций контроля следует отнести: наблюдение за ходом работ, связанных с использованием и охраной КЗИ; установление причин и обстоятельств, которые могут привести к утечке коммерческих секретов в структурном подразделении и в организации; оказание помощи структурным подразделениям и работникам-исполнителям конфиденциальных работ в реализации мер правового режима КЗИ; вскрытие недостатков в использовании правовых средств в сфере обращения КЗИ; оказание воспитательного воздействия на формирование чувства «фирменного патриотизма» за сохранность доверенных работникам коммерческих секретов; обучение работников правильным действиям при обращении с конфиденциальными документами и использовании по назначению, содержащихся
в них сведений; привитие работникам навыков ответственного отношения к информации, защищаемой в интересах собственника; и др.
Реализация названных функций контроля по установлению режима коммерческой тайны и его обеспечению связана с соблюдением определенных принципиальных требований, предъявляемых к его осуществлению. Контроль по возможности должен быть, во-первых, всеобъемлющим, т.е. охватывать все направления деятельности, по которым ведется работа, связанная с использованием и охраной сведений, имеющих коммерческую значимость для собственника организации. Во-вторых, планомерным, т.е. мероприятия по введению правового режима охраны КЗИ и контроля за их исполнением должны находить отражение не только в планах работы подразделений СБ, но и в структурных подразделениях организации, а также быть доведены до конкретных исполнителей. В-третьих, целенаправленным, т.е. предусматривать достижение конкретных и перспективных целей по всем направлениям работы в сфере правового обеспечения информационной безопасности организации. В-четвертых, объективным, т.е. основанным не на личных взглядах и суждениях, а на основе анализа выполнения требований, установленных корпоративными актами. В-пятых, доказательным, т.е. основанным на конкретных фактах, документах и событиях, а не на догадках, домыслах и предположениях
Обобщение и анализ практики ведения контроля за порядком установления режима коммерческой тайны и его обеспечением позволяют выделить следующие его характерные недостатки, которые чаще всего имеют место в организациях.
2. Контрольная работа не всегда ориентирована на происходящие изменения в хозяйственной ситуации, которые требуют в этой связи совершенствования действующей системы обеспечения безопасности организации за счет внедрения информационных технологий, использования научных методов охраны конфиденциальности информации.
3. Контроль часто направлен не на предупреждение, а на фиксацию уже допущенных недостатков, а то и правонарушений, в деятельности, связанной с использованием и охраной КЗИ. При этом выявляются такие недостатки, которые устранить уже невозможно, либо нецелесообразно в силу увеличения затрат на поддержание системы охраны КЗИ в рабочем состоянии.
4. Не ведется должной работы по устранению или нейтрализации причин возникновения недостатков, выявленных в ходе контроля. В результате одни и те же нарушения фиксируются при каждой очередной проверке.
5. Нарушается принцип планового проведения контроля. Это выражается в том, что комплексные проверки и обследования состояния режима КЗИ по отдельным направлениям (канал внешнеторговых операций, проведение НИОКР и др.) ведутся после возникновения чрезвычайных происшествий или иных негативных явлений, возникающих в процессе обращения КЗИ.
Устранение названных недостатков требует соблюдения ряда условию-
• о привлечении к проведению контроля ведущих специалистов по соответствующим направлениям деятельности организации, которые профессионально могут расширить предметную сферу контроля и обеспечить его более высокое качество за счет использования знаний и умений;
• повышении уровня знаний и умений лиц, ведущих контроль путем обучения их использованию передовых технологий и методик контроля;
• проведении исследований эффективности контроля на определенных направлениях и этапах работы по установлению режима коммерческой тайны и его обеспечению и разработка на этой основе мер по совершенствованию корпоративного регулирования и улучшения практики применения контроля в рассматриваемой сфере.
Существенное значение для получения объективной информации о состоянии режима обеспечения безопасности имеет правильное использование известных науке методов контроля1. Состояние и поведение объекта контроля определяется с помощью общих методов, а отдельных его характеристик — с помощью частных методов. Отдельные пространственные, временные, количественные, качественные и структурные характеристики объекта контроля познаются с помощью частных методов контроля.
К ним относятся такие методы, как счетный, визуальный, сравнения, инвентаризации и другие, используемые в контрольной деятельности. С помощью названных методов осуществляется, например, контроль за наличием охраняемых собственником документов, правильностью и обоснованностью записей в учетных материалах об их движении.
