Разрешительная система доступа к конфиденциальным документам. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Принципы построения разрешительной системы доступа

АННОТАЦИЯ

В статье рассматривается организационно-правовое регулирование вопросов допуска и доступа сотрудников организации к документированной информации ограниченного распространения. Организация санкционированного доступа к конфиденциальным документам является ключевой составляющей в вопросах защиты конфиденциальности информации.

ABSTRACT

This article examines the organizational and legal regulation of admittance and access for an organization"s employees to documented information of limited distribution. The organization, which authorized access to confidential documents, is a key component in protecting the confidentiality of information.

Актуальность применения разрешительной системы доступа к информации конфиденциального характера определяется исключительным значением информационной составляющей любого производственного процесса, разглашение которой может нанести ущерб организации.

Особый статус конфиденциальных документов предъявляет особые требования к работе с ними. Допуск к документам ограниченного распространения имеют лица, получившие на это соответствующее разрешение. Под доступом к конфиденциальной информации понимается ознакомление с ней, ее получение и использование конкретным физическим или юридическим лицом, санкционированные уполномоченным представителем.

Разрешительная система допуска и доступа предусматривает соблюдение ряда требований, установленных руководством организации, так как вопросы ограничения доступа к информации, а также определения порядка и условий доступа к ней находятся в сфере полномочий обладателя информации .

Федеральные законы устанавливают условия отнесения информации к сведениям, составляющим коммерческую, служебную тайну или иные виды тайн, обязательность соблюдения конфиденциальности информации, а также ответственность в случае ее разглашения .

Комплекс мероприятий разрешительной системы доступа направлен на сохранение функционирования информации в пределах защищаемой зоны или разрешенного круга лиц. В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» конфиденциальность информации – обязательное требование для лица, получившего доступ к конфиденциальной информации, не передавать ее третьим лицам без согласия ее обладателя .

Проблемными вопросами при установлении разрешительной системы доступа к конфиденциальным документам являются следующие:

Кто из руководителей организации наделяет сотрудников правом доступа к информации ограниченного распространения;

На каком основании производится допуск;

Разрабатывая систему доступа к конфиденциальным документам, необходимо учитывать основные требования.

1. Для доступа к информации ограниченного характера в обязательном порядке с сотрудниками организации заключается обязательство о неразглашении (по соответствующему виду тайны).
2. Сотрудники должны испытывать служебную необходимость ознакомления с какой-либо конфиденциальной информацией, то есть доступ к документам должен быть обоснованным.
3. В силу исполнения служебных обязанностей работник должен получить доступ к необходимым документам, которые требуются для выполнения конкретной задачи.
4. Получение доступа к документированной информации ограниченного распространения должно быть санкционированным. Уполномоченное лицо дает разрешение на ознакомление с документами, находящимися в сфере курируемых им вопросов и только установленному кругу лиц.
5. По каждому конкретному документу готовится письменное разрешение. В случае необходимости работы пользователя с частью конфиденциального документа в разрешении на ознакомление отмечаются указанные разделы, пункты или статьи, с которыми следует ознакомить исполнителя.

Правом на разрешение доступа к конфиденциальным документам наделены следующие категории лиц руководящего состава.

Неограниченными полномочиями обладает руководитель организации, который дает разрешение на доступ к любым видам конфиденциальных документов всем категориям работников.

Его заместители предоставляют доступ к конфиденциальным документам сотрудникам своих подразделений в пределах сферы своей деятельности.

Руководители структурных подразделений уполномочены давать разрешение на доступ к документам ограниченного распространения работникам своих подразделений. Сотрудники иных отделов имеют право работать с конфиденциальными документами на основании разрешения руководителя организации или его заместителя.

Первые заместители руководителей и должностные лица, временно исполняющие обязанности, вправе давать разрешение на доступ к таким документам в объеме всех прав, предусмотренных для замещаемых ими лиц.

Должностные лица органов государственной, муниципальной власти получают право доступа к конфиденциальным документам (служебной, коммерческой, налоговой, банковской тайнам) на основании мотивированного требования, содержащего цель, правовое основание, срок предоставления информации. Указанные органы обязаны соблюдать меры по охране конфиденциальности информации.

Регулирование вопросов доступа к информации, представляющей коммерческую (служебную) тайну, осуществляется на основе внутреннего организационно-распорядительного документа – Положения о разрешительной системе доступа, в котором должны быть предусмотрены все ключевые моменты, касающиеся установления, изменения, прекращения режима конфиденциальности информации.

