Разрешительная система доступа к информации. Разрешительная система доступа персонала к конфиденциальной информации. Принципы построения разрешительной системы доступа

3.1. Разрешительная система доступа к конфиденциальным документам

Организация конфиденциального документооборота должна строиться на основе следующих принципов:

Разрешительной системы доступа к конфиденциальным документам;

Обеспечения пользователей всеми необходимыми им в силу служебных обязанностей конфиденциальными документами, но только теми, которые действительно необходимы для выполнения конкретных видов работы;

Исключения несанкционированного доступа к конфиденциальным документам;

Целенаправленного регулирования процессов движения конфиденциальных документов;

Исключения инстанций прохождения конфиденциальных документов и действий с ними, не обусловленных характером и порядком исполнения документов;

Фиксированной передачи конфиденциальных документов;

Персональной и обязательной ответственности за выдачу неправомерных разрешений на ознакомление с конфиденциальными документами и нарушение правил обращения с ними.

В организации должна быть разрешительная система.

Разрешительная система доступа к конфиденциальным документам представляет собой совокупность установленных руководством предприятия нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальных документов. Системой должно быть определено, кто из руководителей предприятия и структурных подразделений, кому из пользователей и с какими категориями конфиденциальных документов может давать разрешение на ознакомление, а также порядок оформления таких разрешений в зависимости от вида учета или категорий документов. При этом право давать разрешение на ознакомление и право работать с конфиденциальными документами может быть предоставлено только лицам, имеющим допуск к конфиденциальной информации в целом, оформленный приказом руководителя предприятия или контрактом, а в отдельных случаях, по усмотрению руководителя предприятия, и через органы Федеральной службы безопасности. При установлении разрешительной системы доступа к конфиденциальным документам необходимо учитывать следующие требования:

Соответствующий руководитель может давать разрешение на ознакомление с конфиденциальными документами, входящими в сферу его деятельности, только подчиненным лицам и только по служебной необходимости;

Разрешение на ознакомление оформляется письменно;

При необходимости ознакомления пользователя только с частью конфиденциального документа в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя;

Исполнители конфиденциальных документов, лица, визирующие, согласовывающие, подписывающие, утверждающие документ, а также лица, указанные в тексте распорядительных документов, могут допускаться к ознакомлению с соответствующими документами без оформления дополнительных разрешений.

Разрешительная система должна предусматривать и порядок доступа к конфиденциальным документам лиц, не работающих на данном предприятии (при выполнении совместных работ и др.).

Разрешительная система доступа к конфиденциальным документам является составной частью системы доступа к конфиденциальной информации в целом, включающей в себя порядок доступа и к другим носителям конфиденциальной информации, и должна находить свое отражение в общем Положении о разрешительной системе доступа к конфиденциальной информации. Положение разрабатывается комиссией, в состав которой включаются руководители и ведущие специалисты подразделений, работающих с конфиденциальной информацией, служб безопасности и конфиденциального делопроизводства.

Положение может включать в себя следующие разделы:

1. Общие положения.

2. Круг лиц, имеющих право давать разрешение на доступ к конфиденциальной информации.

3. Порядок оформления разрешений на доступ к конфиденциальной информации.

В первом разделе указываются: цель разработки положения; основные задачи и принципы системы доступа; нормативные документы, на которых она базируется; на кого возлагается ответственность за невыполнение требований положения; кем осуществляется контроль за соблюдением норм положения. При этом следует отразить, что ответственность за невыполнение требований положения несут все должностные лица, имеющие право давать разрешение на доступ к конфиденциальной информации, а также все пользователи конфиденциальной информации. Контроль за выполнением норм положения должен возлагаться на руководителей служб безопасности, конфиденциального делопроизводства и управленческопроизводственных подразделений в пределах их компетенции.

Во втором разделе должны быть перечислены все должностные лица, которые могут давать разрешение на доступ к конфиденциальной информации, с указанием, какой категории пользователей, к какому составу информации и ее носителей. Основополагающими подходами при этом должны быть следующие:

Руководитель предприятия имеет право давать разрешение на доступ к соответствующей конфиденциальной информации всем категориям пользователей;

Заместители руководителя по отдельным направлениям имеют право давать разрешение на доступ к соответствующей конфиденциальной информации всем пользователям, но в пределах своей сферы деятельности;

Руководителям подразделений дается право разрешать доступ к конфиденциальной информации всем работникам своих подразделений по тематике работы подразделений; для осуществления доступа к конфиденциальной информации данного подразделения работников других подразделений необходимо разрешение соответствующего заместителя руководителя предприятия;

Первые заместители руководителей, а также должностные лица, временно исполняющие ту или иную должность, могут, как правило, разрешать доступ к конфиденциальной информации в объеме всех прав, предусмотренных для замещаемого ими лица.

В третьем разделе определяется порядок оформления разрешений на доступ к различным носителям конфиденциальной информации и выдачи их пользователям. Разрешение на ознакомление с конфиденциальными документами должно оформляться: по поступившим и изданным документам в форме резолюции на документе, по документам, зарегистрированным по учету документов выделенного хранения, в форме резолюции на документе или подписанного соответствующими руководителем списка пользователей на обложке документа либо в карточке учета выдачи документа.

Положение подписывается членами комиссии, визируется всеми лицами, имеющими право давать разрешение на доступ к конфиденциальной информации, и вводится в действие приказом руководителя предприятия. В приказе определяются и мероприятия по введению положения в действие (порядок изучения положения пользователями, технология осуществления контроля за его выполнением и др.). После утверждения с положением должны быть ознакомлены под расписку все сотрудники предприятия, работающие с конфиденциальной информацией.

3.2. Документооборот конфиденциальных документов

Организация работы с документами это есть документооборот, то есть этапы движения документов в организации. Под конфиденциальным документооборотом понимается движение конфиденциальных документов после их учета до завершения исполнения или отправления.

Таким образом, конфиденциальный документооборот включает в себя организацию работы с конфиденциальными документами в процессе их рассмотрения, исполнения, использования и подготовки к отправке.

В соответствии с утвержденным «Положением о разрешительной системе доступа к конфиденциальной информации» обеспечивается рассмотрение конфиденциальных документов и передача их для исполнения.

Документы, подлежащие рассмотрению руководством предприятия, передаются ему под подпись в журнале передачи конфиденциальных документов руководству, если они не рассматриваются в присутствии работника службы конфиденциального делопроизводства, ответственного за их учет. Журнал имеет следующие графы:

Номер документа Количество листов Подпись за получение и дата Подпись за возврат и дата

За одновременное получение и возврат нескольких документов может проставляться одна подпись на все документы.

После возвращения от руководства документы в соответствии с резолюцией передаются на исполнение.

При получении документов исполнители должны проверить соответствие учетных номеров и количества листов (с просчетом) каждого документа записям в учетных формах.

В процессе исполнения конфиденциальных документов в целях предотвращения их утраты и утечки содержащейся в них информации исполнители должны:

Иметь на столе в служебной комнате только те документы, с которыми осуществляется работа, все остальные хранить в запираемом металлическом шкафу (сейфе);

Держать документы в положении, исключающем возможность ознакомления с ними лиц, не имеющих к ним санкционированного доступа;

При выходе в течение рабочего дня из служебной комнаты убирать документы в металлический шкаф; при выходе из комнаты всех исполнителей она должна запираться;

При необходимости передачи документа другим допущенным к нему лицам передачу осуществлять через службу конфиденциального делопроизводства или (при возврате в течение рабочего дня) по разовой расписке;

В конце рабочего дня передавать все документы в службу конфиденциального делопроизводства; хранение документов в нерабочее время в металлических шкафах служебных комнат допускается по разрешению руководителя предприятия и службы безопасности при условии подключения шкафов к охранной сигнализации;

Об утрате документа или отдельных листов из него немедленно сообщать в службу конфиденциального делопроизводства и своему непосредственному руководителю.

