4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 49

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 49)

• исследования, состоящего в определении с применением науч­ных методов, критериев соответствия фактического состояния объекта корпоративным нормам, а также формулировании выводов и предложений, необходимых для принятия решения (вторая стадия);

• реализации полученных данных для корректирующего воздей­ствия на объекты контроля.

В практической деятельности осуществляется, как правило, ком­плексное применение перечисленных методов контроля.

Выборочный анализ деятельности организаций показывает, что применяются самые различные виды и формы контроля, выбор которых зависит от намечаемых целей и задач контроля применительно к конкретным объектам и предметам контроля. Наибольшее распространение получили такие виды проверок, как цдановые, внеплановые, разовые, внезапные, сплошные» аыбо-рочные, целевые, комплексные и другие, а также использование различных форм контроля как: обследование, проведение конкур­сов, социологических исследований, заслушивание руководителей подразделений и обсуждение их отчетов о состоянии режима КЗИ, оценка и учет такой работы при аттестации работников, прием зачетов по знанию требований законодательства и корпоратив­ных актов в сфере обеспечения информационной безопасности на конкретном объекте организации. Их особенности следует учитывать при создании системы контроля в организации.

Важное значение для понимания контроля, осуществляемого в рамках организации, имеет учет сил и средств, обеспечивающих реализацию контрольной функции. Традиционно в организациях сложилась практика, когда контроль за установлением режима коммерческой тайны и его обеспечением осуществляют соб­ственники (акционеры, учредители), руководители высшего звена управления, руководители структурных подразделений, и иных звеньев управления, где непосредственно обращается КЗИ, работники, выполняющие наряду с основной работой контрольные функции по роду своей работы, и работники СБ, профессионально занимающиеся этими вопросами.

Создание эффективной системы контроля в организации за­висит не только от имеющихся подготовленных кадров, умеющих вести контроль, проявляющих творчество и инициативу, но и от наличия организационно-правовых, технических и иных средств контроля, обеспечивающих сбор, получение, систематизацию и обработку информации об объекте и предмете контроля. Качество получаемой информации находится в прямой зависимости от четкого определения обязанностей, прав и ответственности работ­ников, осуществляющих контроль за обращением КЗИ на своей участке работы. Здесь важным является не только формальное включение этих условий в трудовой договор, но и конкретизация обязанностей работника в должностных инструкциях.

К средствам контроля относятся: корпоративные акты и иные документы, определяющие порядок ведения контроля (положс­ния, инструкции, графики, планы, памятки и т.п.); средства орг­техники (карточки, карийски и др.); технические средства спя <и (телефоны, телефаксы и др.) и различные виды сигнализации; средства снятия и отображения информации (теле и видеокаме­ры И Др.); СИСТеМЫ обработки информации (ЭВМ и др.).

Использование сил и средств, обеспечивающих реализацию контрольной функции, зависит от сложившейся в организации хозяйственной (оперативной обстановки), сиI\ аппи, которая требует от руководителей соответствующих распоряжений и действий. В связи с этим можно говорить о начале Процесса контроля*, который можно рассматривать как упорядоченную деятельность по ведению слежения уполномоченными лицами за установлением режима коммерческой тайны и его обеспечением на основе корпоративных актов, использования соответствующих принципов, методов и технологий. Процесс контроля характери­зуется своей содержательной частью, которая позволяет убедиться в том, что происходит в процессе контроля, организационной, отвечающей на вопрос кем, где и когда производился контроль. И, наконец, технологическая составляющая процесса контроля, объясняет — каким образом, и в какой последовательности сле­дует выполнять контрольные функции.

Структурно процесс контроля может быть представлен в виде следующих взаимосвязанных элементов: определение источников информации, от которых будут поступать сведения о состоянии объекта контроля; фиксирование контролируемых характеристик объекта; систематизация, обработка и получение контрольной ин­формации; принятие решений по итогам контроля в зависимости от предоставленных полномочий; выработка и осуществление корректирующего действия на подконтрольный объект.

Названными элементами определяются основные стадии кон­троля'.

• фиксации существующею состояния контролируемого объекта в данный период времени (первая стадия);

• исследования, состоящего в определении с применением науч­ных методов, критериев соответствия фактического состояния объекта корпоративным нормам, а также формулировании выводов и предложений, необходимых для принятия решения (вторая стадия);

• реализации полученных данных для корректирующего воздей­ствия на объекты контроля.

Важным элементом характеристики процесса контроля явля­ются действия, связанные с возможностью оказания субъектами корректирующего воздействия на объект в ходе проведения кон­троля. Это позволяет поддерживать систему охраны конфиденци­альности КЗИ в постоянной готовности реагирования на любые изменения в хозяйственной ситуации и отклонения в исполнении корпоративных норм.