В целях допуска персонала к конфиденциальной информации работодатель может ознакомить сотрудника с перечнем информации конфиденциального характера или на этапе приема на работу, в ходе оформления с ним трудовых отношений, или непосредственно в процессе исполнения им трудовых обязанностей.

Работодатель обязан в письменной форме ознакомить сотрудника с режимом конфиденциальности и мерами ответственности за его несоблюдение.

Таким образом, разрешительная система направлена на то, чтобы ограничить и регламентировать состав сотрудников, должностные обязанности которых предполагают работу с конфиденциальной информацией, а также исключить возможность несанкционированного ознакомления с ней посторонних лиц.

Список литературы:

1. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014)
«О коммерческой тайне» // КонсультантПлюс / [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_48699/ (дата обращения: 27.05.2017).
2. Федеральный закон от 27.07.2006 N 149-ФЗ
(ред. от 19.12.2016) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.01.2017) // КонсультантПлюс / [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 27.05.2017).

Регламентация доступа персонала к конфиденциальным сведе­ниям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка дос­тупа лежит в основе режима конфиденциальности проводимых фир­мой работ.

Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает. Режим представляет собой совокупность ограничительных пра­вил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и до­кументам. Любой режим базируется на так называемой разреши­тельной системе. Разрешительная система в общем виде предусмат­ривает необходимость получения специального разрешения на осу­ществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей,

Принципы построения разрешительной системы доступа:

Надежность, т.е. относительное исключение возможности не­санкционированного доступа посторонних лиц к докумен­там в обычных и экстремальных условиях;

Полнота охвата всех категорий исполнителей и всех катего­рий документов, информации на любых носителях;

Конкретность, т.е. исключение двоякого толкования и одно­значность решения о доступе;

Производственная необходимость как единственный крите­рий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденци­альным сведениям, документам и базам данных, исключе­ние возможности бесконтрольной и несанкционированной выдачи таких разрешений;

Строгая регламентация порядка работы всех категорий сотруд­ников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

Ограничения и регламентации состава сотрудников, функ­циональные обязанности которых требуют знания тайны фир­мы и работы с ценными документами; строгого избирательного и обоснованного распределения до­кументов и информации между сотрудниками;

Обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

Беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделен­ному ему офисному рабочему оборудованию и компьютеру;

Исключение возможности для посторонних лиц несанкцио­нированного ознакомления с конфиденциальной информа­цией в процессе работы сотрудника с документами, делами и базами данных;

Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование со­трудником защищаемой информации (коллективный конт­роль за работой сотрудников). Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосред­ственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотруд­ника фирмы или иного лица на доступ к сведениям (информа­ции) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информа­ции на передачу ее для работы конкретному лицу. Оформление допуска, т.е. согласия лица на определенные огра­ничения в использовании информации, всегда носит доброволь­ный характер.

Наличие допуска предоставляет сотруднику фор­мальное право работать со строго определенным кругом конфи­денциальных документов, баз данных и отдельных сведений. Как отмечалось выше, к конфиденциальной информации до­пускаются, как правило, лица, проработавшие в фирме определен­ное время и зарекомендовавшие себя с положительной стороны. В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствую­щим пунктом в контракте (трудовом договоре). Допуск может офор­мляться приказом первого руководителя с указанием типового со­става сведений, с которыми разрешается работать данному сотруд­нику или группе сотрудников.

Допуск может носить временный характер на период выполнения определенной работы и пересмат­риваться при изменении профиля работы сотрудника. Законодательством США предусмотрено, что никто не имеет, права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руко­водитель, который распоряжается этой информацией и осуществ­ляет за ней контроль, Доступ - практическая реализация каждым сотрудником пре­доставленного ему допуском права на ознакомление и работу с Определенным составом конфиденциальных сведений, документов и баз данных.

Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отно­шении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется. Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

Наличие подписанного приказа первого руководителя о при­еме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на долж­ность, в функциональную структуру которой входит работа с данной, конкретной информацией;

Наличие подписанного сторонами трудового договора (кон­тракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших извест­ными конфиденциальных сведений и соблюдении правил их защиты;

Соответствие функциональных обязанностей сотрудника пе­редаваемым ему документам и информации;

Знание сотрудником требований нормативно-методических до­кументов по защите информации и сохранении тайны фирмы;

Наличие необходимых условий в офисе для работы с конфи­денциальными документами и базами данных;

Наличие систем контроля за работой сотрудника.

