Организация и проведение служебного расследования по фактам нарушений
В случае разглашения конфиденциальной информации, или утраты носителей, содержащих такую информацию, руководитель предприятия обязан незамедлительно проинформировать о произошедшем руководителя и режимно-секретное подразделение вышестоящей организации (если она имеется), а также орган безопасности, организовать служебное расследование и розыск носителей конфиденциальной информации, принять меры по локализации возможного ущерба.
Мероприятия по розыску утраченных носителей конфиденциальной информации, выявлению обстоятельств разглашения кон-фиденциачьной информации и виновных лиц проводятся во взаимодействии с органами безопасности.
Для проведения служебного расследования руководитель предприятия не позднее следующего дня после обнаружения факта разглашения конфиденциальной информации или утраты носителей, содержащих такую информацию, назначает комиссию из компетентных и не заинтересованных в исходе дела сотрудников предприятия. В состав комиссии входят не менее трех человек (включая работника режимно-секретного подразделения), имеющих непосредственное отношение к данным сведениям и допуск к государственной тайне по соответствующей форме (соответствующий допуск к конфиденциальной информации). При необходимости указанные работники освобождаются от исполнения своих служебных обязанностей на время проведения служебного расследования.
В работе комиссии могут принимать участие представители вышестоящей организации (если она имеется).
Комиссия по проведению служебного расследования обязана:
- установить обстоятельства разглашения конфиденциальной
информации или утраты содержащих ее носителей (время, место,
способ и др.);
- вести розыск утраченных носителей информации;
- установить лиц, виновных в разглашении конфиденциаль
ной информации или утрате ее носителей;
- установить причины и условия, способствующие разглаше
нию конфиденциальной информации, утрате носителей инфор
мации, и выработать рекомендации по их устранению.
Члены комиссии по проведению служебного расследования имеют право:
- проводить осмотр помещений, участков местности, храни
лищ, столов, шкафов, папок, портфелей и других предметов, где
могут находиться утраченные носители конфиденциальной ин
формации;
- проверять полистно все носители конфиденциальной ин
формации, находящиеся на предприятии, и учетные докумен
ты, отражающие их поступление и движение (книги и журналы
учета);
- опрашивать работников предприятия, допустивших разгла
шение конфиденциальной информации или утрату носителей этой
информации, а также других работников, могущих оказать содей
ствие в установлении обстоятельств разглашения информации
(утраты носителей информации), и получать от них письменные
объяснения;
- привлекать с разрешения руководства предприятия других
работников предприятия, не заинтересованных в исходе дела, для
проведения отдельных действий в рамках служебного расследова
ния.
Служебное расследование должно проводиться в предельно короткий срок (не более месяца со дня обнаружения факта разглашения конфиденциальной информации или утраты ее носителей).
Если утраченные носители информации не обнаружены, исчерпаны все возможные меры розыска, внесена ясность в обстоятельства произошедшего и установлены виновные, розыск может быть прекращен. Мотивированное заключение о прекращении розыска утверждается руководителем предприятия, назначившим комиссию по проведению служебного расследования, после чего оно рассматривается и утверждается руководителем вышестоящей организации (если она имеется).
По окончании служебного расследования комиссия обязана представить руководителю предприятия на рассмотрение следующие документы:
- заключение о результатах проведенного служебного рассле
дования;
- письменные объяснения лиц, которых опрашивали члены
комиссии;
- акты проверок наличия носителей конфиденциальной ин
формации на предприятии, осмотра и проверки служебных поме
щений, хранилищ и т.п.;
- другие документы, имеющие отношение к служебному рас
следованию.
Одновременно с комиссией по проведению служебного расследования руководителем предприятия создается комиссия по определению (уточнению) степени секретности (конфиденциальности) разглашенной информации (утраченных носителей информации). В состав комиссии входят не менее трех человек, не заинтересованных в исходе дела, имеющих непосредственное отношение к разглашенной информации (утраченным носителям информации) и допуск к государственной тайне п'о соответствующей форме (допуск к конфиденциальной информации). В случае необходимости руководитель предприятия для участия в работе комиссии может привлекать работников из других организаций (по согласованию с их руководителями), имеющих отношение к разглашенной информации (утраченным носителям).
