Создание системы организационной защиты конфиденциальной информации на предприятии

(Мельникова Е. И.) («Юрист», 2011, N 21)

СОЗДАНИЕ СИСТЕМЫ ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

Е. И. МЕЛЬНИКОВА

Мельникова Елена Ивановна, аспирантка юридического факультета Института права и государственной службы Ульяновского государственного университета, кафедра государственного и административного права.

В статье рассмотрены этапы создания и внедрения системы организационной защиты конфиденциальной информации на предприятии в современных российских условиях. Автором проанализированы потенциальные каналы утечки конфиденциальной информации, представлен порядок разработки концепции информационной безопасности, а также детализированы мероприятия организационного характера в целях обеспечения информационной безопасности.

Ключевые слова: конфиденциальная информация, коммерческая тайна, материальный носитель, утечка информации.

Creation of the system of organizational protection of confidential information at enterprise E. I. Mel’nikova

The article considers the stages of creation and introduction of the system of organizational protection of confidential information at enterprise in contemporary Russian conditions. The author analyses potential channels of leakage of confidential information, presents a procedure of elaboration of conception of informational security and also specifies the measures of organizational character for the purpose of ensuring informational security.

Key words: confidential information, commercial secret, material carrier, leakage of information.

Разработка и реализация практических мер по организации защиты конфиденциальной информации в соответствии с действующим законодательством возлагаются на ее обладателя. Именно он должен создать систему защиты сведений, составляющих конфиденциальную информацию, и обеспечить ее эффективную работу. Известно, что среди способов защиты конфиденциальной информации предприятия выделяются три группы методов: методы программно-математического характера, технического характера и методы характера организационного. При этом методы организационного характера — наименее сложная с технологической точки зрения группа методов, не требующая применения дорогостоящих технических устройств или программных продуктов. Поэтому внедрение организационных методов в деятельность любого предприятия поможет обеспечить информационную безопасность, в том числе и от угроз своих собственных сотрудников. Каким образом создать систему организационной безопасности на предприятии и как обеспечить надлежащий контроль над такой системой — поиску ответов на эти вопросы и посвящено данное исследование. По результатам специального исследования на тему «Методы и средства защиты коммерческой тайны на предприятии» <1>, в котором приняли участие 40 предприятий г. Ульяновска из числа крупного, среднего и малого бизнеса, можно заключить, что система информационной безопасности как таковая отсутствует. ——————————— <1> Исследование проведено усилиями автора при поддержке Агентства маркетинговых решений «Результат» (г. Ульяновск).

