Социально-управленческие технологии обеспечения информационной безопасности организации
АКАДЕМИЯ ТРУДА И СОЦИАЛЬНЫХ ОТНОШЕНИЙ
На правах рукописи
ЕФИМОЧКИНА Наталья Борисовна
СОЦИАЛЬНО-УПРАВЛЕНЧЕСКИЕ ТЕХНОЛОГИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
Специальность: 22.00.08 – Социология управления
АВТОРЕФЕРАТ
диссертации на соискание ученой степени
кандидата социологических наук
Москва – 2007
Работа выполнена на кафедре социальной политики и управления социальными процессами Академии труда и социальных отношений.
НАУЧНЫЙ РУКОВОДИТЕЛЬ:
Денисов Геннадий Михайлович, кандидат социологических наук.
ОФИЦИАЛЬНЫЕ ОПОНЕНТЫ:
Маршак Аркадий Львович, доктор философских наук, профессор;
Егоров Василий Викторович, кандидат социологических наук, доцент.
ВЕДУЩАЯ ОРГАНИЗАЦИЯ:
Российский государственный институт интеллектуальной собственности.
Защита состоится «06» марта 2007 г. в 14 часов на заседании диссертационного совета Д 602.001.01 в Академии труда и социальных отношений по адресу: 119454, Москва, ул. Лобачевского, д. 90, аудитория № 222.
С диссертацией можно ознакомиться в библиотеке Академии труда и социальных отношений.
Автореферат разослан «__» февраля 2007 г.
Ученый секретарь диссертационного совета,
доктор социологических наук, доцент А.А. Деревянченко
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность. Важность и значимость проблемы информационной безопасности современных российских организаций определяется тем, что формирование в нашей стране правового и социального государства обуславливается не только всесторонним и полноценным юридическим обоснованием деятельности организационных образований, но и формированием правил и процедур их эффективного функционирования, в том числе в области работы с информационными ресурсами. Для упрочения российской государственности, в условиях интеграции в мировое информационное пространство и вступления России в ВТО, рациональное управление информационной сферы на всех уровнях может послужить одной из важных опорных точек укрепления аппарата управления и стать существенным элементом стабильности государства и общества в целом.
Опыт многих развивающихся стран показывает, что приоритетное развитие информационного сектора в силу стратегического характера информационных ресурсов позволило многим государствам преодолеть огромный разрыв в уровне экономического, правового и социального развития по сравнению с развитыми странами.
Сегодня во всех сферах государственной жизнедеятельности происходит структурная перестройка, связанная с ростом информационного сектора и, соответственно, влекущая за собой значительные социальные, политические и культурные изменения в обществе.
В настоящее время данная проблема актуализируется стремительным развитием новых информационных технологий, которые коренным образом изменяют процессы функционирования как общества в целом, так и его структурных частей. Особенно динамично развивается сфера информатизации процессов управления. Особенностью современных управленческих технологий является то, что они основаны, в первую очередь, на производстве и потреблении информации. Качество используемой информации определяет качество управления и, как следствие, формирует условия для эффективного функционирования самих организаций.
В связи с этим изучение роли информации, её особенностей и методов информационной безопасности представляет сегодня значительный теоретический и практический интерес.
Выбор сферы социально-управленческих аспектов защиты конфиденциальной документированной информации российских организаций в качестве приоритетного объекта информационной безопасности достаточно очевиден. С одной стороны, документированная конфиденциальная информация является наиболее значимой частью информационных ресурсов, охватывающей все сферы деятельности организаций и формирующей эффективность и стабильность бизнес-процессов. С другой стороны, объективные условия рыночной конкуренции ставят задачи защиты этого ресурса в число первоочередных и требуют новых решений в вопросах информационной безопасности. Сегодня информационная сфера, особенно в части конфиденциальных сведений, все чаще становиться объектом соперничества и нечистоплотных технологий. Причем, приоритет уязвимости информации в настоящее время смещен с внешних угроз (например, компьютерного взлома баз данных) на внутренние - 78 % конфиденциальной информации «утекает» при помощи инсайдеров с правом доступа к этим сведениям.[1]
Следовательно, основой решения проблемы информационной безопасности должна стать последовательная корпоративной политика в области кадрового и социального управления, отвечающая всем современным требованиям по подбору, унификации деятельности персонала, всестороннему контролю их деятельности, формированию у сотрудников чувства корпоративности. Решение социально-управленческих вопросов (нормативное, правовое, кадровое и социальное обеспечение) становится сегодня значимым условием информационной безопасности организации и защиты сведений, составляющих коммерческую тайну. Без такой системы защита интересов организации как собственника конфиденциальной информации нереализуема.
Все эти обстоятельства обуславливают актуальность и практическую значимость исследования избранной темы.
Степень научной разработанности проблемы. Следует отметить, что вопросы комплексного подхода к информационной безопасности организаций как симбиоза организационно-управленческого, нормативно-правового, кадрового и социального обеспечения их деятельности, как в отечественной, так и в зарубежной, литературе не ставились. Работы современных исследователей рассматривают лишь различные аспекты информационной безопасности конфиденциальных ресурсов организаций.
Информация и процессы информатизации в основном были предметом изучения философских и естественно-технических наук, которые сосредотачивались в большей степени на мировоззренческих аспектах и программно-технических средствах. Документированная информация, в том числе конфиденциальная, - предмет изучения документоведческих наук, представители которых, рассматривают документированную информацию с позиций её прикладного назначения, вынося за рамки исследования перемены в социально-информационной среде. Такой подход, несомненно, тормозил процесс использования информации в управлении социальными процессами и защиты информационных ресурсов.
В тоже время по избранной теме опубликован ряд работ, которые можно использовать при анализе проблем информационной безопасности, в том числе и защите конфиденциальных ресурсов организаций.
Степень научной разработанности темы целесообразно оценивать по нескольким направлениям.