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются пол­номочным руководителем, а не Самими потребителями.

Суще­ствует общее, обязательное правило: исполнители, которым до­кумент не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем. Структура процедуры разграничения доступа должна быть мно­гоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уро­вень доступа, тем уже круг допущенных лиц», «чем выше цен­ность сведений, тем меньшее число сотрудников может их знать».

В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разраба­тывается с учетом двух аспектов: а) выдача разрешений в зависи­мости от категорий документов и б) выдача разрешений в зави­симости от занимаемой должности. Графы схемы: категории доку­ментов, должностные лиц;), дающие разрешение, категории ис­полнителей. кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения. Может составляться матрица полномочий, в которой по гори­зонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников,

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соот­ветствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по спе­циальному перечню, утвержденному первым руководителем. Необходимо добиваться минимизации для персонала привиле­гий по доступу к информации. При сбое в системе защиты инфор­мации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служеб­ного расследования.

Разграничение доступа основывается на однозначном расчлене­нии информации по тематическим группам, уровням конфиден­циальности этих групп и пользователям, которым эта информа­ция необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персо­нала в конфиденциальных сведениях. Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть.

Дробле­ние информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника. При составлении конфиденциального документа следует учи­тывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной про­цедуры доступа персонала к данному документу. Поэтому доку­мент необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению. В соответствии с иерархической последовательностью доступа определяйся структура рубежей защиты информации, которая пре­дусматривает постепенное ужесточение защитных мер по иерархичес­кой вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень за­щищенности информации. Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемые ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответствен­ность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами. Руководитель фирмы имеет право давать разрешение на озна­комление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам.

Однако целесо­образно, чтобы первый руководитель оставлял за собой право рас­поряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоя­щим руководителям. Следует иметь в виду, что чрезмерная центра­лизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либера­лизация создает условия для утраты пенных сведении. Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др) имеют пра­во давать разрешение на ознакомление с конфиденциальными све­дениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений дается право разре­шать доступ к конфиденциальным сведения всем работникам сво­их подразделении по тематике их работы. Руководитель подразде­ления может давать разрешение только непосредственно подчи­ненным ему сотрудникам, Для осуществления доступа к докумен­там данного подразделения работника другого подразделения не­обходимо разрешение соответствующего заместителя руководителя фирмы. Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их ком­петенции.

В небольших фирмах разрешение на доступ дает только первый руководитель. Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководи­тель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятии руковод­ствуются теми обязательствами, которые были закреплены в со­ответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и инфор­мации устной, визуальной и любой другой. В этом случае разреше­ние на доступ дает должностное лицо фирмы, включенное в спе­циальный перечень, прилагаемый к договору и утвержденный пер­вым руководителем.

Руководитель фирмы, вне зависимости от формы ее собствен­ности, может устанавливать иные специальные или дополнитель­ные правила доступа к конфиденциальным сведениям, докумен­там, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную от­ветственность. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. ре­золюцией на документе, приказом, утверждающим схему имен­ного или должностного доступа к конкретным группам информа­ции, утвержденным руководителем списком-разрешением на об­ложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тема­тике) и лица, визировавшие, подписавшие, утвердившие доку­мент. Без специального разрешения могут допускаться также лица. указанные в тексте распорядительных документов.

Если сотрудник допускается только к части документа, то в разрешении (резо­люции) четко указываются конкретные пункты, разделы, стра­ницы, приложения, с которыми он может ознакомиться. Сотруд­ник службы конфиденциальной документации (КД) обязан при­нять необходимые меры по исключению возможности ознакомле­ния исполнителя с другими частями документа. Разрешение на доступ к конфиденциальным сведениям пред­ставителя другой фирмы или предприятия оформляется резолю­цией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолю­ции должны быть указаны.конкретные документы или сведения, к которым разрешен доступ.

Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого пред­приятия с этими сведениями и несет ответственность за его работу В помещении фирмы. Следует соблюдать правило, по которому регистрируются все лица. имеющие доступ к определенным документам, коммерчес­ким секретам. Это позволяет на высоком уровне осуществлять ин­формационное обеспечение аналитической работы по выявлению возможных каналов утраты информации. При организации доступа сотрудников фирмы к конфиден­циальным массивам электронных документов, базам данных необ­ходимо помнить о его многоступенчатом характере.

