Организация контроля за состоянием защиты

конфиденциальной информации на предприятии


Понятие и основные объекты контроля

Контроль — целенаправленная деятельность руководства и должностных лиц предприятия по проверке состояния защиты конфиденциальной информации в ходе его повседневной деятельности при выполнении предприятием всех видов работ. Контроль по своей сути имеет характер ярко выраженной управленческой деятельности, так как, в первую очередь, служит источником важной информации для руководства предприятия (его филиала или представительства), касающейся основного вида деятельности предприятия — защиты информации с ограниченным доступом.

Контроль за состоянием защиты конфиденциальной информации на предприятии организуется и проводится в целях определения истинного состояния дел в области защиты информации, оценки эффективности принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству предприятия по совершенствованию комплексной системы защиты информации.

Указанный контроль осуществляется в порядке и в сроки, определенные соответствующими нормативно-методическими документами, утверждаемыми как вышестоящими органами государственной власти (министерством или ведомством), так и руководством предприятия. Контроль за состоянием защиты конфиденциальной информации организуется и проводится непосредственно на предприятии (в его структурных подразделениях), а также в филиалах и представительствах предприятия.

Организация контроля возлагается на руководителя предприятия или его заместителя, возглавляющего работу по защите информации. Непосредственная организация и осуществление контроля за состоянием защиты конфиденциальной информации возлагаются на службу безопасности предприятия или его режимно-секретное подразделение.

В число основных объектов контроля за состоянием защиты информации входят:
структурные подразделения предприятия, привлекаемые к выполнению работ конфиденциального характера;
сотрудники предприятия, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;
служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);
места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы), размещенные как в служебных помещениях службы безопасности (режимно-секретного подразделения), так и в служебных кабинетах сотрудников предприятия (филиала, представительства);
непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).

Основные формы контроля за состоянием защиты информации на предприятии включают предварительный контроль, текущий контроль, заключительный контроль, повторный контроль. Перечисленные формы контроля увязаны по времени и срокам с подготовкой и проведением различных мероприятий в рамках повседневной деятельности предприятия.

Этими мероприятиями могут быть:
планирование производственной (договорной) деятельности на календарный год (иной период времени);
взаимодействие с партнерами в ходе совместных работ;
проведение конкретных научно-исследовательских и опытно-конструкторских работ;
испытание вооружений и военной техники;
мероприятия в области международного сотрудничества, в том числе связанные с приемом иностранных делегаций на предприятии;
организация и проведение совещаний, конференций, выставок и симпозиумов;
подведение итогов работы предприятия за календарный год (иной период работы предприятия);
посещение предприятия представителями СМИ.

Предварительный контроль проводится на этапе подготовки мероприятий и направлен на проверку соответствия спланированных мероприятий по защите информации требованиям нормативно-методических документов и специфике проведения конкретных работ.

Текущий контроль — оценка мер по защите информации, принимаемых в процессе выполнения предприятием (его структурными подразделениями) конкретных видов работ в рамках повседневной деятельности.

Заключительный контроль направлен на оценку состояния дел в сфере защиты информации в ходе проведения мероприятия и по его завершении и служит основой для формирования итоговых выводов об эффективности принимавшихся мер по исключению утечки конфиденциальной информации.

Повторный контроль проводится в целях проверки полноты устранения выявленных в ходе иных видов контроля недостатков (нарушений) и реализации предложений и рекомендаций по исключению их появления в дальнейшем.

Основные задачи и методы контроля

Основные задачи контроля за состоянием защиты информации следующие:
сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;
анализ состояния дел в области защиты информации в структурных подразделениях, а также в филиалах и представительствах предприятия;
проверка наличия носителей конфиденциальной информации;
проверка соблюдения всеми сотрудниками предприятия норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;
выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;
анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе повседневной деятельности предприятия;
оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;
применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;
проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений предприятия.

Выбор методов контроля зависит от конкретных целей, задач и объектов контроля, а также от совокупности сил и средств, которые предполагается использовать при его проведении.