Во-первых, это работы, связанные с изучением социальных условий, в которых происходит информатизация и связанные с ней процессы субъект-объектных взаимоотношений, а также процессы интеллектуализации общества в целом. К ним относятся труды известных ученых, разрабатывающих теорию постиндустриального и информационного общества (Белл Д.[2], Гоулднер А., Масуда И., Стоуньер Т., Тоффлер А. и др.), а также работы в области социологии управления и социологии труда, сформировавшие основные принципы субъективных взаимоотношений, реализуемых в процессе управлении (исследования Г. Беккера, Р. Козера, А. Маслоу[3], Ф. Тейлора, А. Файоля и др.).
Во-вторых – исследования междисциплинарного характера, связанные с прохождением информационных процессов и анализом их социальных аспектов. В числе российских исследователей можно отметить труды Афанасьева В.Г., Моисеева Н.Н. Ракитова А.И., Родионова А.А., Колина К.К., Никитова В.А.[4], Плотинского Ю.М., Шаркова Ф.И., Суслакова Б.А., Урсула А.Д., Халипова В.Ф., Мелюхина И.С., Яковцева Ю.В. и др.
В третьих – исследования зарубежных авторов в области управления документацией (Кр. Хайвз[5], А. Рикс, К. Хар, Д. Маклеод, Д. Дж. Макдональд, Саммервил, Д. Стефенс и др.), которые определяют современную управленческую документацию как неотъемлемую составную часть информационных ресурсов организации и выдвигают требование включения структур управления документацией в общую инфраструктуру организаций[6].
Следует отметить, что в последние годы заложены основы нового научного направления в социологии – социология информатизации. Рядом исследователей (Соколова И.В.) разработано теоретико-методологическое обоснование этого раздела социологической теории, исследующей информационные процессы в социальном пространстве современного постиндустриального общества.
Кроме того, вопросы информатизации процессов управления стали темой разработки российских ученых Ларина М.В.[7], Андреевой В.И., Волкова Е. А.[8], Кузнецовой Т.В., Лившица Я.З., Мингалева B.C., Пшенко А.В., Соковой А.Н., которые рассматривают документированную информацию не только как основной ресурс управления, но и определяют информационную инфраструктуру как сложную систему, компонентами которой являются технологии работы с информацией, а также, информационный персонал, реализующий эти технологии. Основным назначением информационной инфраструктуры, по мнению авторов, является «объединение всех уровней управления, включая рабочие места, в эффективно действующий на базе созданных информационных ресурсов механизм достижения целей организации»[9].
Значительный вклад в разработку методов обеспечения информационной безопасности бизнеса в области технического обеспечения методов защиты внесли работы А.П. Курило[10], В.А. Гамза, В.Б. Голованова, А.Н. Иконникова. Проблема нормативно-правового регулирования документационного обеспечения управления в области конфиденциального делопроизводства рассматриваются в работах И.Л. Бачило[11], М.Н. Костомарова[12], В.Л. Кузнецова, М.Д. Надершиной, В.И. Тихонова. В плане исследования проблем управления персоналом в сфере информационных технологий следует отметить современные исследования В.Б. Вехова[13], Е. Н. Гаврюшина[14], А.Я. Кибанова, А.А. Малюк[15], Г.А. Мамед-заде, Т.А. Родкиной.
Следует отметить, что вышеперечисленные работы рассматривают различные аспекты управления и защиты конфиденциальных ресурсов организации. На сегодняшний день нет ни одного исследования, в котором проблемы информационной безопасности рассматривались в комплексе позиций таких составляющих как управленческое, организационно-правовое и кадрово-социальное обеспечение деятельности персонала служб конфиденциального делопроизводства с целью защиты сведений, содержащих коммерческую тайну.
Недостаточная разработанность и практическая значимость исследуемой проблемы определили тему, объект и предмет, цель и задачи диссертационного исследования.
Объектом исследования являются социальные аспекты обеспечения информационной безопасности конфиденциальных ресурсов современных организаций с различной формой собственности.
Предметом исследования являются социально-управленческие технологии защиты конфиденциальной документированной информации в организациях.
Цель и задачи исследования. Решение сложных проблем информационной безопасности зависит не только и даже не столько от технических и технологических факторов, сколько от факторов социально-управленческих. Исходя из вышеизложенного, целью диссертации является разработка социально-управленческих технологий защиты конфиденциальной документированной информации, проводимая по следующим направлениям:
- организация документационного обеспечения управления в части управления конфиденциальными документами,
- корпоративное нормативно-правовое обеспечение служб конфиденциального документационного обеспечения управления (далее – КДОУ);
- кадровая политика в этой области.
Реализация поставленной цели потребовала решения следующих задач:
- исследовать роль информационных ресурсов в сфере современного управления и конфиденциальной информации как составной части управленческой информации;
- раскрыть содержание и структуру таких понятий как «информационная безопасность» и «защита информации» и их состояние в современных российских компаниях;
- исследовать специфику управления информационной безопасностью в различных российских организациях;
- провести анализ нормативно-правовой базы сферы информационной безопасности в части конфиденциального документооборота;
- предложить социально-управленческие технологии организации служб конфиденциального делопроизводства как системы комплексной защиты информации, содержащей коммерческую тайну.
Теоретической и методологической основой исследования явились труды отечественных и зарубежных исследователей по проблемам социального управления и социальной политики, управления документационными ресурсами, законодательные акты в этой области, а также концептуальные разработки ряда крупных корпораций.[16] Интеграция основных положений этих работ позволила сформировать: комплексный подход к изучаемому объекту; методологическую основу организации работы персонала КДОУ, в т.ч. и методы защиты конфиденциального документооборота; нормативно-правовое обеспечение функционирования организаций в сфере информационной безопасности; социальный аспект управления в области защиты информации.