Можно выде­лить следующие главные составные части: доступ к персональному компьютеру, серверу или рабочей станции; доступ к машинным, носителям информации, хранящимся вне ЭВМ; непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей стан­ции, которые используются для обработки конфиденциальной ин­формации. предусматривает:

Определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в по­мещение, в котором находится соответствующая вычисли­тельная техника, средства связи;

Регламентацию первым руководителем временного режима на­хождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководите­лем подразделения или направления деятельности фирмы на­личия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отклю­чения охранных технических средств информации и сигнализирования, определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

Организацию контролируемого (в необходимых случаях про­пускного) режима входа в указанные помещения и выхода из них;

Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования поме­щений;

Организацию выноса из указанных помещений материаль­ных ценностей, машинных и бумажных носителей информа­ции; контроль вносимых в помещение и выносимых персо­налом личных вещей. Несмотря на то, что по окончании рабочего дня конфиденци­альные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых на­ходится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко уста­новить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восста­новить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»). Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

Организацию учета и выдачи сотрудникам чистых машин­ных носителей информации;

Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информа­цией (основных и резервных);

Определение и регламентацию первым руководителем состава. сотрудников, имеющих право оперировать конфиденциаль­ной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

Организацию системы закрепления за сотрудниками ма­шинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

Организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эва­куации носителей в экстремальных ситуациях;

Определение и регламентацию первым руководителем соста­ва сотрудников не сдающих по объективным причинам тех­нические носители информации на хранение службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников, Работа сотрудников службы КД и фирмы в целом с машин­ными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной инфор­мации он успешно прошел. В конечном счете он может просто уне­сти компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными база­ми данных и файлами; контроль системы доступа админист­ратором базы данных;

Именование баз данных и файлов, фиксирование в машин­ной памяти имен пользователей и операторов, имеющих право доступа к ним;

Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

Регистрацию входа в базу данных, автоматическую регист­рацию имени пользователя и времени работы; сохранение первоначальной информации;

Регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автома­тическое отключение компьютера;

Установление и нерегулярное по сроку изменение имен пользо­вателей, массивов и файлов (паролей, кодов, классифика­торов, ключевых слов и т.п.), особенно при частой смене персонала;

Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

Механическое (ключом или иным приспособлением) блоки­рование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.

Коды, пароли, ключе­вые слова, ключи, шифры, специальные программные про­дукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специали­зированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором.

Применение пользовате­лем собственных кодов не допускается. Следовательно, процедуры допуска и доступа сотрудников к кон­фиденциальной информации завершают процесс включения дан­ного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и кон­фиденциальные сведения.

Информационная безопасность. Курс лекций Артемов А. В.

Работа персонала с конфиденциальным документом – комплекс требований по соблюдению руководителями всех рангов и сотрудниками фирмы специальных ограничительных и технологических норм, предупреждающих утрату документа, носителя, дела или утрату конфиденциальности информации и в определенной степени гарантирующих информационную безопасность фирмы. Требования предусматривают: наличие у сотрудника оборудованного необходимым образом рабочего места, строгое соблюдение им разрешительной системы доступа к конфиденциальным документам, носителям и делам, учет во внутренней описи всех конфиденциальных материалов, находящихся у руководителя или исполнителя, правильное хранение документов на рабочем месте, своевременную, ежедневную сдачу документов в службу конфиденциальной документации, строгое исполнение запретительных пунктов соответствующей инструкции, немедленное информирование руководства фирмы об утрате документа или разглашении информации. На рабочем столе любого сотрудника фирмы всегда должен быть только тот документ и материалы к нему, с которыми он работает. Другие документы должны находиться в запертом сейфе (металлическом шкафу).

Работа с персоналом, обладающим конфиденциальной информацией – комплекс мер предупредительного, профилактического, текущего характера, предназначенных для приобретения персоналом устойчивых знаний и навыков выполнения действующих правил защиты информации, а также для контроля за соблюдение персоналом требований обеспечения информационной безопасности фирмы. Включает в себя: обучение и систематическое инструктирование сотрудников, проведение регулярной индивидуальной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами, постоянный контроль за работой этих сотрудников, аналитическую работу по изучению и учету степени осведомленности персонала в области конфиденциальных работ фирмы, проведение служебных расследований по фактам утраты конфиденциальных документов, нарушения персоналом требований по защите информации, совершенствование методики текущей работы с персоналом.

