Козьминых С.И. Организация защиты информации в ОВД. Ч. 1
.pdf121
шие его к такому шагу, существенно отличаются друг от друга). Правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать -по пытки к искусственному удержанию данного лица в коллективе.
При твердом намерении сотрудника уволиться, необходимо отработать и реализовать процедуру его бесконфликтного увольнения. Но каковы бы ни были причины увольнения сотрудника, он должен покидать организацию без чувства обиды, раздражения и мести, так как обиженный человек способен на любые действия, которые могут привести к дестабилизации работы организации.
Пример
Сотрудник С., работавший системным программистом в крупной компании, был так обижен на несправедливое, по его мнению, к себе отношение со стороны руководства, что, увольняясь, оставил «логическую бомбу» в программном обеспечении сервера. Сработавшая закладка привела к нарушению его работы и полной потере важной финансовой документации.
Процесс увольнения должен содержать следующие этапы:
–написание сотрудником заявления об увольнении, в котором будут подробно раскрыты причины такого решения, а также (желательно) место предполагаемой работы;
–передача ответственному лицу всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, проверка их комплектности, полноты и оформление приема в описи исполнителя или актом;
–сдача сотрудником пропуска(идентификатора) для входа на объект в контролируемые зоны и рабочие помещения, а также всех ключей и печатей, замена шифра кодового замка в охраняемые помещения;
–проведение беседы с увольняющимся сотрудником с целью напоминания ему об обязательстве сохранения в тайне конфиденциальных сведений и подписания сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;
–документальное оформление увольнения в соответствии с общими правилами.
В заключение следует отметить, что для предотвращения большинства угроз, которые могут исходить со стороны сотрудников органов внутренних дел, достаточно правильно организовать деятельность службы по работе с личным составом. Функции этого подразделения не должны исчерпываться приемом сотрудников на службу. Эти подразделения служат действенным инструментом по определению настроений, царящих в организации, формированию корпоративной культуры и построению системы мотиваций. Тесное взаимодействие службы по работе с личным составом и службы защиты информации -по зволяет предотвратить действия сотрудников, которые могут таить в себе потенциальную опасность для деятельности органа внутренних дел.
Резюмируя изложенное выше, можно сделать вывод: во избежание проблем
вобласти защиты информации, связанных с действиями собственного персонала, необходимо руководствоваться нехитрым принципом: как организация бу-
дет относиться к своим сотрудникам, так и они будут относиться к ней.
122
Контрольные вопросы
1.Какие направления текущей работы с персоналом включает в себя система защиты информации в организации?
2.Какие разделы входят в должностную инструкцию сотрудника организа-
ции?
3.Какие задачи должны быть решены в результате обучения сотрудников правилам работы с конфиденциальной информацией?
4.Какие методы используются для обучения сотрудников правилам работы
сконфиденциальной информацией?
5.Как проводится инструктирование сотрудников правилам работы с конфиденциальной информацией?
6.Какие цели ставятся в процессе воспитания сотрудников, допущенных к информации ограниченного доступа?
7.Какие формы контроля используются для соблюдения требований по защите информации?
8.Как проводится анализ степени осведомленности сотрудников о секретах организации?
9.Какие разделы должна содержать карточная или электронная учетная форма анализа степени осведомленности сотрудников в секретах организации?
10.Какие организационно-психологических меры используются для защи-
ты информации?
11.Какие задачи должны быть решены при формировании здорового психологического климата в коллективе?
12.Каким образом формируется корпоративная культура в организации?
13.Как формируется система мотивации сотрудников к выполнению требований по защите информации?
14.Какие этапы и принципы должен содержать процесс увольнениясотрудника, допущенного к конфиденциальной информации?
15.Какие необходимо принять меры, если сотрудник увольняется по собственному желанию?
16.Какие необходимо принять меры, если сотрудника увольняют, уличив в шпионаже?
