Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 799
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
• разработке, создании, испытаниях объектов информатизации и производстве продукции, содержащей информацию ограничен
ного доступа;
• разработке нормативных, научно-технических и методиче
ских документов по вопросам выявления и закрытия возможных каналов утечки информации ограниченного доступа, технической защите информации, совершенствованию физической защиты объектов;
• обеспечению охраны объекта, организации пропускного и внутриобъектового режимов, выборе средств автоматизации этих процессов;
• рассмотрении проектов договоров и технических заданий на проведение работ, конструкторской, технологической и отчетной документации по ним с целью определения достаточности ме
роприятий по обеспечению режима сохранности информации огра
ниченного доступа, используемой при проведении работ;
• рассмотрении вопроса о величине ущерба в случае разглаше
ния информации ограниченного доступа, возможности снятия ограничений на распространение информации ограниченного доступа и др.
1 ... 24 25 26 27 28 29 30 31 ... 41
13.2.4. Обязанности пользователей защищаемой
информации
Обязанности
персонала
предприятия по защите информации определяются в коллективном договоре, трудовых договорах, дол
жностных (функциональных) обязанностях, инструкциях, прави
лах, положениях и других организационно-распорядительных до
кументах. Они должны предусматривать следующие обязательства персонала:
• знать и неукоснительно выполнять требования организаци
онно-распорядительных документов предприятия по защите ин
формации ограниченного доступа;
• знать содержание перечней информации ограниченного до
ступа, к которой имеет отношение в силу служебных обязанно
стей; уметь правильно определять наличие и степень конфиден
циальности информации ограниченного доступа, используемой им при выполнении должностных обязанностей; своевременно проставлять установленные нормативными правовыми докумен
тами отличительные реквизиты на ее носителях;
• знать основы законодательства, устанавливающего ответствен
ность (гражданскую, административную, уголовную) за разглаше
ние информации ограниченного доступа или утрату ее носителей;
• знать правила обращения, разработки, учета, хранения унич
тожения носителей информации ограниченного доступа;
• передавать информацию ограниченного доступа другим со
трудникам предприятия только в порядке, установленном соот
ветствующими инструкциями и с разрешения полномочных дол
жностных лиц;
• производить работы с носителями информации ограничен
ного доступа только в предназначенных для этого помещениях, с соблюдением мер по защите ее конфиденциальности, установ
ленных соответствующими правилами и инструкциями;
• размножать (тиражировать, копировать) носители информа
ции ограниченного доступа только в порядке, установленном со
ответствующими правилами и инструкциями, с использованием разрешенных для этого средств и с разрешения уполномоченных лиц; своевременно передавать вновь размноженные носители ин
формации ограниченного доступа в подразделения, ведущие их учет;
• своевременно сдавать не нужные для дальнейшей работы но
сители информации ограниченного доступа в подразделения, ве
дущие их учет;
• черновики, перепечатанные и испорченные листы докумен
тов, содержащих информацию ограниченного доступа, сдавать для уничтожения в подразделения, ведущие учет таких документов;
• своевременно информировать службу защиты информации или непосредственных начальников о замеченных нарушениях ре
жима обеспечения защиты информации ограниченного доступа, допущенных другими работниками, о неисправностях техниче
ских средств или других событиях, могущих привести к разглаше
нию информации ограниченного доступа;
• пересылать (передавать) носители информации ограничен
ного доступа контрагентам предприятия и их сотрудникам только в порядке, определенном соответствующими правилами и инст
рукциями, с разрешения уполномоченных должностных лиц;
• не выносить за пределы предприятия носители информации ограниченного доступа без разрешения уполномоченных должно
стных лиц;
• не использовать информацию ограниченного доступа в це
лях, не связанных с выполнением должностных обязанностей, не сообщать ее посторонним, при обращении в другие организации и учреждения, средства массовой информации и т.п.;
• не вести переговоры по незащищенным техническим сред
ствам связи и телекоммуникации, связанные с обсуждением ин
формации ограниченного доступа.