Работа службы конфиденциальной документации с исполнителями – ежедневная выдача и прием от исполнителя конфиденциального документа (комплекта документов или опечатанного кейса с документами), контроль за работой исполнителя с конфиденциальными документами. При выдаче документа проверяется в присутствии исполнителя: наличие разрешения на доступ данного сотрудника к конкретному документу (в резолюции, схеме доступа и др.), комплектность документа и физическая сохранность всех его частей. После проверки исполнитель расписывается в учетной карточке или карточке учета выдачи документа и вносит сведения о документе во внутреннюю опись документов, находящихся у исполнителя. Работник, службы конфиденциальной документации вносит отметку в контрольный журнал о местонахождении документа (см. Учет местонахождения документа). При приеме документа от исполнителя проверяется: соответствие реквизитов документа данным, указанным в его учетной форме, комплектность документа, количество листов (перелистыванием), отсутствие подмены или порчи листов и других частей документа. Роспись сотрудника службы конфиденциальной документации в приеме документа ставится только после проведения указанной проверки.

Проставляется роспись в учетной форме или карточке учета выдачи документа. Сотрудник делает также отметку о возврате документа во внутренней описи документов, находящихся у исполнителя. Одновременно в контрольный журнал вносится запись о новом местонахождении документа. Электронные документы передаются исполнителю в копии после получения от него росписи в бумажном экземпляре электронной учетной карточки документа или электронной подписи непосредственно в самой электронной учетной карточке, находящейся в компьютере службы конфиденциальной документации. При выдаче и приеме документа должна быть исключена возможность ознакомления с документом или его учетной формой посторонних лиц. Контроль правильности работы исполнителя с конфиденциальными документами на рабочем месте проверяется службой конфиденциальной документации не реже одного раза в квартал.

Разведка в бизнесе – аналитическая работа с использованием методов легального получения конфиденциальной информации, изучения устремлений и направленности интересов конкурентов и партнеров фирмы в рамках добросовестной конкуренции.

Разглашение конфиденциальной информации – несанкционированный выход конфиденциальных сведений и документов за пределы круга лиц, которым они были доверены или стали известны по службе. Разглашение (огласка, оглашение) информации происходит по вине персонала – случайно, ошибочно или умышленно, добровольно (инициативно) или под воздействием угроз, шантажа, применения наркотических средств, психотропных препаратов. Информацию разглашает всегда человек – устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников, с использованием средств связи и многими другими способами.

Раздробление тайны – классифицированное (иерархическое) дробление предметной совокупности конфиденциальной информации на тематические группы, отдельные элементы, части, известные разным сотрудникам фирмы. Разглашение остальной части сведений в этом случае не имеет большого практического смысла.

Разрешительная (разграничительная) система доступа к информации - совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и конфиденциальных сведений. Составная часть системы защиты информации. Система решает следующие задачи: ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с конфиденциальными документами, строгого избирательного и обоснованного распределения документов и информации между сотрудниками; обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных); беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (рабочую зону), к выделенному ему офисному рабочему оборудованию и компьютеру; исключения возможности несанкционированного ознакомления посторонних лиц с конфиденциальной информацией; рационального размещения рабочих мест сотрудников, исключающего бесконтрольное использование ими защищаемой информации. Система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям.

Расследование служебное – установление причин и лиц, виновных в разглашении или утечке информации, утрате документа, носителя или конфиденциальности информации, утраты продукции, содержащей ценные новшества, и других грубых нарушениях правил защиты информации. Проводится сотрудниками службы безопасности фирмы и предназначено для выяснения всех обстоятельств и их последствий, связанных с конкретным фактом. В ходе расследования устанавливаются причины случившегося и виновные лица. По результатам расследования делаются выводы о мере ответственности виновных лиц, даются рекомендации по устранению причин случившегося и исключению подобных фактов в будущем. При необходимости к расследованию привлекаются частные детективные агентства.

Режим – совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ и пребывание на определенной территории, в здании, помещениях, регулирующих порядок ознакомления с защищаемой информацией и документами, предпринимаемых в целях информационной безопасности фирмы. Базируется на разрешительной системе доступа.