Результаты работы комиссии по определению (уточнению) степени секретности (конфиденциальности) разглашенной информации (утраченных носителей информации) отражаются в мотивированном заключении, которое в предельно короткий срок, но не позднее десяти дней со дня создания комиссии должно быть представлено на утверждение руководителю предприятия. По результатам работы комиссии руководитель предприятия принимает меры по локализации последствий разглашения конфиденциальной информации (утраты носителей информации). Он также направляет заключение комиссии с приложением в случае необходимости копий материалов служебного расследования руководителю вышестоящей организации (если она имеется) и в орган безопасности. Один экземпляр заключения и материалы служебного расследования хранятся в режимно-секретном подразделении (службе безопасности) предприятия.
Если комиссия по определению (уточнению) степени секретности разглашенной информации (грифа секретности утраченных носителей информации) установит, что степень секретности этой информации (гриф секретности носителей информации) не соответствует их содержанию, то заключение комиссии утверждается руководителем вышестоящей организации (если она имеется) или руководителем органа государственной власти, наделенного полномочиями по распоряжению такими сведениями. В случае выявления такого несоответствия руководитель предприятия принимает решение об исключении этой информации из соответствующего перечня конфиденциальной информации предприя-
тия и снятии в установленном порядке грифа конфиденциальности и реквизитов с носителей информации.
При необходимости по решению руководителя вышестоящей организации, а в случае отсутствия такой организации — по решению руководителя органа государственной власти, наделенного полномочиями по распоряжению сведениями, составляющими государственную тайну, может быть проведено дополнительное служебное расследование или создана новая комиссия.
Степень секретности (конфиденциальности) разглашенной информации, утраченных носителей информации, поступивших из другой организации, определяется (уточняется) комиссией этой организации либо комиссией вышестоящей организации (если она имеется) и утверждается руководителем соответствующей организации.
Списание с учета утраченных носителей конфиденциальной информации осуществляется на основании утвержденного руководителем предприятия акта с результатами служебного расследования.
Учет разглашенной конфиденциальной информации (утрат носителей информации) на предприятии ведется режимно-сек-ретным подразделением (службой безопасности) в журнале учета утрат секретных документов и фактов разглашения конфиденциальной информации.
ГЛАВА 17
ОРГАНИЗАЦИЯ АНАЛИТИЧЕСКОЙ РАБОТЫ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
НА ПРЕДПРИЯТИИ
17.1. Основные направления аналитической работы. Функции аналитического подразделения
Анализ состояния защиты информации — это комплексное изучение фактов, событий, процессов, явлений, связанных с проблемами защиты информации, в том числе данных о состоянии работы по выявлению возможных каналов утечки информации, о причинах и обстоятельствах, способствующих утечке и нарушениям режима секретности (конфиденциальности) в ходе повседневной деятельности предприятия.
Основное предназначение аналитической работы — выработка эффективных мер, предложений и рекомендаций руководству предприятия, направленных на недопущение утечки конфиденциальной информации о деятельности предприятия и проводимых работах. Аналитическая работа должна включать элементы прогнозирования возможных действий противника по получению важной защищаемой информации.
Основные направления аналитической работы на предприятии следующие:
- анализ объекта защиты;
- анализ внутренних и внешних угроз информационной без
опасности предприятия;
- анализ возможных каналов несанкционированного доступа к
информации;
- анализ системы комплексной безопасности объектов;
- анализ имеющих место нарушений режима конфиденциаль
ности информации;
- анализ предпосылок к разглашению информации, а также к
утрате носителей конфиденциальной информации.