На половине всех предприятий отсутствует перечень информации, составляющей коммерческую тайну. Лишь на 60% всех предприятий установлен порядок обращения с информацией, составляющей коммерческую тайну, т. е. приняты положения о разрешительной системе или другой подобный документ, регулирующий порядок обращения информации, составляющей коммерческую тайну. Также лишь на половине всех предприятий обязанности сотрудников прописаны в специальном положении, регулирующем порядок обращения коммерческой информации на предприятии. На 55% всех предприятий гриф «Коммерческая тайна» не нанесен ни на один вид документов. На 25% предприятий гриф «Коммерческая тайна» нанесен на некоторые наиболее важные (с точки зрения руководства) документы, содержащие информацию, составляющую коммерческую тайну. На 20% всех предприятий на материальные носители (документы), составляющие коммерческую тайну, нанесен гриф «Коммерческая тайна» с указанием обладателя такой информации. На 40% всех предприятий отсутствует служба безопасности. Система видеонаблюдения отсутствует в 50% случаев. Система видеонаблюдения, позволяющая контролировать все важные объекты, установлена на 35% всех предприятий. На 15% предприятий установлена система видеонаблюдения, позволяющая контролировать лишь центральные участки. Итак, существует необходимость разработки и внедрения системы организационной безопасности в современных российских условиях. Определимся с понятиями. Субъектами обеспечения информационной безопасности предприятия выступают все категории руководителей и допущенных к конфиденциальным сведениям. В крупных компаниях эту работу координирует специальное подразделение в составе службы безопасности. Объектами защиты выступает любая конфиденциальная информация, а также другие сведения, утрата которых способна нанести предприятию имущественный или неимущественный ущерб. Инструментом защиты являются организационные мероприятия, осуществляемые в определенной последовательности. Система организационной безопасности может быть внедрена на предприятии в ряд этапов. Первый этап предполагает формирование ранжированного перечня конфиденциальных сведений и присвоение им соответствующего грифа секретности. Систематизированный перечень конфиденциальной информации предприятия с присвоением грифа секретности может выглядеть примерно следующим образом: 1) под гриф секретности «Абсолютно конфиденциальные сведения» может подпадать такая информация, как: закрытая информация о собственниках организации; информация о стратегических планах организации по коммерческому и финансовому направлениям деятельности; информация, составляющая клиентскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов или подконтрольным организациям, и т. д.; 2) грифом секретности «Строго конфиденциальные сведения» могут быть отмечены следующие сведения: все прочие конфиденциальные сведения о клиентах; информация маркетингового, финансового и технологического характера, составляющая коммерческую тайну; личные дела сотрудников (досье) и т. д.; 3) грифом секретности «Конфиденциальные сведения» может быть отмечена такая информация, как: базы данных по направлениям деятельности организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления; сведения о заработной плате и индивидуальных «социальных пакетах» сотрудников организации, а также «резерва на выдвижение»; внутренние регламенты, используемые в системе внутрифирменного менеджмента, и т. д.; 4) грифом «Информация для служебного пользования» может быть отмечена вся другая информация, которая не подлежит публикации в открытых источниках. Таким образом, на предприятии будет сформирован перечень конфиденциальной информации, т. е. объект защиты. На втором этапе внедрения системы организационной безопасности необходимо проанализировать все возможные каналы утечки информации. Например, А. Р. Алавердов в своей книге «Управление кадровой безопасностью организации» выделяет следующие группы каналов утечки информации: 1) каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы (например, каналы перехвата информации в устной форме с использованием подслушивающих устройств); 2) каналы, связанные с несанкционированным доступом к информации (например, наблюдение за информацией с целью запоминания ее в процессе обработки или хищение носителей информации); 3) каналы, связанные с доступом к элементам системы обработки данных, требующие изменения компонентов системы (например, несанкционированное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи); 4) каналы прямой утечки информации от нелояльных сотрудников (например, каналы утечки информации путем косвенного воздействия на сотрудников — носителей конфиденциальных сведений, через их родственников и знакомых). По результатам анализа должны быть выделены все возможные каналы утечки информации на предприятии. Исходя из этого, необходимо сформировать стратегию комплексной защиты, т. е. комплекс организационных мероприятий в общем виде, который будет способен обеспечить «перекрытие» таких каналов, т. е. инструмент защиты. На данном этапе можно рекомендовать разработку общей концепции информационной безопасности, которая может включать: — принципы ранжирования конфиденциальной информации по степени ее важности для организации, а следовательно, по требованиям к эффективности защиты; — подходы к обеспечению системы специальными программными продуктами (самостоятельная разработка или заказ у специализированных подрядчиков); — подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами организации (безопасности персонала, коммерческой деятельности, информационных технологий) и производственными подразделениями; — подходы