В ходе исследования также использовались: а) системный подход, в соответствии с которым анализировались аспекты защиты конфиденциальных информационных ресурсов; б) структурно-функциональный метод; в) классификационно-типологический анализ; а также г) социологические методы: анализ документов, опрос, в том числе экспертный опрос.
Информационную и статистическую базу исследования составили опубликованные данные социологических опросов по материалу исследования[17], материалы служб безопасности Пенсионного Фонда Московской области, Альфа-Банка и др., а также данные авторских обследований работы служб ДОУ Министерства образовании РФ, Департамента образования г. Москвы, Учебно-методическом центре Департамента образования г. Москвы, Комитете образования Администрации Балашихинского района и отдельных организаций (региональные отделения налоговой полиции, отделения милиции ВАО г. Москвы). Также автор использовал результаты собственных исследований: 1) опрос сотрудников служб информационной безопасности российских организаций (N – 440 респондентов); 2) экспертный опрос менеджеров по ДОУ (было опрошено 75 руководителей разных уровней); 3) анализ комплексов управленческой документации государственных и коммерческих структур.
Научная новизна диссертации состоит в том, что эта работа является одной из первых попыток комплексного исследования особенностей субъект-объектных информационных взаимоотношений в процессе реализации защитных технологий в области информационной безопасности конфиденциальных ресурсов по трем направлениям: организационно-методическое, нормативно-правовое и кадровое обеспечение служб КДОУ.
К числу наиболее существенных результатов работы, обладающих научной новизной и характеризующих личный вклад автора относятся:
- обоснована необходимость включения конфиденциальной информации как составляющей информационных ресурсов в спектр социально-управленческих процессов. В диссертации даны определения, структура и особенности таких понятий как «информация», «информационная инфраструктура», «документированная информация»; выявлена роль документированной информации, содержащей конфиденциальные сведения, как одно из условий функционирования сферы управления в различных областях государственной и общественной жизнедеятельности;
- автором выявлены основные особенности, взаимосвязь и взаимообусловленность организационных и социальных аспектов информационной безопасности;
- проведен анализ состояния современного законодательства и внутрикорпоративной нормативной базы в данной сфере и выявлена тенденция формирования регламентации процессов информационной безопасности как наиболее эффективного социально-правового механизма управления в российских корпорациях;
- раскрыты субъективные аспекты нарушения режима конфиденциальности при автоматизации документационного обеспечения управления. В диссертации проведена систематизация наиболее уязвимых элементов защиты конфиденциальной документированной информации в условиях автоматизации процессов управления, выявленных при проведении аудиторских проверок деятельности служб конфиденциального ДОУ различных российских организаций;
- разработаны социально-управленческие технологии корпоративного управления процессами защиты конфиденциальной информации;
- показано, что комплексная организация служб конфиденциального документационного обеспечения управления является основой информационной безопасности организации. В диссертации обозначены основные направления реализации кадровой политики, основанные как на зарубежном опыте, так и на опыте российских корпораций и даны рекомендации по их применению.
Практическая значимость диссертационного исследования состоит в обосновании социально-управленческих технологий, позволяющих осуществить комплексную организацию служб документационного обеспечения управления и сформировать внутрикорпоративную социально-правовую базу по организации защиты конфиденциальной информации в компаниях. Сформулированные и обоснованные в исследовании научные методики организации служб КДОУ затрагивают все виды работы персонала с документами, содержащими коммерческую тайну, и могут быть непосредственно использованы в деятельности организаций с различными формами собственности.
Кроме того, материал, изложенный в диссертации, может быть использован в учебном процессе высшей школы по подготовке специалистов в области социологии управления, а также в системе повышения квалификации руководителей и сотрудников служб документационного обеспечения управления.
Апробация работы. Предложенный в диссертации комплексный подход к постановке в организации комплексной методики по документационному обеспечению управления в сфере конфиденциальной информации принят к использованию на предприятиях различных форм собственности, в частности ООО «СМУ«ПиК», ОАО УСМР-215. Апробация показала, что социально-управленческие технологии, предлагаемые в диссертации, являются эффективными и финансово малозатратными.
Кроме того, была проведена апробация элементов диссертационной работы в деятельность государственных организаций. Так, методика составления Номенклатуры дел была использована в работе Учебно-методического центра Департамента образования г. Москвы.
Также, полученные материалы используются соискателем для консультативной помощи, оказанной Департаменту образования г. Москвы и при оказании методической помощи в организации учебного процесса Средней школы милиции г. Москвы.
Основные положения диссертации отражены в научных публикациях автора, обсуждены и получили одобрение на кафедре социальной политики и управления социальными процессами Академии труда и социальных отношений.
Структура работы. Диссертация состоит из введения, трех глав, 9 параграфов, заключения, приложений и библиографии.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во Введении сформулирована актуальность темы диссертационного исследования; приведен анализ научной разработанности проблемы; сформулированы предмет и объект исследования; определены цели и задачи, раскрывается его научная новизна, приведены данные о практической значимости и апробированности результатов.
В Главе 1 «Информационные ресурсы современной организации и их конфиденциальная составляющая» дается содержание и структура основных понятий исследуемой темы, определяется роль и место документированной информации в управленческих процессах, а также проблемы обеспечения режима конфиденциальности информационных ресурсов современных организаций.
Формирование единого мирового информационного пространства и интеграция в него России повлекло трансформацию понятий, связанных с информацией, информационной безопасностью и ролью данных понятий в современных управленческих процессах.
Федеральный закон «Об информации, информатизации и защите информации» [18] трактует понятие «информация» как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Такое значение позволяет рассматривать информацию как сложную систему, состоящую из множества элементов и механизмов их взаимодействия. Современное управление организационными образованиями различного уровня напрямую зависит от состава получаемой, перерабатываемой и создаваемой в рамках данной организации информации. Собственно говоря, современное управление можно представить в виде своеобразного триединства: субъекта управления, объекта управления и информации, которая связывает субъект и объект управления на всех уровнях иерархии, а также саму систему – организацию - с внешнем миром.