123
Г л а в а 10. ОРГАНИЗАЦИЯ ДЕЯТЕЛЬНОСТИ
СЛУЖБЫ БЕЗОПАСНОСТИ
1. Задачи службы безопасности организации
Отечественный и зарубежный опыт свидетельствует, что основную роль в обеспечении сохранности конфиденциальной информации играют сами организации. В современных условиях перед органами внутренних дел особо остро встает задача сохранения как материальных ценностей, так и информации, в том числе и сведений, составляющих служебную или государственную тайну. К сожалению, в штатной структуре органов внутренних дел не предусмотрена служба безопасности объекта. Функции обеспечения безопасности в ОВД возложены на отдельные подразделения или самих сотрудников, что приводит к слабой координации их действий, дублированию или невыполнению отдельных требований по обеспечению безопасности, отсутствию профессионализма. Результатом служат возникающие на объектах ОВД нештатные и чрезвычайные ситуации(пожары, кражи, утечка конфиденциальной информации и другие происшествия).
Вместе с тем опыт коммерческих предприятий, банковской системы и других объектов показывает, что только профессионально подготовленная и хорошо организованная служба безопасности способна эффективно защитить объект от различных видов угроз.
Служба безопасности (СБ) является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю организации. Такая структура управления системой безопасности, имеющая четкую вертикаль, эффективна для обеспечения безопасности, особенно там, где требуются определенность, конкретные границы, регламентация отношений на всех уровнях– от рядового сотрудника до руководителя организации. Как показывает практика, только в организациях, где проблемы безопасности находятся под постоянным контролем службы безопасности, достигаются наиболее высокие результаты в работе.
Возглавляет службу безопасности начальник службы в должности заместителя руководителя организации.
При этом руководитель СБ должен обладать максимально возможным кругом полномочий, позволяющим ему влиять на другие подразделения и различные области деятельности организации, если этого требуют интересы безопасности.
Основными задачами службы безопасности организации являются:
–обеспечение безопасности текущей деятельности, защиты информации и сведений ограниченного доступа;
–организация работы по правовой, организационной и инженернотехнической (физической, аппаратной и программной) защите информации ограниченного доступа;
–организация специального делопроизводства, исключающего несанкционированное получение сведений ограниченного доступа;
–предотвращение необоснованного допуска и доступа к конфиденциальной информации;
124
–выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной деятельности и в экстремальных ситуациях;
–обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные
сделовым сотрудничеством, как на национальном, так и на международном уровне;
–обеспечение охраны зданий, помещений, оборудования и технических средств обеспечения деятельности организации;
–обеспечение личной безопасности руководства, сотрудников и специалистов;
–оценка нештатных ситуаций и неправомерных действий злоумышленников. Служба безопасности организации должна выполнять следующие функции:
–организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, устанавливает порядок охраны объекта, контролирует соблюдение требований режима сотрудниками и посетителями;
–руководит работами по правовому и организационному регулированию защиты информации ограниченного доступа;
–участвует в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации ограниченного доступа, в частности, устава, правил внутреннего распорядка, положений о подразделениях, а также трудовых договоров, соглашений, должностных инструкций и обязанностей руководства, сотрудников и служащих;
–разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения ограниченного доступа, при всех видах работ организует и контролирует выполнение требований Инструкции по защите информации ограниченного доступа;
–изучает все стороны деятельности организации для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях;
–организует и проводит служебные расследования по фактам разглашения информации ограниченного доступа, утрат документов и других нарушений безопасности объекта; разрабатывает, ведет, обновляет и пополняет Перечень сведений, составляющих информацию ограниченного доступа и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
–обеспечивает строгое выполнение требований нормативных документов по защите информации ограниченного доступа;
–организует и регулярно проводит учебу сотрудников объекта и службы безопасности по всем направлениям защиты информации ограниченного доступа, добиваясь, чтобы к защите этой информации был профессиональный и добросовестный подход;
–ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;
125
–ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
–поддерживает контакты с различными правоохранительными органами и службами безопасности в интересах изучения криминогенной обстановки в районе.
Единой методики формирования структуры службы безопасности не существует. В одной из публикаций предлагается следующий алгоритм построения СБ:
–определить жизненно важные интересы организации на момент создания службы безопасности;
–выявить угрозы безопасности для данного объекта;
–провести анализ угроз и выявить степень риска при их реализации;
–наметить пути локализации каждой из угроз и просчитать затраты на проведение соответствующих мероприятий;
–исходя из полученных данных, финансовых и кадровых возможностей, разработать структуру службы безопасности;
–поддерживать работоспособность СБ и корректировать ее структуру в зависимости от изменяющихся условий.