Объективный характер процесса контроля зависит от установ­ленных в организации требований к состоянию контролируемого объекта и осуществлению контроля за соблюдением установ­ленного порядка в сфере обращения КЗИ. Решение этой задачи на практике представляет значительную сложность. Для предо­твращения субъективизма нужно, во-первых, решить какими параметрами можно измерить уровень безопасности, который, по мнению собственника, отвечает его представлениям. Во-вторых, определить комплекс мер по установлению правового режима КЗИ и систему контроля по его обеспечению. Речь идет о разра­ботке нормативно-методических документов, в которых учиты­вались бы количественные и качественные параметры, которым должен отвечать контролируемый объект с учетом конкретного периода или стадии выполняемой работы, о проектировании сис­тем контроля в организации. Соответственно сущность контроля в сфере обращения КЗИ заключается в выявлении фактического состояния дела на контролируемом объекте, сопоставлении соответствия этого состояния действующему законодательству и корпоративным нормам и в случае необходимости принятии мер по недопущению вредных последствий (утрата документов, разглашение КЗИ) в рассматриваемой сфере.

§ 2. Характеристика снегам контроля на предприятиях

Эффективность деятельности по установлению режима ком­мерческой тайны и его обеспечению требует системного подхода к организации контроля. Система контроля¹ представляет собой совокупность субъектов, объектов и средств контроля, взаимо­действующих на основе корпоративных норм как единый меха­низм, включающий выбор методов и процедур, используемых в процессе контрольной деятельности, связанной с обеспечением безопасности организации. Учет названных элементов крайне важен при проектировании системы контроля в организациях.

Проектируемая система контроля должна быть уникальной, поскольку создается для каждого конкретного объекта контроля. В зависимости от объекта контроля определяются правомочия субъекта контроля. Средства контроля включают не только техни­ческие средства наблюдения и фиксации поведения объектов, но и используемые субъектом формы и методы контроля. Различают простые и сложные системы контроле. Первые, служат только для получения сигнала, например, контроль за своевременным возвратом исполнителями грифованных документов в конце ра­бочего дня в службу безопасности. Вторые — для определения общего состояния объекта контроля или отдельных его направ­лений. Такая система выполняет аназитико-корректирузощие функции. Например, контроль за обоснованным и правомерным доступом исполнителей к конфиденциальным документам должен осуществляться непрерывно, что позволяет в случае выявления нарушении вносить изменения в разрешительную систему доступа к документам.

Проектирование системы контроле предусматривает разработку в первоочередном порядке корпоративных актов и документов организационно-методического характера. Выборочный анализ показывает, что такие документы с различным содержанием и наименованием имеются у большинства организаций. В зависи­мости от целей, объектов и субъектов контроля такие документы сгруппированы следующим образом:

• документы, содержащие общие положения о контрольной де­ятельности в сфере обеспечения безопасности организации;

• документы, охватывающие положения о контрольно-методи­ческой работе службы безопасности организации;

• документы, содержащие положения о контрольной деятель­ности в сфере безопасности филиалов, представительств и дочерних обществ;

• документы, включающие положения об участии руководящего состава в установлении режима коммерческой тайны и его обеспечении.

Правовое значение названных документов состоит в закреп­лении функции контроля в сфере безопасности за руководством организации и структурных подразделений, службой безопас­ности, и предоставлении правомочий липам, осуществляющим контроль, определении задач в этой сфере с использованием раз­личных форм и методов контроля. Наличие в организации таких документов позволит, во-первых, избежать частых согласований по поводу уточнения и распределения прав и обязанностей в этой сфере, издания дублирующих документов, во-вторых, б\ лет спо­собствовать единообразному пониманию роли и места контроля в системе корпоративного управления сферой безопасности.

Рассмотрим структуру названных документов. В большинстве крупных организаций чаще всего разрабатывается отдельный документ, содержащий общие положения о контрольной деятель­ности в сфере обеспечения безопасности. В средних организациях и на малых предприятиях такие положения могут содержаться в различных корпоративных актах и распорядительных докумен­тах. Анализ документов, которые разрабатываются в крупных организациях показывает, что в них включаются разделы, в ко­торых содержатся положения: раскрывающие понятие безопас­ности применительно к хозяйственной ситуации; определяющие внутренние и внешние угрозы, цели и задачи контроля, с уче­том специфики деятельности на рынке товаров, работ и услуг; закрепляющие функцию контроля за различными субъектами с предоставлением им ссютветствующих правомочий; определя­ющие условия финансирования этой деятельности. В документах обязательно определяется порядок организации контроля и его место в системе корпоративного управления организацией и ее подразделениями на внутреннем и внешнем рынке, оговаривается порядок взаимодействия структурных подразделений и коорди­нация их работы со службой безопасности.

Документы, охватывающие положения о контрольно-методи­ческой работе службы безопасности учитывают особенности, ко­торые присущи профессиональному подра зделению, специально созданному для разработки и осуществления мер безопасности в организации. Учитывая задачи, решаемые службой безопас­ности, за ней закрепляются определенные полномочия в части проведения контрольно-методической работы. В крупных орга­низациях дополнительно определяется круг полномочий каждого подразделения (сектора, отдела и т.д.), входящего в состав службы безопасности, что позволяет исключить дублирование действий в этой сфере контроля и обеспечить порядок взаимодействия между ними и структурными подразделениями. В таких докумен­тах регламентирован порядок учета и отчетности по контролю за состоянием режима безопасности организации применительно к различным объектам контроля.