Руководители структурных подразделений предприятия, исполь
зующих информацию ограниченного доступа, должны:
• знать требования руководящих и нормативных документов, регламентирующих вопросы обеспечения режима обеспечения защиты информации ограниченного доступа;
• знать фактическое состояние дел по обеспечению защиты информации ограниченного доступа в своем подразделении и организовывать постоянную работу по выявлению возможных каналов ее утечки и их закрытию;
• определять сотрудникам подразделения их задачи и обязан
ности по защите информации ограниченного доступа;
• требовать от сотрудников подразделения обеспечивать сохран
ность информации ограниченного доступа и принимать меры по предотвращению случаев ее разглашения;
• принимать меры дисциплинарного воздействия к лицам, до
пускающим нарушения требований по защите информации огра
ниченного доступа;
• доводить до подчиненных требования регламентирующих до
кументов по защите информации ограниченного доступа;
• осуществлять контроль исполнения требований регламентиру
ющих документов по защите информации ограниченного доступа;
• постоянно изучать и анализировать все стороны деятельно
сти подразделения с целью принятия эффективных мер закрытия возможных каналов утечки информации ограниченного доступа в процессах разработки, обращения, хранения и рассылки докумен
тов, содержащих информацию с учетом решаемых подразделени
ем задач, условий обстановки и реальных возможностей;
• устанавливать и поддерживать строгий порядок в обращении с информацией ограниченного доступа;
• обеспечивать правильное определение степени конфиденци
альности информации ограниченного доступа, своевременное уничтожение утративших практическую надобность документов
(носителей информации ограниченного доступа);
• участвовать в определении круга сотрудников подразделения, допускаемых к документам и работам, содержащим информацию ограниченного доступа;
• участвовать в работе комиссий по проверке наличия и унич
тожения документов, содержащих информацию ограниченного доступа.
13.3. Обеспечение взаимодействия между
субъектами, защищающими и использующими
информацию ограниченного доступа
Взаимодействие между персоналом предприятия и службой защиты информации может быть обеспечено путем определения соответствующих обязанностей персонала предприятия и предо
ставления соответствующих полномочий службе защиты инфор
мации.
Полномочия службы зашиты информации могут быть закреп
лены в должностных обязанностях персонала, а также в положе
нии о службе защиты информации (или разделе положения о служ
бе безопасности предприятия). Наиболее важными из этих пол
номочий являются:
• подчиненность сотрудников службы защиты информации строго определенным должностным лицам (как правило, руково
дителю предприятия, его заместителю по безопасности и должно
стным лицам службы защиты информации — по подчиненности);
• предоставление права проверять наличие материалов, содер
жащих информацию ограниченного доступа и порядок обраще
ния с ними у всего персонала предприятия;
• персонал предприятия обязан выполнять требования пред
ставителей службы защиты информации, связанные с соблюде
нием установленного порядка разработки, обращения, хранения, передачи (пересылки), уничтожения носителей информации ог
раниченного доступа;
• службе защиты информации предоставляется право прово
дить служебные расследования по фактам нарушений установлен
ного порядка разработки, обращения, хранения, передачи (пере
сылки), уничтожения носителей информации ограниченного до
ступа разработки;
• персонал обязан давать объяснения представителям службы защиты информации по вопросам, связанным с нарушением уста
новленного порядка разработки, обращения, хранения, передачи
(пересылки), уничтожения носителей информации ограниченно
го доступа.