Режим конфиденциальности – комплекс мер, входящих в состав действующей в фирме системы защиты информации и обеспечивающих особый правовой статус организации работы сотрудников фирмы. Осуществляется и контролируется службой безопасности фирмы. Включает в себя: разрешительную систему доступа, пропускной режим, особые правила приема на работу сотрудников и текущей работы с персоналом, учет осведомленности каждого сотрудника в тайне фирмы, контроль соблюдения сотрудниками инструкций по защите информации, выполнение охранных мероприятий, в том числе в рабочее время, функционирование специальных технологических систем обработки и хранения конфиденциальных документов и электронной информации, ведение аналитической работы.

Режим пропускной – ограничение на право входа на территорию, в здание или помещения фирмы и регламентация порядка выхода из них. Распространяется на въезд и выезд транспортных средств. Предусматривает также ограничение на право вносить (выносить) или ввозить (вывозить) определяемые руководством фирмы предметы, оборудование и т. п. без специального разрешения полномочных должностных лиц. Ограничивается право сотрудников вносить на территорию фирмы личные вещи, которые могут стать каналом утраты конфиденциальной информации (фотоаппараты, видео– и аудиотехнику, средства связи, дискеты, объемные сумки, кейсы и др.). Пропускной режим реализуется системой пропусков – постоянных, временных, разовых, материальных, транспортных, которые предъявляются на контрольно-пропускном пункте. Наличие пропуска дает право находиться в здании и определенных помещениях фирмы, получать необходимые для работы документы, дела, дискеты, выносить (вывозить) с территории фирмы указанные в пропуске предметы. Пропуска в зависимости от их категории могут быть различной формы, цвета, иметь полосы, снабжаться фотокарточкой владельца и иными идентифицирующими признаками, содержать указание на ограничения в перемещении по зданию. Для контроля за выполнением порядка доступа в помещения фирмы наиболее удобны пропуска-идентификаторы, носимые сотрудниками и посетителями на одежде.

Реквизит документа – обязательный элемент оформления официального документа (вид документа, его автор, дата, подпись и др.).

ПРИНЦИПЫ РАБОТЫ С КОНФИДЕНЦИАЛЬНОЙ ДОКУМЕНТИРОВАННОЙ ИНФОРМАЦИЕЙ В КОРПОРАТИВНОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ

Конфиденциальная информация

Термин «конфиденциальный» от лат. сonfidential, – доверие, означает: доверительный, не подлежащий огласке.

Конфиденциальной информациейявляется информация, требующая защиты

НЕОТЪЕМЛЕМАЯ ЧАСТЬ ЛЮБОГО УПРАВЛЕНИЯ -ДОКУМЕНТАЦИОННОЕ ОБЕСПЕЧЕНИЕ

Документационное обеспечение управления (ДОУ) - это деятельность аппарата управления государственных и не государственных структур по реализации их функций, охватывающая документирование на всех видах носителей и организацию работы с документами, информационную безопасность технологий электронного документооборота и защиту информации на всех этапах жизненного цикла документа.

Разработка документов обеспечивающих защиту конфиденциальной информации

В соответствии с новыми нормативно - методическими документами, для защиты конфиденциальной информации на предприятии, должны быть разработаны следующие документы:

• Перечень сведений, составляющих конфиденциальную информацию предприятия;
• Договорное обязательство о неразглашении КИ;
• Инструкция по защите конфиденциальной информации;
• Инструкция о работе с иностранными фирмами и их представителями;
• Соглашение о конфиденциальности (между организациями).

Настоящая инструкция должна быть разработана в соответствии с нормативными актами, нормативно-методических документов по делопроизводству и архивному делу Российской Федерации (если живёте, например на Украине, то соответственно в соотв. С норм. Док Украины и т.д.).

Инструкция должна состоять из следующих разделов:

1. Общие положения.

2. Конфиденциальная информация. В этом разделе должны быть описаны существующие грифы конфиденциальной информации.

3. Ответственность за разглашение конфиденциальной информации. Для начала надо вспомнить что же такое разглашение сведений Разглашением сведений, составляющих конфиденциальную информацию, признается не вызванное интересами предприятия, умышленное или неосторожное действие либо сообщение, в результате которого такие сведения стали известны посторонним лицам.

И что такое утрата информации. Под утратой документов, содержащих сведения конфиденциальную информацию понимается выход (в том числе и временный) документов из владения ответственного за их сохранность лица, которому они были доверены по работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы стали или могут стать достоянием посторонних лиц.

И самое главное что должно быть в этом разделе – это виды ответственности за разглашение конфиденциальной информации.

