Основные задачи и методы контроля

Основные задачи контроля за состоянием защиты информации

следующие:

- сбор, обобщение и анализ информации о состоянии системы
защиты конфиденциальной информации предприятия;

- анализ состояния дел в области защиты информации в струк­
турных подразделениях, а также в филиалах и представительствах
предприятия;

- проверка наличия носителей конфиденциальной информации;

- проверка соблюдения всеми сотрудниками предприятия норм
и правил, устанавливающих порядок обращения с носителями
конфиденциальной информации;

- выявление угроз защите конфиденциальной информации и
выработка мер по их нейтрализации;

- анализ полноты и качества выполнения спланированных ме­
роприятий по защите информации в ходе повседневной деятель­
ности предприятия;

- оказание практической помощи должностным лицам в устра­
нении нарушений требований нормативно-методических докумен­
тов;

- применение мер административной и дисциплинарной от­
ветственности к лицам, нарушающим требования по порядку об­
ращения с носителями конфиденциальной информации;

- проверка эффективности мер по защите конфиденциальной
информации, принимаемых должностными лицами и руководи­
телями структурных подразделений предприятия.

Выбор методов контроля зависит от конкретных целей, задач и объектов контроля, а также от совокупности сил и средств, кото­рые предполагается использовать при его проведении.

Основные методы контроля за состоянием защиты информа­ции включают проверку, анализ, наблюдение, сравнение и учет.

Основным и наиболее эффективным методом контроля за со­стоянием защиты информации на предприятии, а также в его филиалах и представительствах является проверка.

Проверки по объему проведения подразделяются на комплекс­ные и частные, а по характеру (способу проведения) — на плано­вые и внезапные.

Комплексные проверки организуются и проводятся по всем на­правлениям защиты конфиденциальной информации. К их прове­дению привлекаются структурные подразделения, отвечающие за вопросы защиты информации на предприятии. Комплексные про­верки охватывают все сферы повседневной деятельности пред­приятия (его структурного подразделения, филиала или предста­вительства) и направлены на всестороннюю оценку состояния дел в области защиты конфиденциальной информации.

Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного струк­турного подразделения (филиала, представительства). В итоговом документе перечисляются выявленные недостатки, а также фор­мулируются предложения по их устранению, повышению эффек­тивности работы должностных лиц (сотрудников) в области за­щиты информации. Проверяющие лица устанавливают конкрет­ные сроки устранения выявленных недостатков и реализации пред­ложений (рекомендаций).

Частные проверки организуются и проводятся по одному или нескольким направлениям (вопросам) защиты конфиденциаль­ной информации в целях их глубокого изучения, анализа и оцен­ки эффективности работы должностных лиц (сотрудников) пред­приятия (филиала, представительства) по этим направлениям. По результатам частной проверки, как правило, готовится отдель­ный документ — справка.

Плановые проверки организуются заблаговременно, включают­ся в соответствующие планы мероприятий предприятия на кален­дарный год и месяц. Как правило, такие проверки являются ком­плексными, и в состав комиссий по их проведению включаются представители подразделений, ответственных за деятельность по различным направлениям защиты конфиденциальной информа­ции, способные оценить состояние и эффективность работы по конкретным вопросам.

Внезапные проверки организуются и проводятся при необходи­мости по указанию руководителя предприятия или его заместите­ля. Они могут проводиться как в масштабах предприятия, так и вего структурных подразделениях, филиалах или представительствах. Цель их проведения — проверка защиты конфиденциальной ин­формации по всем или нескольким направлениям деятельности предприятия. Особенность организации таких проверок состоит в том, что они отсутствуют в планах на календарный год и прово­дятся внезапно. Организация работы комиссии и оформление ре­зультатов внезапных проверок в основном такие же, как при пла­новых проверках.

Особый вид проверок — контрольные проверки состояния за­щиты конфиденциальной информации. В ходе их проведения про­веряется и оценивается полнота устранения недостатков, выяв­ленных предыдущей проверкой, и реализация выработанных по ее результатам предложений (рекомендаций).

Алгоритм подготовки и проведения проверки:

1) принятие решения о проведении проверки;

2) подготовка перечня проверяемых вопросов;

3) определение состава комиссии;

4) определение сроков работы комиссии;

5) подготовка и утверждение плана проверки;

6) непосредственное проведение проверки;

7) оформление результатов работы;

8) выработка предложений и рекомендаций;

9) доклад результатов проверки на месте;

10)анализ недостатков с проверяемыми;

11)доклад результатов лицу, назначившему проверку.

