Козьминых С.И. Организация защиты информации в ОВД. Ч. 1

101

Посещение «закрытых» зон должно быть ограничено с помощью систем контроля и управления доступом(СКУД) и производиться только с разрешения руководства.

Следующим способом разграничения доступа к информации является разбиение однородной информации на отдельные самостоятельные фрагменты и ознакомление сотрудников только с одним из них. Это не позволяет последним получить сотруднику полные сведения о содержании всей защищаемой информации.

Пример. В одной достаточно известной в своих кругах компании, работающей в области IT-технологий, несмотря на существование должностных инструкций, выполнение многих работ, в том числе связанных с доступом к документам конфиденциального характера, поручалось работникам исходя из сиюминутных решений руководства. Подобное «хождение по рукам» конфиденциальных сведений неминуемо должно было привести к их утечке. Когда же это случилось, выявить источник утечки оказалось невозможным, поскольку большое количество людей было знакомо с раскрытой конфиденциальной информацией. Срочно принятые меры по наведению порядка в организации процесса конфиденциального документооборота принесли свои плоды. Случаи утечки информации прекратились, однако за период царившей безалаберности организации был причинен значительный ущерб.

2. Организация обучения и инструктирования сотрудников правилам работы с конфиденциальной информацией

Обязательной и первостепенной частью текущей работы с сотрудниками должно быть обучение сотрудников правилам работы с конфиденциальной информацией, документами и базами данных, а также методике защиты информации в различных ситуациях.

Трудно говорить об эффективности работы сперсоналом, если сотрудники не обладают профессиональными знаниями в области обработки, использования и хранения защищаемой информации; не имеют мотивированных стереотипов поведения при общении со злоумышленником и не знакомы с методами противодействия его намерениям; не обладают умением защищать конкретную конфиденциальную информацию, с которой они постоянно работают.

Неэффективно построенная работа с персоналом является причиной утраты информации и тщетных попыток руководства защитить ценные сведения и другую интеллектуальную собственность организации.

Процесс обучения сотрудников правилам защиты информации должен быть систематическим и регулярным, так как состав информации и требования к ее ограничению часто меняются, а система защиты информации требует регулярного обновления и совершенствования. Занятия должны проводиться регулярно, иметь конкретный и целенаправленный характер, проверка знаний должна быть индивидуальной и способствовать закреплению полученных навыков по защите информации.

Обучение сотрудников начинается с момента получения им допуска для работы с конфиденциальной информацией и заканчивается при увольнении.

102

Обычно периодичность обучения сотрудников с отрывом от работы и направлением на курсы повышения квалификации составляет один раз 3в–5 лет, и, как правило, предшествует аттестации или перезаключению контракта.

Задачами обучения являются:

–изучение характера и состава конфиденциальной информации, подлежащей защите;

–изучение возможных угроз конфиденциальным сведениям, каналов их распространения и утраты, методов их получения злоумышленниками;

–изучение структуры системы защиты, требований и правил защиты конфиденциальной информации;

–изучение порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;

–отработка действий сотрудников в конкретных экстремальных ситуациях. Обучение сотрудников предполагает приобретение и поддержание на высо-

ком профессиональном уровне навыков работы с конфиденциальными сведениями, психологическую подготовку сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации.

Сотрудники должны получить знания в области оценки важности для организации, в которой они работают, тех сведений, от сохранности которых зависит благополучие каждого сотрудника. Уметь оценивать ущерб, который может быть причинен организации, в случае утечки конфиденциальной информации. Уметь своевременно распознавать странности в поведении своих коллег и других лиц, уметь противодействовать явным злоумышленным действиям и действиям, провоцирующим на ошибочные поступки.

Обучение организует служба защиты информации. Учебные занятия могут проводиться на базе специализированных учебных заведений, институтов повышения квалификации, а также собственными силами сотрудников службы защиты информации.