4. Система допуска сотрудников к сведения, составляющим конфиденциальной информации. Система доступа к конфиденциальным документам – это совокупность установленных положений, обеспечивающих обоснованный и правомерный доступ исполнителей к необходимому им для производственной деятельности объему документов, сведений, содержащих конфиденциальную информацию.

В этом разделе следует описать цели допуска сотрудников к существующим грифам конфиденциальности. Должны быть перечислены сотрудники Вашего предприятия, имеющие право давать разрешение на доступ к конфиденциальной информации. Так же следует описать технологию оформления разрешения на доступ к конфиденциальной информации. И ещё описать порядок доступа на совещания по вопросам, содержащим конфиденциальные сведения. Самое главное следует не забывать что совещания (на которых заходит речь о КИ предприятия) с участием представителей других организаций проводятся с разрешения руководителя предприятия. На совещания или переговоры допускаются ТОЛЬКО те сотрудники, которые имеют непосредственное отношение к обсуждаемым вопросам и участие которых вызывается служебной необходимостью. Обсуждение конфиденциальных вопросов может производиться только в помещении, специально выделенном для этих целей. Ответственность за сохранение конфиденциальной информации несет руководитель, организовавший данное совещание или переговоры.

4.1.Круг лиц, имеющих право давать на доступ к конфиденциальной информации.

4.2.Порядок оформления разрешения на доступ к конфиденциальным документам.

4.3.Порядок доступа на совещания по вопросам, содержащим конфиденциальные сведения.

5. Подготовка и издание конфиденциальных документов.

6. Учет, прохождение и отправление изданных конфиденциальных документов.

7. Прием, учёт и прохождение поступивших документов.

8. Учет документов выделенного хранения.

9. Учёт журналов и картотек.

10. Организация хранения конфиденциальных документов.

11. Организация и технология контроля исполнения конфиденциальных документов.

12. Размножение документов

13. Уничтожение документов

14. Составление и оформление дел с грифом «Конфиденциально»

15. Формирование и оформление дел

16. Проверка наличия конфиденциальных документов.

17. Подготовка конфиденциальных документов на архивное хранение

18. Порядок передачи конфиденциальных документов в архив.

Жизненный цикл КДИ

Технологии распространяются на различные виды, служебной, производственной, коммерческой и другой деятельности государственных и негосударственных структур, и включает не только управленческие, но и на другие виды документов, информация которых составляет различные виды тайн, - служебную, коммерческую, профессиональную, банковскую, аудиторскую и т.п., за исключением государственной тайны.

Технологии распространяются не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите.

Требования к конфиденциальному делопроизводству и корпоративному документообороту

• регламентирование состава создаваемых документов, включая электронные документы, и процессов документирования на стадии подготовки черновиков и проектов документов
• обязательный поэкземплярный и полистный учет всех, без исключения, документов, проектов и черновиков

• необходимая полнота учетных и регистрационных данных о каждом электронном документе, а также носителей, технических средств, средств коммуникаций и др. в Реестре информационных ресурсов и АС
• фиксация прохождения и местонахождения каждого документа
• регламентация обшей технологии документирования, организации работы с документами и их защиты
• проведение систематических проверок наличия конфиденциальных документов
• разрешительная система доступа к документам, делам и АИС, обеспечивающая правомерное и санкционированное ознакомление с конфиденциальной информацией
• организация хранения документов и обращения с ними, которая должна обеспечивать сохранность и конфиденциальность информации
• регламентация обязанностей лиц, допущенных к работе с конфиденциальной информацией, по ее защите
• персональная и обязательная ответственность за учет, сохранность и защиту
  конфиденциальной информации и документов, а также и порядок обращения с ними

Первая задача

Организация и бесперебойное функционирование конфиденциальной деятельности не только с функциями управления, но и любого вида конфиденциальной деятельности

Главное требование: полнота , своевременность и достоверность конфиденциальной информации

Полнота и своевременность характеризуется объемом КДИ, который должен быть достаточным для принятия управленческих решений и выполнения служебных, коммерческих и производственных заданий и являться действительно необходимым, не содержащим избыточной для деятельности организации информации

Достоверность КДИ характеризуется соответствием объективному состоянию того или другого вопроса и, ее юридической силе, характеризующейся наличием и правильностью оформления соответствующих реквизитов документа, - в электронных документе, наличием электронно-цифровой подписи (ЭЦП)

Вторая задача технологий конфиденциального делопроизводства и корпоративного документооборота:

Обеспечение сохранности и конфиденциальности информации

Главное требование - создание и поддержания специальных условий хранения, обработки и обращения КДИ, гарантирующих надежную защиту, как самих документов, так и содержащейся в них информации

Достигается путем организации специального режима хранения конфиденциальной информации и обращения с ней, установления разрешительной системы допуска и доступа, разработки регламентированных технологий создания и обработки КДИ.