Документы, содержащие положения О контрольной деятельности в сфере безопасности филиалов, представительств и дочерних об­ществ, учитывают специфику их взаимоотношений с основным обществом. В организациях, имеющих обособленные структурные подразделения (филиалы, представительства) в условиях единого или совместного с дочерним обществом ведения хозяйственной деятельности, возникают общие вопросы обеспечения безопас­ности при производстве и реализации продукции, заключении сделок и исполнении обязательств, что требует единого подхода к организации безопасности и осуществлению контроля в этой сфере. Поэтому права и обязанности по контролю за состояни­ем режима КЗИ определяются исходя из задач обособленного подразделения, где обращается такая информация, и условий договора с дочерним обществом. Нужно сказать, что организаци­онно-методическая работа обеспечивается, как правило, службой безопасности основного общества.

В крупных организациях могут приниматься отдельные доку­менты, регламентирующие участие руководящего состава органы-зации в обеспечении безопасности и осуществлении контроля за ее состоянием. В этом документе с учетом должностного положения фиксируются права и обязанности руководителей в иерархии управления организацией, а также определяется порядок предо­ставления отчетности по результатам контрольной деятельности в сфере безопасности.

Выбор сферы и объектов контроля за исполнением требований по установлению режима коммерческой тайны и его обеспечением. Разработка и принятие корпоративных актов и распорядительных документов, регулирующих обращение КЗИ, носят индивидуаль­ный характер и должны учитывать производственные, научно-технические, коммерческие и иные особенности организации, ее хозяйственные связи и своеобразие местных условий, отражаю­щихся на реализации мер зашиты КЗИ, возможности создания и функционирования службы безопасности. Подготовленные и принятые в установленном порядке корпоративные акты и иные документы не означают их автоматического действия. Важным представляется определение сфер, направлений и объектов кон­троля, сил и средств, используемых в процессе контроля. Под­ход к выбору сферы контроля объясняется сосредоточенностью КЗИ в определенных местах, возможно и в различное время, при выполнении работ и оказании услуг. Речь идет о местах постоянного и временного хранения документированной КЗИ, и такого же рода сведениях, которые используются в процессе, производственной, научно-технической, коммерческой и управ­ленческой деятельности, которые могут служить критериями для выделения сфер контроля.

сфере, издания дублирующих документов, во-вторых, будет спо­собствовать единообразному пониманию роли и места контроля в системе корпоративного управления сферой безопасности.

Рассмотрим структуру названных документов. В большинстве крупных организаций чаше всего разрабатывается отдельный документ, содержащий общие положения о контрольной деятель­ности в сфере обеспечения безопасности. В средних организациях и на малых предприятиях такие положения могут содержаться в различных корпоративных актах и распорядительных докумен­тах. Анализ документов, которые разрабатываются в крупных организациях показывает, что в них включаются разделы, в ко­торых содержатся положения: раскрывающие понятие безопас­ности применительно к хозяйственной ситуации; определяющие внутренние и внешние угрозы, цели и задачи контроля, с уче­том специфики деятельности на рынке товаров, работ и услуг; закрепляющие функцию контроля за различными субъектами с предоставлением им соответствующих правомочий; определя­ющие условия финансирования этой деятельности. В документах обязательно определяется порядок организации контроля и его место в системе корпоративного управления организацией и ее подразделениями на внутреннем и внешнем рынке, оговаривается порядок взаимодействия структурных подразделений и коорди­нация их работы со службой безопасности.

Документы, охватывающие положения о контрольно-методи­ческой работе службы безопасности учитывают особенности, ко­торые присущи профессиональному подразделению, специально созданному для разработки и осуществления мер безопасности в организации. Учитывая задачи, решаемые службой безопас­ности, за ней закрепляются определенные полномочия в части проведения контрольно-методической работы. В крупных орга­низациях дополнительно определяется круг полномочий каждого подразделения (сектора, отдела и т.д.), входящего в состав службы безопасности, что позволяет исключить дублирование действий в этой сфере контроля и обеспечить порядок взаимодействия между ними и структурными подразделениями. В таких докумен­тах регламентирован порядок учета и отчетности по контролю за состоянием режима безопасности организации применительно к различным объектам контроля.

Документы, содержащие положения о контрольной деятельности в сфере безопасности филиалов, представительств и дочерних об­ществ, учитывают специфику их взаимоотношений с основным обществом. В организациях, имеющих обособленные структурные подразделения (филиалы, представительства) в условиях единого или совместного с дочерним обществом ведения хозяйственной деятельности, возникают общие вопросы обеспечения безопас­ности при производстве и реализации продукции, заключении сделок и исполнении обязательств, что требует единого подхода к организации безопасности и осуществлению контроля в этой сфере. Поэтому права и обязанности по контролю за состояни­ем режима КЗИ определяются исходя из задач обособленного подразделения, где обращается такая информация, и условий договора с дочерним обществом. Нужно сказать, что организаци­онно-методическая работа обеспечивается, как правило, службой безопасности основного общества.

Характеристики

Список файлов книги