Методика обучения включает в себя:

–наличие специализированных программ обучения для обеспечения лекционных курсов и практических занятий;

–проведение лекций, семинаров и собеседований как ознакомительных, так

ипо конкретным направлениям защиты информации;

–решение ситуационных задач, связанных с выполнением необходимых требований по защите конфиденциальной информации, изучение методов противодействия злоумышленнику;

–практические занятия по действиям персонала при общении со злоумышленником и в экстремальных ситуациях;

–проведение деловых игр и учений, обучающих методам противодействия замыслам злоумышленников.

Наиболее важным и сложным в обучении является то,что процесс обучения должен быть индивидуализирован: конкретизирован по должностному составу сотрудников, типовым рабочим местам и часто по выбору отдельных сотрудни-

103

ков. В процессе обучения сотрудник должен получить только те знания, которые ему необходимы для работы. Избыточность знаний в области состава конфиденциальной информации и способов ее защиты может дать обратный -эф фект и способствовать утечке информации.

Отдельно необходимо организовать обучение сотрудников службы защиты информации, первого руководителя, его заместителей, секретарей, сотрудников, работающих с особо секретными документами.

Информация, сообщаемая сотрудникам в процессе обучения, является строго конфиденциальной. Конспекты, записи сотрудники ведут в специальных учтенных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами.

По окончании обучения обязательно следует проводить проверку усвоения сотрудниками полученных знаний. Результаты проверки фиксируются в протоколе комиссии, ведущей проверку.

Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Сотрудники, не прошедшие проверку знаний, от работы с конфиденциальной информацией отстраняются.

Одновременно с обучением должны проводиться регулярные совещанияинструктажи с сотрудниками. Инструктажи необходимы для поддержания у сотрудников постоянного чувства ответственности за сохранность секретов и актуализации их конкретных знаний по защите информации, с которой они работают.

Кинструктажам относятся также окончательное собеседование-инструктаж

спринимаемым на работу гражданином и собеседование-инструктаж с увольняющимся сотрудником.

В процессе текущего совещания-инструктажа до сведения сотрудников доводятся:

–изменения и дополнения, внесенные в действующие нормативные методические документы по защите информации;

–приказы и указания руководства в области защиты информации и информационной безопасности;

–информация о конкретных угрозах информации, каналах утечки информации, действиях злоумышленников, принятых дополнительных мерах по защите информации;

–результаты анализа случаев нарушения сотрудниками правил защиты информации, информация о фактах утраты секретов по вине сотрудников.

Инструктирование так же, как и обучение, проводится индивидуально, информация, сообщаемая на инструктажах, разглашению не подлежит. Совещанияинструктажи проводятся, как правило, не периодически, а при возникновении в них необходимости. Организуются они службой защиты информации организации.

3. Воспитание сотрудников, допущенных к информации ограниченного доступа

Обучение и инструктирование находятся в тесной связи с воспитанием сотрудников, привитием им устойчивых положительных личных качеств поведе-

104

ния в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности несанкционированного доступа к ценным конфиденциальным сведениям.

Воспитание – это процесс систематического и целенаправленного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способностей, деловых, высоких моральных и иных положительных качеств в целях повышения эффективности деятельности и благополучия организации.

Воздействие на личность осуществляется руководством в ходе обучения и инструктирования сотрудников, коллективом во время решения совместных задач и отдельными сотрудниками в неформальной обстановке.

Воспитательный процесс тесно связан с исследованием мотиваций в поведении человека. Функция мотивации поведения, мышления и действий в различных ситуациях и жизненных обстоятельствах имеет большое значение в управлении сотрудниками организации, особенно, если их деятельность связана с владением ценными и конфиденциальными сведениями.

Мотивация деятельности человека понимается как совокупность движущих сил, побуждающих человека к осуществлению определенных действий. Эти силы находятся вне или внутри человека и заставляют его осознанно или же неосознанно совершать определенные поступки. Применительно к задачам управления персоналом мотивация это набор приемов и инструментов, который руководитель использует для направления внутренних движущих сил (мотивов) персонала на достижение установленных положительных целей.