Структура службы безопасности и ее численность зависят от направлений деятельности организации, числа сотрудников, наличия материальных ценностей, пожароопасных веществ, информации ограниченного доступа, активности злоумышленников и криминальных структур. Поэтому представить универсальную структуру службы безопасности невозможно, однако можно выделить основные структурные подразделения, которые должны присутствовать в большинстве случаев при организации СБ на крупных объектах.
2. Формирование структуры службы безопасности, организация ее деятельности
Формирование структуры службы безопасности проводится в соответствии с объемом и перечнем задач, которые на нее возлагаются. При разработке структуры и штатной численности службы безопасности необходимо использовать концепцию и план реализации системы обеспечения комплексной безопасности объекта защиты. Сначала необходимо спланировать структуру, т.е. определиться, какие должны быть подразделения и какие общие функции на них необходимо возложить, далее разбить общие функции, возложенные на подразделения СБ на конкретные задачи и в соответствии с ними определить группы и их .составНа рис. 16 представлена типовая структура службы безопасности объекта, соответствующая возложенным на нее функциональными обязанностями. Структура более подходит для крупной организации, но это не означает, что ее не могут использовать небольшие объекты. Если задач по обеспечению безопасности значительно меньше, то количество отделов и групп можно сократить.
В зависимости от размеров объекта, количества персонала, наличия конфиденциальной информации, необходимости инкассации денег можно совместить набор функций за одним отделом или группой. Специалист по внедрению техни-
126
ческих средств безопасности вполне справится с организацией их эксплуатационного обслуживания; для небольшой организации достаточно одного специалиста по защите информации, а экономическую безопасность можно возложить на начальника экономического отдела, если он имеет требуемую квалификацию.
Рис. 16. Типовая структура службы безопасности объекта
127
Начальник службы безопасности, он же заместитель руководителя организации. Поскольку начальник службы отвечает за обеспечение безопасности всей организации, он должен иметь достаточно властных полномочий, по вопросам обеспечения безопасности ему должны подчиняться все руководители вплоть до первого лица, за безопасность которого он отвечает в первую очередь. Рекомендуется вводить освобожденные должности заместителей начальника службы безопасности или возлагать обязанности заместителя на начальников ведущих отделов службы. В отсутствии начальника его обязанности исполняют заместители. Основными обязанностями начальника службы безопасности являются: создание оптимальной системы обеспечения комплексной безопасности объекта, а также постоянный контроль ее эффективности и работоспособности.
Оперативный совет. Собирается в период возникновения нештатных и чрезвычайных (кризисных) ситуаций. Является консультационным органом по вопросам обеспечения безопасности и служит для разрешения спорных и сложных вопросов в этой области. В совет входят руководители ведущих отделов организации и ведущие специалисты службы безопасности, председателем является, как правило, руководитель организации. В качестве консультантов могут привлекаться сторонние специалисты при условии соблюдения конфиденциальности.
Антикризисная группа. Создается для противодействия внезапно возникающим нештатным и чрезвычайным ситуациям(НС и ЧС). Основными функциями являются: анализ обстановки, принятие неотложных мер по пресечению НС и ЧС, а также оперативной ликвидации последствий, управление деятельностью организации в экстремальных условияхобеспечение, оперативного взаимодействия со сторонними организациями по обеспечению безопасности. Создается из числа ключевых фигур организации: руководителей, начальников подразделений, служб, юриста и др. В каждом конкретном случае в состав кризисной группы могут включаться те или иные специалисты. Рабочие заседания группы должны проходить в условиях предельной конфиденциальности.
Юрист (эксперт, консультант). Функции: анализ всех документов, подлежащих утверждению руководителями организации. Контроль документооборота, экспертиза договоров, своевременный учет изменения законодательства для того, чтобы: организация не оказалась в сфере криминальной деятельности; исключить экономические потери, ликвидацию организации, штрафные санкции, юридические иски и т.п.
Психолог. Функции: отбор персонала при приеме на работу. Проведение тренингов, игр и учений с сотрудниками службы безопасности, персоналом по вопросам обеспечения безопасности, поведения в нештатных и чрезвычайных ситуациях. Формирование благоприятного психологического климата в коллективе.