По документам, находящимся на исполнении, служба конфиденциального делопроизводства должна:

Контролировать наличие, порядок хранения документов и обращения с ними на рабочих местах исполнителей, о всех нарушениях докладывать руководителю предприятия и службе безопасности;

Контролировать сроки исполнения документов, поставленных на контроль при нарушении сроков докладывать соответствующему руководителю.

Исполненный документ вместе с документом - ответом (на наличии) сдается исполнителем в службу конфиденциального делопроизводства. Работник службы должен проверить наличие и правильность отметки об исполнении документа, просчитать количество листов документа и проверить соответствие их учетным данным, расписаться за получение документа в соответствующих графах учетных журналов (карточек).

Если конфиденциальный документ не требует исполнения, а адресован лишь для ознакомления, то он может не выдаваться на рабочее место исполнителя, а ознакомление с ним производится в службе конфиденциального делопроизводства (комнате для исполнителей). При этом если ознакомление производится в присутствии работника службы конфиденциального делопроизводства, ответственного за учет документа, подпись в учетной форме о получении документа может не проставляться. Подписи об ознакомлении с документами с проставлением даты производятся на самих документах, а об ознакомлении с распорядительными документами могут проставляться на специальном листе ознакомления.

Отправление конфиденциальных документов на другие предприятия производится в законвертованном виде. Конверты (пакеты) должны быть светонепроницаемыми. Если они светопроницаемы, то вложения обертываются светонепроницаемой бумагой. Направляемые одному адресату документы помещаются в один пакет. В правом верхнем углу пакета проставляются: гриф конфиденциальности, соответствующий грифу конфиденциальности документов, подлежащих вложению в пакет, ниже, при необходимости, пометка "Лично". На пакете пишутся адрес и наименование предприятия получателя, под которым перечисляются учетные номера документов, которые будут вложены в пакет (если документ отправляется с сопроводительным письмом, на пакете проставляется только номер сопроводительного письма без указания номеров приложений). При направлении документов в двух и более экземплярах на пакете рядом с номером документа в скобках указываются номера экземпляров. Ниже проставляются адрес и наименование предприятия отправителя. Для постоянных корреспондентов при большом объеме переписки целесообразно иметь пакеты с заранее воспроизведенными на них типографском способом адресами и наименованиями предприятий получателей и отправителя. При необходимости на пакете в центре верхнего поля может проставляться пометка «Срочно».

Перед помещением конфиденциальных документов в подготовленные пакеты проверяется соответствие данных на документах и пакетах, просчитывается количество листов и соответствие их учетным данным.

При наличии сопроводительного письма проверяется, кроме того, соответствие названия, учетного номера, грифа конфиденциальности, номера экземпляра, количества листов приложения (с просчетом) записям в сопроводительном письме. Со стороны клапана в пакет помещается прокладка.

Пакет заклеивается силикатным клеем и прошивается крестнакрест через середину нитками или металлическими скрепками с захватом всех клапанов, либо, если вложения нельзя прокалывать, через четыре края с тугим охватом краев вложений. Нитки завязываются в центре оборотной стороны пакета, на узел прошивки накладывается бумажная наклейка из папиросной или другой тонкой, но не расслаивающейся бумаги с оттиском каучуковой печати предприятия. Наклейка должна быть на 4 мм больше размера оттиска печати. Наклейка накладывается так, чтобы захватывала все клапаны пакета в середине, концы ниток не находились под наклейкой, а узел прошивки был ею закрыт. При прошивке металлическими скрепками бумажная наклейка накладывается на загнутые концы скрепок. Наклейка сверху покрывается тонким слоем силикатного клея, чтобы образовалась прозрачная стекловидная пленка. Размер пленки должен быть на 2 мм больше бумажной наклейки.

Пакеты с конфиденциальными документами могут доставляться через спец. связь или почтовое отделение связи Министерства связи, либо, минуя их, непосредственно адресату. Возможно отправление пакетов и фельдъегерской связью. Пересылка пакетов фельдъегерской и специальной связью осуществляется на договорной основе.

Через почтовое отделение связи пакеты пересылаются ценными или заказными отправлениями в соответствии с почтовыми правилами. При этом виде отправления гриф конфиденциальности может проставляться на пакете не в правом верхнем углу, а рядом с номером документа аббревиатурой: ДСП (для документов, содержащих служебную тайну) или КТ (для документов, содержащих коммерческую тайну). Часть реквизитов на пакет допускается наносить маркировальной машиной. При пересылке корреспонденции фельдъегерской или специальной связью составляется в необходимом количестве экземпляров реестр. Передача пакетов осуществляется в соответствии с правилами этих служб связи. Доставка конфиденциальных пакетов на другие предприятия, минуя органы связи, может осуществляться с разрешения руководителя предприятия работником службы конфиденциального делопроизводства либо другим работником предприятия, допущенным к конфиденциальной информации, на служебном транспорте. Пакеты передаются по реестру или расписке.

Об отправленных документах производятся соответствующие отметки в учетных формах: в журнале (карточке) учета изданных конфиденциальных документов. При этом, если документ отправлен без сопроводительного письма, в графе «Наименование, номер и дата сопроводительного документа» пишется «реестр», «расписка», «квитанция», если с сопроводительным письмом «сопроводительное письмо» с проставлением номеров и дат этих документов.

Все документы, содержащие конфиденциальные сведения, подлежат учету и специальному обозначению. На документе проставляют гриф ограничения доступа в правом верхнем углу первого листа с указанием номера экземпляра.

Такие грифы показывают, что право собственности на информацию, содержащуюся в документе, принадлежит предприятию и охраняется законодательно.

В тексте документа также может быть оговорена конфиденциальность сведений, права предприятия на них, порядок их использования и т. п. Например, если коммерческая тайна является результатом совместной деятельности с другим предприятием, то необходимость ее сохранения должна быть отражена в контракте. В случае отсутствия грифа «КТ» и указаний на конфиденциальность в тексте предполагается, что автор и лица, подписавшие или утвердившие документ, предусмотрели все возможные последствия от свободной (без ограничения доступа) работы с документом.

На документе с грифом «КТ» указывается количество экземпляров документа и место нахождения каждого из них (ниже реквизитов «подпись» и «отметка об исполнителе»), например:

Составлен в двух экз.

экз. № 1 в адрес;

экз. № 2 в дело № 1-7.

Отметка о количестве составленных экземпляров проставляется на экземпляре, который подшивается в дело.

На обороте листа документа, имеющего гриф, руководитель пишет фамилии тех должностных лиц, которым разрешено пользоваться этим документом, например.

Регламентация доступа персонала к конфиденциальным сведе­ниям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка дос­тупа лежит в основе режима конфиденциальности проводимых фир­мой работ.

Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает. Режим представляет собой совокупность ограничительных пра­вил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и до­кументам. Любой режим базируется на так называемой разреши­тельной системе. Разрешительная система в общем виде предусмат­ривает необходимость получения специального разрешения на осу­ществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей,

Принципы построения разрешительной системы доступа:

Надежность, т.е. относительное исключение возможности не­санкционированного доступа посторонних лиц к докумен­там в обычных и экстремальных условиях;

Полнота охвата всех категорий исполнителей и всех катего­рий документов, информации на любых носителях;

Конкретность, т.е. исключение двоякого толкования и одно­значность решения о доступе;

Производственная необходимость как единственный крите­рий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденци­альным сведениям, документам и базам данных, исключе­ние возможности бесконтрольной и несанкционированной выдачи таких разрешений;

Строгая регламентация порядка работы всех категорий сотруд­ников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

Ограничения и регламентации состава сотрудников, функ­циональные обязанности которых требуют знания тайны фир­мы и работы с ценными документами; строгого избирательного и обоснованного распределения до­кументов и информации между сотрудниками;

Обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

Беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделен­ному ему офисному рабочему оборудованию и компьютеру;

Исключение возможности для посторонних лиц несанкцио­нированного ознакомления с конфиденциальной информа­цией в процессе работы сотрудника с документами, делами и базами данных;

Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование со­трудником защищаемой информации (коллективный конт­роль за работой сотрудников). Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосред­ственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотруд­ника фирмы или иного лица на доступ к сведениям (информа­ции) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информа­ции на передачу ее для работы конкретному лицу. Оформление допуска, т.е. согласия лица на определенные огра­ничения в использовании информации, всегда носит доброволь­ный характер.

Наличие допуска предоставляет сотруднику фор­мальное право работать со строго определенным кругом конфи­денциальных документов, баз данных и отдельных сведений. Как отмечалось выше, к конфиденциальной информации до­пускаются, как правило, лица, проработавшие в фирме определен­ное время и зарекомендовавшие себя с положительной стороны. В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствую­щим пунктом в контракте (трудовом договоре). Допуск может офор­мляться приказом первого руководителя с указанием типового со­става сведений, с которыми разрешается работать данному сотруд­нику или группе сотрудников.

Допуск может носить временный характер на период выполнения определенной работы и пересмат­риваться при изменении профиля работы сотрудника. Законодательством США предусмотрено, что никто не имеет, права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руко­водитель, который распоряжается этой информацией и осуществ­ляет за ней контроль, Доступ - практическая реализация каждым сотрудником пре­доставленного ему допуском права на ознакомление и работу с Определенным составом конфиденциальных сведений, документов и баз данных.

Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отно­шении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется. Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

Наличие подписанного приказа первого руководителя о при­еме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на долж­ность, в функциональную структуру которой входит работа с данной, конкретной информацией;

Наличие подписанного сторонами трудового договора (кон­тракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших извест­ными конфиденциальных сведений и соблюдении правил их защиты;

Соответствие функциональных обязанностей сотрудника пе­редаваемым ему документам и информации;

Знание сотрудником требований нормативно-методических до­кументов по защите информации и сохранении тайны фирмы;

Наличие необходимых условий в офисе для работы с конфи­денциальными документами и базами данных;

Наличие систем контроля за работой сотрудника.

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются пол­номочным руководителем, а не Самими потребителями.

Суще­ствует общее, обязательное правило: исполнители, которым до­кумент не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем. Структура процедуры разграничения доступа должна быть мно­гоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уро­вень доступа, тем уже круг допущенных лиц», «чем выше цен­ность сведений, тем меньшее число сотрудников может их знать».

В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разраба­тывается с учетом двух аспектов: а) выдача разрешений в зависи­мости от категорий документов и б) выдача разрешений в зави­симости от занимаемой должности. Графы схемы: категории доку­ментов, должностные лиц;), дающие разрешение, категории ис­полнителей. кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения. Может составляться матрица полномочий, в которой по гори­зонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников,

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соот­ветствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по спе­циальному перечню, утвержденному первым руководителем. Необходимо добиваться минимизации для персонала привиле­гий по доступу к информации. При сбое в системе защиты инфор­мации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служеб­ного расследования.

Разграничение доступа основывается на однозначном расчлене­нии информации по тематическим группам, уровням конфиден­циальности этих групп и пользователям, которым эта информа­ция необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персо­нала в конфиденциальных сведениях. Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть.

Дробле­ние информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника. При составлении конфиденциального документа следует учи­тывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной про­цедуры доступа персонала к данному документу. Поэтому доку­мент необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению. В соответствии с иерархической последовательностью доступа определяйся структура рубежей защиты информации, которая пре­дусматривает постепенное ужесточение защитных мер по иерархичес­кой вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень за­щищенности информации. Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемые ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответствен­ность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами. Руководитель фирмы имеет право давать разрешение на озна­комление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам.

Однако целесо­образно, чтобы первый руководитель оставлял за собой право рас­поряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоя­щим руководителям. Следует иметь в виду, что чрезмерная центра­лизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либера­лизация создает условия для утраты пенных сведении. Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др) имеют пра­во давать разрешение на ознакомление с конфиденциальными све­дениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений дается право разре­шать доступ к конфиденциальным сведения всем работникам сво­их подразделении по тематике их работы. Руководитель подразде­ления может давать разрешение только непосредственно подчи­ненным ему сотрудникам, Для осуществления доступа к докумен­там данного подразделения работника другого подразделения не­обходимо разрешение соответствующего заместителя руководителя фирмы. Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их ком­петенции.

В небольших фирмах разрешение на доступ дает только первый руководитель. Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководи­тель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятии руковод­ствуются теми обязательствами, которые были закреплены в со­ответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и инфор­мации устной, визуальной и любой другой. В этом случае разреше­ние на доступ дает должностное лицо фирмы, включенное в спе­циальный перечень, прилагаемый к договору и утвержденный пер­вым руководителем.

Руководитель фирмы, вне зависимости от формы ее собствен­ности, может устанавливать иные специальные или дополнитель­ные правила доступа к конфиденциальным сведениям, докумен­там, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную от­ветственность. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. ре­золюцией на документе, приказом, утверждающим схему имен­ного или должностного доступа к конкретным группам информа­ции, утвержденным руководителем списком-разрешением на об­ложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тема­тике) и лица, визировавшие, подписавшие, утвердившие доку­мент. Без специального разрешения могут допускаться также лица. указанные в тексте распорядительных документов.

Если сотрудник допускается только к части документа, то в разрешении (резо­люции) четко указываются конкретные пункты, разделы, стра­ницы, приложения, с которыми он может ознакомиться. Сотруд­ник службы конфиденциальной документации (КД) обязан при­нять необходимые меры по исключению возможности ознакомле­ния исполнителя с другими частями документа. Разрешение на доступ к конфиденциальным сведениям пред­ставителя другой фирмы или предприятия оформляется резолю­цией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолю­ции должны быть указаны.конкретные документы или сведения, к которым разрешен доступ.

Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого пред­приятия с этими сведениями и несет ответственность за его работу В помещении фирмы. Следует соблюдать правило, по которому регистрируются все лица. имеющие доступ к определенным документам, коммерчес­ким секретам. Это позволяет на высоком уровне осуществлять ин­формационное обеспечение аналитической работы по выявлению возможных каналов утраты информации. При организации доступа сотрудников фирмы к конфиден­циальным массивам электронных документов, базам данных необ­ходимо помнить о его многоступенчатом характере.

