3.1. Разрешительная система доступа к конфиденциальным документам
Организация конфиденциального документооборота должна строиться на основе следующих принципов:
Разрешительной системы доступа к конфиденциальным документам;
Обеспечения пользователей всеми необходимыми им в силу служебных обязанностей конфиденциальными документами, но только теми, которые действительно необходимы для выполнения конкретных видов работы;
Исключения несанкционированного доступа к конфиденциальным документам;
Целенаправленного регулирования процессов движения конфиденциальных документов;
Исключения инстанций прохождения конфиденциальных документов и действий с ними, не обусловленных характером и порядком исполнения документов;
Фиксированной передачи конфиденциальных документов;
Персональной и обязательной ответственности за выдачу неправомерных разрешений на ознакомление с конфиденциальными документами и нарушение правил обращения с ними.
В организации должна быть разрешительная система.
Разрешительная система доступа к конфиденциальным документам представляет собой совокупность установленных руководством предприятия нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальных документов. Системой должно быть определено, кто из руководителей предприятия и структурных подразделений, кому из пользователей и с какими категориями конфиденциальных документов может давать разрешение на ознакомление, а также порядок оформления таких разрешений в зависимости от вида учета или категорий документов. При этом право давать разрешение на ознакомление и право работать с конфиденциальными документами может быть предоставлено только лицам, имеющим допуск к конфиденциальной информации в целом, оформленный приказом руководителя предприятия или контрактом, а в отдельных случаях, по усмотрению руководителя предприятия, и через органы Федеральной службы безопасности. При установлении разрешительной системы доступа к конфиденциальным документам необходимо учитывать следующие требования:
Соответствующий руководитель может давать разрешение на ознакомление с конфиденциальными документами, входящими в сферу его деятельности, только подчиненным лицам и только по служебной необходимости;
Разрешение на ознакомление оформляется письменно;
При необходимости ознакомления пользователя только с частью конфиденциального документа в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя;
Исполнители конфиденциальных документов, лица, визирующие, согласовывающие, подписывающие, утверждающие документ, а также лица, указанные в тексте распорядительных документов, могут допускаться к ознакомлению с соответствующими документами без оформления дополнительных разрешений.
Разрешительная система должна предусматривать и порядок доступа к конфиденциальным документам лиц, не работающих на данном предприятии (при выполнении совместных работ и др.).
Разрешительная система доступа к конфиденциальным документам является составной частью системы доступа к конфиденциальной информации в целом, включающей в себя порядок доступа и к другим носителям конфиденциальной информации, и должна находить свое отражение в общем Положении о разрешительной системе доступа к конфиденциальной информации. Положение разрабатывается комиссией, в состав которой включаются руководители и ведущие специалисты подразделений, работающих с конфиденциальной информацией, служб безопасности и конфиденциального делопроизводства.
Положение может включать в себя следующие разделы:
1. Общие положения.
2. Круг лиц, имеющих право давать разрешение на доступ к конфиденциальной информации.
3. Порядок оформления разрешений на доступ к конфиденциальной информации.
В первом разделе указываются: цель разработки положения; основные задачи и принципы системы доступа; нормативные документы, на которых она базируется; на кого возлагается ответственность за невыполнение требований положения; кем осуществляется контроль за соблюдением норм положения. При этом следует отразить, что ответственность за невыполнение требований положения несут все должностные лица, имеющие право давать разрешение на доступ к конфиденциальной информации, а также все пользователи конфиденциальной информации. Контроль за выполнением норм положения должен возлагаться на руководителей служб безопасности, конфиденциального делопроизводства и управленческопроизводственных подразделений в пределах их компетенции.
Во втором разделе должны быть перечислены все должностные лица, которые могут давать разрешение на доступ к конфиденциальной информации, с указанием, какой категории пользователей, к какому составу информации и ее носителей. Основополагающими подходами при этом должны быть следующие:
Руководитель предприятия имеет право давать разрешение на доступ к соответствующей конфиденциальной информации всем категориям пользователей;
Заместители руководителя по отдельным направлениям имеют право давать разрешение на доступ к соответствующей конфиденциальной информации всем пользователям, но в пределах своей сферы деятельности;
Руководителям подразделений дается право разрешать доступ к конфиденциальной информации всем работникам своих подразделений по тематике работы подразделений; для осуществления доступа к конфиденциальной информации данного подразделения работников других подразделений необходимо разрешение соответствующего заместителя руководителя предприятия;
Первые заместители руководителей, а также должностные лица, временно исполняющие ту или иную должность, могут, как правило, разрешать доступ к конфиденциальной информации в объеме всех прав, предусмотренных для замещаемого ими лица.