Текущая профилактическая работа является обязательной составной частью предотвращения попыток отдельных сотрудников воспользоваться в личных целях ценной информацией, нарушить требования обеспечения информационной безопасности организации.

Каждый из сотрудников, работающий с конфиденциальными сведениями, документами и базами данных, должен находиться в сфере постоянного внимания руководства и коллектива для оценки степени его лояльности по отношению к организации, в которой он работает.

С другой стороны, организация обязана обеспечить каждому сотруднику необходимые условия труда и отдыха, постоянно заботиться о его благополучии, повышении квалификации и поддержании на высоком уровне интереса к выполняемым обязанностям. Между руководством и сотрудником не может быть глухой стены непонимания стоящих задач.

Все дела организации должны быть важны для коллектива в целом и каждого отдельного сотрудника. Достигается это трудным, сложным и длительным процессом индивидуального воспитания сотрудников на основе взаимного доверия, взаимопонимания и заботы. Руководители всех рангов несут персональную ответственность за качество этой работы.

В основе воспитательной работы с сотрудниками должны лежать не пустые словесные увещевания о необходимости хорошо работать, а конкретные результаты, которые они могут получить при соблюдении правил защиты конфиденциальной информации, возможности повышения по службе и другие перспективы.

105

4. Контроль соблюдения сотрудниками правил защиты информации

Взаимопонимание между руководством организации и сотрудниками не означает полной свободы сотрудников и желании выполнять или не выполнять требования по защите конфиденциальной информации. Сотрудник, который обучен методам обеспечения безопасности информации, должен строго и постоянно соблюдать эти требования в практической деятельности.

В свою очередь, руководство должно быть уверено, что эти требования реально выполняются сотрудниками: руководителям всех рангов и службе защиты информации следует организовать регулярное наблюдение за работой - со трудников. Назначение наблюдения – проверка правильности применения сотрудниками знаний и навыков, полученных в ходе обучения и инструктирования. Контролируются все сотрудники, в том числе и педантично соблюдающие правила работы с конфиденциальной информацией.

Основными формами контроля качества работы сотрудников, в том числе в части соблюдения требований по защите информации, можно назвать следующие:

–аттестация сотрудников;

–отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

–регулярные проверки руководством и службой защиты информации -со блюдения сотрудниками требований по защите информации;

–самоконтроль сотрудников.

Аттестация сотрудников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере, так и в сфере соблюдения информационной безопасности.

Аттестация – это коллективная форма оценки аттестационной комиссией фирмы профессиональной пригодности сотрудника, его соответствия занимаемой должности. Аттестация проводится периодически(один раз в год или в иные сроки).

При проведении аттестации рассматриваются следующие характеристики сотрудника:

–трудовая дисциплина, исполнительность, трудолюбие, ответственность, требовательность и принципиальность, организованность в работе;

–качество и эффективность выполняемой работы;

–самостоятельность и инициатива, творческая деятельность, правильность профессиональных решений;

–профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу организации.

В части соблюдения сотрудника требований по защите информации -рас сматриваются такие характеристики, как:

–знание соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности;

–отсутствие нарушений в работе с конфиденциальными документами;

–умение общаться с посторонними лицами, не раскрывая секреты фирмы, и другие личные качества.

106

На основе изучения этих характеристик формируется представление о каждом сотруднике, его деловых и человеческих качествах.

По результатам аттестации издается приказ(распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить решение об отстранении сотрудника от работы с информацией и документами, составляющими секреты организации.

Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы защиты информации на совещании у первого руководителя о состоянии системы защиты информации и выполнении ее требований сотрудниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения сотрудниками этой системы.

Формой контроля являются также регулярные проверки выполнениясо трудниками (в том числе и хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся заместителями первого руководителя, руководителем службы защиты информации и руководителями структурных подразделений. Одновременно с соблюдением сотрудниками правил работы с конфиденциальными документами проверяется наличие у сотрудников числящихся за ними документов, носителей информации, магнитных носителей электронных массивов информации, составляющих секреты организации.