Одним из методов контроля защиты конфиденциальной инфор­мации также является анализ. В ходе анализа изучаются и обобща­ются результаты выполнения конкретных мероприятий по защите конфиденциальной информации. Осущестшгяется их сопоставление с положениями нормативно-методических документов по защите информации, соответствующими стандартами предприятия, фор­мулируется вывод о полноте, качестве и эффективности их прове­дения. Наряду с проверкой и анализом могут использоваться и та­кие методы контроля, как наблюдение, сравнение, учет.

Контроль методами наблюдения и сравнения проводится в слу­чае необходимости оперативной оценки мер защиты информа­ции, принимаемых в процессе проведения каких-либо работ (вы­полнения конкретных мероприятий), продолжающихся в течение определенного времени, и анализа соответствия этих мер уста­новленным нормам и стандартам, действующим на предприятии. Основное отличие названных методов друг от друга заключается в том, что в процессе наблюдения фиксируются конкретные меры по защите информации, а в ходе сравнения, кроме того, осуще­ствляется сопоставление этих мер с установленными нормами и утвержденными стандартами по защите конфиденциальной ин­формации, действующими на предприятии.

Учет принимаемых мер по защите информации подразумевает фиксацию и анализ реально принятых должностными лицами и сотрудниками предприятия мер, направленных на предотвраще­ние утечки информации в ходе повседневной деятельности пред­приятия. На основе материалов учета готовятся предложения ру­ководству предприятия об усилении режимных требований в рам­ках той или иной деятельности предприятия, повышении эффек­тивности работы конкретных должностных лиц.

15.3. Отдельные аспекты контроля за состоянием защиты информации. Использование результатов контроля

При осуществлении контроля за состоянием защиты инфор­мации особое внимание уделяется вопросам обращения с носите­лями конфиденциальной информации и их хранения в структур­ных подразделениях предприятия, в том числе расположенных на территориально обособленных объектах, находящихся на удале­нии. Проверяются порядок учета, хранения, размножения (копи­рования) и уничтожения носителей конфиденциальной инфор­мации; оборудование помещений, в которых хранятся указанные носители или осуществляется работа с ними; порядок передачи носителей одними исполнителями другим, в том числе и при убы­тии лиц в командировку (отпуск, на лечение); и т.д.

Постоянному контролю подлежат также вопросы допуска и доступа всех категорий должностных лиц к конфиденциальной информации, в том числе и непосредственно к носителям ин­формации, вопросы организации и осуществления пропускного и внутриобъектового режимов на предприятии, организации охра­ны предприятия и его объектов.

С учетом условий и специфики деятельности предприятия, осу­ществляемых видов деятельности повышенное внимание должно уделяться вопросам защиты информации при планировании и проведении предприятием договорных работ, а также при осуще­ствлении международного сотрудничества.

В повседневной деятельности предприятия и его структурных подразделений особое место занимает периодический контроль должностными лицами (соответствующими структурными подраз­делениями) наличия носителей конфиденциальной информации. Порядок и сроки его осуществления определяются нормативны­ми правовыми актами и методическими документами, регулиру­ющими порядок обращения с информацией различных видов кон­фиденциальности.

Результаты контроля за состоянием защиты конфиденциаль­ной информации доводятся до сведения должностных лиц и со­трудников предприятия, изучаются в ходе проведения соответ­ствующих занятий, недостатки и нарушения оперативно устра­няются. Результаты контроля служат основой для проведения ана­литической работы и подготовки предложений руководству пред­приятия, направленных на выработку конкретных мероприятий по совершенствованию системы защиты конфиденциальной информации и повышению эффективности работы в области организации и обеспечения режима секретности (конфиденциаль­ности).

В службе безопасности предприятия (режимно-секретном под­разделении) организуется и ведется учет результатов контроля,

всех видов проводимых проверок. Обобщенные материалы конт­роля периодически доводятся до сведения руководящего состава предприятия, анализируются и изучаются руководителями струк­турных подразделений предприятия в целях недопущения сниже­ния эффективности проводимых мероприятий по защите конфи­денциальной информации на предприятии в целом и в этих струк­турных подразделениях в частности.

Результаты контроля за состоянием защиты конфиденциаль­ной информации на предприятии являются одним из основных источников информации для изучения, обобщения и анализа. Оценка эффективности контроля проводится на основе анализа степени защищенности сведений, содержащих конфиденциаль­ную информацию (их защиты от утечки), и сохранности носите­лей конфиденциальной информации (предотвращения случаев утрат носителей и устранения предпосылок к ним). С этой целью проводится учет, обобщение и анализ зарегистрированных на пред­приятии попыток посторонних лиц (злоумышленников) завла­деть конфиденциальной информацией или ее носителями, а так­же статистическая обработка результатов деятельности предприя­тия и его отдельных подразделений, направленной на предотвра­щение (пресечение) этих попыток.