Можно выде­лить следующие главные составные части: доступ к персональному компьютеру, серверу или рабочей станции; доступ к машинным, носителям информации, хранящимся вне ЭВМ; непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей стан­ции, которые используются для обработки конфиденциальной ин­формации. предусматривает:

Определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в по­мещение, в котором находится соответствующая вычисли­тельная техника, средства связи;

Регламентацию первым руководителем временного режима на­хождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководите­лем подразделения или направления деятельности фирмы на­личия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отклю­чения охранных технических средств информации и сигнализирования, определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

Организацию контролируемого (в необходимых случаях про­пускного) режима входа в указанные помещения и выхода из них;

Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования поме­щений;

Организацию выноса из указанных помещений материаль­ных ценностей, машинных и бумажных носителей информа­ции; контроль вносимых в помещение и выносимых персо­налом личных вещей. Несмотря на то, что по окончании рабочего дня конфиденци­альные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых на­ходится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко уста­новить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восста­новить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»). Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

Организацию учета и выдачи сотрудникам чистых машин­ных носителей информации;

Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информа­цией (основных и резервных);

Определение и регламентацию первым руководителем состава. сотрудников, имеющих право оперировать конфиденциаль­ной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

Организацию системы закрепления за сотрудниками ма­шинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

Организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эва­куации носителей в экстремальных ситуациях;

Определение и регламентацию первым руководителем соста­ва сотрудников не сдающих по объективным причинам тех­нические носители информации на хранение службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников, Работа сотрудников службы КД и фирмы в целом с машин­ными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной инфор­мации он успешно прошел. В конечном счете он может просто уне­сти компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными база­ми данных и файлами; контроль системы доступа админист­ратором базы данных;

Именование баз данных и файлов, фиксирование в машин­ной памяти имен пользователей и операторов, имеющих право доступа к ним;

Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

Регистрацию входа в базу данных, автоматическую регист­рацию имени пользователя и времени работы; сохранение первоначальной информации;

Регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автома­тическое отключение компьютера;

Установление и нерегулярное по сроку изменение имен пользо­вателей, массивов и файлов (паролей, кодов, классифика­торов, ключевых слов и т.п.), особенно при частой смене персонала;

Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

Механическое (ключом или иным приспособлением) блоки­рование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.

Коды, пароли, ключе­вые слова, ключи, шифры, специальные программные про­дукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специали­зированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором.

Применение пользовате­лем собственных кодов не допускается. Следовательно, процедуры допуска и доступа сотрудников к кон­фиденциальной информации завершают процесс включения дан­ного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и кон­фиденциальные сведения.

АННОТАЦИЯ

В статье рассматривается организационно-правовое регулирование вопросов допуска и доступа сотрудников организации к документированной информации ограниченного распространения. Организация санкционированного доступа к конфиденциальным документам является ключевой составляющей в вопросах защиты конфиденциальности информации.

ABSTRACT

This article examines the organizational and legal regulation of admittance and access for an organization"s employees to documented information of limited distribution. The organization, which authorized access to confidential documents, is a key component in protecting the confidentiality of information.

Актуальность применения разрешительной системы доступа к информации конфиденциального характера определяется исключительным значением информационной составляющей любого производственного процесса, разглашение которой может нанести ущерб организации.

Особый статус конфиденциальных документов предъявляет особые требования к работе с ними. Допуск к документам ограниченного распространения имеют лица, получившие на это соответствующее разрешение. Под доступом к конфиденциальной информации понимается ознакомление с ней, ее получение и использование конкретным физическим или юридическим лицом, санкционированные уполномоченным представителем.

Разрешительная система допуска и доступа предусматривает соблюдение ряда требований, установленных руководством организации, так как вопросы ограничения доступа к информации, а также определения порядка и условий доступа к ней находятся в сфере полномочий обладателя информации .

Федеральные законы устанавливают условия отнесения информации к сведениям, составляющим коммерческую, служебную тайну или иные виды тайн, обязательность соблюдения конфиденциальности информации, а также ответственность в случае ее разглашения .

Комплекс мероприятий разрешительной системы доступа направлен на сохранение функционирования информации в пределах защищаемой зоны или разрешенного круга лиц. В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» конфиденциальность информации – обязательное требование для лица, получившего доступ к конфиденциальной информации, не передавать ее третьим лицам без согласия ее обладателя .

Проблемными вопросами при установлении разрешительной системы доступа к конфиденциальным документам являются следующие:

Кто из руководителей организации наделяет сотрудников правом доступа к информации ограниченного распространения;

На каком основании производится допуск;

Разрабатывая систему доступа к конфиденциальным документам, необходимо учитывать основные требования.

1. Для доступа к информации ограниченного характера в обязательном порядке с сотрудниками организации заключается обязательство о неразглашении (по соответствующему виду тайны).
2. Сотрудники должны испытывать служебную необходимость ознакомления с какой-либо конфиденциальной информацией, то есть доступ к документам должен быть обоснованным.
3. В силу исполнения служебных обязанностей работник должен получить доступ к необходимым документам, которые требуются для выполнения конкретной задачи.
4. Получение доступа к документированной информации ограниченного распространения должно быть санкционированным. Уполномоченное лицо дает разрешение на ознакомление с документами, находящимися в сфере курируемых им вопросов и только установленному кругу лиц.
5. По каждому конкретному документу готовится письменное разрешение. В случае необходимости работы пользователя с частью конфиденциального документа в разрешении на ознакомление отмечаются указанные разделы, пункты или статьи, с которыми следует ознакомить исполнителя.

Правом на разрешение доступа к конфиденциальным документам наделены следующие категории лиц руководящего состава.

Неограниченными полномочиями обладает руководитель организации, который дает разрешение на доступ к любым видам конфиденциальных документов всем категориям работников.

Его заместители предоставляют доступ к конфиденциальным документам сотрудникам своих подразделений в пределах сферы своей деятельности.

Руководители структурных подразделений уполномочены давать разрешение на доступ к документам ограниченного распространения работникам своих подразделений. Сотрудники иных отделов имеют право работать с конфиденциальными документами на основании разрешения руководителя организации или его заместителя.

Первые заместители руководителей и должностные лица, временно исполняющие обязанности, вправе давать разрешение на доступ к таким документам в объеме всех прав, предусмотренных для замещаемых ими лиц.

Должностные лица органов государственной, муниципальной власти получают право доступа к конфиденциальным документам (служебной, коммерческой, налоговой, банковской тайнам) на основании мотивированного требования, содержащего цель, правовое основание, срок предоставления информации. Указанные органы обязаны соблюдать меры по охране конфиденциальности информации.

Регулирование вопросов доступа к информации, представляющей коммерческую (служебную) тайну, осуществляется на основе внутреннего организационно-распорядительного документа – Положения о разрешительной системе доступа, в котором должны быть предусмотрены все ключевые моменты, касающиеся установления, изменения, прекращения режима конфиденциальности информации.

В целях допуска персонала к конфиденциальной информации работодатель может ознакомить сотрудника с перечнем информации конфиденциального характера или на этапе приема на работу, в ходе оформления с ним трудовых отношений, или непосредственно в процессе исполнения им трудовых обязанностей.

Работодатель обязан в письменной форме ознакомить сотрудника с режимом конфиденциальности и мерами ответственности за его несоблюдение.

Таким образом, разрешительная система направлена на то, чтобы ограничить и регламентировать состав сотрудников, должностные обязанности которых предполагают работу с конфиденциальной информацией, а также исключить возможность несанкционированного ознакомления с ней посторонних лиц.