В третьем разделе определяется порядок оформления разрешений на доступ к различным носителям конфиденциальной информации и выдачи их пользователям. Разрешение на ознакомление с конфиденциальными документами должно оформляться: по поступившим и изданным документам в форме резолюции на документе, по документам, зарегистрированным по учету документов выделенного хранения, в форме резолюции на документе или подписанного соответствующими руководителем списка пользователей на обложке документа либо в карточке учета выдачи документа.
Положение подписывается членами комиссии, визируется всеми лицами, имеющими право давать разрешение на доступ к конфиденциальной информации, и вводится в действие приказом руководителя предприятия. В приказе определяются и мероприятия по введению положения в действие (порядок изучения положения пользователями, технология осуществления контроля за его выполнением и др.). После утверждения с положением должны быть ознакомлены под расписку все сотрудники предприятия, работающие с конфиденциальной информацией.
3.2. Документооборот конфиденциальных документов
Организация работы с документами это есть документооборот, то есть этапы движения документов в организации. Под конфиденциальным документооборотом понимается движение конфиденциальных документов после их учета до завершения исполнения или отправления.
Таким образом, конфиденциальный документооборот включает в себя организацию работы с конфиденциальными документами в процессе их рассмотрения, исполнения, использования и подготовки к отправке.
В соответствии с утвержденным «Положением о разрешительной системе доступа к конфиденциальной информации» обеспечивается рассмотрение конфиденциальных документов и передача их для исполнения.
Документы, подлежащие рассмотрению руководством предприятия, передаются ему под подпись в журнале передачи конфиденциальных документов руководству, если они не рассматриваются в присутствии работника службы конфиденциального делопроизводства, ответственного за их учет. Журнал имеет следующие графы:
Номер документа Количество листов Подпись за получение и дата Подпись за возврат и дата
За одновременное получение и возврат нескольких документов может проставляться одна подпись на все документы.
После возвращения от руководства документы в соответствии с резолюцией передаются на исполнение.
При получении документов исполнители должны проверить соответствие учетных номеров и количества листов (с просчетом) каждого документа записям в учетных формах.
В процессе исполнения конфиденциальных документов в целях предотвращения их утраты и утечки содержащейся в них информации исполнители должны:
Иметь на столе в служебной комнате только те документы, с которыми осуществляется работа, все остальные хранить в запираемом металлическом шкафу (сейфе);
Держать документы в положении, исключающем возможность ознакомления с ними лиц, не имеющих к ним санкционированного доступа;
При выходе в течение рабочего дня из служебной комнаты убирать документы в металлический шкаф; при выходе из комнаты всех исполнителей она должна запираться;
При необходимости передачи документа другим допущенным к нему лицам передачу осуществлять через службу конфиденциального делопроизводства или (при возврате в течение рабочего дня) по разовой расписке;
В конце рабочего дня передавать все документы в службу конфиденциального делопроизводства; хранение документов в нерабочее время в металлических шкафах служебных комнат допускается по разрешению руководителя предприятия и службы безопасности при условии подключения шкафов к охранной сигнализации;
Об утрате документа или отдельных листов из него немедленно сообщать в службу конфиденциального делопроизводства и своему непосредственному руководителю.
По документам, находящимся на исполнении, служба конфиденциального делопроизводства должна:
Контролировать наличие, порядок хранения документов и обращения с ними на рабочих местах исполнителей, о всех нарушениях докладывать руководителю предприятия и службе безопасности;
Контролировать сроки исполнения документов, поставленных на контроль при нарушении сроков докладывать соответствующему руководителю.
Исполненный документ вместе с документом - ответом (на наличии) сдается исполнителем в службу конфиденциального делопроизводства. Работник службы должен проверить наличие и правильность отметки об исполнении документа, просчитать количество листов документа и проверить соответствие их учетным данным, расписаться за получение документа в соответствующих графах учетных журналов (карточек).
Если конфиденциальный документ не требует исполнения, а адресован лишь для ознакомления, то он может не выдаваться на рабочее место исполнителя, а ознакомление с ним производится в службе конфиденциального делопроизводства (комнате для исполнителей). При этом если ознакомление производится в присутствии работника службы конфиденциального делопроизводства, ответственного за учет документа, подпись в учетной форме о получении документа может не проставляться. Подписи об ознакомлении с документами с проставлением даты производятся на самих документах, а об ознакомлении с распорядительными документами могут проставляться на специальном листе ознакомления.