Организационно-аналитический отдел. Функции: оптимизация деятельно-
сти службы безопасности, минимизация рисков объекта. Разрабатывает концепцию безопасности организации, проектирует и реализует систему обеспечения комплексной безопасности объекта, работает непрерывно, анализируя эффективность системы. Разрабатывает оперативно-тактические планы и кон-
128
кретные мероприятия. Контролирует их выполнение. Разрабатывает, организует и непосредственно участвует в проведении обучения, тренировок, игр и учений по обеспечению безопасности как с сотрудниками службы безопасности, так и с привлечением персонала организации. Состоит из аналитической группы и группы организации и контроля выполнения мер безопасности. Первая группа занимается анализом и обучением, а вторая группа – практической реализацией планов и мероприятий.
Оперативный отдел. Функции: оперативная работа по выявлению злоумышленников, скрытно совершаемых преступлений и противоправных действий на объекте, разработка и реализация мероприятий по их недопущению. Оперативное реагирование в случаях совершения преступлений, возникновения нештатных и чрезвычайных ситуаций. Взаимодействие с правоохранительными органами по их раскрытию, возмещению ущерба, проведению профилактических мероприятий. Проведение оперативно-технических мероприятий на объекте. В состав группы оперативного реагирования рекомендуется включать сотрудников, имеющих опыт оперативно-следственной работы, имеющих юридическое образование и навыки криминалиста, а также имеющих хорошие способности по организации действий в экстремальных ситуациях. Для проведения оперативнотехнических мероприятий необходимо иметь специалистов, обладающих опытом и знаниями в области применения технических средств негласного сбора информации, установки специальных технических средств защиты, также умеющих согласовать проведение своих мероприятий с компетентными органами в целях соблюдения законности. При проведении оперативных мероприятий по проверке сотрудников, посетителей и других лиц сотрудники службы безопасности должны работать в контакте с правоохранительными органами, так же как при проведении расследований и специальных операций.
Технический отдел. Функции: на основе разработанной концепции и системы обеспечения комплексной безопасности должен провести анализ, обеспечить на объекте выбор, поставку, монтаж, пуско-наладку и оптимальное распределение технических средств и систем безопасности. Обеспечивает контроль их работоспособности, обслуживание, своевременное обновление и внедрение парка новых технических средств. Основные цели: повышение эффективности функционирования системы безопасности, минимизация людских и иных ресурсов в процессе обеспечения безопасности. В состав отдела входят группа внедрения новых технических средств безопасности и группа эксплуатации.
Отдел физической охраны объекта. Функции: организация контрольно-
пропускной и патрульно-постовой службы на территории объекта. Обеспечение эффективной деятельности телохранителей, инкассаторов и кинологов. Получение лицензий на применение оружия, специальных средств. Обеспечение кадровыми и материально-техническими ресурсами подразделенийфизической охраны объекта. Проведение тренировок и учений. Обеспечение постоянного контроля несения службы на объекте. Взаимодействие с правоохранительными органами.
Отдел обеспечения экономической безопасности. Основная задача – обес-
печение безопасности экономической деятельности объекта. Осуществляет
129
контроль финансовых операций, учет денежных и материальных средств. Участвует в проведении ревизий и инвентаризаций, а также в разработке новых проектов, требующих значительных капиталовложений, в целях обеспечения безопасности инвестиций. Состоит из группы анализа, разработки и внедрения мер экономической безопасности и контрольно-ревизионной группы. Работает в непосредственном контакте с планово-экономическим отделом.
Отдел обеспечения информационной безопасности. Функции: обеспечива-
ет сохранность информации ограниченного доступа, защиту от шпионажа и других разведывательных мероприятий. Осуществляет анализ циркулирующей в организации информации. Разрабатывает и проводит организационные и технические мероприятия по защите информации. Осуществляет взаимодействие со средствами массовой информации. Рекомендуется выделить в отдельную группу специалистов по защите информации в информационных системах. Специалисты отдела должны работать в тесном контакте с оператив-
ным отделом для выявления и пресечения попыток незаконного получения информации.
