Контроль защиты информации

С целью взаимопонимания между руководством фирмы и работником всех рангов, а также службе безопасности для защиты конфиденциальной информации следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основные формы контроля:

• · аттестация работников;
• · отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
• · регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;
• · самоконтроль.

При работе с персоналом фирмы необходимо уделять внимание не только сотрудникам, работающим с конфиденциальной информацией. Под контролем должны находиться и лица, не имеющие доступа к секретам фирмы. Также необходимо учитывать, что эти работники могут быть посредниками в действиях злоумышленника.

Кроме того, нужно всегда помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Необходимо сделать так, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним обязательно должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Очень важно, чтобы наказание было обязательным и своевременным, не взирая на должнос тной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно с виновным лицом ответственность за разглашение сведений, являющихся секретами фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

По фактам разглашения или утечки конфиденциальной информации, а также другим грубым нарушениям правил защиты информации организуется служебное расследование.

Данное расследование проводит специальная комиссия, которая формируется приказом первого руководителя фирмы. Расследование необходимо для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба.

План проведения служебного расследования:

• · определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разгла шение и т. д.);
• · определение конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);
• · назначение ответственных лиц за проведение каждого мероприятия;
• · указание сроков проведения мероприятия;
• · определение порядка документирования;
• · обобщение и анализ выполненных действий по всем мероприятиям;
• · установление причин утраты информации, виновных лиц, вида и объема ущерба;
• · передача материалов служебного расследования с заключительными вывода ми первому руководителю фирмы для принятия решения.

При проведении служебного расследования все мероприятия в обязательном порядке документируются с целью последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

• · письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;
• · акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;
• · другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводится в очень краткие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в нем очень подробно описы вается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего. 16].