Козьминых С.И. Организация защиты информации в ОВД. Ч. 1

81

Основная цель – обеспечение надлежащего уровня защиты информационных ресурсов.

Категории секретности и связанные с ними защитные меры для информации ограниченного доступа должны учитывать служебную необходимость в коллективном использовании информации, а также ущерб для организации, связанный с несанкционированным доступом или повреждением информации.

Секретная информация и выходные данные систем, поддерживающих секретную информацию, должны иметь соответствующие грифы секретности. Однако часто информация перестает быть конфиденциальной через некоторый промежуток времени, например, когда она становится общедоступной. Это следует принимать во внимание, так как чрезмерное засекречивание информации может привести к неоправданным, дополнительным затратам организации.

Выходные данные информационных систем, содержащие секретную информацию, должны иметь соответствующий гриф секретности, который должен отражать категорию секретности наиболее уязвимой информации в выводимых данных. Примерами выходных данных являются печатные документы, информация, выводимая на экраны дисплеев, данные, хранимые на магнитных носителях(лентах, дисках, кассетах), электронные сообщения и передаваемые файлы.

2. Организация работ по засекречиванию и рассекречиванию информации в организации

Отнесение сведений к государственной тайне и их засекречивание осущест-

вляются в соответствии с принципамизаконности, обоснованности и своевременности.

Законность отнесения сведений к государственной тайне и их засекречивания – соответствие засекречиваемых сведений требованиям законодательства Российской Федерации о государственной тайне. Обоснованность отнесения сведений к государственной тайне заключается в установлении путем экспертной оценки целесообразности их засекречивания, а также вероятных экономических и иных последствий засекречивания исходя из баланса жизненно важных интересов государства, общества и граждан.

Своевременность отнесения сведений к государственной тайне– установление ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения таких сведений. Устанавливаются три степени секретностисведений, составляющих государственную тайну, и для каждой из них– грифы секретности, устанавливаемые на их носителях: «особой важности», «совершенно секретно» и «секретно». Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности, утверждены постановлением Правительства Российской Федерации от 4 сентября 1995 г. № 870. Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федера-

83

нах, на данных предприятиях, в данных учреждениях и организациях перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:

–о степени секретности содержащихся в носителе сведений;

–об органе государственной власти, предприятии, учреждении, организации, осуществивших засекречивание носителя;

–регистрационном номере;

–дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.

Основаниями для рассекречивания сведений, т.е. снятия ограничений на распространение сведений, составляющих государственную тайну, и на доступ

ких носителям являются:

–взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, отнесенных в Российской Федерации к государственной тайне;

–изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, не целесообразна.

Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через каждые5 лет, пересматривать содержание действующих перечней сведений, подлежащих засекречиванию, в части обоснованности засекречивания сведений и их соответствия установленной ранее степени секретности.

Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть

продлен по заключению Межведомственной комиссии по защите государственной тайны1.

Правом изменения действующих перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за обоснованность принятых ими решений по рассекречиванию сведений. Такие решения подлежат

согласованию с Межведомственной комиссией по защите государственной тайны, которая вправе приостанавливать и опротестовывать эти решения.

Носители сведений, составляющих государственную тайну, рассекречиваются не позднее сроков, установленных при их засекречивании. Носители могут быть рассекречены и до истечения этих сроков, если изменены положения действующего в данном органе государственной власти, на предприятии, в учреждении и организации перечня, на основании которых они были засекречены.

1 Положение о Межведомственной комиссии по защите государственной тайны, ее структура и состав по должностям, утвержденное Указом Президента Российской Федерации от 20 января 1996 г. № 71 (в ред. от 14 июня 1997 г.) // Собр. законодательства Рос. Федерации.– 1996. – № 4, ст. 268.

84

Руководители органов государственной власти, предприятий, учреждений и организаций наделяются полномочиями по рассекречиванию носителей сведений, необоснованно засекреченных подчиненными им должностными лицами.