Отправление конфиденциальных документов на другие предприятия производится в законвертованном виде. Конверты (пакеты) должны быть светонепроницаемыми. Если они светопроницаемы, то вложения обертываются светонепроницаемой бумагой. Направляемые одному адресату документы помещаются в один пакет. В правом верхнем углу пакета проставляются: гриф конфиденциальности, соответствующий грифу конфиденциальности документов, подлежащих вложению в пакет, ниже, при необходимости, пометка "Лично". На пакете пишутся адрес и наименование предприятия получателя, под которым перечисляются учетные номера документов, которые будут вложены в пакет (если документ отправляется с сопроводительным письмом, на пакете проставляется только номер сопроводительного письма без указания номеров приложений). При направлении документов в двух и более экземплярах на пакете рядом с номером документа в скобках указываются номера экземпляров. Ниже проставляются адрес и наименование предприятия отправителя. Для постоянных корреспондентов при большом объеме переписки целесообразно иметь пакеты с заранее воспроизведенными на них типографском способом адресами и наименованиями предприятий получателей и отправителя. При необходимости на пакете в центре верхнего поля может проставляться пометка «Срочно».
Перед помещением конфиденциальных документов в подготовленные пакеты проверяется соответствие данных на документах и пакетах, просчитывается количество листов и соответствие их учетным данным.
При наличии сопроводительного письма проверяется, кроме того, соответствие названия, учетного номера, грифа конфиденциальности, номера экземпляра, количества листов приложения (с просчетом) записям в сопроводительном письме. Со стороны клапана в пакет помещается прокладка.
Пакет заклеивается силикатным клеем и прошивается крестнакрест через середину нитками или металлическими скрепками с захватом всех клапанов, либо, если вложения нельзя прокалывать, через четыре края с тугим охватом краев вложений. Нитки завязываются в центре оборотной стороны пакета, на узел прошивки накладывается бумажная наклейка из папиросной или другой тонкой, но не расслаивающейся бумаги с оттиском каучуковой печати предприятия. Наклейка должна быть на 4 мм больше размера оттиска печати. Наклейка накладывается так, чтобы захватывала все клапаны пакета в середине, концы ниток не находились под наклейкой, а узел прошивки был ею закрыт. При прошивке металлическими скрепками бумажная наклейка накладывается на загнутые концы скрепок. Наклейка сверху покрывается тонким слоем силикатного клея, чтобы образовалась прозрачная стекловидная пленка. Размер пленки должен быть на 2 мм больше бумажной наклейки.
Пакеты с конфиденциальными документами могут доставляться через спец. связь или почтовое отделение связи Министерства связи, либо, минуя их, непосредственно адресату. Возможно отправление пакетов и фельдъегерской связью. Пересылка пакетов фельдъегерской и специальной связью осуществляется на договорной основе.
Через почтовое отделение связи пакеты пересылаются ценными или заказными отправлениями в соответствии с почтовыми правилами. При этом виде отправления гриф конфиденциальности может проставляться на пакете не в правом верхнем углу, а рядом с номером документа аббревиатурой: ДСП (для документов, содержащих служебную тайну) или КТ (для документов, содержащих коммерческую тайну). Часть реквизитов на пакет допускается наносить маркировальной машиной. При пересылке корреспонденции фельдъегерской или специальной связью составляется в необходимом количестве экземпляров реестр. Передача пакетов осуществляется в соответствии с правилами этих служб связи. Доставка конфиденциальных пакетов на другие предприятия, минуя органы связи, может осуществляться с разрешения руководителя предприятия работником службы конфиденциального делопроизводства либо другим работником предприятия, допущенным к конфиденциальной информации, на служебном транспорте. Пакеты передаются по реестру или расписке.
Об отправленных документах производятся соответствующие отметки в учетных формах: в журнале (карточке) учета изданных конфиденциальных документов. При этом, если документ отправлен без сопроводительного письма, в графе «Наименование, номер и дата сопроводительного документа» пишется «реестр», «расписка», «квитанция», если с сопроводительным письмом «сопроводительное письмо» с проставлением номеров и дат этих документов.
Все документы, содержащие конфиденциальные сведения, подлежат учету и специальному обозначению. На документе проставляют гриф ограничения доступа в правом верхнем углу первого листа с указанием номера экземпляра.
Такие грифы показывают, что право собственности на информацию, содержащуюся в документе, принадлежит предприятию и охраняется законодательно.
В тексте документа также может быть оговорена конфиденциальность сведений, права предприятия на них, порядок их использования и т. п. Например, если коммерческая тайна является результатом совместной деятельности с другим предприятием, то необходимость ее сохранения должна быть отражена в контракте. В случае отсутствия грифа «КТ» и указаний на конфиденциальность в тексте предполагается, что автор и лица, подписавшие или утвердившие документ, предусмотрели все возможные последствия от свободной (без ограничения доступа) работы с документом.
На документе с грифом «КТ» указывается количество экземпляров документа и место нахождения каждого из них (ниже реквизитов «подпись» и «отметка об исполнителе»), например:
Составлен в двух экз.
экз. № 1 в адрес;
экз. № 2 в дело № 1-7.
Отметка о количестве составленных экземпляров проставляется на экземпляре, который подшивается в дело.
На обороте листа документа, имеющего гриф, руководитель пишет фамилии тех должностных лиц, которым разрешено пользоваться этим документом, например.