Кроме того, руководство предприятия может осуществлять не
гласный контроль за действиями персонала согласно Закону Рос
сийской Федерации 1992 г. «О частной детективной и охранной деятельности в Российской Федерации»*. В этих целях в установ
ленных случаях должна быть получена лицензия на частную де
тективную деятельность, а устав (положение) о службе безопас
ности предприятия, согласованный с органами внутренних дел, предусматривает следующие виды деятельности (приведен при
мер из действующего устава службы безопасности одной из ком
мерческих фирм):
• сбор сведений по гражданским делам;
• изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых парт
неров;
• установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наи
*
Закон РФ от 11.03.1992 г. № 2487-1 (ред. от 18.07.2006 г.) / / Ведомости СНД
РФ и ВС РФ от 23.04.1992 г. № 17. - Ст. 888.
менований, недобросовестной конкуренции, а также разглаше
ния сведений, составляющих коммерческую тайну;
• выяснение биографических и других характеризующих лич
ность данных об отдельных гражданах (с их письменного согла
сия) при заключении ими трудовых и иных контрактов;
• поиск утраченного имущества;
• сбор сведений по уголовным делам;
• защита жизни и здоровья граждан;
• охрана имущества собственников, в том числе при его транс
портировке;
• проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
• консультирование и подготовка рекомендаций клиентам по вопросам правомерной защиты от противоправных посягательств;
• изучение деятельности фирмы, открытой информации о кон
курирующих фирмах для своевременного внесения предложений по разработке и корректировке перечня сведений, составляющих коммерческую тайну; после утверждения перечня руководителем незамедлительное ознакомление с ним исполнителей закрытых работ в части, касающейся их;
• осуществление контроля за правильностью засекречивания и рассекречивания работ, документов, изданий, материалов;
• оценка классифицированных документов с целью предотвра
щения включения в них излишних данных;
• подготовка списка лиц, имеющих право классифицировать информацию;
• составление плана размещения и ведение учета помещений, в которых руководителем после соответствующей аттестации раз
решено постоянное или временное хранение носителя коммер
ческой тайны, а также проведение закрытых работ;
• составление и корректировка списка лиц, которые могут быть допущены к закрытым сведениям, необходимым им для выполне
ния служебных обязанностей;
• разработка разрешительной системы доступа сотрудников и командированных к носителям охраняемых сведений и определе
ние места выполнения работ с ними, анализ эффективности этой системы;
• принятие мер, исключающих разглашение охраняемой ин
формации фирмы, в процессе контроля оформления документов, предназначенных для передачи заказчику, отправки и вывоза за границу, переписки с инофирмами;
• организация и ведение закрытого делопроизводства, размно
жение документов, содержащих экономические секреты, их учет, хранение, выдача исполнителям работ, уничтожение;
• участие в разработке мер по обеспечению безопасности при обработке сведений, составляющих коммерческую тайну, различ
ния сведений, составляющих коммерческую тайну;
• выяснение биографических и других характеризующих лич
ность данных об отдельных гражданах (с их письменного согла
сия) при заключении ими трудовых и иных контрактов;
• поиск утраченного имущества;
• сбор сведений по уголовным делам;
• защита жизни и здоровья граждан;
• охрана имущества собственников, в том числе при его транс
портировке;
• проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
• консультирование и подготовка рекомендаций клиентам по вопросам правомерной защиты от противоправных посягательств;
• изучение деятельности фирмы, открытой информации о кон
курирующих фирмах для своевременного внесения предложений по разработке и корректировке перечня сведений, составляющих коммерческую тайну; после утверждения перечня руководителем незамедлительное ознакомление с ним исполнителей закрытых работ в части, касающейся их;
• осуществление контроля за правильностью засекречивания и рассекречивания работ, документов, изданий, материалов;
• оценка классифицированных документов с целью предотвра
щения включения в них излишних данных;
• подготовка списка лиц, имеющих право классифицировать информацию;
• составление плана размещения и ведение учета помещений, в которых руководителем после соответствующей аттестации раз
решено постоянное или временное хранение носителя коммер
ческой тайны, а также проведение закрытых работ;