Отдел собственной безопасности. Функции: контроль и оперативная проверка незаконной деятельности сотрудников, включая службу безопасности. Контроль обеспечения безопасности на объекте, а также исполнительской дисциплины. Взаимодействует с правоохранительными органами. Функционирует на основе принципов объективности, систематичности, своевременности, конкретности, целенаправленности. Использует оперативно-технические методы работы. По результатам контрольно-проверочных мероприятий разрабатываются конкретные предложения по устранению имеющихся недостатков и оказанию практической помощи руководителям подразделений в совершенствовании работы. Сотрудники отдела должны иметь большой опыт оперативной работы и безупречную репутацию.
Дежурная часть. Функции: сбор и анализ информации о текущем состоянии безопасности объекта. Организация и контроль оперативного реагирования при возникновении нештатных и чрезвычайных ситуациях. Проведение оповещения руководителей и персонала объекта о НС и ЧС. Хранение, выдача, прием оружия и специальных средств.Прием и передача информации по указанию руководства объекта.
При организации деятельности дежурных частей большое внимание должно уделяться оснащению их современными техническими средствами сбора, обработки и визуализации информации, аудио- и видеозаписывающими устройствами, средствами связи с возможностью их резервирования и дублирования.
Для повышения оперативности принятия управленческих решений дежурные части оборудуются автоматизированными рабочими местами. Немаловажным фактором является создание условий для подмены и отдыха дежурных. Контроль работы дежурной части осуществляется начальником дежурной части, а также руководящим составом службы безопасности и объекта.
При формировании структуры службы безопасности необходимо помнить о разумном сочетании «живой охраны» и применении технических средств. С
130
одной стороны, технические средства безопасности помогают исключить так называемый «человеческий фактор», т.е. недобросовестное отношение сотрудников службы безопасности к своим обязанностям, но, с другой – технические средства выполняют лишь часть функций, необходимых для обеспечения безопасности объекта, это ограничение доступа, предоставление информации о проникновении или пожаре, регистрация противоправных действий и т.п. Основная функция – принятие решения о необходимости и способе реагирования при возникновении нештатных и чрезвычайных ситуаций– всегда остается за сотрудником службы безопасности.
В заключение необходимо отметить, что приведенная структура службы безопасности не универсальна и должна корректироваться в соответствии с -ус ловиями конкретной организации. В частности, в нее могут быть введены новые отделы, например, отдел пожарной безопасности, группа управления персоналом или группа сопровождения грузов. Как правило, формирование или реформирование структуры СБ осуществляется по мере понимания задач, которые должны ею решаться на текущий момент. В большинстве случаев это происходит после проведения аналитических исследований степени защищенности объекта.
3. Организация внутриобъектового режима на объекте
Одной из задач службы безопасности является организация внутриобъектового режима на объекте, который позволяет в первую очередь обеспечить безопасность на объекте. Внутриобъектовый режим создается в целях обеспечения надежной охраны материальных ценностей, конфиденциальных документов и информации, содержащей сведения ограниченного доступа, а также своевременного предупреждения попыток несанкционированного доступа к ним. Он устанавливает определенный режим деятельности объекта, соблюдение которого обязательно для всех сотрудников и посетителей.
Основными задачами организации внутриобъектового режима являются:
–предупреждение проникновения в служебные помещения, в охраняемые зоны и на территорию объекта посторонних лиц;
–обеспечение порядка вноса (выноса), ввоза (вывоза) материальных ценностей и входа (выхода) сотрудников и посетителей.
Все помещения объекта в зависимости от назначения и характера совершаемых в них актов, действий или операций разделяются на несколько зон доступности, которые учитывают степень важности различных частей объекта с точки зрения возможного ущерба от криминальных угроз. Зоны безопасности располагаются последовательно, от забора на территории объекта до мест хранения ценностей и информации, создавая цепь чередующихся препятствий, которые придется преодолевать злоумышленнику.
Для обеспечения внутриобъектового режима на объекте проводят работы по организации контрольно-пропускного режима, устанавливаются следующие виды пропускных документов (рис. 17), дающих право прохода сотрудников и посетителей на территорию объекта, вноса (выноса), ввоза (вывоза) материальных ценностей: удостоверения и пропуска.