Список литературы:

1. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014)
«О коммерческой тайне» // КонсультантПлюс / [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_48699/ (дата обращения: 27.05.2017).
2. Федеральный закон от 27.07.2006 N 149-ФЗ
(ред. от 19.12.2016) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.01.2017) // КонсультантПлюс / [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 27.05.2017).

Разрешительная система доступа лежит в основе организаци­онно-правового регулирования вопросов допуска и непосредствен­ного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциаль­ности. Понятие, сущность и основные положения разрешитель­ной системы доступа персонала предприятия к информации, под­лежащей защите, представлены на примере информации, в уста­новленном порядке отнесенной к коммерческой тайне.

В соответствии с Федеральным законом «О коммерческой тай­не» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой ин­формацией с согласия ее обладателя или на ином законном осно­вании при условии сохранения конфиденциальности этой инфор­мации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным за­коном, устанавливает режим коммерческой тайны. Режим ком­мерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, состав­ляющей коммерческую тайну, принимаемые ее обладателем.

К обязательным мерам по защите охраняемой информации в со­ответствии с положениями ст. 10 Федерального закона «О ком­мерческой тайне» относятся:

Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.

Перечисленные меры реализуются в рамках разрешительной системы доступа персонала предприятия к информации, состав­ляющей коммерческую тайну.

Разрешительная система доступа персонала предприятия предуcматривает установление на предприятии единого порядка обра­щения с носителями сведений, составляющих коммерческую тай­ну, определение ограничений на доступ к ним различных катего­рий персонала (управленческого, административного и испол­нительского уровней) и степени ответственности за сохранность указанных носителей сведений.

Создание и реализация разрешительной системы доступа пер­сонала к информации, составляющей коммерческую тайну, - важ­ная часть общей системы организационных мер по защите инфор­мации на предприятии. Актуальность использования разрешитель­ной системы доступа к информации обусловлена особым значени­ем информационной составляющей любого производственного процесса на современном предприятии, включающего создание новых документов (материалов), товаров и услуг, неправомерный доступ к которым может привести к утечке конфиденциальной информации и, тем самым, нанесению ущерба предприятию.

Создание и функционирование разрешительной системы до­ступа персонала предприятия к информации направлены, в пер­вую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.

Основополагающим принципом нормативно-правового регу­лирования процесса ознакомления конкретного работника пред­приятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям.

Основные условия правомерного доступа персонала к коммер­ческой информации включают:

Подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства;

Наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну;

Наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации;

Оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями.

Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различ­ной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения пол­номочных должностных лиц.

Основная цель разрешительной системы доступа персонала к коммерческой тайне - исключение нанесения ущерба предприя­тию посредством несанкционированного распространения сведе­ний, составляющих коммерческую тайну.

Чтобы понять роль разрешительной системы доступа к инфор­мации всех категорий сотрудников, в том числе командирован­ных лиц, в совокупности с другими организационными, право­выми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реаги­ровать на изменения, происходящие в хозяйственной, производ­ственной и других сферах деятельности предприятия.

В структуре управления процессом доступа особое место зани­мают руководитель предприятия и его заместители. Однако наи­более важная роль в этой структуре отводится руководителям струк­турных подразделений предприятия, сотрудники которых непо­средственно допускаются к коммерческой тайне (работают с но­сителями сведений, составляющих коммерческую тайну). Эти ру­ководители наделяются правом определять степень доступа непо­средственно подчиненных им сотрудников к конкретным сведе­ниям (носителям). В зависимости от категорий сотрудников пред­приятия или командированных лиц, необходимости ознакомле­ния их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.

Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных долж­ностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структур­ных подразделений в отношении непосредственно подчиненных им сотрудников. На практике наиболее распространены следую­щие способы документального оформления разрешений (формы раз­решительных документов):

Составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей ком­мерческую тайну предприятия, в обязательном порядке содержа­щих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются;

Оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику;

Указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к определенной информации, составляющей коммерческую тайну предприятия.

Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, являет­ся положение о разрешительной системе доступа к информации, со­ставляющей коммерческую тайну.

Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляю­щих производственную, хозяйственную и иные виды деятельно­сти. Члены комиссии должны знать специфику работы предприя­тия, порядок организации и обеспечения защиты конфиденци­альной информации. В состав комиссии в обязательном порядке входят сотрудники службы безопасности предприятия. В целях бо­лее точного определения ограничений для конкретных лиц на доступ к различным категориям информации (с учетом ее тема­тики) комиссия может включать несколько подкомиссий. Мето­дическое руководство деятельностью комиссии (подкомиссий) осуществляет служба безопасности предприятия.

Разработке положения предшествует всесторонний анализ раз­личных документов (материалов), проводимый в целях выявле­ния и классификации всех информационных потоков, существу­ющих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодей­ствие с организациями-соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура по­ложения (готовится его проект). Основными разделами положения являются:

Общие требования по доступу работников к коммерческой тайне;

Порядок доступа к носителям информации, имеющим раз­личные категории (степени) конфиденциальности;

Порядок доступа к делам и документам архивного хранения;

Порядок копирования (размножения) документов и рассыл­ки их нескольким адресатам;

Порядок доступа к носителям информации командирован­ных лиц, представителей органов местного самоуправления, раз­личных территориальных и надзорных органов;

Порядок доступа к информации (ее носителям) в ходе прове­дения совещаний, конференций, семинаров и других мероприя­тий.

После разработки положение утверждается руководителем пред­приятия и доводится до сведения непосредственных исполните­лей указанных в нем мероприятий (работ), а также до сведения каждого сотрудника предприятия в части, касающейся данного сотрудника (в необходимых случаях - под расписку).

В вопросах разработки положения, реализации его требований и контроля за выполнением предусмотренных мероприятий осо­бая роль отводится службе безопасности, в задачи которой вхо­дит:

Проведение мероприятий, направленных на ограничение круга лиц, допускаемых к конкретной информации (ее носителям);

Выявление фактов неправомерного доступа лиц к коммер­ческой тайне;

Оценка эффективности принимаемых руководителями струк­турных подразделений предприятия мер по исключению утечки информации;

Подготовка предложений о внесении изменений в должност­ные инструкции и иные документы, определяющие задачи и фун­кции подразделений (отдельных должностных лиц) предприятия;

Разработка и представление на утверждение руководителю предприятия проектов внутренних организационно-распорядитель­ных документов по вопросам защиты коммерческой тайны, в том числе определяющих порядок функционирования разрешитель­ной системы доступа;

Методическое руководство деятельностью должностных лиц и структурных подразделений по реализации положения о разре­шительной системе доступа к коммерческой тайне предприятия.

Наиболее важная функция службы безопасности предприя­тия - контроль за соблюдением его сотрудниками положений организационно-плановых и распорядительных документов, рег­ламентирующих вопросы создания и функционирования разре­шительной системы доступа, в целях исключения случаев непра­вомерного доступа сотрудников предприятия, а также команди рованных лиц к коммерческой тайне. Порядок организации и про­ведения контроля изложен в соответствующих главах учебника. Служба безопасности контролирует:

- наличие оформленного в установленном порядке допуска сотрудников к коммерческой тайне;

Соответствие выданного руководителем структурного подраз­деления предприятия разрешения требованиям разрешительной
системы;

Правомерность передачи носителей сведений, содержащих
коммерческую тайну, на другие предприятия;

Соблюдение работниками предприятия установленных тре­бований по работе с носителями сведений, составляющих ком­мерческую тайну, на рабочих местах;

Правомочность и целесообразность использования материа­лов, содержащих коммерческую тайну, на конференциях, сове­щаниях и других мероприятиях, проводимых с привлечением пред­ставителей других организаций.

Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений орга­низационно-распорядительных документов, регулирующих во­просы функционирования разрешительной системы на предприя­тии.

6.3. Основные положения допуска должностных лиц и граждан к государственной тайне

Допуск и непосредственный доступ должностных лиц и граж­дан к сведениям, составляющим государственную тайну, и их носителям осуществляется руководителями органов государствен­ной власти (предприятий) в соответствии с положениями Закона РФ «О государственной тайне» на основании Инструкции о по­рядке допуска должностных лиц и граждан Российской Федера­ции к государственной тайне 1 .

Допуск граждан к государственной тайне осуществляется в доб­ровольном порядке и предусматривает:

Принятие на себя допущенными к государственной тайне ли­цами обязательств перед государством по нераспространению до­веренных им сведений, составляющих государственную тайну;

Согласие на частичные временные ограничения их прав в соответствии с Законом РФ «О государственной тайне»;

Письменное согласие на проведение в отношении их полно­мочными органами проверочных мероприятий;

Определение видов, размеров и порядка предоставления льгот, предусмотренных законодательством Российской Федерации;

Ознакомление с нормами законодательства РФ о государствен­ной тайне, предусматривающими ответственность за их наруше­ние;

Принятие руководителем предприятия решения о допуске гражданина к государственной тайне.

Должностные лица или гражданине, допущенные (ранее до­пускавшиеся) к государственной тайне, могут быть временно огра­ничены в правах на выезд за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражда­нина к государственной тайне; распространение сведений, состав­ляющих государственную тайну, и использование открытий и изоб­ретений, содержащих такие сведения; неприкосновенность част­ной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне.

Ограничение гражданина в праве на выезд за границу осуще­ствляется в соответствии с Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федера­цию» 1 .

В целях частичной компенсации ограничений в правах для дол­жностных лиц и граждан, допущенных к государственной тайне на постоянной основе, в соответствии со ст. 21 Закона РФ «О государственной тайне» устанавливаются следующие льготы: процентные надбавки к заработной плате в зависимости от степе­ни секретности сведений, к которым они имеют доступ 2 ; преиму­щественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти (пред­приятиями) организационных и (или) штатных мероприятий.

Для сотрудников структурных подразделений по защите госу­дарственной тайны предприятий 3 , независимо от организацион­но-правовой формы и ведомственной принадлежности, дополни­тельно к перечисленным льготам устанавливается процентная надбавка к заработной плате за стаж работы в указанных струк­турных подразделениях.

Граждане, которым по характеру занимаемой ими должности необходим доступ к государственной тайне, могут быть назначены на эти должности (приняты на работу) только после оформ­ления в установленном порядке допуска по соответствующей форме (см. подразд. 6.4).

Перечень должностей, при назначении на которые граждане обязаны оформлять допуск к сведениям, составляющим государ­ственную тайну, в связи с возложением на них соответствующих должностных (функциональных) обязанностей, определяется но­менклатурой должностей. Номенклатура должностей разрабатыва­ется предприятием, согласовывается с соответствующим органом Федеральной службы безопасности РФ 1 , и после этого согласова­ния утверждается руководителем предприятия (его заместителем, возглавляющим работу по защите государственной тайны).

Изменения и дополнения в номенклатуру должностей вносят­ся в установленном порядке по мере необходимости. Полная пе­реработка номенклатуры должностей осуществляется не реже од­ного раза в 5 лет. Порядок разработки, согласования, утвержде­ния номенклатуры, а также внесения в нее изменений и дополне­ний определяется Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне.

Для подтверждения фактической работы (ознакомления) со­трудников предприятия со сведениями, составляющими государ­ственную тайну, подразделение по защите государственной тай­ны ведет учет их осведомленности в этих сведениях.

6.4. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

Допуск к государственной тайне - процедура оформления пра­ва граждан на доступ к сведениям, составляющим государствен­ную тайну.

В соответствии со степенями секретности сведений, составля­ющих государственную тайну, и грифами секретности их носите­лей, установлены следующие формы допуска:

первая форма - для граждан, допускаемых к сведениям особой важности;

вторая форма - для граждан, допускаемых к совершенно сек­ретным сведениям;

третья форма - для граждан, допускаемых к секретным сведе­ниям.

Уровень необходимого допуска личного состава определяется степенью секретности сведений (грифом секретности их носите­лей), с которыми они знакомятся (работают) в рамках исполнения должностных (функциональных) обязанностей. Уровень до­пуска для каждого должностного лица, работающего на предприя­тии, отражается в номенклатуре должностей.

При непосредственном оформлении допуска к государствен­ной тайне для лиц, принимаемых на работу на должности, вклю­ченные в номенклатуру должностей, кадровый орган предприя­тия (лицо, ведущее кадровую работу) готовит необходимые мате­риалы. Перечень таких материалов и соответствующие формы до­кументов приведены в Инструкции о порядке допуска должност­ных лиц и граждан Российской Федерации к государственной тайне. Основным документом, отражающим анкетные, автобиографи­ческие и другие данные оформляемого лица, является анкета, собственноручно им заполняемая.

Карточка о допуске - документ, подтверждающий наличие до­пуска к государственной тайне, содержащий отметки о согласо­вании допуска лица с органом безопасности и решении руково­дителя предприятия о допуске лица к носителям сведений, со­ставляющих государственную тайну, а также отражающий трудо­вую деятельность оформляемого лица, его семейное положение и другую информацию. Форма карточки определяется формой до­пуска к государственной тайне для данного лица.

Перечисленные, а также другие необходимые документы на­правляют в орган безопасности с мотивированным письмом, со­держащим обоснование необходимости допуска лица к сведени­ям соответствующей степени секретности.

Карточка о допуске после внесения в нее отметки о согласова­нии допуска лица к государственной тайне с органом безопасно­сти возвращается на предприятие.

Правовую основу взаимоотношений руководителя предприя­тия и допущенного к государственной тайне лица составляет до­говор (контракт) об оформлении допуска к государственной тай­не, являющийся приложением к трудовому договору, заключае­мому в соответствии с Трудовым кодексом РФ. Данный договор (контракт) оформляется с учетом ограничений, предусмотрен­ных ст. 24 Закона РФ «О государственной тайне» для лиц, допу­щенных к государственной тайне; в нем отражаются взаимные обязательства руководителя предприятия и работника. Договоры (контракты) о допуске к государственной тайне и карточки о до­пуске хранятся в соответствии с установленным порядком в струк­турном подразделении по защите государственной тайны пред­приятия.

Переоформление допуска лиц по первой и второй формам про­изводится соответственно через 10 или 15 лет только в случае пе­рехода указанных граждан на другое место работы. Переоформле­ние допуска лиц, постоянно работающих на предприятии, офор­мившем им допуск, не производится. Независимо от сроков действия переоформление допуска по первой или второй форме произ­водится в случаях:

Перевода или приема гражданина на работу (назначения на должность) в подразделения по защите государственной тайны;

Вступления гражданина в брак за исключением особо огово­ренных в нормативных документах случаев;

Возвращения из длительных (сроком свыше 6 месяцев) за­граничных командировок;

Выезда близких родственников допущенного к государствен­ной тайне лица за границу на постоянное место жительства;

Возникновения обстоятельств, являющихся в соответствии с Законом РФ «О государственной тайне» основаниями для отказа гражданину в допуске к государственной тайне.