Обладатель информации, составляющей коммерческую тайну, имеет право:

• устанавливать, изменять и отменять в письменной форме режим коммерческой тайны;
• использовать информацию, составляющую коммерческую тайну, для собственных нужд в порядке, не противоречащем законодательству РФ;
• разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;
• вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;
• требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране её конфиденциальности;
• защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Право доступа к КДИ

Ключевым звеном в защите конфиденциальной информации, в том числе информации, циркулирующей в АИС, или, иначе, системах конфиденциального электронного документооборота, является организация санкционированного (разрешенного) доступа к ней.

Разрешительная система допуска и доступа к конфиденциальной информации основана на выполнении установленных руководством организации нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальной информации. При этом под допуском к конфиденциальной информации понимается процедура оформления права граждан на доступ к такой информации, а для организаций, предприятий, учреждений - права на проведение работ с использованием такой информации. Доступ к информации - это возможность ее получения и использования. Под доступом к конфиденциальной информации понимается санкционированное полномочным должностным лицом ознакомление с данной информацией, ее получение и использование конкретным физическим или юридическим лицом.

При этом право давать разрешение на ознакомление и право работать может быть предоставлено только лицам, имеющим доступ к конфиденциальной информации.

При установлении разрешительной системы доступа к конфиденциальной информации должны быть обеспечены такие требования, как:

• · надежность -- исключение возможности несанкционированного доступа (НСД) посторонних лиц к КДИ и конфиденциальной информации, циркулирующей в АИС. в обычных и экстремальных условиях (под экстремальными условиями понимаются чрезвычайные ситуации. пожары, наводнения и др.):
• · полнота охвата всех категорий исполнителей и всех категорий конфиденциальной информации;
• · конкретность и однозначность решения о доступе (да/нет);
• · производственная и служебная необходимость - единственный критерий доступа к конфиденциальной информации;
• · определенность состава должностных лиц. дающих санкцию на доступ к конфиденциальной информации, исключение возможности бесконтрольной и несанкционированной выдачи таких санкций;
• · регламентация и организация работы всех категорий персонала с конфиденциальной информацией;
• · соответствие функциональных обязанностей работника передаваемой ему конфиденциальной документированной информации;
• · наличие нормативно-методических документов и положений по защите и охране конфиденциальной информации, режиму конфиденциальности информации и доступа к ней, в том числе утвержденного Перечня конфиденциальной документированной информации, Реестра конфиденциальной информации и АИС;
• · наличие необходимых условий в зданиях, помещениях, кабинетах для работы с конфиденциальной документированной информацией:
• · оформление разрешения на ознакомление с конфиденциальной информацией;
• · ознакомление пользователя, при необходимости, только с частью конфиденциального документа, при этом в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя, если конфиденциальная документированная информация находится на бумажном носителе.

Разрешительная система должна предусматривать порядок доступа к конфиденциальной информации граждан, других должностных лиц и организаций, например при выполнении совместных работ и услуг.

Следует иметь в виду, что сотрудники уполномоченных органов государственной власти и органов местного самоуправления (далее - уполномоченные органы), например налоговая служба, служба судебных приставов, органы МВД и др., имеют право на доступ к различным видам конфиденциальной информации в пределах компетенции, определенной для таких органов законодательством Российской Федерации. Поэтому организации, обладающие конфиденциальной информацией, обязаны нс только знакомить должностных лиц уполномоченных органов с конфиденциальной документированной информацией, но и предоставлять им в распоряжение конфиденциальные документы в случаях, установленных законодательством Российской Федерации.

Уполномоченные органы обязаны обеспечить защиту полученной информации от разглашения и неправомерного использования должностными лицами и иными служащими этих органов, которые ознакомились с конфиденциальной информацией в связи с выполнением служебных обязанностей. Это положение относится к служебной, налоговой и коммерческой, банковской тайнам. За разглашение или неправомерное использование содержащейся в документах конфиденциальной информации данные органы несут перед обладателем этой информации правовую ответственность.