В настоящее время информация рассматривается как ресурс, который, как и традиционные ресурсы (труд, энергия, полезные ископаемые) можно добывать, перерабатывать использовать, распространять.[19] Отношение к информации как к ресурсу по аналогии с другими ресурсами организации предполагает создание механизма управления информационными ресурсами, формирования соответствующих структур, выработку новых технологий.
Согласно ФЗ «Об информации, информатизации и защите информации» обязательным условием включения информации в информационные ресурсы является документирование информации. Таким образом, первичной, фундаментальной основой информационных ресурсов организации является документ. Документ (документированная информация) в управленческой деятельности выступает и как предмет труда и как результат труда, так как принятое решение фиксируется и юридически закрепляется в нем. Посредством документов выражаются все формы управленческой деятельности и, таким образом, документация, будучи тесно связанной со всеми функциями управленческой деятельности, используется аппаратом управления в качестве способа и средства реализации возложенных на него задач.
Говоря о важности документа в процессах управления, автор считает необходимым остановиться на первичном с позиции информационной содержательности комплексе управленческих документов – конфиденциальной документации. Конфиденциальная информация как одна из составляющих управленческих документов — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Закон «Об информации, информатизации и защите информации» закрепляет понятие «конфиденциального документа» как необходимым образом «оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица».[20] Методы работы с конфиденциальной документацией определены ФЗ «О коммерческой тайне».
Особенностью конфиденциального документа является то, что он включает в себя информацию, наиболее значимую для организации. Это могут быть документы или базы данных, содержащие сведения технического или технологического характера, персональные данные сотрудников, финансовые и другие сведения, которые их собственник (организация) в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне.
Автором указано, что конфиденциальная документированная информация является наиболее уязвимым информационный ресурс управления, защита которого является важнейшей задачей организаций.
До настоящего времени, в качестве приоритетной задачи защиты конфиденциальной информации считалась защита от внешних угроз, например, компьютерных атак. Тем не менее, практика незащищенности конфиденциальной информации средствами технической защиты, переводит доминанту угроз с внешних на внутренние и связывается с деятельность инсайдеров – сотрудников с правом доступа к ней.
К проявлению различных угроз безопасности конфиденциальных ресурсов со стороны инсайдеров относятся:
1. Хищение (кража) документа (его части), проекта, черновиков либо чистого носителя информации, предназначенного для составления документа.
2. Потеря (утрата) документа, его чернового варианта, рабочих записей либо чистого носителя, предназначенного для составления документа.
3. Несанкционированное уничтожение (разрушение) носителя или самой информации.
4. Подмена документа, его отдельных частей или чистого носителя.
5. Несанкционированное копирование информации.
6. Несанкционированная модификация (изменение) содержащейся в документе информации и т.д.[21]
Авторский аудиторский анализ, проведенный в ходе подготовки диссертации наглядно иллюстрирует эту проблему.
В ходе авторского исследования[22] были рассмотрены проблемы организации защиты сведений, составляющих коммерческую тайну в организациях различного уровня и форм собственности.
Исследование выявило ряд исключительно интересных фактов:
- 28 % организаций имеет выделенные Службы конфиденциального делопроизводства. В 80% случаев они сформированы в последние 5 лет. Остальные 72 % осуществляют конфиденциальное документационное обеспечение управления через ведущих специалистов подразделений;
- 91% респондента считают, что действия санкционированных пользователей (инсайдеров) являются самой большой угрозой для российских организаций;
- 100 % считает, что нарушение конфиденциальности информации – самая большая внутренняя информационная угроза;
- 78 % считаю электронную почту самым распространенным каналом утечки конфиденциальной информации;
- 87 % респондентов, считают, что руководители не осведомлены о наличии инцидентов в сети организации, связанных с утечкой данных;
- 67% считают технические средства эффективным средством защиты. Однако только 10% организаций используют их в полном объеме, в то время как 76% руководителей вообще не предпринимают никаких действий;
- 79% организаций планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года.
Анализ характеристик авторского исследования значительно отличается от данных ЛЕВАДА-ЦЕНТРа, опубликованных на сайте Infowatch. Причем это отличие идет в сторону негативного увеличения. Различие обуславливается тем фактом, что исследование в рамках данной диссертации проводилось как среди руководителей различного уровня, так среди персонала служб информационно-документационных отделов, непосредственно работающих с конфиденциальной информацией (инсайдеров) и среди сотрудников служб безопасности и служб информационной безопасности, осуществляющих защиту как информации, так и персонала, работающего с ней. Особое беспокойство вызвали данные о причинах несанкционированного доступа и последующего разглашения конфиденциальных сведений. Здесь на первом месте стоят следующие причины – недовольство сотрудников политикой управления в организации; материальная незаинтересованность в защите конфиденциальной информации и несоответствие правового наказания и выгоды, полученной за разглашение информации, содержащей конфиденциальные сведения.
Анализ данных, полученных из средств массовой информации, лишь подтверждает эту негативную ситуацию.
Кроме того, исследование показало, что большая часть руководителей (около 80 %) просто не знает, как подойти к решению задач по защите информации и прежде всего конфиденциальной.
Нарушения правил использования информации, уязвимости документированной конфиденциальной информации позволяет говорить, что в большинстве случаев проблему информационной безопасности нельзя решить каким-либо простым способом. Кроме того, реализация организационно-технических мер по ограничению доступа к конфиденциальной информации потенциально снижает эффективность основных бизнес-процессов организации. Это означает, что требуется система организационно-технических мероприятий, позволяющих перекрыть каналы утечки информации и минимизировать существующие риски без значительного снижения эффективности бизнес-процессов. Без такой системы защита интересов организации как собственника конфиденциальной информации нереализуема.