Руководители государственных архивов Российской Федерации наделяются полномочиями по рассекречиванию носителей сведений, составляющих государственную тайну, находящихся на хранении в закрытых фондах этих архивов, в случае делегирования им таких полномочий организацией фондообразователем или ее правопреемником. В случае ликвидации фондообразователя и отсутствия ее правопреемника вопрос о порядке рассекречивания носителей сведений, составляющих государственную тайну, рассматривается Межведомственной комиссией по защите государственной тайны.

Граждане, предприятия, учреждения, организации и органы государственной власти Российской Федерации вправе обратиться в органы государственной власти, на предприятия, в учреждения, организации, в том числе в государственные архивы, с запросом о рассекречивании сведений, отнесенных к государственной тайне. Органы государственной власти, предприятия, учреждения, организации, в том числе государственные архивы, получившие такой запрос, обязаны в течение трех месяцев рассмотреть его и дать мотивированный ответ по существу запроса. Если они не правомочны решить вопрос о рассекречивании запрашиваемых сведений, то запрос в месячный срок с момента его поступления передается в орган государственной власти, наделенный такими полномочиями, либо в Межведомственную комиссию по защите государственной тайны, о чем уведомляются граждане, предприятия, учреждения, организации и органы государственной власти Российской Федерации, подавшие запрос.

Уклонение должностных лиц от рассмотрения запроса влечет за собой -ад министративную (дисциплинарную) ответственность в соответствии с действующим законодательством.

Обоснованность отнесения сведений к государственной тайне может быть обжалована в суд. При признании судом необоснованности засекречивания сведений эти сведения подлежат рассекречиванию в установленном Федеральным законом «О государственной тайне» порядке.

3. Разработка плана мероприятий по обеспечению защиты профессиональной тайны

Создание надежного механизма защиты профессиональнойтайны требует проведения хорошо продуманных мероприятий. План их осуществления должен преследовать три цели:

–предотвращение кражи;

–понимание сотрудниками важности сохранения профессиональной тайны

инеобходимости приложения максимальных усилий для ее защиты;

–создание условий для привлечения лиц, разглашающих или пытающихся разгласить ее, к ответственности;

Уделив достаточно времени разработке программы и определив источник финансирования для ее проведения, необходимо решить вопрос о назначении

85

ответственного лица за ее постоянное выполнение и своевременный пересмотр. Этот сотрудник должен оценивать эффективность программы и периодически корректировать (актуализировать) ее.

Организация эффективной защиты профессиональнойтайны на предприятиях и в учреждениях во многом зависит от правильного установления круга носителей информации. Анализ позволяет выделить четыре основных вида носителей информации в зависимости от их функционального назначения: доку-

мент, человек, материал и процесс.

Документ, согласно ГОСТ 16487-83 и ГОСТ 6.10.1-88, представляет собой средство закрепления различным способом на специальном материале информации о фактах, событиях, явлениях объективной действительности и мыслительной деятельности человека. Документ отличает то, что его функциональное назначение целиком и полностью исчерпывается свойством носителя информации. В период своего существования документ проходит определенные этапы: составление и оформление, размножение, пересылка, использование, хранение, уничтожение. Конкретное наполнение этих этапов зависит от типа документа. В настоящее время известны документы на бумажных носителях, микроформах, магнитных носителях, оптических и электронных носителях. В целом система документов имеет довольно разветвленную структуру.

Одной из первоочередных задач, которые встают перед объектом при организации защиты своей профессиональнойтайны, является разработка соответствующих нормативных документов, регламентирующих деятельность всех звеньев предприятия в этом направлении. Мировая практика показывает, что речь идет либо о необходимости внесения соответствующих дополнений в уже имеющиеся на предприятии документы(устав, коллективный договор и др.), либо о подготовке самостоятельных внутренних инструкций и рекомендаций.

Может быть рекомендован такой порядок разработки и утверждения указанных нормативных документов, при котором они согласовываются с руководством объекта, а при необходимости проводятся в жизнь решением общего собрания коллектива. Исходной правовой базой для организации защиты профессиональной тайны является устав организации, в котором необходимо зарегистрировать прежде всего право на профессиональную тайну, поскольку организация может осуществлять лишь те виды деятельности, которые отвечают целям, предусмотренным в нем. Для этого следует внести дополнение к уставу специального раздела.

