Файл: Особенности работы с персоналом, владеющим конфиденциальной информацией).pdf

Принципы построения разрешительной системы доступа:

• надёжность, т.е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;

• полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

• конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;

• производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

• определённость состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

• строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

• ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;

• строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

• обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

• беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

• исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

• рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников). Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.

Оформление допуска, т.е. согласия лица на определённые ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определённым кругом конфиденциальных документов, баз данных и отдельных сведений.

---

Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определённое время и зарекомендовавшие себя с положительной стороны.

В предпринимательских структурах разрешение на допуск даёт первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определённой работы и пересматриваться при изменении профиля работы сотрудника.

Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.

Доступ – практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определённым составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

• наличие подписанного приказа первого руководителя о приёме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа

• с данной, конкретной информацией;

• наличие подписанного сторонами трудового договора (контракта)» имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

• соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

• знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;

• наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

• наличие систем контроля за работой сотрудника.

---

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учётом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому даётся разрешение. В схеме отражаются также категории документов, с которыми знакомятся определённые категории исполнителей без специального разрешения.

Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объёме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утверждённому первым руководителем.

Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.

---

Это даёт возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счёт приёма на работу уволенного из фирмы сотрудника.

При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищённости информации.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведёт к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создаёт условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

---

Руководителям структурных подразделений даётся право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчинённым ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчинённым им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ даёт только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям даёт только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ даёт должностное лицо фирмы, включённое в специальный перечень, прилагаемый к договору и утверждённый первым руководителем.

Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несёт за это единоличную ответственность.

Разрешение на доступ к конфиденциальной информации всегда даётся полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утверждённым руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.

---