Информационная безопасность. Курс лекций Артемов А. В.
Работа персонала с конфиденциальным документом – комплекс требований по соблюдению руководителями всех рангов и сотрудниками фирмы специальных ограничительных и технологических норм, предупреждающих утрату документа, носителя, дела или утрату конфиденциальности информации и в определенной степени гарантирующих информационную безопасность фирмы. Требования предусматривают: наличие у сотрудника оборудованного необходимым образом рабочего места, строгое соблюдение им разрешительной системы доступа к конфиденциальным документам, носителям и делам, учет во внутренней описи всех конфиденциальных материалов, находящихся у руководителя или исполнителя, правильное хранение документов на рабочем месте, своевременную, ежедневную сдачу документов в службу конфиденциальной документации, строгое исполнение запретительных пунктов соответствующей инструкции, немедленное информирование руководства фирмы об утрате документа или разглашении информации. На рабочем столе любого сотрудника фирмы всегда должен быть только тот документ и материалы к нему, с которыми он работает. Другие документы должны находиться в запертом сейфе (металлическом шкафу).
Работа с персоналом, обладающим конфиденциальной информацией – комплекс мер предупредительного, профилактического, текущего характера, предназначенных для приобретения персоналом устойчивых знаний и навыков выполнения действующих правил защиты информации, а также для контроля за соблюдение персоналом требований обеспечения информационной безопасности фирмы. Включает в себя: обучение и систематическое инструктирование сотрудников, проведение регулярной индивидуальной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами, постоянный контроль за работой этих сотрудников, аналитическую работу по изучению и учету степени осведомленности персонала в области конфиденциальных работ фирмы, проведение служебных расследований по фактам утраты конфиденциальных документов, нарушения персоналом требований по защите информации, совершенствование методики текущей работы с персоналом.
Работа службы конфиденциальной документации с исполнителями – ежедневная выдача и прием от исполнителя конфиденциального документа (комплекта документов или опечатанного кейса с документами), контроль за работой исполнителя с конфиденциальными документами. При выдаче документа проверяется в присутствии исполнителя: наличие разрешения на доступ данного сотрудника к конкретному документу (в резолюции, схеме доступа и др.), комплектность документа и физическая сохранность всех его частей. После проверки исполнитель расписывается в учетной карточке или карточке учета выдачи документа и вносит сведения о документе во внутреннюю опись документов, находящихся у исполнителя. Работник, службы конфиденциальной документации вносит отметку в контрольный журнал о местонахождении документа (см. Учет местонахождения документа). При приеме документа от исполнителя проверяется: соответствие реквизитов документа данным, указанным в его учетной форме, комплектность документа, количество листов (перелистыванием), отсутствие подмены или порчи листов и других частей документа. Роспись сотрудника службы конфиденциальной документации в приеме документа ставится только после проведения указанной проверки.
Проставляется роспись в учетной форме или карточке учета выдачи документа. Сотрудник делает также отметку о возврате документа во внутренней описи документов, находящихся у исполнителя. Одновременно в контрольный журнал вносится запись о новом местонахождении документа. Электронные документы передаются исполнителю в копии после получения от него росписи в бумажном экземпляре электронной учетной карточки документа или электронной подписи непосредственно в самой электронной учетной карточке, находящейся в компьютере службы конфиденциальной документации. При выдаче и приеме документа должна быть исключена возможность ознакомления с документом или его учетной формой посторонних лиц. Контроль правильности работы исполнителя с конфиденциальными документами на рабочем месте проверяется службой конфиденциальной документации не реже одного раза в квартал.
Разведка в бизнесе – аналитическая работа с использованием методов легального получения конфиденциальной информации, изучения устремлений и направленности интересов конкурентов и партнеров фирмы в рамках добросовестной конкуренции.
Разглашение конфиденциальной информации – несанкционированный выход конфиденциальных сведений и документов за пределы круга лиц, которым они были доверены или стали известны по службе. Разглашение (огласка, оглашение) информации происходит по вине персонала – случайно, ошибочно или умышленно, добровольно (инициативно) или под воздействием угроз, шантажа, применения наркотических средств, психотропных препаратов. Информацию разглашает всегда человек – устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников, с использованием средств связи и многими другими способами.
Раздробление тайны – классифицированное (иерархическое) дробление предметной совокупности конфиденциальной информации на тематические группы, отдельные элементы, части, известные разным сотрудникам фирмы. Разглашение остальной части сведений в этом случае не имеет большого практического смысла.
Разрешительная (разграничительная) система доступа к информации - совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и конфиденциальных сведений. Составная часть системы защиты информации. Система решает следующие задачи: ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с конфиденциальными документами, строгого избирательного и обоснованного распределения документов и информации между сотрудниками; обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных); беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (рабочую зону), к выделенному ему офисному рабочему оборудованию и компьютеру; исключения возможности несанкционированного ознакомления посторонних лиц с конфиденциальной информацией; рационального размещения рабочих мест сотрудников, исключающего бесконтрольное использование ими защищаемой информации. Система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям.