Изучение состояния обеспечения безопасности организации требует получение его характеристики с использованием общих методов контроля. К ним относятся предварительный, направляющий, фильтрующий и последующий контроль. Рассмотрим возможность использования названных методов в сфере обращения КЗИ. Метод предварительного контроля используется на стадии формирования нового направления деятельности организации, разработки, проектирования какого-либо вида (модернизации) изделий, в процессе которых будет использоваться КЗИ. С его помощью устанавливается правильность сформулированных целей, достоверность и точность прогнозов об объекте контроля для определения сил и средств, стратегии и тактики контрольной деятельности в сфере обеспечения безопасности организации. Метод направляющего контроля используется непрерывно СБ с момента начала действий по слежению за состоянием контролируемого объекта до момента достижения цели. Это может быть начало коммерческих переговоров и подписание договора по их завершению. В ходе направляющего контроля осуществляется сравнение и оценка позиций участников коммерческих переговоров, состояние поведения объекта контроля, корректирующее воздействие на их поведение в целях решения поставленных собственником (руководством) задач. Циклы направляющего контроля могут многократно повторяться для достижения целей запланированного результата.
Метод фильтрующего контроля применяется на определенных, узловых этапах деятельности по установлению режима коммерческой тайны и его обеспечению. Чаще всего этот метод применяется в управленческой деятельности, связанной, например, с визированием в различных подразделениях, включая и СБ, рассылаемых грифованных документов, содержащих КЗИ. Метод последующего контроля применяется для определения результатов эффективности работы по охране конфиденциальности КЗИ на различных этапах ее обращения. Примером применения этого метода на практике является проведение ежегодной проверки наличия грифованных документов, содержащих КЗИ.
В практической деятельности осуществляется, как правило, комплексное применение перечисленных методов контроля.
Выборочный анализ деятельности организаций показывает, что применяются самые различные виды и формы контроля, выбор которых зависит от намечаемых целей и задач контроля применительно к конкретным объектам и предметам контроля. Наибольшее распространение получили такие виды проверок, как плановые, внеплановые, разовые, внезапные, сплошные, выборочные, целевые, комплексные и другие, а также использование различных форм контроля как: обследование, проведение конкурсов, социологических исследований, заслушивание руководителей подразделений и обсуждение их отчетов о состоянии режима КЗИ, оценка и учет такой работы при аттестации работников, прием зачетов по знанию требований законодательства и корпоративных актов в сфере обеспечения информационной безопасности на конкретном объекте организации. Их особенности следует учитывать при создании системы контроля в организации.
Важное значение для понимания контроля, осуществляемого в рамках организации, имеет учет сил и средств, обеспечивающих реализацию контрольной функции. Традиционно в организациях сложилась практика, когда контроль за установлением режима коммерческой тайны и его обеспечением осуществляют собственники (акционеры, учредители), руководители высшего звена управления, руководители структурных подразделений, и иных звеньев управления, где непосредственно обращается КЗИ, работники, выполняющие наряду с основной работой контрольные функции по роду своей работы, и работники СБ, профессионально занимающиеся этими вопросами.
Создание эффективной системы контроля в организации зависит не только от имеющихся подготовленных кадров, умеющих вести контроль, проявляющих творчество и инициативу, но и от наличия организационно-правовых, технических и иных средств контроля, обеспечивающих сбор, получение, систематизацию и обработку информации об объектен предмете контроля. Качество получаемой информации находится в прямой зависимости от четкого определения обязанностей, прав и ответственности работников, осуществляющих контроль за обращением КЗИ на своем участке работы. Здесь важным является не только формальное включение этих условий в трудовой договор, но и конкретизация обязанностей работника в должностных инструкциях.
К средствам контроля относятся: корпоративные акты и иные документы, определяющие порядок ведения контроля (положения, инструкции, графики, планы, памятки и т.п.); средства оргтехники (карточки, картотеки и др.); технические средства связи (телефоны, телефаксы и др.) и различные виды сигнализации: средства снятия я отображения информации (теле- и видеокамеры и др.): системы обработки информации (ЭВМ и др.).
Использование сил и средств, обеспечивающих реализацию контрольной функции, зависит от сложившейся в организации хозяйственной (оперативной обстановки), ситуации, которая требует от руководителей соответствующих распоряжений и действий. В связи с этим можно говорить о начале процесса контроля1, который можно рассматривать как упорядоченную деятельность по ведению слежения уполномоченными липами за установлением режима коммерческой тайны него обеспечением на основе корпоративных актов, использования соответствующих принципов, методов и технологий. Процесс контроля характеризуется своей содержательной частью, которая позволяет убедиться в том, что происходит в процессе контроля, организационной, отвечающей на вопрос — кем, гае и когда производился контроль. И. наконец, технологическая составляющая процесса контроля, объясняет — каким образом, и в какой последовательности следует выполнять контрольные функции.
Структурно процесс контроля может быть представлен в виде следующих взаимосвязанных элементов: определение источников информации, от которых будут поступать сведения о состоянии объекта контроля; фиксирование контролируемых характеристик объекта; систематизация, обработка и получение контрольной информации; принятие решений по итогам контроля в зависимости от предоставленных полномочий; выработка и осуществление корректирующего действия на подконтрольный объект.
Названными элементами определяются основные стадии контроля.
• фиксации существующего состояния контролируемого объекта в данный период времени (первая стадия);
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