Перечень направляемых в орган безопасности документов опре­делен в Инструкции о порядке допуска должностных лиц и граж­дан Российской Федерации к государственной тайне. При несоот­ветствии формы допуска лица степени секретности сведений, к которым оно фактически имеет доступ, форма допуска должна быть изменена. Снижение формы допуска с первой на вторую (тре­тью) или со второй на третью оформляется распоряжением руко­водителя предприятия с соответствующей отметкой в карточке о допуске к государственной тайне. В случае производственной не­обходимости руководитель, ранее снизивший форму допуска ра­ботнику, может принять решение о ее восстановлении.

Предприятие в установленном порядке обязано письменно информировать орган безопасности о состоянии работы по до­пуску лиц к государственной тайне (изменение формы допуска, прекращение допуска и т.д.) и предоставлять отчетные докумен­ты и материалы.

6.5. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

При оформлении допуска к государственной тайне в отноше­нии оформляемого лица и его близких родственников в порядке, установленном законодательством Российской Федерации, упол­номоченные органы проводят проверочные мероприятия. Объем проверочных мероприятий зависит от степени секретности сведе­ний, к которым будет допускаться оформляемое лицо. Провероч­ные мероприятия, связанные с допуском граждан к государствен­ной тайне, проводятся органами безопасности во взаимодействии с органами, осуществляющими оперативно-розыскную деятель­ность.

Цель проведения проверочных мероприятий - выявление осно­ваний для отказа гражданину в допуске к государственной тайне.

В соответствии со ст. 22 Закона РФ «О государственной тайне» такими основаниями могут быть:

Признание гражданина судом недееспособным, ограниченно дееспособным или особо опасным рецидивистом, нахождение его под судом или следствием за государственные или иные тяжкие преступления, наличие у него неснятой судимости за эти пре­ступления;

Наличие у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государствен­ную тайну, согласно перечню, утверждаемому в установленном порядке 1 ;

Постоянное проживание его самого и (или) его близких род­ственников за границей и (или) оформление указанными лицами документов для выезда на постоянное место жительства в другие государства;

Выявление в результате проведения проверочных мероприя­тий действий оформляемого лица, создающих угрозу безопасно­сти Российской Федерации;

Уклонение от проверочных мероприятий и (или) сообщение заведомо ложных анкетных данных.

Решение об отказе гражданину в допуске к государственной тайне принимается руководителем предприятия в индивидуаль­ном порядке с учетом результатов проверочных мероприятий.

После оформления в установленном порядке должностному лицу или гражданину допуска к государственной тайне в процес­се исполнения им своих должностных (функциональных) обя­занностей в зависимости от сложившихся личных или иных об­стоятельств могут возникнуть условия, препятствующие наличию у него такого допуска. В соответствии со ст. 23 Закона РФ «О госу­дарственной тайне» допуск гражданина к государственной тайне может быть прекращен в случае:

Расторжения с ним трудового договора (контракта) в связи с проведением организационных и (или) штатных мероприятий;

Однократного нарушения им предусмотренных трудовым до­говором (контрактом) обязательств, связанных с сохранением го­сударственной тайны;

Возникновения обстоятельств, являющихся в соответствии с Законом РФ «О государственной тайне» основанием для отказа гражданину в допуске к государственной тайне.

Прекращение допуска гражданина к государственной тайне производится по решению руководителя предприятия, на кото­ром он работает. Это решение оформляется в виде письменного мотивированного заключения. В случае, когда заключение о неце­лесообразности дальнейшего допуска гражданина к сведениям, составляющим государственную тайну, вынесено органом безо­пасности, оно является обязательным основанием для отстране­ния этого гражданина от работы со сведениями, составляющими государственную тайну.

Решения руководителя предприятия об отказе гражданину в допуске к государственной тайне, о прекращении допуска и рас­торжении на основании этого трудового договора (контракта) с ним могут быть обжалованы в вышестоящий орган государствен­ной власти (организацию) или в суд. Прекращение допуска граж­данина к государственной тайне не освобождает его от взятых обязательств по неразглашению сведений, составляющих государ­ственную тайну.

К сведениям, составляющим государственную тайну, без про­ведения проверочных мероприятий допускаются члены Совета Федерации, депутаты Государственной Думы, судьи на период исполнения ими своих полномочий, а также адвокаты, участвую­щие в качестве защитников в уголовном судопроизводстве по де­лам, связанным со сведениями, составляющими государственную тайну.

Указанные лица предупреждаются о неразглашении государ­ственной тайны, ставшей им известной в связи с исполнением ими своих полномочий, и о привлечении их к ответственности в случае ее разглашения, о чем они дают расписку.

6.6. Организация доступа персонала предприятия

к сведениям, составляющим государственную тайну,

и их носителям

Доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознаком­ление конкретного лица со сведениями, составляющими государ­ственную тайну.

Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну, возлагается на руководителя соответствующего органа государственной власти (предприятия), а также на их структурные подразделения по за­щите государственной тайны. Руководитель предприятия обязан осуществлять постоянный контроль за соответствием формы до­пуска граждан степени секретности сведений, к которым они фактически имеют доступ. Руководитель несет персональную от­ветственность за создание таких условий, при которых должност­ное лицо или гражданин знакомятся только с теми сведениями, составляющими государственную тайну, и в таких объемах, которые необходимы ему для выполнения его должностных (функци­ональных) обязанностей.

Основанием для непосредственного доступа лица к сведени­ям, составляющим государственную тайну, и их носителям яв­ляется решение руководителя предприятия, оформляемое в кар­точке о допуске. После принятия такого решения под контролем непосредственного руководителя (руководителя предприятия) гражданин изучает положения нормативно-методических доку­ментов, определяющих вопросы защиты государственной тай­ны, внутренние организационно-распорядительные документы предприятия, задачи и функции структурных подразделений в этой области. Особое внимание должно быть уделено специфике деятельности предприятия, а также особенностям проведения работ с использованием сведений, составляющих государствен­ную тайну. В случае необходимости планируются занятия с лица­ми, допущенными к государственной тайне, эти занятия прово­дятся с привлечением структурных подразделений по защите го­сударственной тайны.

Завершающим этапом подготовки к непосредственному выпол­нению должностных обязанностей, связанных с использованием и защитой сведений, составляющих государственную тайну, яв­ляется сдача зачетов по знанию нормативно-методических доку­ментов и особенностей решения данных задач на предприятии. Прием зачетов проводит комиссия, состоящая, как правило, из сотрудников подразделений по защите государственной тайны, а также подразделения, на должность в котором назначен данный сотрудник. О результатах зачета составляется акт, который хра­нится в структурном подразделении по защите государственной тайны.

В дальнейшем основные положения нормативно-методических документов, определяющих вопросы защиты государственной тай­ны, обязанности и права лиц, допущенных к сведениям, состав­ляющим государственную тайну, ежегодно (с принятием заче­тов) доводятся до сведения всех сотрудников, имеющих допуск к государственной тайне.

ПРИНЦИПЫ РАБОТЫ С КОНФИДЕНЦИАЛЬНОЙ ДОКУМЕНТИРОВАННОЙ ИНФОРМАЦИЕЙ В КОРПОРАТИВНОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ

Конфиденциальная информация

Термин «конфиденциальный» от лат. сonfidential, – доверие, означает: доверительный, не подлежащий огласке.