Расследование служебное – установление причин и лиц, виновных в разглашении или утечке информации, утрате документа, носителя или конфиденциальности информации, утраты продукции, содержащей ценные новшества, и других грубых нарушениях правил защиты информации. Проводится сотрудниками службы безопасности фирмы и предназначено для выяснения всех обстоятельств и их последствий, связанных с конкретным фактом. В ходе расследования устанавливаются причины случившегося и виновные лица. По результатам расследования делаются выводы о мере ответственности виновных лиц, даются рекомендации по устранению причин случившегося и исключению подобных фактов в будущем. При необходимости к расследованию привлекаются частные детективные агентства.
Режим – совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ и пребывание на определенной территории, в здании, помещениях, регулирующих порядок ознакомления с защищаемой информацией и документами, предпринимаемых в целях информационной безопасности фирмы. Базируется на разрешительной системе доступа.
Режим конфиденциальности – комплекс мер, входящих в состав действующей в фирме системы защиты информации и обеспечивающих особый правовой статус организации работы сотрудников фирмы. Осуществляется и контролируется службой безопасности фирмы. Включает в себя: разрешительную систему доступа, пропускной режим, особые правила приема на работу сотрудников и текущей работы с персоналом, учет осведомленности каждого сотрудника в тайне фирмы, контроль соблюдения сотрудниками инструкций по защите информации, выполнение охранных мероприятий, в том числе в рабочее время, функционирование специальных технологических систем обработки и хранения конфиденциальных документов и электронной информации, ведение аналитической работы.
Режим пропускной – ограничение на право входа на территорию, в здание или помещения фирмы и регламентация порядка выхода из них. Распространяется на въезд и выезд транспортных средств. Предусматривает также ограничение на право вносить (выносить) или ввозить (вывозить) определяемые руководством фирмы предметы, оборудование и т. п. без специального разрешения полномочных должностных лиц. Ограничивается право сотрудников вносить на территорию фирмы личные вещи, которые могут стать каналом утраты конфиденциальной информации (фотоаппараты, видео– и аудиотехнику, средства связи, дискеты, объемные сумки, кейсы и др.). Пропускной режим реализуется системой пропусков – постоянных, временных, разовых, материальных, транспортных, которые предъявляются на контрольно-пропускном пункте. Наличие пропуска дает право находиться в здании и определенных помещениях фирмы, получать необходимые для работы документы, дела, дискеты, выносить (вывозить) с территории фирмы указанные в пропуске предметы. Пропуска в зависимости от их категории могут быть различной формы, цвета, иметь полосы, снабжаться фотокарточкой владельца и иными идентифицирующими признаками, содержать указание на ограничения в перемещении по зданию. Для контроля за выполнением порядка доступа в помещения фирмы наиболее удобны пропуска-идентификаторы, носимые сотрудниками и посетителями на одежде.
Реквизит документа – обязательный элемент оформления официального документа (вид документа, его автор, дата, подпись и др.).
В соответствии со ст. 6 Федерального закона "Об информации, информационных технологиях и защите информации" вопросы ограничения доступа к информации, определения порядка и условий такого доступа относятся к исключительной компетенции обладателя информации. Последний при осуществлении своих прав обязан ограничивать доступ к информации и принимать меры по ее защите, если такая обязанность установлена федеральными законами.
Под допуском к конфиденциальной информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации.
В настоящее время в России законодательно определены и урегулированы вопросы допуска персонала предприятия к сведениям, составляющим государственную или коммерческую тайну. Порядок допуска лиц к иным видам информации с ограниченным доступом с учетом положений Федерального закона "Об информации, информационных технологиях и защите информации" находится в компетенции соответствующих должностных лиц (руководителей предприятий), являющихся обладателями такой информации.
Доступ лица к конфиденциальной информации -- санкционированное полномочным должностным лицом ознакомление персонала предприятия и иных лиц с конфиденциальной информацией и ее носителями.
Доступ граждан к информации, содержащей сведения, в установленном порядке отнесенные к коммерческой тайне, осуществляется в соответствии со ст. 7 и 10 Федерального закона "О коммерческой тайне". С момента установления режима коммерческой тайны в отношении какой-либо информации полномочия по принятию решения о доступе к ней в полном объеме переходят к обладателю информации. Необходимо отметить, что определение порядка доступа лиц к коммерческой тайне и учет лиц, получивших такой допуск, в соответствии с Федеральным законом "О коммерческой тайне" являются обязательными для обладателя информации, составляющей коммерческую тайну.
Меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к информации, составляющей коммерческую тайну любых лиц без согласия ее обладателя. Иные не противоречащие законодательству России меры по ограничению доступа к коммерческой тайне могут быть дополнительно приняты ее обладателем.
Разрешительная система персонала к конфиденциальной информации лежит в основе организационно-правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности. Понятие, сущность и основные положения разрешительной системы доступа персонала предприятия к информации, подлежащей защите, представлены на примере информации, в установленном порядке отнесенной к коммерческой тайне.
В соответствии с Федеральным законом "О коммерческой тайне" под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны -- правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем.
К обязательным мерам по защите охраняемой информации в соответствии с положениями ст. 10 Федерального закона "О коммерческой тайне" относятся:
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
Перечисленные меры реализуются в рамках разрешительной системы доступа персонала предприятия к информации, составляющей коммерческую тайну.
Разрешительная система доступа персонала предприятия предусматривает установление на предприятии единого порядка обращения с носителями сведений, составляющих коммерческую тайну, определение ограничений на доступ к ним различных категорий персонала (управленческого, административного и исполнительского уровней) и степени ответственности за сохранность указанных носителей сведений.
Создание и реализация разрешительной системы доступа персонала к информации, составляющей коммерческую тайну, -- важная часть общей системы организационных мер по защите информации на предприятии. Актуальность использования разрешительной системы доступа к информации обусловлена особым значением информационной составляющей любого производственного процесса на современном предприятии, включающего создание новых документов (материалов), товаров и услуг, неправомерный доступ к которым может привести к утечке конфиденциальной информации и, тем самым, нанесению ущерба предприятию.
Создание и функционирование разрешительной системы доступа персонала предприятия к информации направлены, в первую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.
Основополагающим принципом нормативно-правового регулирования процесса ознакомления конкретного работника предприятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям.
Основные условия правомерного доступа персонала к коммерческой информации включают:
Подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства;
наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну;
наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации;
оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями.
Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения полномочных должностных лиц.
Основная цель разрешительной системы доступа персонала к коммерческой тайне -- исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну.
Чтобы понять роль разрешительной системы доступа к информации всех категорий сотрудников, в том числе командированных лиц, в совокупности с другими организационными, правовыми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реагировать на изменения, происходящие в хозяйственной, производственной и других сферах деятельности предприятия.
В структуре управления процессом доступа особое место занимают руководитель предприятия и его заместители. Однако наиболее важная роль в этой структуре отводится руководителям структурных подразделений предприятия, сотрудники которых непосредственно допускаются к коммерческой тайне (работают с носителями сведений, составляющих коммерческую тайну). Эти руководители наделяются правом определять степень доступа непосредственно подчиненных им сотрудников к конкретным сведениям (носителям). В зависимости от категорий сотрудников предприятия или командированных лиц, необходимости ознакомления их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.
Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структурных подразделений в отношении непосредственно подчиненных им сотрудников. На практике наиболее распространены следующие способы документального оформления разрешений (формы разрешительных документов):
составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей коммерческую тайну предприятия, в обязательном порядке содержащих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются;
оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику;
указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к определенной информации, составляющей коммерческую тайну предприятия.
Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, является положение о разрешительной системе доступа к информации, составляющей коммерческую тайну.
Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляющих производственную, хозяйственную и иные виды деятельности. Члены комиссии должны знать специфику работы предприятия, порядок организации и обеспечения защиты конфиденциальной информации. В состав комиссии в обязательном порядке входят сотрудники службы безопасности предприятия. В целях более точного определения ограничений для конкретных лиц на доступ к различным категориям информации (с учетом ее тематики) комиссия может включать несколько подкомиссий. Методическое руководство деятельностью комиссии (подкомиссий) осуществляет служба безопасности предприятия.
Разработке положения предшествует всесторонний анализ различных документов (материалов), проводимый в целях выявления и классификации всех информационных потоков, существующих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодействие с организациями-соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура положения (готовится его проект). Основными разделами положения являются:
общие требования по доступу работников к коммерческой тайне;
порядок доступа к носителям информации, имеющим различные категории (степени) конфиденциальности;
порядок доступа к делам и документам архивного хранения;
порядок копирования (размножения) документов и рассылки их нескольким адресатам;
порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов;
порядок доступа к информации (ее носителям) в ходе проведения совещаний, конференций, семинаров и других мероприятий.
После разработки положение утверждается руководителем предприятия и доводится до сведения непосредственных исполнителей указанных в нем мероприятий (работ), а также до сведения каждого сотрудника предприятия в части, касающейся данного сотрудника (в необходимых случаях -- под расписку).