Основные методы контроля за состоянием защиты информации включают проверку, анализ, наблюдение, сравнение и учет.

Основным и наиболее эффективным методом контроля за состоянием защиты информации на предприятии, а также в его филиалах и представительствах является проверка.

Проверки по объему проведения подразделяются на комплексные и частные, а по характеру (способу проведения) — на плановые и внезапные.

Комплексные проверки организуются и проводятся по всем направлениям защиты конфиденциальной информации. К их проведению привлекаются структурные подразделения, отвечающие за вопросы защиты информации на предприятии. Комплексные проверки охватывают все сферы повседневной деятельности предприятия (его структурного подразделения, филиала или представительства) и направлены на всестороннюю оценку состояния дел в области защиты конфиденциальной информации.

Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного структурного подразделения (филиала, представительства). В итоговом документе перечисляются выявленные недостатки, а также формулируются предложения по их устранению, повышению эффективности работы должностных лиц (сотрудников) в области защиты информации. Проверяющие лица устанавливают конкретные сроки устранения выявленных недостатков и реализации предложений (рекомендаций).

Частные проверки организуются и проводятся по одному или нескольким направлениям (вопросам) защиты конфиденциальной информации в целях их глубокого изучения, анализа и оценки эффективности работы должностных лиц (сотрудников) предприятия (филиала, представительства) по этим направлениям.

По результатам частной проверки, как правило, готовится отдельный документ — справка.

Плановые проверки организуются заблаговременно, включаются в соответствующие планы мероприятий предприятия на календарный год и месяц. Как правило, такие проверки являются комплексными, и в состав комиссий по их проведению включаются представители подразделений, ответственных за деятельность по различным направлениям защиты конфиденциальной информации, способные оценить состояние и эффективность работы по конкретным вопросам.

Внезапные проверки организуются и проводятся при необходимости по указанию руководителя предприятия или его заместителя. Они могут проводиться как в масштабах предприятия, так и в его структурных подразделениях, филиалах или представительствах. Цель их проведения — проверка защиты конфиденциальной информации по всем или нескольким направлениям деятельности предприятия. Особенность организации таких проверок состоит в том, что они отсутствуют в планах на календарный год и проводятся внезапно. Организация работы комиссии и оформление результатов внезапных проверок в основном такие же, как при плановых проверках.

Особый вид проверок — контрольные проверки состояния защиты конфиденциальной информации. В ходе их проведения проверяется и оценивается полнота устранения недостатков, выявленных предыдущей проверкой, и реализация выработанных по ее результатам предложений (рекомендаций).

Алгоритм подготовки и проведения проверки:

принятие решения о проведении проверки;
подготовка перечня проверяемых вопросов;
определение состава комиссии;
определение сроков работы комиссии;
подготовка и утверждение плана проверки;
непосредственное проведение проверки;
оформление результатов работы;
выработка предложений и рекомендаций;
доклад результатов проверки на месте;
анализ недостатков с проверяемыми;
доклад результатов лицу, назначившему проверку.

Одним из методов контроля защиты конфиденциальной информации также является анализ. В ходе анализа изучаются и обобщаются результаты выполнения конкретных мероприятий по защите конфиденциальной информации. Осуществляется их сопоставление с положениями нормативно-методических документов по защите информации, соответствующими стандартами предприятия, формулируется вывод о полноте, качестве и эффективности их проведения. Наряду с проверкой и анализом могут использоваться и такие методы контроля, как наблюдение, сравнение, учет.

Контроль методами наблюдения и сравнения проводится в случае необходимости оперативной оценки мер защиты информации, принимаемых в процессе проведения каких-либо работ (выполнения конкретных мероприятий), продолжающихся в течение определенного времени, и анализа соответствия этих мер установленным нормам и стандартам, действующим на предприятии. Основное отличие названных методов друг от друга заключается в том, что в процессе наблюдения фиксируются конкретные меры по защите информации, а в ходе сравнения, кроме того, осуществляется сопоставление этих мер с установленными нормами и утвержденными стандартами по защите конфиденциальной информации, действующими на предприятии.

