П
П
Передача конфиденциальных документов руководителям и исполнителям — усложненный по сравнению с аналогичной стадией обработки открытых документов комплекс процедур, выполняемый службой конфиденциальной документации и предусматривающий как оперативное доведение документа до исполнителя, так и соблюдение действующей в фирме разрешительной системы доступа персонала к конфиденциальным документам, которая лежит в основе избирательности в доставке документирован ной информации руководителям и исполнителям, и порядка возложения или снятия с них персональной ответственности за документ. Следует учитывать, что пользователь (потребитель) конфиденциальной информации руководствуется указаниями руководителя при определении, какая информация ему нужна и какой информацией он может пользоваться. Передача документов сопровождается выполнением следующих процедур: оформление в учетной форме факта передачи; рассмотрение документа руководителем; оформление и передача документа исполнителю или на другой участок службы конфиденциальной документации (см. также Обработка поступивших документов. Работа службы конфиденциальной документации с исполнителями). Передача документов между руководителями и исполнителями осуществляется только через службу конфиденциальной документации с обязательным фиксированием динамики изменения местонахождения документа. Передача документов руководителям без росписи или через секретарей, референтов, помощников не допускается.
Перечень конфиденциальных документов – систематизированный список получаемых и издаваемых конфиденциальных документов фирмы, составляется на основе перечня конфиденциальных сведений. Предназначен для регламентации рационального состава конфиденциальных документов и их основных характеристик, в частности уровня грифа конфиденциальности сведений, состава сотрудников, допущенных к документу, минимально необходимого объема конфиденциальных сведений, включаемых в документ, сроков конфиденциальности документа и др. Перечень регулярно изменяется и дополняется в соответствии исправлениями, вносимыми в перечень конфиденциальных сведений фирмы.
Перечень конфиденциальных сведений – классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Форма отнесения информации фирмы к категории защищаемой. В основе перечня обычно лежит типовой состав ценных сведений фирм данного профиля. Наличие перечня – одно из главных условий эффективного функционирования системы защиты информации. Перечень формируется индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждается первым руководителем фирмы. Перечень – это многоцелевой документ, предназначенный для: выделения конфиденциальных документов из общего потока документов, реализация разрешительной системы доступа персонала к конфиденциальным сведениям и документам, использования в качестве доказательства в суде при рассмотрении дел о краже ценной информации. При составлении перечня производится расчленение (дробление) тайны фирмы на отдельные информационные элементы, известные разным лицам. Одновременно в перечне регламентируется срок конфиденциальности сведений, уровень грифа конфиденциальности и состав сотрудников, которым дано право пользоваться этими сведениями. Перечень является рабочим инструментом и должен постоянно обновляться и корректироваться в соответствии с динамикой изменений в деятельности фирмы. На основе перечня может составляться перечень конфиденциальных документов фирмы.
Перечень секретных сведений – наиболее распространенная в России форма засекречивания информации. Составляется отраслевыми и ведомственными органами управления на основе Закона Российской Федерации «О государственной тайне» и Перечня сведений, отнесенных к государственной тайне, утвержденных Президентом Российской Федерации и подлежащих обязательному опубликованию. Отраслевая принадлежность засекречиваемых сведений означает привязку их к определенной сфере производственной деятельности, ведомственная принадлежность – привязку сведений к органу государственной власти. Программно-целевое засекречивание сведений означает их принадлежность к целевым программам научно-исследовательских и опытно-конструкторских работ, охватывающих чаще всего несколько отраслей промышленности.
Персональные данные – информация о гражданах, лицах, особах, персонах, личностях, персоналиях, т. е. любая, в том числе недокументированная, информация, относящаяся к конкретному человеку. Субъектами персональных данных являются граждане РФ, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Персональные (личные) данные всегда входят в категорию конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Запрещается ограничение прав граждан как результат использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности. Персональные данные находят отражение прежде всего в персональных и других документах кадровой службы, в информационно-документационной системе, обеспечивающей управление персоналом.
Подбор персонала для работы с конфиденциальной информацией — комплекс аналитических процедур, позволяющих убедиться в высоком уровне моральных, личных и профессиональных качеств претендента на должность, связанную с владением конфиденциальной информацией. Усложнение процесса подбора претендента на указанную должность связано с высокой степенью ответственности за принятие решения о допуске лица к тайне фирмы и наличием даже в больших фирмах достаточно ограниченного контингента сотрудников, работающих с конфиденциальной информацией. Аналитические процедуры включают: тщательную проверку предоставленных кандидатами персональных документов, опрос авторитетных для фирмы лиц, лично знающих каждого кандидата, проведение с кандидатом ряда собеседований и при необходимости тестирований, отбор из нескольких кандидатов реального претендента на должность, подписание контракта о временной работе в целях более глубокого и всестороннего изучения качеств претендента. Такие же процедуры проводятся при переводе сотрудника фирмы на должность, связанную с владением конфиденциальной информацией.
Подлинник (официального) документа – первый или единичный экземпляр официального документа.
Подмена документа – противоправное действие, совершаемое сотрудником фирмы или иным лицом в целях сокрытия факта кражи или утери документа, его части (листа, приложения и др.), копии; представляет собой попытку снятия с себя подозрения или ответственности за утрату носителя и конфиденциальности информации. Осуществляется путем фальсификации и диктуется, как правило, чувством страха. Сотрудник или иное лицо, являющиеся злоумышленником или его сообщником, совершают подмену обдуманно и на профессиональном уровне.