Контроль документации должен стать важным делом, поскольку в организации циркулирует огромное количество документов. Следует быть внимательным к установлению системы контроля над документами, регулярной ее проверки и совершенствования (к примеру, если возникает необходимость разрешения сотруднику брать работу на дом, желательно, чтобы выносимые материалы были классифицированы, правильно использованы, защищены и вовремя возвращены).

В целях установления надлежащего контроля хранения и использования секретных документов необходимо выделить их из общей массы документов, находящихся в обороте организации. Для этого следует ясно обозначить на лицевой обложке всех документов степень их секретности. Необходимо начинать

86

создание системы защиты профессиональнойтайны с изучения процессасо-

ставления, циркуляции, хранения и уничтожения документов.

Составление документов представляет собой самую обязательную и, может быть, самую легкую область контроля. В первую очередь следует определить порядок и стандарты идентификации документации, которую требуется защитить от раскрытия или неправильного использования. Необходимо решить вопрос об установлении различных степеней секретности.

Надлежит определить и объявить всем сотрудникам, какие конкретно типы документов должны быть закрыты. Необходимо использовать пометку«профессиональная тайна» (ПТ) на регулярно используемых формах (к примеру, титульных листах и т.д.). Для других документов можно использовать штамп. В надписи на документе целесообразно указать фамилию собственника документа и определить ограничения по его использованию.

Техника контроля циркуляции копий таких документов включает в себя необходимость нумерации копий, составления списка лиц, получающих их, фиксирования времени получения и сдачи документов. Методика предусматривает и наличие формы, подписанной всеми получателями, посредством которой они обязуются никому не передавать, не копировать и возвращать документ по требованию.

При этой системе достаточно взглянуть на формуляр с фамилиями получателей, чтобы определить, сколько и где находится копий документа в обороте. Следовало бы на каждой странице перечней программного обеспечения ЭВМ обозначить, что эта информация конфиденциальная и является собственностью организации. Необходимо все тетради с документацией постоянно переплетать

иозаглавливать. На них должны быть напечатаны фамилия, имя, отчество сотрудника, наименование организации, гриф секретности и отметка о собственности этой организации. Существует объективная необходимость в подготовке

иутверждении правил специального делопроизводства, регламентирующих обращение с документальными носителями профессиональнойтайны организации, устанавливающих порядок их подготовки, маркировки, размножения, рассылки, приема и учета, группировки в дела, использования, хранения, уничтожения и проверки наличия, а также в создании подразделения специального делопроизводства или назначения уполномоченного по данному вопросу.

Необходимо вести журнал учета входящих, исходящих и внутренних документов, содержащих профессиональную тайну организации, который полезен для проведения периодической инвентаризации таких документов, четкой регистрации их нахождения и уничтожения.

Немаловажным условием является передача конфиденциальных документов только тем,кому действительно необходимо знать содержащуюся в них информацию. Если не отработана система определения такого контингента лиц, то любая система контроля движения документов станет бессмысленной и не удастся сохранить профессиональную тайну. Недостаточно простого установления процедуры контроля документации. Необходимо создать соответствую-

87

щую систему, гарантирующую правильную циркуляцию документов в целях исключения доступа непосвященных лиц к содержащейся в них информации.

Обычная деятельность организации немыслима без взаимодействия с другими организациями. Такая взаимосвязь закрепляется в соответствующих договорах. Помимо их основного назначения договоры следует использовать как средство обеспечения сохранности профессиональной тайны, в них необходимо специально оговаривать обязательства о соблюдении условий конфиденциальности и предусмотреть последствия нарушения принятых обязательств. Следует иметь в виду, что соглашение об условиях конфиденциальности может предшествовать заключению между будущими партнерами соответствующих соглашений. Однако, являясь частью таких соглашений, условия конфиденциальности сохраняют свою автономность и могут действовать после прекращения основного договора.

Контрольные вопросы

1.Какие сведения включает в себя информация с ограниченным доступом?