Проверки могут быть плановыми и внеплановыми(внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы защиты информации и непосредственного руководителя о фактах утраты документов и какойлибо ценной информации, разглашении лично или другими сотрудниками сведений, составляющих секреты организации, нарушении сотрудниками порядка защиты информации.

При работе с персоналом следует сосредоточить внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться даже лица, не имеющие доступа к секретам. Следует учитывать, что они могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п.

Необходимо помнить, что сотрудники, работающие с конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией. В связи с этим особенно важно, чтобы психологический настрой коллектива и отдельных сотрудников всегда

107

должен находиться в центре внимания руководства и службы защиты информации безопасности.

В случае установления фактов невыполнения любым из руководителей или сотрудников требований по защите информации к ним должны в обязательном порядке применяться указанные выше меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, невзирая на должностной уровень сотрудника и его взаимоотношения с руководством организации.

Следует учитывать, что одновременно с виновным лицом ответственность за разглашение сведений, составляющих секреты организации, несут руководители организации и ее структурных подразделений, так как они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности организации.

5. Анализ степени осведомленности сотрудников о секретах организации

Одновременно с проведением контроля работы сотрудников, владеющих конфиденциальной информацией, ведется регулярная аналитическая работа по изучению степени осведомленности сотрудников о секретах организации. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов разглашения персоналом конфиденциальной информации.

Следует напомнить, что объектами комплексного аналитического исследования являются выявление, классификация и постоянное изучение источников

иобъективных каналов распространения конфиденциальной информации, также обнаружение и анализ степени опасности источников угроз информации. Важно обеспечить превентивный контроль безопасности ценной информации от недобросовестных посягательств отдельных сотрудников.

Должно неукоснительно соблюдаться правило, по которому регистрируются все лица, которые имеют доступ к определенным документам, базам данных

идругим носителям секретов.

Одновременно подлежат специальному учету все замеченные несанкционированные или ошибочные действия сотрудников с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю.

В целях предупреждения утечки информациирекомендуются следующие учетные и аналитические действия по отношению к сотрудникам, которые обладают или могут обладать конфиденциальной информацией:

–анализ реального состава известной сотрудникам конфиденциальной информации и динамики ее распределения по структурным подразделениям;

–анализ степени владения конфиденциальной информацией руководством организации, руководителями структурных подразделений, направлений деятельности и каждым сотрудником, т.е. учет уровня и динамики их реальной осведомленности в секретах организации;

108

–анализ выявленных потенциальных и реальных источников угрозы сотрудникам в целом и каждому отдельному сотруднику в целях завладения ценной информацией (криминальных структур и отдельных преступных элементов);

–анализ эффективности защитных мер, предпринятых по отношению к сотрудникам, их действенности в обычных условиях и при активных действиях злоумышленника.

Регулярный и своевременный учет состава конфиденциальной информации, известной каждому из сотрудников, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого сотрудника с конфиденциальными сведениями как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой сотрудник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией сотрудника, не имеющего допуска для работы с конфиденциальной информацией.

Для учета и последующего анализа степени осведомленности сотрудников в секретах организации ведется специальная учетная форма.

Традиционная (карточная) или электронная учетная формадолжна содержать ряд разделов, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, соответствующий выполняемым видам работы.

Разделы в учетной форме:

–штатные функциональные обязанности сотрудника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);

–изменения и дополнения, внесенные в функциональные обязанности сотрудника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;

–стандартный состав конфиденциальных сведений или их индексов по перечню конфиденциальной информации, к которым допущен сотрудник в соответствии с должностной инструкцией(с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

–изменения и дополнения в составе конфиденциальных сведений, к которым допускается сотрудник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);

–документированная информация (документы), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

–недокументированная конфиденциальная информация, которая стала известна сотруднику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню;

109

– обнаруженное несанкционированное ознакомление сотрудника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного сотрудника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в разделах и -ин дексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

Факт утраты информации выявляется в основном за счет анализа публикаций, рекламных, выставочных и других материалов, сообщений информаторов, а также изучения публикаций, интервью сотрудников данной организации. Анализируются рассмотренные карточки учета осведомленности сотрудников в секретах, и выявляется круг сотрудников, владеющих утраченной информацией. Анализ ведется в рамках служебного расследования.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.