• составление и корректировка списка лиц, которые могут быть допущены к закрытым сведениям, необходимым им для выполне
ния служебных обязанностей;
• разработка разрешительной системы доступа сотрудников и командированных к носителям охраняемых сведений и определе
ние места выполнения работ с ними, анализ эффективности этой системы;
• принятие мер, исключающих разглашение охраняемой ин
формации фирмы, в процессе контроля оформления документов, предназначенных для передачи заказчику, отправки и вывоза за границу, переписки с инофирмами;
• организация и ведение закрытого делопроизводства, размно
жение документов, содержащих экономические секреты, их учет, хранение, выдача исполнителям работ, уничтожение;
• участие в разработке мер по обеспечению безопасности при обработке сведений, составляющих коммерческую тайну, различ
ными техническими средствами и системами при пользовании
ЭВМ;
• планирование и осуществление режимных мероприятий при проведении всех видов работ, в которых используются закрытая информация и классифицированные носители;
• содействие руководителям подразделений фирмы в разработ
ке и осуществлении мер защиты сведений в процессе научной, конструкторской, производственной, коммерческой и иной дея
тельности;
• организация и проведение защитных мероприятий при ис
пытаниях, хранении, транспортировке, уничтожении продукции, содержащей коммерческую тайну;
• разработка и осуществление мер по предупреждению утечки информации при оформлении материалов, предназначенных к опубликованию в открытой печати, для использования на конфе
ренциях, выставках, в рекламной деятельности, а также при про
ведении совещаний, конференций, выставок на территории объекта и вне его;
• систематический контроль за соблюдением правил обраще
ния с носителями коммерческой тайны на рабочих (выделенных) местах, их движением, возвратом, размножением и уничтожени
ем;
• разработка положений, инструкций, правил по обеспечению режима работы для исполнителей закрытых работ, специалистов службы безопасности;
• осуществление комплекса профилактических мероприятий по предупреждению правонарушений (уголовных, административных и гражданских) на территории фирмы;
• организация обучения лиц, допущенных к закрытым рабо
там, проверка уровня их режимной подготовки;
• организация работ по повышению квалификации сотрудни
ков службы безопасности (в т.ч. с участием приглашенных специ
алистов);
• организация и контроль состояния пропускного и внутри- объектового режимов;
• участие в подборе лиц, планируемых для работы с представи
телями инофирм, проведение их инструктажа.
13.4. Подбор и обучение персонала
Основные моменты, связанные с подбором и обучением пер
сонала, были названы выше при рассмотрении состава кадрового обеспечения. Остановимся еще на нескольких моментах.
Персонал, вне всяких сомнений, является основным источни
ком приумножения благосостояния предприятия. Вместе с тем и
ЭВМ;
• планирование и осуществление режимных мероприятий при проведении всех видов работ, в которых используются закрытая информация и классифицированные носители;
• содействие руководителям подразделений фирмы в разработ
ке и осуществлении мер защиты сведений в процессе научной, конструкторской, производственной, коммерческой и иной дея
тельности;
• организация и проведение защитных мероприятий при ис
пытаниях, хранении, транспортировке, уничтожении продукции, содержащей коммерческую тайну;
• разработка и осуществление мер по предупреждению утечки информации при оформлении материалов, предназначенных к опубликованию в открытой печати, для использования на конфе
ренциях, выставках, в рекламной деятельности, а также при про
ведении совещаний, конференций, выставок на территории объекта и вне его;
• систематический контроль за соблюдением правил обраще
ния с носителями коммерческой тайны на рабочих (выделенных) местах, их движением, возвратом, размножением и уничтожени
ем;
• разработка положений, инструкций, правил по обеспечению режима работы для исполнителей закрытых работ, специалистов службы безопасности;
• осуществление комплекса профилактических мероприятий по предупреждению правонарушений (уголовных, административных и гражданских) на территории фирмы;
• организация обучения лиц, допущенных к закрытым рабо
там, проверка уровня их режимной подготовки;
• организация работ по повышению квалификации сотрудни
ков службы безопасности (в т.ч. с участием приглашенных специ
алистов);
• организация и контроль состояния пропускного и внутри- объектового режимов;
• участие в подборе лиц, планируемых для работы с представи
телями инофирм, проведение их инструктажа.