2.По каким принципам осуществляется отнесение сведений к государственной тайне и их засекречивание?

3.В соответствии с какими нормативными документами осуществляется отнесение сведений к государственной тайне и их засекречивание?

4.Что является основанием для отнесения сведений к государственной тайне и их засекречивания?

5.Кто обладает правом изменения действующего перечня сведений, подлежащих засекречиванию, и отнесения к государственной тайне в организации?

6.Какие цели ставятся при разработке плана мероприятий по обеспечению защиты профессиональной тайны?

7.Как организуется эффективная защита профессиональной тайны?

88

Г л а в а 8. ПОДБОР СОТРУДНИКОВ НА ДОЛЖНОСТИ,

СВЯЗАННЫЕ С ДОПУСКОМ К ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА

1.Сотрудники организации как источники информации

иканалы ее разглашения

Пресечение разглашения конфиденциальной информации– это комплекс мероприятий, исключающих оглашение охраняемых сведений их владельцами. Помня, что «болтун – находка для шпиона», следует учесть, что из всех условий, способствующих неправомерному овладению конфиденциальной информацией, излишняя болтливость собственных сотрудников организации, как показывает практика, составляет порядка 30 %; безответственный обмен опытом – 12 %, т.е. разглашение секретов составляет почти половину(42 %) угроз конфиденциальной информации.

Умышленное разглашение производственных секретов обходится экономике США в 2 млрд долл. ежемесячно. Как установило в ходе недавнего опроса предприятий американское общество промышленной безопасности(АСИС), число подобных инцидентов начиная с1993 г. по настоящее время утроилось. Причин этого роста несколько: лояльность одних служащих подрывает ужесточение дисциплины; других перекупают конкуренты. В первую очередь это касается высокотехнологичных отраслей.

К конкурентам часто попадают материалы о стратегии предприятий, - зультаты исследовательских и опытно-конструкторских работ, списки клиентов, заявки на патенты, торговые марки и авторские права.

Результаты опроса, проведенного в 2010 г. корпорацией Symantec и сообществом «Профессионалы. ru», показали, что 70 % сотрудников российских компаний выносят с работы конфиденциальные данные(в опросе приняли участие более 2000 респондентов).

Причины утечек кроются в небрежности(у 37 % опрошенных корпоративные ноутбуки лежали без присмотра в общественных местах); беспечности (50 % используют простые пароли, а 10 % приклеивают их возле компьютера); излишней доверчивости (68 % не гнушаются попросить друзей помочь с особо трудным корпоративным файлом); 9 % служащих сознались, что подумывали продать конфиденциальную информацию на сторону (6 % так и сделали); 45 % опрошенных сотрудников отправляли данные по запросу клиентов.

По результатам исследования было выявлено четыре типа инсайдеров: 24 % ответивших на вопросы слишком доверчивы и могут подвергнуть компьютерную сеть компании опасности, не подозревая об этом; 22 % – с легкостью пренебрегают элементарными требованиями безопасности, хотя прекрасно понимают последствия; 7 % респондентов оказались в категории «мстителей», преследующих сугубо корыстные цели, и, по всей видимости, неплохо на этом зарабатывающих. Лишь 47 % респондентов оказались относительно аккуратными хранителями корпоративных секретов.

С точки зрения инициативы, образование информационного контакта и степень участия в нем компонентов коммуникации активной стороной выступает

89

источник, т.е. владелец информации. Разглашение охраняемой информации может произойти при наличии ряда условий и обстоятельств служебного и личного характера. Причины разглашения, как правило, связаны с несовершенством разработанных норм по защите информации, а также нарушением этих норм, отступлением от правил обращения с соответствующими документами и сведениями, содержащими конфиденциальную информацию. К факторам и обстоятельствам, приводящим к разглашению информации, относятся:

–недостаточное знание сотрудниками правил защиты конфиденциальной информации и непонимание (или недопонимание) необходимости тщательного их выполнения;

–слабый контроль соблюдения правил работы со сведениями конфиденциального характера;

–текучесть кадров, в том числе знающих сведения конфиденциального характера, и др.).