В вопросах разработки положения, реализации его требований и контроля за выполнением предусмотренных мероприятий особая роль отводится службе безопасности, в задачи которой входит:
проведение мероприятий, направленных на ограничение круга лиц, допускаемых к конкретной информации (ее носителям);
выявление фактов неправомерного доступа лиц к коммерческой тайне;
оценка эффективности принимаемых руководителями структурных подразделений предприятия мер по исключению утечки информации;
подготовка предложений о внесении изменений в должностные инструкции и иные документы, определяющие задачи и функции подразделений (отдельных должностных лиц) предприятия;
разработка и представление на утверждение руководителю предприятия проектов внутренних организационно-распорядительных документов по вопросам защиты коммерческой тайны, в том числе определяющих порядок функционирования разрешительной системы доступа;
методическое руководство деятельностью должностных лиц и структурных подразделений по реализации положения о разрешительной системе доступа к коммерческой тайне предприятия.
Наиболее важная функция службы безопасности предприятия -- контроль за соблюдением его сотрудниками положений организационно-плановых и распорядительных документов, регламентирующих вопросы создания и функционирования разрешительной системы доступа, в целях исключения случаев неправомерного доступа сотрудников предприятия, а также командированных лиц к коммерческой тайне.
Служба безопасности контролирует:
Наличие оформленного в установленном порядке допуска сотрудников к коммерческой тайне;
Соответствие выданного руководителем структурного подразделения предприятия разрешения требованиям разрешительной системы;
правомерность передачи носителей сведений, содержащих коммерческую тайну, на другие предприятия;
соблюдение работниками предприятия установленных требований по работе с носителями сведений, составляющих коммерческую тайну, на рабочих местах;
правомочность и целесообразность использования материалов, содержащих коммерческую тайну, на конференциях, совещаниях и других мероприятиях, проводимых с привлечением представителей других организаций.
Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений организационно-распорядительных документов, регулирующих вопросы функционирования разрешительной системы на предприятии.
конфиденциальный информация коммерческий тайна
ПРИНЦИПЫ РАБОТЫ С КОНФИДЕНЦИАЛЬНОЙ ДОКУМЕНТИРОВАННОЙ ИНФОРМАЦИЕЙ В КОРПОРАТИВНОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
Конфиденциальная информация
Термин «конфиденциальный» от лат. сonfidential, – доверие, означает: доверительный, не подлежащий огласке.
Конфиденциальной информациейявляется информация, требующая защиты
НЕОТЪЕМЛЕМАЯ ЧАСТЬ ЛЮБОГО УПРАВЛЕНИЯ -ДОКУМЕНТАЦИОННОЕ ОБЕСПЕЧЕНИЕ
Документационное обеспечение управления (ДОУ) - это деятельность аппарата управления государственных и не государственных структур по реализации их функций, охватывающая документирование на всех видах носителей и организацию работы с документами, информационную безопасность технологий электронного документооборота и защиту информации на всех этапах жизненного цикла документа.
Разработка документов обеспечивающих защиту конфиденциальной информации
В соответствии с новыми нормативно - методическими документами, для защиты конфиденциальной информации на предприятии, должны быть разработаны следующие документы:
Настоящая инструкция должна быть разработана в соответствии с нормативными актами, нормативно-методических документов по делопроизводству и архивному делу Российской Федерации (если живёте, например на Украине, то соответственно в соотв. С норм. Док Украины и т.д.).
Инструкция должна состоять из следующих разделов:
1. Общие положения.
2. Конфиденциальная информация. В этом разделе должны быть описаны существующие грифы конфиденциальной информации.
3. Ответственность за разглашение конфиденциальной информации. Для начала надо вспомнить что же такое разглашение сведений Разглашением сведений, составляющих конфиденциальную информацию, признается не вызванное интересами предприятия, умышленное или неосторожное действие либо сообщение, в результате которого такие сведения стали известны посторонним лицам.
И что такое утрата информации. Под утратой документов, содержащих сведения конфиденциальную информацию понимается выход (в том числе и временный) документов из владения ответственного за их сохранность лица, которому они были доверены по работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы стали или могут стать достоянием посторонних лиц.
И самое главное что должно быть в этом разделе – это виды ответственности за разглашение конфиденциальной информации.
4. Система допуска сотрудников к сведения, составляющим конфиденциальной информации. Система доступа к конфиденциальным документам – это совокупность установленных положений, обеспечивающих обоснованный и правомерный доступ исполнителей к необходимому им для производственной деятельности объему документов, сведений, содержащих конфиденциальную информацию.