Конфиденциальной информациейявляется информация, требующая защиты

НЕОТЪЕМЛЕМАЯ ЧАСТЬ ЛЮБОГО УПРАВЛЕНИЯ -ДОКУМЕНТАЦИОННОЕ ОБЕСПЕЧЕНИЕ

Документационное обеспечение управления (ДОУ) - это деятельность аппарата управления государственных и не государственных структур по реализации их функций, охватывающая документирование на всех видах носителей и организацию работы с документами, информационную безопасность технологий электронного документооборота и защиту информации на всех этапах жизненного цикла документа.

Разработка документов обеспечивающих защиту конфиденциальной информации

В соответствии с новыми нормативно - методическими документами, для защиты конфиденциальной информации на предприятии, должны быть разработаны следующие документы:

• Перечень сведений, составляющих конфиденциальную информацию предприятия;
• Договорное обязательство о неразглашении КИ;
• Инструкция по защите конфиденциальной информации;
• Инструкция о работе с иностранными фирмами и их представителями;
• Соглашение о конфиденциальности (между организациями).

Настоящая инструкция должна быть разработана в соответствии с нормативными актами, нормативно-методических документов по делопроизводству и архивному делу Российской Федерации (если живёте, например на Украине, то соответственно в соотв. С норм. Док Украины и т.д.).

Инструкция должна состоять из следующих разделов:

1. Общие положения.

2. Конфиденциальная информация. В этом разделе должны быть описаны существующие грифы конфиденциальной информации.

3. Ответственность за разглашение конфиденциальной информации. Для начала надо вспомнить что же такое разглашение сведений Разглашением сведений, составляющих конфиденциальную информацию, признается не вызванное интересами предприятия, умышленное или неосторожное действие либо сообщение, в результате которого такие сведения стали известны посторонним лицам.

И что такое утрата информации. Под утратой документов, содержащих сведения конфиденциальную информацию понимается выход (в том числе и временный) документов из владения ответственного за их сохранность лица, которому они были доверены по работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы стали или могут стать достоянием посторонних лиц.

И самое главное что должно быть в этом разделе – это виды ответственности за разглашение конфиденциальной информации.

4. Система допуска сотрудников к сведения, составляющим конфиденциальной информации. Система доступа к конфиденциальным документам – это совокупность установленных положений, обеспечивающих обоснованный и правомерный доступ исполнителей к необходимому им для производственной деятельности объему документов, сведений, содержащих конфиденциальную информацию.

В этом разделе следует описать цели допуска сотрудников к существующим грифам конфиденциальности. Должны быть перечислены сотрудники Вашего предприятия, имеющие право давать разрешение на доступ к конфиденциальной информации. Так же следует описать технологию оформления разрешения на доступ к конфиденциальной информации. И ещё описать порядок доступа на совещания по вопросам, содержащим конфиденциальные сведения. Самое главное следует не забывать что совещания (на которых заходит речь о КИ предприятия) с участием представителей других организаций проводятся с разрешения руководителя предприятия. На совещания или переговоры допускаются ТОЛЬКО те сотрудники, которые имеют непосредственное отношение к обсуждаемым вопросам и участие которых вызывается служебной необходимостью. Обсуждение конфиденциальных вопросов может производиться только в помещении, специально выделенном для этих целей. Ответственность за сохранение конфиденциальной информации несет руководитель, организовавший данное совещание или переговоры.

4.1.Круг лиц, имеющих право давать на доступ к конфиденциальной информации.

4.2.Порядок оформления разрешения на доступ к конфиденциальным документам.

4.3.Порядок доступа на совещания по вопросам, содержащим конфиденциальные сведения.

5. Подготовка и издание конфиденциальных документов.

6. Учет, прохождение и отправление изданных конфиденциальных документов.

7. Прием, учёт и прохождение поступивших документов.

8. Учет документов выделенного хранения.

9. Учёт журналов и картотек.

10. Организация хранения конфиденциальных документов.

11. Организация и технология контроля исполнения конфиденциальных документов.

12. Размножение документов

13. Уничтожение документов

14. Составление и оформление дел с грифом «Конфиденциально»

15. Формирование и оформление дел

16. Проверка наличия конфиденциальных документов.

17. Подготовка конфиденциальных документов на архивное хранение

18. Порядок передачи конфиденциальных документов в архив.

Жизненный цикл КДИ

Технологии распространяются на различные виды, служебной, производственной, коммерческой и другой деятельности государственных и негосударственных структур, и включает не только управленческие, но и на другие виды документов, информация которых составляет различные виды тайн, - служебную, коммерческую, профессиональную, банковскую, аудиторскую и т.п., за исключением государственной тайны.

Технологии распространяются не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите.

Требования к конфиденциальному делопроизводству и корпоративному документообороту

• регламентирование состава создаваемых документов, включая электронные документы, и процессов документирования на стадии подготовки черновиков и проектов документов
• обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов и черновиков

• необходимая полнота учетных и регистрационных данных о каждом электронном документе, а также носителей, технических средств, средств коммуникаций и др. в Реестре информационных ресурсов и АС
• фиксация прохождения и местонахождения каждого документа
• регламентация обшей технологии документирования, организации работы с документами и их защиты
• проведение систематических проверок наличия конфиденциальных документов
• разрешительная система доступа к документам, делам и АИС, обеспечивающая правомерное и санкционированное ознакомление с конфиденциальной информацией
• организация хранения документов и обращения с ними, которая должна обеспечивать сохранность и конфиденциальность информации
• регламентация обязанностей лиц, допущенных к работе с конфиденциальной информацией, по ее защите
• персональная и обязательная ответственность за учет, сохранность и защиту
  конфиденциальной информации и документов, а также и порядок обращения с ними

Первая задача

Организация и бесперебойное функционирование конфиденциальной деятельности не только с функциями управления, но и любого вида конфиденциальной деятельности

Главное требование: полнота , своевременность и достоверность конфиденциальной информации

Полнота и своевременность характеризуется объемом КДИ, который должен быть достаточным для принятия управленческих решений и выполнения служебных, коммерческих и производственных заданий и являться действительно необходимым, не содержащим избыточной для деятельности организации информации

Достоверность КДИ характеризуется соответствием объективному состоянию того или другого вопроса и, ее юридической силе, характеризующейся наличием и правильностью оформления соответствующих реквизитов документа, - в электронных документе, наличием электронно-цифровой подписи (ЭЦП)

Вторая задача технологий конфиденциального делопроизводства и корпоративного документооборота:

Обеспечение сохранности и конфиденциальности информации

Главное требование - создание и поддержания специальных условий хранения, обработки и обращения КДИ, гарантирующих надежную защиту, как самих документов, так и содержащейся в них информации

Достигается путем организации специального режима хранения конфиденциальной информации и обращения с ней, установления разрешительной системы допуска и доступа, разработки регламентированных технологий создания и обработки КДИ.

Обладатель информации, составляющей коммерческую тайну, имеет право:

• устанавливать, изменять и отменять в письменной форме режим коммерческой тайны;
• использовать информацию, составляющую коммерческую тайну, для собственных нужд в порядке, не противоречащем законодательству РФ;
• разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;
• вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;
• требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране её конфиденциальности;
• защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Право доступа к КДИ