6. Организационно-психологические аспекты работы с сотрудниками по защите информации ограниченного доступа

Понятие «информация» (лат. – informatio) означает осведомление, придание формы тому, что было ранее неизвестно. Информация является базовой составляющей знания. Знание, в свою очередь, накапливается и передается в форме интеллектуального продукта. Иными словами, знание в отличие от информации представляет собой увеличивающийся, самовозрастающий ресурс, в том числе и в результате информационных процессов.

На всех стадиях информационного процесса ведущая роль принадлежит человеку – носителю, пользователю информации и знания. От того, как будут учтены в информационных процессах интересы, психологические установки, свойства личности, зависит эффективность использования информации.

Если учесть определяющую роль информации в системе ресурсного обеспечения деятельности (кто владеет информацией – тот владеет всем), то становится понятна та роль, которая отводится информационной безопасности любой организации, в том числе и в органах внутренних дел.

Основными направлениями обеспечения информационной безопасности организации являются:

–защита информации о состоянии и движении материальных активов, чаще понимаемая как экономическая безопасность;

–защита информации о состоянии нематериальных активов и их носителях (сотрудниках), определяемая как собственно информационная безопасность;

–защита средств хранения, обработки и передачи информации.

Условиями формирования системы информационной безопасности организации являются:

1. Четкое определение понятия «система информационной безопасности» (что делать?). Обеспечивать информационную безопасность – значит осуществлять постоянную деятельность по выявлению, предупреждению, локализации

110

инейтрализации угроз и сведению к минимуму ущерба от реализации угроз различного характера.

2.Учет мнений и позиций собственника информации.

3.Соблюдение принципов и алгоритма формирования системы информационной безопасности организации (как это делать?). В основе суждение: любое действие, нарушающее нормальное функционирование организации, понимается как угроза информационной безопасности.

Как на практике реализуются меры информационной безопасности с учетом конкретных ситуаций? Приведем ряд примеров.

Отмечено, что причина утечки информации чаще всего происходит в - ре зультате небрежности первых лиц организации. Например, в частных фирмах более 75 % ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это приводит к потере до 30 % оперативной информации.

По данным опроса, 75 % руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее копирование материала примерно в 55 % случаев происходит в режиме самообслуживания, в 33 % – оператором по устной просьбе служащего и примерно в13 % случаев оператор делает копии под расписку или по письменному заказу.

По данным исследования, проведенного итальянскими психологами, только 25 % служащих фирмы – действительно надежные люди, еще столько же ожидают удобного случая для разглашения секретов, а 50 % действуют в зависимости от обстоятельств.

ВСША компьютерные преступления совершаются, как правило, служащими, допущенными к работе с информационными системами. Клерки, администраторы

иуправляющие виновны в них чаще, чем профессиональные программисты.

Зафиксирован ряд случаев, когда программисты закладывали в информационную систему «логическую бомбу» на случай форс-мажорных обстоятельств, значимых для них. При наступлении указанных обстоятельств «бомба» стирает весь массив информации и самоуничтожается. Доказать вину в суде практически невозможно.

Ниже (табл. 1) приведены виды потенциальных угроз информационной безопасности организации, вызванные использованием информационных технологий (оставлен без внимания несанкционированный доступ злоумышленников в информационные системы организации – «атака хакеров». Сама атака, как правило, осуществляется не сотрудниками организации).

Содействие сотрудников хакерам может осуществляться в рамках перечисленных манипуляций. По мнению исследователей, для создания атмосферы информационной безопасности наиболее эффективны меры, связанные с повышением информационной культуры в организации.

Необходимо формировать четкую целевую установку на повышениена дежности и ответственности в вопросах защиты информации. Так, во многих американских фирмах действует двухуровневая система защиты информации.