В основе защиты информации от разглашения целесообразно использовать следующие принципы:

1. Принцип максимального ограничения числа лиц, допущенных к работе с конфиденциальной информацией, так как ее сохранность находится в прямой зависимости от числа допущенных к ней лиц.

2. Принцип персональной ответственности за сохранность информации предполагает разработку мер, побуждающих сотрудников хранить секреты не только из-за боязни последствий за вольное или невольное раскрытие, но и обеспечивающих заинтересованность каждого конкретного сотрудника в - со хранении тайны.

Отсюда одним из направлений работы по защите информации является работа с кадрами, воспитательно-профилактическая деятельность, которая включает в себя совокупность методов воздействия на сознание, чувство, волю, и характер сотрудников в интересах формирования у них умения хранить тайну и строго соблюдать установленные правила работы с закрытой информацией. Главные направления этой деятельности:

–привитие навыков предупреждения разглашения конфиденциальной информации;

–повышение ответственности за сохранение секретов;

–создание обстановки нетерпимости к фактам нарушения установленного порядка обеспечения информационной безопасности;

–строгий контроль всех видов переговоров со сторонними организациями и

их представителями;

–контроль публикаций, выступлений, интервью и других форм общения по вопросам деятельности организации;

–контроль разговоров в служебных помещениях и телефонных переговоров сотрудников на служебные темы;

–изучение действий и поведения сотрудников во внеслужебное время, мест их пребывания, наклонностей, увлечений, комплексов и зависимостей, стойкости или подверженности влияниям, мотиваций и др.

90

Естественно, что все эти действия должны проводиться в строгом соответствии с законодательными актами, с точным соблюдением прав и обязанностей сотрудников организации, без какого-либо вмешательства в личную жизнь.

Подобные действия в гражданских организациях могут выполнять, например, частные детективы (сотрудники службы безопасности). Согласно Федеральному закону «О частной детективной и охранной деятельности» им разрешается осуществлять следующие виды услуг:

1.Сбор сведений по гражданским делам.

2.Изучение рынка.

3.Сбор сведений о партнерах и конкурентах.

4.Выявление недобросовестных и неплатежеспособных партнеров.

5.Установление обстоятельств недобросовестной конкуренции.

6.Установление обстоятельств разглашения коммерческих секретов. Эти услуги реализуются в целях:

1.Поиска без вести пропавших.

2.Поиска утраченного имущества.

3.Выявления биографических данных, характеризующих граждан.

4.Изучения сведений по уголовным делам и др.

При этом частному детективу разрешается:

1.Устный опрос граждан и должностных лиц с их согласия.

2.Изучение предметов и документов с согласия их владельцев.

3.Наведение справок.

4.Внешний осмотр помещений и других объектов.

5.Наблюдение для получения необходимой информации.

6.Использование видеоаудиозаписи, кино- и фотосъемки, технических и иных средств, не причиняющих вреда гражданам, оперативной связи.

7.Использование специальных средств личной безопасности.

Опыт работы по пресечению разглашения конфиденциальной информации позволяет разработать определенную систему мер по предотвращению разглашения на общем уровне рекомендаций в виде типового классификатора защитных действий по предотвращению разглашения конфиденциальной информации. Такой документ может быть детальным, если он привязан к конкретному объекту с акцентом на местные условия, учетом имеющихся средств, особенностей зданий и помещений.

Деятельность руководства объекта по предупреждению разглашения охраняемых сведений включает в себя и обучение сотрудников, ознакомление их с законами, постановлениями, положениями, инструкциями, определяющими правовое отношение с государством и с объектом защиты.

Значительное место в работе с сотрудниками должно отводиться обучению методам и мерам обеспечения сохранности ценной информации. В процессе обучения необходимо добиваться, чтобы сотрудники четко знали категории охраняемых ими сведений, ценность этих данных, возможные способы и методы проникновения со стороны нарушителей, а также правила и процедуры их защиты. Следует особо обратить внимание на то, чтобы сотрудники осознанно