Пользователь (потребитель) информационных ресурсов – лицо (субъект), обращающееся к информационной системе или посреднику за получением необходимой ему информации и пользующееся ею. Пользователь не может участвовать в проектировании, модернизация или эксплуатации, контроле эффективности системы защиты информации.
Посетитель – 1) лицо, которому необходимо решить определенный круг деловых или личных вопросов с руководителями и менеджерами фирмы; 2) лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности фирмы.
Посетители – сотрудники фирмы делятся на:
• сотрудников, имеющих право свободного входа в кабинет руководителя в любое время рабочего дня (заместители руководителя, референты, секретари);
• сотрудников, работающих с руководителем в режиме вызова или решающих с ним деловые вопросы в часы приема по служебным делам (нижестоящие руководители, эксперты, специалисты-менеджеры);
• сотрудников, инициирующих свой прием руководителем в часы приема по личным вопросам.
Посетители, не являющиеся сотрудниками фирмы, и в соответствии с характером их взаимоотношений с фирмой могут подразделяться на:
• лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью фирмы (акционеры, члены различных советов и др.);
• представителей государственных учреждений и организаций, с которыми фирма сотрудничает в соответствии с законом (работники различных инспекций, муниципальных органов управления, правоохранительных органов и др.);
• сотрудничающих с фирмой физических лиц и представителей предприятий и организаций, банков, рекламных агентств, торговых представительств, средств массовой информации (клиенты, партнеры, коммерсанты, инвесторы, спонсоры, журналисты и др.);
• представителей иных государственных и негосударственных структур, с которыми фирма не имеет деловых отношений;
• частных лиц.
Постороннее лицо – любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных службы, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организационных структур, а также сотрудники данной фирмы, не имеющие права доступа в определенное помещение, к конкретному документу, ин-. формации, базе данных, продукции. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.
Право информационное – совокупность законодательных информационно-правовых норм, регулирующих общественные отношения в информационной сфере и являющихся гарантированным инструментом охраны интеллектуальной информационной собственности (информационного продукта) юридических и физических лиц.
Правовой элемент системы защиты информации – юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Правовой элемент включает: наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации; формулирование и доведение до сведения всех сотрудников фирмы положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов; разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Предписание – документ, предъявляемый командированным в фирму лицом. В документе указываются цель командирования и подлежащие выполнению задания, требующие ознакомления с определенным составом конфиденциальной информации и документов. Предписание составляется на бланке организации, командирующей данное лицо, подписывается первым руководителем и заверяется печатью этой организации. Разрешение на доступ командированного лица к конкретным конфиденциальным документам, делам и базам данных санкционирует первый руководитель фирмы в резолюции на предписании. Ознакомление командированного лица с конфиденциальными сведениями должно происходить в присутствии сотрудника фирмы, назначенного в резолюции ответственным за работу командированного лица. Возможность командирования, его цели и фамилия командируемого лица, как правило, заранее согласовываются первыми руководителями фирм, организаций.
Проверка наличия документов, дел и носителей информации — установление реального соответствия имеющихся в наличии конфиденциальных документов, дел и носителей записям в учетных формах, их сохранности, целостности и комплектности, а также своевременное выявление фактов утраты конфиденциальных материалов и определение правильности выполнения процедур и операций по учету, хранению, исполнению и использованию этих материалов. Входе проверки рассматриваются вопросы снятия с документов грифа конфиденциальности. Проверки могут быть регламентированными (периодическими) и нерёгламентированными. Регламентированные проверки проводятся ежедневно (самопроверки исполнителей, проверки вторым сотрудником службы конфиденциальной документации), ежеквартально и по окончании календарного года. Квартальные и годовые проверки наличия проводятся специально назначаемой комиссией. Нерегламентированные проверки осуществляются при смене руководителей подразделений и направлений деятельности, увольнении сотрудников, по завершении экстремальной ситуации, выявлении факта возможной утраты носителя или разглашения информации.
Программно-аппаратный элемент системы защиты информации – комплекс специальных методов и средств защиты информации в автоматизированных системах и сетях. Элемент включает: автономные программы, обеспечивающие защиту информации и контроль защищенности информации; программы защиты информации, работающие в комплексе с программами обработки информации; программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающими данные при несанкционированном входе в базу данных и др.). Составные части программно-аппаратной защиты, коды, пароли и т. п. атрибуты комплексной системы защиты вычислительной техники разрабатываются и меняются специализированной организацией. Применение пользователями собственных программ не допускается.
Противодействие злоумышленнику – целенаправленное создание неблагоприятных условий и трудно преодолимых препятствий (рубежей) для лица, пытающегося совершить несанкционированный доступ и овладение конфиденциальной информацией фирмы. Может быть пассивным и активным. При пассивном противодействии система защиты информации функционирует в обычном режиме, ведется плановая аналитическая и контрольная работа с источниками и каналами распространения информации, организационными и техническими каналами возможного несанкционированного доступа к конфиденциальной информации. Активное противодействие предполагает подключение дополнительных организационных и технических методов защиты информации (например, закрытие доступа к определенным категориям информации, организацию усиленной охраны здания и помещений, ограничение деловых связей фирмы и др.).
Данный текст является ознакомительным фрагментом.