По мнению автора, существующие на сегодняшней день проблемы и особенности, связанные с работой с конфиденциальными документами в организациях позволяют говорить о том, что рассматривать информацию, в том числе конфиденциальную, в контексте деятельности персонала, работающего с неё – одно из необходимых условий информационной безопасности.
В Главе 2 «Социально-управленческие технологии защиты конфиденциальной документированной информации» раскрываются цели и задачи защиты конфиденциальной информации; дается характеристика законодательной базы регулирования отношений в сфере конфиденциальных ресурсов и рассматриваются технологии корпоративного регулирования защиты конфиденциальной документированной информации.
Для определения четких целей и задач сферы защиты информации автором предлагается определить сущность понятий «информационная безопасность» и «защита информации».
Методологической основой определения этих понятий должно быть отнесение его не к самой информации (хотя и информационная безопасность, и защита информации сопряжены с информацией), а к субъектам информационной среды - физическим и юридическим лицам, участвующим в информационном процессе. Из этого следует, что в практическом преломлении информационная безопасность не существует вообще, безотносительно к субъекту информационной среды, именно субъект диктует показатели такой безопасности. Это относится не только к конкретным субъектам, но и к личности, обществу и государству в целом. Следовательно, защита информации как практическое воплощение информационной безопасности должна включать в себя определенный набор методов, средств и мероприятий, направленных на такие компоненты как: объекты защиты, органы защиты и пользователи информации. [23]
При этом необходимо помнить, что защита не должна представлять собой нечто статичное, а являться непрерывным процессом, который не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Поэтому именно деятельность должна, прежде всего, стать способом реализации содержательной части защиты.
При таком подходе можно сформулировать следующее определение:
Информационная безопасность - состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.
Исходя из вышеизложенного, основными задачами защиты конфиденциальной информации в целях обеспечения эффективного использования информационных ресурсов и защиты интересов собственников и потребителей информации являются:
- создание нормативно-правовой базы, регламентирующей деятельность службы конфиденциального делопроизводства, а также других служб организации для защиты коммерческо-важной информации;
- четкая регламентация всех этапов и стадий работы с конфиденциальными документами;
- обучение и работа с персоналом организации;
- контроль, мониторинг и аудит деятельности сотрудников службы КДОУ;
- защита от отрицательных последствий информатизации;
- обеспечение ответственности нарушителей;
- соблюдение правовых норм при осуществлении информатизации;
Реализация поставленных задач возможна с развитием правовых отношений в государстве на всех уровня власти и управления, во всех организационных формированиях независимо от формы их собственности.
Значение правовой защиты в решении вопросов информационной безопасности определяется, прежде всего, трансформацией традиционных правовых отношений, отражающих специфику взаимоотношений субъектов, объектов управления и информации. Значимость документированной информации, как основополагающего механизма современного управления, выводит информацию на качественно новый уровень. Эти факторы обуславливают актуальность развития комплексной отрасли информационного права.
Формирование новой отрасли права было определено тем фактом, что со второй половины XX века вопросы обеспечения информационной безопасности России стали неотъемлемым элементом национальной безопасности, а защита информации превратилась в одну из приоритетных государственных задач. В сложившихся условиях, с учетом угроз информационной безопасности личности, общества и государства, основные тенденции правового регулирования в этой сфере определяются Концепцией национальной безопасности РФ.[24] Концепция сформулировала задачи и национальные интересы России в области защиты важной политической, экономической, научно-технической и военной информации, установлению баланса между потребностью в свободном обмене информацией и допустимыми ограничениями её распространения.
Наибольшей сложностью является то, что на сегодняшний день четкая система правового обеспечения данного ресурса управления находится в стадии формирования и представлена правовыми нормами различных отраслей права: конституционного, гражданского, уголовного, административного.
Автором отмечается, что в России на данный момент действует более 100 законодательных актов, так или иначе затрагивающих правовые отношения в области информационного обеспечения. А система права в области конфиденциального ДОУ и защиты конфиденциальной информации представлена более 30 законодательными актами, положения которых в некоторых вопросах порождают разночтения, что, в свою очередь, приводит к появлению ряда проблем и для руководства организацией и служб безопасности. Нормы многих правовых документов носят либо декларативный, либо отсылочный характер, и не устанавливают механизм защиты прав на информацию, составляющую коммерческую или служебную тайну.
Наиболее значимыми и эффективно действующими являются Федеральный Закон РФ «Об информации, информатизации и защиты информации» и Федеральный Закон РФ «О коммерческой тайне».
Принятие ФЗ РФ "Об информации, информатизации и защиты информации»[25]
стало реальным шагом в создании надлежащей правовой базы, обеспечивающей гарантию защиты прав предпринимателей на коммерческую тайну. В этом законе впервые официально введено понятие "конфиденциальной информации", установлены общие правовые требования к организации защиты такой информации и к организации контроля за осуществлением мероприятий по защите конфиденциальной информации.
Защита конфиденциальной документированной информации всесторонне регламентируется в разработанном на основании ст. 34 Конституции РФ и ст. 139 Гражданского Кодекса РФ Федеральном Законе РФ «О коммерческой тайне». [26]
Закон урегулировал отношения юридических и физических лиц, обладающих конфиденциальными сведениями, между собой, с органами государственной власти, органами местного самоуправления по поводу реализации права на коммерческую тайну и защиту сведений, её содержащих.
Кроме того, за последние годы издан ряд законодательных актов, регламентирующих вопросы защиты конфиденциальной информации в различных областях коммерческой деятельности. Вопросы документального оформления взаимоотношений субъектов права устанавливаются в законодательных актах, посвященных отдельным предметным областям, например, законах о нотариате, бухгалтерском учете, налогообложении и т.д., а также в законодательных кодексах.
Таким образом, коммерческая тайна определена как объект правоотношений между субъектами.
Автором отмечается, что в подавляющем большинстве стран отсутствуют специальные законы, регулирующие отношения, связанные с коммерческой тайной. В качестве исключения можно назвать США, где действует Единообразный Закон о Торговых Секретах[27], а также Великобританию, где действует Закон "о нарушении конфиденциальности"[28].