Учет принимаемых мер по защите информации подразумевает фиксацию и анализ реально принятых должностными лицами и сотрудниками предприятия мер, направленных на предотвращение утечки информации в ходе повседневной деятельности предприятия. На основе материалов учета готовятся предложения руководству предприятия об усилении режимных требований в рамках той или иной деятельности предприятия, повышении эффективности работы конкретных должностных лиц.

Отдельные аспекты контроля за состоянием защиты информации. Использование результатов контроля

При осуществлении контроля за состоянием защиты информации особое внимание уделяется вопросам обращения с носителями конфиденциальной информации и их хранения в структурных подразделениях предприятия, в том числе расположенных на территориально обособленных объектах, находящихся на удалении. Проверяются порядок учета, хранения, размножения (копирования) и уничтожения носителей конфиденциальной информации; оборудование помещений, в которых хранятся указанные носители или осуществляется работа с ними; порядок передачи носителей одними исполнителями другим, в том числе и при убытии лиц в командировку (отпуск, на лечение); и т.д.

Постоянному контролю подлежат также вопросы допуска и доступа всех категорий должностных лиц к конфиденциальной информации, в том числе и непосредственно к носителям информации, вопросы организации и осуществления пропускного и внутриобъектового режимов на предприятии, организации охраны предприятия и его объектов.

С учетом условий и специфики деятельности предприятия, осуществляемых видов деятельности повышенное внимание должно уделяться вопросам защиты информации при планировании и проведении предприятием договорных работ, а также при осуществлении международного сотрудничества.

В повседневной деятельности предприятия и его структурных подразделений особое место занимает периодический контроль должностными лицами (соответствующими структурными подразделениями) наличия носителей конфиденциальной информации. Порядок и сроки его осуществления определяются нормативными правовыми актами и методическими документами, регулирующими порядок обращения с информацией различных видов конфиденциальности.

Результаты контроля за состоянием защиты конфиденциальной информации доводятся до сведения должностных лиц и сотрудников предприятия, изучаются в ходе проведения соответствующих занятий, недостатки и нарушения оперативно устраняются. Результаты контроля служат основой для проведения аналитической работы и подготовки предложений руководству предприятия, направленных на выработку конкретных мероприятий по совершенствованию системы защиты конфиденциальной информации и повышению эффективности работы в области организации и обеспечения режима секретности (конфиденциальности).

В службе безопасности предприятия (режимно-секретном подразделении) организуется и ведется учет результатов контроля, всех видов проводимых проверок. Обобщенные материалы контроля периодически доводятся до сведения руководящего состава предприятия, анализируются и изучаются руководителями структурных подразделений предприятия в целях недопущения снижения эффективности проводимых мероприятий по защите конфиденциальной информации на предприятии в целом и в этих структурных подразделениях в частности.

Результаты контроля за состоянием защиты конфиденциальной информации на предприятии являются одним из основных источников информации для изучения, обобщения и анализа. Оценка эффективности контроля проводится на основе анализа степени защищенности сведений, содержащих конфиденциальную информацию (их защиты от утечки), и сохранности носителей конфиденциальной информации (предотвращения случаев утрат носителей и устранения предпосылок к ним). С этой целью проводится учет, обобщение и анализ зарегистрированных на пред приятии попыток посторонних лиц (злоумышленников) завладеть конфиденциальной информацией или ее носителями, а также статистическая обработка результатов деятельности предприятия и его отдельных подразделений, направленной на предотвращение (пресечение) этих попыток.

По результатам оценки эффективности контроля руководство предприятия на основе предложений службы безопасности (режимно-секретного подразделения) определяет пути и способы совершенствования системы контроля защиты конфиденциальной информации, уточняет задачи и функции структурных подразделений предприятия.

http://all-ib.ru

Обновлено: 11.03.2015