13.4. Подбор и обучение персонала
Основные моменты, связанные с подбором и обучением пер
сонала, были названы выше при рассмотрении состава кадрового обеспечения. Остановимся еще на нескольких моментах.
Персонал, вне всяких сомнений, является основным источни
ком приумножения благосостояния предприятия. Вместе с тем и
ущерб, который может нанести предприятию недобросовестный работник, особенно если он наделен полномочиями и возможно
стью доступа к защищаемой информации, может превосходить ущерб от самых масштабных аварий, сбоев в работе и других на
рушений в работе технических систем. При этом даже самые изощ
ренные формы закрепления юридической ответственности такого работника, технические системы контроля за его деятельностью, инструкции и правила не смогут компенсировать просчета, допу
щенного руководством, кадровыми работниками, службой без
опасности при приеме его на работу. В связи с этим представля
ются оправданными высокие расходы по найму и содержанию квалифицированных сотрудников служб безопасности, владеющих методиками распознавания лиц, склонных к правонарушениям, с признаками деградации личности, «темным» прошлым и т.п.
Обратим внимание и на сравнительно новый для России спо
соб подбора кадров, связанный с проведением психофизиологи
ческого исследования с помощью полиграфа («детектора лжи»).
Показателем эффективности данного средства может служить информация об его использования в правоохранительных орга
нах*.
Что касается обучения персонала, то на современном рынке этой услуги имеется масса возможностей по подготовке (перепод
готовке) специалистов в области защиты государственной тайны, конфиденциальной информации, в том числе и по сложным тех
ническим направлениям этой деятельности. Вместе с тем, с на
шей точки зрения, наиболее важной (и эффективной) формой является организация подготовки персонала по вопросам зашиты информации непосредственно на предприятии, под руководством сотрудников службы защиты информации.
*
Приказ Директора Федеральной таможенной службы от 05.09.2006 г. № 839
«Об организации применения полиграфа в деятельности таможенных органов
Российской Федерации»; приказ МВД 1995 г. № 353 «Об обеспечении внедре
ния полиграфа в деятельность органов внутренних дел».
стью доступа к защищаемой информации, может превосходить ущерб от самых масштабных аварий, сбоев в работе и других на
рушений в работе технических систем. При этом даже самые изощ
ренные формы закрепления юридической ответственности такого работника, технические системы контроля за его деятельностью, инструкции и правила не смогут компенсировать просчета, допу
щенного руководством, кадровыми работниками, службой без
опасности при приеме его на работу. В связи с этим представля
ются оправданными высокие расходы по найму и содержанию квалифицированных сотрудников служб безопасности, владеющих методиками распознавания лиц, склонных к правонарушениям, с признаками деградации личности, «темным» прошлым и т.п.
Обратим внимание и на сравнительно новый для России спо
соб подбора кадров, связанный с проведением психофизиологи
ческого исследования с помощью полиграфа («детектора лжи»).
Показателем эффективности данного средства может служить информация об его использования в правоохранительных орга
нах*.
Что касается обучения персонала, то на современном рынке этой услуги имеется масса возможностей по подготовке (перепод
готовке) специалистов в области защиты государственной тайны, конфиденциальной информации, в том числе и по сложным тех
ническим направлениям этой деятельности. Вместе с тем, с на
шей точки зрения, наиболее важной (и эффективной) формой является организация подготовки персонала по вопросам зашиты информации непосредственно на предприятии, под руководством сотрудников службы защиты информации.
*
Приказ Директора Федеральной таможенной службы от 05.09.2006 г. № 839
«Об организации применения полиграфа в деятельности таможенных органов
Российской Федерации»; приказ МВД 1995 г. № 353 «Об обеспечении внедре
ния полиграфа в деятельность органов внутренних дел».