Исходя из факта, что российское законодательство регулирует лишь часть отношений, возникающих в сфере информационной безопасности и защиты конфиденциальных ресурсов, автор определяет необходимость разработки корпоративной системы нормативно-правовых документов, устанавливающей единый подход к организации работы персонала с конфиденциальной информацией и методам её защиты.
Корпоративное регулирование играет важную роль в условиях государственного ограничения монополистической деятельности в области информатизации управленческих процессов с одной стороны, и, расширение добросовестной конкуренции – с другой.
Понятие «корпоративное регулирование ДОУ» является относительно новым и отвечает социально-экономическим преобразованиям в нашей стране, с которыми совпали принципиально новые возможности информационных технологий. Корпоративное регулирование ДОУ созвучно другим понятиям, прочно вошедшим в современную практику менеджмента: корпоративное управление, корпоративные информационные системы, корпоративная культура.
Автором отмечается тот факт, что формирование практики корпоративного регулирования деятельности персонала служб КДОУ, вызвана потребностью управления в закреплении правил и норм работы персонала в рамках постоянно меняющегося и развивающегося законодательства. Это связано с тем, что в настоящее время, под влиянием многих одновременно действующих факторов внешнего и внутреннего порядка (в том числе роста квалификации работников, внедрения информационных технологий, проявление корпоративной культуры, индивидуальной культуры работников и др.), существует постоянная необходимость оптимизировать состав применяемых методов и приемов работы, устранять устаревшие и неэффективные.
В современных условиях для развития корпоративного регулирования ДОУ в нашей стране имеется солидная база – опыт ведомств и предприятий, накопленный в предшествующий период. [29]
Но, с переходом на рыночные отношения отмечаются новые аспекты в организации ДОУ, связанные с особенностью и самих организаций, и методов управления.
Исследование деятельности различных российских корпораций с области информационной безопасности (особенно это характерно для банковской сферы, где действует межбанковская Концепция информационной безопасности банков России) позволил автору определить насущную необходимость расширения границ управления и включения в область реализации на уровне внутрикорпоративного регулирования социально-управленческие технологии, содержащие рекомендации по всем аспектам деятельности персонала в области информационной безопасности. Автор приводит обзор внутрикорпоративных технологий, регламентирующих сферу конфиденциального ДОУ в ряде российских корпораций.
Тем не менее, приходится признать, что основная масса коммерческих организаций не имеют надлежащего корпоративного регулирования конфиденциального ДОУ. Организация конфиденциального делопроизводства ограничивается регламентацией доступа к документам.
Автор определяет цель современного корпоративного регулирования - создать четкую систему работы персонала в условиях сопряжения традиционных и новых процедур управления.
В главе 3 «Основные направления организации защиты конфиденциальной информации» обосновываются особенности организации конфиденциального документационного обеспечения управления как основного элемента системы информационной безопасности организации, рассматриваются этапы организации конфиденциального делопроизводства и вопросы кадрового обеспечения служб конфиденциального ДОУ как системы комплексной защиты конфиденциальных ресурсов организации.
В основе реализации комплексной системы защиты конфиденциальной информации в организациях различной формы собственности лежит правильно организованная служба конфиденциального документационного обеспечения управления.
Автором предлагается методика построения служб конфиденциального делопроизводства с учетом масштабов деятельности организации и формы её собственности, включающая:
- методику организации служб КДОУ;
- поэтапный комплекс организации работы с документами, содержащими коммерческую тайну;
- методику организации корпоративной кадровой политики.
Особенностью конфиденциального документационного обеспечения управления является то, что с одной стороны эта деятельность требует строгой секретности, четкой регламентации всех процессов, включая процессы взаимоотношений с другими структурами и службами организации. С другой стороны, следует учитывать, что в современной системе управления, мобильной по своей сути, происходят существенные изменения, вызванные процессом информатизации, интеграцией России в мировое информационное пространство, насыщением управленческого аппарата новыми коммуникационными средствами. Это, в свою очередь, выдвигает необходимость достижения большей гибкости и сферы управления. Регламентация процессов конфиденциального документационного обеспечения управления должно быть связано не только с использованием методов организационного нормирования и регламентации, но и компонентов корпоративной культуры и фирменного стиля. Нормы и правила корпоративного регулирования призваны через установленную схему взаимодействия и координацию деятельности персонала обеспечить стабильность и эффективность функционирования организационно-социальной системы в большей мере, чем формальное распределение функций между подразделениями и сотрудниками.
По мнению автора, названные черты должны определить организацию и технологии управления в области информационной безопасности, обеспечить высокий уровень защиты информации в целом, и информации ограниченного доступа в частности. Новые подходы предъявляют новые требования не только к специалистам по конфиденциальному документационному обеспечению управления, но и ко всей организации.
Одним из главных направлений в создании и эффективной деятельности организации и защите сведений, составляющих её коммерческую тайну, является правильный подбор сотрудников службы конфиденциального делопроизводства и всесторонний контроль их деятельности. Решение этих вопросов формируют кадровую политику организации в сфере конфиденциального делопроизводства.
Обеспечивая кадровую политику в сфере конфиденциального делопроизводства необходимо учитывать человеческих фактор, основным постулатом которого должен стать девиз: «охраняют конфиденциальную тайну люди, похищают - тоже люди». Поэтому, в числе первоочередных задач в области кадрового обеспечения является правильный набор персонала, мониторинг (контроль) их деятельности и комплекс мер, предупреждающих утечку информации.