По результатам оценки эффективности контроля руководство предприятия на основе предложений службы безопасности (ре-жимно-секретного подразделения) определяет пути и способы совершенствования системы контроля защиты конфиденциаль­ной информации, уточняет задачи и функции структурных под­разделений предприятия.

ГЛАВА 16

ОРГАНИЗАЦИЯ СЛУЖЕБНОГО РАССЛЕДОВАНИЯ

ПО ФАКТАМ РАЗГЛАШЕНИЯ

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

ИЛИ УТРАТЫ НОСИТЕЛЕЙ ИНФОРМАЦИИ

16.1. Ответственность за разглашение конфиденциальной информации и утрату носителей информации

Разглашение конфиденциальной информации — поедание огласке этой информации работником, допущенным к ней в связи с вы­полнением функциональных (должностных) обязанностей.

Под утратой носителей конфиденциальной информации (доку­ментов, материалов, изделий) понимается выход (в том числе на непродолжительное время) этих носителей из владения работни­ка, который в установленном порядке допущен к ним в связи с выполнением функциональных (должностных) обязанностей, в результате чего данные носители стали либо могли стать достоя­нием посторонних лиц.

За разглашение конфиденциальной информации, утрату но­сителей конфиденциальной информации и нанесение вследствие этих действий ущерба предприятию (работодателю) виновные лица привлекаются к дисциплинарной, материальной, административ­ной или уголовной ответственности.

Дисциплинарная ответственность работников предприятий пре­дусмотрена ст. 57, 81, 192 и 193 Трудового кодекса РФ. В соответ­ствии со ст. 57 в заключаемом работодателем и работником трудо­вом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, ком­мерческой и иной).

В отношении работника, совершившего дисциплинарный про­ступок, связанный с неисполнением или ненадлежащим испол­нением трудовых обязанностей, работодателем могут быть приме­нены следующие дисциплинарные взыскания, определенные ст. 192 Трудового кодекса РФ: замечание, выговор, увольнение по соот­ветствующим основаниям. Порядок применения дисциплинарных взысканий определен в ст. 193 кодекса.

Увольнение работника осуществляется в соответствии с поло­жениями ст. 81 Трудового кодекса РФ «Расторжение трудового договора по инициативе работодателя». В соответствии с подп. 6в указанной статьи трудовой договор с работником может быть рас-

торгнут в случае однократного грубого нарушения работником трудовых обязанностей — разглашения охраняемой законом тай­ны (государственной, коммерческой, служебной и иной), став­шей известной работнику в связи с исполнением им трудовых обязанностей.

Материальная ответственность работника наступает в случае нанесения ущерба предприятию в результате разглашения кон­фиденциальной информации, ставшей известной работнику в связи с исполнением им должностных (функциональных) обя­занностей. В соответствии со ст. 232, 238, 242 Трудового кодекса РФ работник обязан возместить ущерб, нанесенный предприя­тию (работодателю). Согласно п. 7 ст. 243 кодекса, разглашение сведений, составляющих охраняемую законом тайну (коммерче­скую, служебную или иную), влечет за собой материальную ответ­ственность работника в полном размере причиненного ущерба.

Административная ответственность за разглашение конфиден­циальной информации, доступ к которой ограничен в соответ­ствии с законодательством РФ, определена ст. 13.14 Кодекса Рос­сийской Федерации об административных правонарушениях¹.

В соответствии с положениями указанной статьи разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или про­фессиональных обязанностей, влечет наложение административ­ного штрафа:

- на граждан — в размере от пяти до десяти минимальных раз­
меров оплаты труда;

- на должностных лиц — от сорока до пятидесяти минималь­
ных размеров оплаты труда.

Уголовная ответственность за преступления в сфере защиты государственной тайны предусмотрена ст. 275, 283, 284 гл. 29 Уго­ловного кодекса РФ.²

Согласно ст. 275 УК РФ, выдача гражданином РФ государствен­ной тайны иностранному государству, иностранной организации или их представителям наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработанной платы или иного дохода осужденного за период до трех лет либо без такового.

Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, без признаков государственной измены в соответ­ствии со ст. 283 УК РФ наказывается арестом на срок от четырех

¹ Федеральный закон от 30.12.2001 г. № 195-ФЗ.

² Федеральный закон от 13.06.1996 г. № 64-ФЗ.

до шести месяцев либо лишением свободы на срок до четырех лет (в случае тяжких последствий — до семи лет) с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Согласно ст. 284 УК РФ, нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с со­держащими государственную тайну документами или с предмета­ми, сведения о которых составляют государственную тайну, по­влекшее их утрату и наступление тяжких последствий, наказыва­ется ограничением свободы на срок до трех лет либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные долж­ности или заниматься определенной деятельностью на срок до трех лет или без такового.