В этом разделе следует описать цели допуска сотрудников к существующим грифам конфиденциальности. Должны быть перечислены сотрудники Вашего предприятия, имеющие право давать разрешение на доступ к конфиденциальной информации. Так же следует описать технологию оформления разрешения на доступ к конфиденциальной информации. И ещё описать порядок доступа на совещания по вопросам, содержащим конфиденциальные сведения. Самое главное следует не забывать что совещания (на которых заходит речь о КИ предприятия) с участием представителей других организаций проводятся с разрешения руководителя предприятия. На совещания или переговоры допускаются ТОЛЬКО те сотрудники, которые имеют непосредственное отношение к обсуждаемым вопросам и участие которых вызывается служебной необходимостью. Обсуждение конфиденциальных вопросов может производиться только в помещении, специально выделенном для этих целей. Ответственность за сохранение конфиденциальной информации несет руководитель, организовавший данное совещание или переговоры.
4.1.Круг лиц, имеющих право давать на доступ к конфиденциальной информации.
4.2.Порядок оформления разрешения на доступ к конфиденциальным документам.
4.3.Порядок доступа на совещания по вопросам, содержащим конфиденциальные сведения.
5. Подготовка и издание конфиденциальных документов.
6. Учет, прохождение и отправление изданных конфиденциальных документов.
7. Прием, учёт и прохождение поступивших документов.
8. Учет документов выделенного хранения.
9. Учёт журналов и картотек.
10. Организация хранения конфиденциальных документов.
11. Организация и технология контроля исполнения конфиденциальных документов.
12. Размножение документов
13. Уничтожение документов
14. Составление и оформление дел с грифом «Конфиденциально»
15. Формирование и оформление дел
16. Проверка наличия конфиденциальных документов.
17. Подготовка конфиденциальных документов на архивное хранение
18. Порядок передачи конфиденциальных документов в архив.
Жизненный цикл КДИ
Технологии распространяются на различные виды, служебной, производственной, коммерческой и другой деятельности государственных и негосударственных структур, и включает не только управленческие, но и на другие виды документов, информация которых составляет различные виды тайн, - служебную, коммерческую, профессиональную, банковскую, аудиторскую и т.п., за исключением государственной тайны.
Технологии распространяются не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите.
Требования к конфиденциальному делопроизводству и корпоративному документообороту
Первая задача
Организация и бесперебойное функционирование конфиденциальной деятельности не только с функциями управления, но и любого вида конфиденциальной деятельности
Главное требование: полнота , своевременность и достоверность конфиденциальной информации
Полнота и своевременность характеризуется объемом КДИ, который должен быть достаточным для принятия управленческих решений и выполнения служебных, коммерческих и производственных заданий и являться действительно необходимым, не содержащим избыточной для деятельности организации информации
Достоверность КДИ характеризуется соответствием объективному состоянию того или другого вопроса и, ее юридической силе, характеризующейся наличием и правильностью оформления соответствующих реквизитов документа, - в электронных документе, наличием электронно-цифровой подписи (ЭЦП)
Вторая задача технологий конфиденциального делопроизводства и корпоративного документооборота:
Обеспечение сохранности и конфиденциальности информации
Главное требование - создание и поддержания специальных условий хранения, обработки и обращения КДИ, гарантирующих надежную защиту, как самих документов, так и содержащейся в них информации
Достигается путем организации специального режима хранения конфиденциальной информации и обращения с ней, установления разрешительной системы допуска и доступа, разработки регламентированных технологий создания и обработки КДИ.
Обладатель информации, составляющей коммерческую тайну, имеет право:
Право доступа к КДИ
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.
Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.
Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
Принципы построения разрешительной системы доступа:
Надежность, т.е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;
Полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;
Конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;
Производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;
Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;
Строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:
Ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;
Строгого избирательного и обоснованного распределения документов и информации между сотрудниками;
Обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);
Беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;
Исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;
Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников). Разрешительная система включает в себя две составные части:
Допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.
Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.
Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.
Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.
В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.
Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.
Доступ — практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.
Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:
Наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа
С данной, конкретной информацией;
Наличие подписанного сторонами трудового договора (контракта)» имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;
Соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;
Знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;
Наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;
Наличие систем контроля за работой сотрудника.
Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.
Может составляться матрица полномочий, в которой по горизонтали — наименования категорий документов, по вертикали — фамилии или должности сотрудников.
Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.
Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.
Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.
Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника.
При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.
В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.
Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.
Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.
Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.
Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.
Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.
Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.
Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.
Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную ответственность.
Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.
Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.
Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.
Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.
При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере.
Можно выделить следующие главные составные части:
Доступ к персональному компьютеру, серверу или рабочей станции;
Доступ к машинным носителям информации, хранящимся вне ЭВМ;
Непосредственный доступ к базам данных и файлам.
Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:
Определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;
Регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);
Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;
Организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;
Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;
Организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.
Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»).
Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:
Организацию учета и выдачи сотрудникам чистых машинных носителей информации;
Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных);
Определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;
Организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамикиизменениясостава записанной информации;
Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;
Организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;
Определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.
Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.
Обычно доступ к базам данных и файлам подразумевает:
Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;
Именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;
Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;
Регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;
Регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;
Установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;
Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;
Механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.
Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.