Реализация кадровой политики в области защиты коммерческой тайны становится эффективной и функциональной только при наличии правильно подобранного и подготовленного кадрового состава. Проблема подбора кадрового состава должна лежать в основе комплексного подхода к организации защиты конфиденциального документооборота. При подборе кадров в службу конфиденциального ДОУ необходимо делать упор на два фактора: профессионализм кандидата и, что не маловажно, характеристику его предыдущей деятельности, включая взаимоотношения кандидата в коллективе. Кроме того, необходимо учитывать, что сегодня обеспечение безопасности - это не только опыт работы по сбору, хранение и использованию документной информации, но и знание экономики, аудита, современных информационных технологий. Т.е взаимосвязь профессионализма и психологической способности к самосовершенствованию – необходимые условия для претендента на работу в конфиденциальном делопроизводстве.
Анализ статистических материалов[30] показывает, что кадровое обеспечение служб конфиденциального делопроизводства на настоящий момент в большинстве организаций оставляет желать лучшего. Персонал подбирается без учета специфики этой отрасли документационного обеспечения управления. Предприниматели часто руководствуются принципами, не отвечающими требованиям делопроизводства. Или сотрудники набираются из числа проверенных, например, из числа бывших работников «органов», которые владеют методиками оперативной работы, но не владеют технологиями работы с документами. Еще один существенный «перекос» кадровой политики – службы конфиденциального делопроизводства комплектуются специалистами профилирующих отраслей деятельности организации. «Эффект» их деятельности также имеет негативные последствия.
Функционирование службы КДОУ невозможно без железной дисциплины. Хорошее знание законодательства и повышенное чувство ответственности за последствия принятого решения и совершенных действий должны являться одним из основных компонентов успешной карьеры специалиста в области обеспечения конфиденциальной безопасности. На сегодняшний день сотрудник должен уже на подсознательном уровне осознавать, что его служебная деятельность строго регламентируется действующим российским законодательством, за рамки которого он не имеет права выходить.
Существенным моментом в реализации кадровой политики службы конфиденциального делопроизводства является проблема несоответствия карательных мер за разглашение конфиденциальной коммерческой информации ущербу, который, наносится её разглашением. Это является одной из побудительных причин «предательства» среди недовольных (кем - то или чем - то) сотрудников частных коммерческих структур. Поэтому, немаловажным фактом реализации кадровой политики в сфере конфиденциального документационного обеспечения управления играет формирование корпоративного духа у сотрудников. Процесс воспитания лояльности у коллектива фирмы - долгий путь и трудный путь. [31]
В последнее время воспитательная функция, особенно по отношению к молодому пополнению, возложенная на руководство помимо всех его служебных обязанностей, стала приоритетной в процессе управления организацией и эффект от этой деятельности приносит свои плоды.
В настоящее время не только менеджеры по работе с персоналом, но и специалисты по обеспечению безопасности бизнеса и информации приходят к выводу о возможности принять на вооружение действительно ценные аспекты человеческих взаимоотношений: убежденность в своем деле, честность, человечность отношений, неприятие национальной и религиозной розни, осуждение воровства и т.д., в чем сейчас действительно нуждается человек, работающий в негосударственных структурах.
Автором также отмечается, что работа структур безопасности, в том числе по отношению к секретному делопроизводству, снизу доверху строится с одной стороны на доверии к персоналу, а с другой стороны – на строгом контроле за его действиями. Методы мониторинга деятельности персонала служб конфиденциального ДОУ не только решают проблемы всестороннего контроля за поведением сотрудников, но и помогают вырабатывать предупреждающие меры по предотвращению несанкционированного доступа к конфиденциальной информации.
Автором делается логический вывод, что воспитательные методы должны подкрепляться контролем эффективности деятельности каждого сотрудника и жесткой профилактической работой по обеспечению собственной безопасности служб КД.
И, наконец, одним из немаловажных факторов функционирования служб конфиденциального делопроизводства является текучка кадров в подразделениях безопасности. Анализ данных аудита деятельности служб КДОУ показывает, что при увольнении происходит самый большой процент утечки конфиденциальных сведений – 32%. Текучка кадров - явление опасное не только с точки зрения оголения рабочих участков и как следствия возможной утечки информации, это еще и приличные финансовые и временные затраты на подготовку надежной замены.
Сегодня работник умственного труда, а сотрудник служб конфиденциального делопроизводства относится именно к этой категории, продает владельцам предприятия не столько свою способность к труду, сколько конкретные результаты своей интеллектуальной деятельности. Данное обстоятельство отражает повсеместно возрастающую зависимость современной организации от его персонала (естественно не только сотрудников подразделений безопасности). Сегодня многие компании уже не могут с легкостью заменить одного работника другим, так как именно интеллектуальные способности составляющих их личностей служат залогом выживания и успеха на рынке.
Так что, если руководитель-бизнесмен взял на себя обязанность создать свой коллектив, то это должен быть коллектив единомышленников и в деле, и в идее, и в обеспечении безопасности. Ведь ценные человеческие качества дополняют прогрессивные идеи ведения бизнеса. Т.е. вопросы кадровой политики в области защиты конфиденциальной информации - это приоритетные задачи руководства организации. Сочетание российских традиций с иностранным опытом (не копирование последнего) - залог успеха любого коммерческого предприятия.
Также в данной главе исследования автором дан анализ мероприятий по организации деятельности персонала службы конфиденциального делопроизводства, обеспечивающих фирме (организации) защиту конфиденциальной информации.
В Заключении обобщены основные выводы и рекомендации, вытекающие из логики и результатов диссертационного исследования.
Приложения включают нормативные документы, разработанные автором по исследуемым проблемам.
ПУБЛИКАЦИИ
По теме диссертации опубликованы следующие работы:
- Ефимочкина Н.Б. Проекты регламентации труда персонала: социальные аспекты // Труд и социальные отношения. Спецвыпуск «Соискатель». 2007. № 1. 0,2 п.л.
- Ефимочкина Н.Б. Социальный контроль как метод предотвращения разглашения конфиденциальных сведений// В сб. науч. Ст.: Совершенствование управления социально-экономическими процессами в условиях рыночной трансформации России. – М.: Издательский дом «Экономический журнал», 2006. 0.4 п.л.