к выбору методов пресечения выявленных угроз; — подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов организации, выделение средств под представленные сметы и целевые программы и т. п.); — критерии оценки эффективности защиты конфиденциальной информации. На данном этапе следует разработать внутреннюю нормативную базу, определяющую общие положения, касающиеся обеспечения безопасности конфиденциальной информации. Такая нормативная база может включать регламенты трех видов: 1) общие для всей организации регламенты (например, Положение о правилах обеспечения информационной безопасности; Правила проведения конфиденциальных переговоров; Правила работы с закрытыми базами данных и т. п.); 2) внутренние регламенты службы безопасности, включая должностные инструкции ее сотрудников, специализирующихся в этой области; 3) правила обеспечения информационной безопасности, фиксируемые в регламентах конкретных структурных подразделений и должностных инструкциях их сотрудников. На третьем этапе происходит детальная разработка мероприятий организационного характера и их непосредственное внедрение. Во-первых, разрабатываются и реализуются мероприятия по ограничению доступа к конфиденциальной информации. Для этого на предприятии реализуются разнообразные «режимные мероприятия», включающие: — систему индивидуальных допусков, предполагающих наличие у соответствующей категории сотрудников предприятия одного из трех форм допуска (форма 1 — допуск к абсолютно конфиденциальной информации, форма 2 — допуск к строго конфиденциальной информации, форма 3 — допуск к конфиденциальной информации); — запрет на вынос документов из здания организации или из соответствующих помещений; — использование компьютеров, не подключенных ни к Internet, ни к корпоративным локальным сетям; — использование компьютеров, лишенных дисководов и гнезд для подключения флэш-карт, новых коммуникационных шнуров, и т. п.; — возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т. п. В рамках указанных мероприятий может быть произведено дробление конфиденциальной информации, не позволяющее сосредоточить в одном источнике (у сотрудника, в документе, файле и т. п.) все сведения по вопросу, интересующему потенциального субъекта угроз. Во-вторых, разрабатываются и внедряются мероприятия, направленные на снижение возможности случайного или умышленного разглашения информации или других форм ее утечки и соединяющие в себе закрепленный во внутренних регламентах организации набор правил, детализирующий общие положения, касающиеся обеспечения безопасности конфиденциальной информации: — работы с конфиденциальными документами; — работы с закрытыми базами компьютерных данных; — проведения конфиденциальных переговоров; — поведения сотрудников предприятия на службе и вне ее. В-третьих, разрабатываются и внедряются мероприятия, определяющие порядок организации контроля над соблюдением сотрудниками организации установленных правил информационной безопасности. В частности, такие правила устанавливают: — распределение функций, полномочий и ответственности между службой безопасности и руководителями структурных подразделений; — используемые процедуры контроля с дифференциацией на формализованные и неформальные его методы; — порядок отчета о результатах контрольных мероприятий. Правила информационной безопасности также должны предусматривать порядок действий уполномоченных должностных лиц и инстанций при выявлении фактов утечки той или иной конфиденциальной информации. Это могут быть правила, касающиеся: — информационного обмена о факте утечки; — расследования причин утечки; — наказания виновных в утечке. Итак, целью создания и функционирования системы организационной безопасности конфиденциальной информации является обеспечение оптимального режима работы предприятия с таким расчетом, чтобы сделать информацию и сведения конфиденциального характера недоступными для посторонних лиц, а также создать необходимые условия работы сотрудникам, имеющим к ним доступ. Для этого может быть установлен единый порядок работы с защищаемой информацией. Основная особенность этого порядка заключается в организации конфиденциального делопроизводства, принятии работниками обязательства строгого исполнения его правил и индивидуальной ответственности за обеспечение сохранности доверенных конфиденциальных сведений и их носителей. В рамках системы, как правило, организуется обучение работников правилам соблюдения конфиденциальной информации, а также осуществляется систематический контроль над исполнением организационно-распорядительных документов и инструкций по защите конфиденциальной информации. Система может включать наличие типовой процедуры анализа и разбирательства (ведомственного расследования) по фактам нарушения порядка работы со сведениями, составляющими коммерческую тайну, и выработку предложений по совершенствованию защиты информации.

ЛИТЕРАТУРА

1. Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (в ред. от 24 июля 2007 г. N 214-ФЗ). 2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». 3. Алавердов А. Р. Управление кадровой безопасностью организации. М.: Маркет ДС, 2008. 176 с. 4. Алешин А. П. Техническое обеспечение безопасности бизнеса. М.: Издательско-торговая корпорация «Дашков и К», 2008. 160 с. 5. Гончаренко Л. П., Куценко Е. С. Управление безопасностью: Учеб. пособие для вузов. М.: КноРус, 2005. 312 с. 6. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации: Учеб. пособие. М.: ФОРУМ, 2009. 256 с. 7. Ярочкин В. И., Бузанова Я. В. Основы безопасности бизнеса и предпринимательства: Учеб. пособие. М.: Академический проект; Фонд «Мир», 2005. 241 с.

——————————————————————