Функции анализа на предприятии возлагаются на специально создаваемое в его структуре аналитическое подразделение, которое комплектуется квалифицированными специалистами в области защиты информации. Вместе с тем, данные специалисты должны в полной мере владеть информацией по всем направлениям деятельности предприятия: знать виды, характер и последователь-
ность выполнения производственных работ, взаимодействующие организации, специфику деятельности структурных подразделений предприятия и т.д. Как правило, аналитическое подразделение включается в состав службы безопасности предприятия1.
Аналитическое подразделение должно обеспечивать руководство предприятия достоверной и аналитически обработанной информацией, необходимой для принятия эффективных управленческих решений по всем направлениям защиты информации. Основными функциями аналитического подразделения являются:
- обеспечение своевременного поступления достоверных и все
сторонних сведений по проблемам защиты информации;
- учет, обобщение и постоянный анализ материалов о состоя
нии дел в системе защиты информации предприятия (его филиа
лов и представительств);
- анализ возможных угроз защите информации, моделирова
ние реального сценария возможных действий конкурентов (зло
умышленников), затрагивающих интересы предприятия;
- обеспечение эффективности работы по анализу имеющейся
информации, исключение дублирования при ее сборе, обработке
и распространении;
- мониторинг ситуации на рынке продукции, товаров и услуг,
а также во внешней среде в целях выявления событий и фактов,
которые могут иметь значение для деятельности предприятия;
- обеспечение безопасности собственных информационных ре
сурсов, ограничение доступа сотрудников предприятия к анали
тической информации;
- подготовка выводов и предложений, направленных на повы
шение эффективности планируемых и принимаемых мер по за
щите информации, а также уточнение (корректировку) органи-
зационно-планирующих документов предприятия и его структур
ных подразделений;
- выработка рекомендаций по внесению изменений и допол
нений в методические документы, регламентирующие алгоритм
действий сотрудников предприятия по защите информации (стан
дарты предприятия).
Наличие постоянной аналитической работы, ее характер и результаты определяют необходимость, основы организации, структуру и содержание системы комплексной защиты информации, требования к ее эффективности и направления ее развития и совершенствования. Анализ состояния системы защиты информации существенно влияет на количество, состав и структуру подразделений предприятия, непосредственно решающих эти задачи (служба
1 При небольших объемах работ с конфиденциальной информацией в структуре службы безопасности вместо аналитического подразделения может предусматриваться отдельная должность сотрудника, на которого возлагаются функции аналитического подразделения.
безопасности предприятия, служба охраны, режимно-секретное подразделение и др.). От эффективности и качества ведения на предприятии аналитической работы в полной мере зависит состояние защищенности информационных ресурсов предприятия, отнесенных к категории охраняемых, а также своевременность и обоснованность принятия мер по исключению утечки конфиденциальной информации и утрат носителей информации. Эффективность аналитической работы и ее результаты служат основой для принятия руководством предприятия управленческих решений по вопросам организации защиты информации. С учетом результатов аналитической работы могут вырабатываться следующие основные меры:
- уточнение (доработка) планов работы предприятия по защи
те информации, включение в них дополнительных мероприятий;
- уточнение распределения задач и функций между структур
ными подразделениями предприятия;
- переработка (уточнение) должностных (функциональных)
обязанностей сотрудников предприятия, в том числе руководя
щего звена, совершенствование систем пропускного и внутри-
объектового режимов;
- ограничение круга лиц, допускаемых к конфиденциальной ин
формации по различным направлениям деятельности предприятия;
- пересмотр степени конфиденциальности сведений и их но
сителей;
- усиление системы охраны предприятия и его объектов, при
менение особых мер защиты информации на отдельных объектах
(в служебных помещениях);
- принятие решений об ограничении публикации в открытой
печати, использования в рекламной и издательской деятельности
отдельных материалов (материалов по отдельным темам), доступа
командированных лиц, об исключении рассмотрения этих мате
риалов на конференциях, семинарах, встречах и т.д.
Ведение эффективной аналитической работы возможно лишь при наличии необходимой информации. Для ее получения нужна четко сформулированная цель, определяющая конкретные источники информации. Аналитическая работа на предприятии должна вестись последовательно и непрерывно, представлять собой в полной мере целостное исследование.