- Ефимочкина Н.Б. Социальные аспекты системы регламентации труда персонала в службах конфиденциального документационного обеспечения управления // В сб. науч. Ст.: Совершенствование управления социально-экономическими процессами в условиях рыночной трансформации России. – М.: Издательский дом «Экономический журнал», 2006. 0.4 п.л.
- Ефимочкина Н.Б. Документированная информация как способ социально-управленческой коммуникации. // Российский экономический журнал. 2006. № 9-10. 0,3 п.л.
Автореферат
диссертации на соискание ученой степени
кандидата социологических наук
Ефимочкина Наталья Борисовна
Тема диссертационного исследования
«Социально-управленческие технологии обеспечения информационной безопасности организации»
Научный руководитель:
кандидат социологических наук Денисов Геннадий Михайлович
Изготовитель оригинал-макета
Ефимочкина Наталья Борисовна
Подписано в печать 01.2007 г. Тираж 100 экз.
Усл.п.л.- 1,1
Академия труда и социальных отношений
Отпечатано – участок оперативной печати ИЭ РАН
Заказ №
117218, Москва, Нахимовский пр-т, д.32
[1] Данные исследовательского проекта «Информационно-технические угрозы в России», опубликованные на сайте www.itstsec.ru от 22.11.2005.
[2] Белл Д. Грядущее постиндустриальное общество. М., 1999.
[3] Маслоу А.Г. Мотивация и личность. Спб.: Евразия, 1999.
[4] Никитов В.А. и др. Информационное обечспечение государственного управления. М.: Славянский диалог, 2000.
[5] Хайвз Кр. Управление документацией, информацией и архивами на фирмах// СИФ ОЦНТИ ВНИИДАД, № 889 «п».
[6] Menne-Haritz A. Dokumentenverwaltungsysteme und offentliche Verwaltung: Wo ist der Sand im Oetriebe? // Deutschcr Dokumentartag 1994. Proceedings, DGD, 1994, c. 11-38
[7] Ларин М.В. Информационный менеджмент и управление документацией / Документ в административных структурах: Тез. докл. и выступлений на междунар. Конф. 27-28 окт. 1994 г.// ВНИИДАД. М., 1995. С. 21-33.
[8] Волков Е.А. Информатизация управления. М., 1990.
[9] Ларин MB. Управление документацией и новые информационные технологии. — М.: Научная книга, 1998.
[10] Обеспечение информационной безопасности бизнеса /Курило А.П. и др. М.: БЦД-пресс, 2005.
[11] Бачило И.Л. Современные правовые проблемы документирования информации/ документация в информационном обществе: электронное делопроизводство и электронный архив// ВНИИДАД. М., 2000.
[12] Костомаров М.Н. коммуникации как среда реализации функции информационного менеджмента/ «Секретарское дело», 1998, № 4. С. 58-61.
[13] Вехов В.Б. Компьютерные преступления. М., 1990.
[14] Гаврюшин Е. Человеческий фактор в обеспечении безопасности конфиденциальной информации/ «В мире права», 2002, № 2.
[15] Малюк А.А. Проблемы кадрового обеспечения информационной безопасности / «Безопасность информационных технологий», 1982, № 2.
[16] Например, Концепция информационной безопасности банков России.
[17] Результаты исследовательского проекта «информационные угрозы в России»/ www.itstsec.ru от 22.11.2005.
Результаты опроса участников семинара «Современные технологии управления», осуществленные издательским домом «Коммерсант» совместно с Harvard Business School /»Коммерсант», 2005, № 3.
[18] Федеральный Закон «Об информации, информатизации и защите информации» № 24-ФЗ от 20 февраля 1995 г. (в ред. от 10 января 2003 г.) // СЗ РФ. 1995 № 8. Ст. 609; СЗ РФ. 2003. № 2. Ст. 167.
[19] См.: Менеджмент информационных ресурсов как инструмент конвергенции социальных технологий: Материалы конференции/ «Проблемы теории и практики управления». 1994. № 5. С. 91-97.
[20] Федеральный Закон «Об информации, информатизации и защите информации» № 24-ФЗ от 20 февраля 1995 г. (в ред. от 10 января 2003 г.). Ст.10.
[21] Обеспечение информационной безопасности бизнеса/ Курило А.П. и др. – М: БЦД-пресс, 2005. С. 41-53.
[22] Названия организаций, сотрудники которых являлись участниками опроса автором не называются, т.к. рассматриваемая проблема попадает под определение «коммерческая тайна».
[23] Грушко А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.:, Яхтсмен, 1996.
[24] Концепция национальной безопасности РФ (утв. Указом Президента РФ от 17.12. 97 № 1300 (в ред. От 10.01. 2000)
[25] Федеральный Закон «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.1995 (в ред. от 10.01.2003).// СЗ РФ. 2003. № 2.
[26] Федеральный Закон «О коммерческой тайне» N 98-ФЗ от 24.07.2004 //СЗ РФ. 200. № 32.
[27] The Uniform Trade Secrets Act.1979/ 1985.
[28] Bill on Breach of Confidence. 1981.
[29] Наиболее продуктивной является система, действующая в Федеральной службе безопасности Российской Федерации. Но, данная организация, являясь закрытым учреждением с повышенным уровнем защиты, не афиширует методы и средства, применяемые в рамках её деятельности.
[30] Данные авторского исследования, приведены в первой главе диссертации.
[31] Интересны сведения относительно оценки различных факторов, влияющих на лояльность персонала, полученные в результате опроса участников семинара "Современные технологии управления", который организовали ИД "Коммерсанть" совместно с Harvard Business School и Высшей школой экономики: Что влияет на лояльность сотрудников? Ответы распределились следующим образом: заработная плата, интересная работа, карьерные перспективы, перспективы профессионального роста, репутация компании.