Добавлен: 30.11.2023
Просмотров: 108
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Документы содержащие конфиденциальные сведения должны копироваться с разрешения руководства в специально выделенном помещении. Все копии конфиденциальных документов берутся на учет в специальном журнале или «Журнале регистрации документов содержащих конфиденциальные сведения». Размножение документов следует производить в присутствии должностного лица, ответственного за документ.
Все дела содержащие конфиденциальные сведения, журналы их учета в обязательном порядке вносятся в номенклатуру дел предприятия.
По окончании года специально созданная комиссия предприятия выполняет следующие работы: проверяет наличие всех документов содержащих конфиденциальные сведения; отбирает их для архивного хранения или для уничтожения.
В случае установления факта утраты документов содержащих конфиденциальные сведения немедленно ставится в известность руководитель предприятия, служба безопасности и принимаются все меры к розыску документа. Для расследования факта утраты руководителем предприятия назначается комиссия.
На утерянные документы после того, как розыск их не принес положительных результатов, составляется акт. В «Журнал регистрации документов содержащих конфиденциальные сведения вносятся соответствующие отметки об утрате».
При увольнении сотрудника, ответственного за документы, содержащие конфиденциальную информацию, производится проверка числящихся за ним документов и их передача вновь назначенному лицу. Акт приема–передачи этих документов утверждается руководителем предприятия или его заместителем.
При прекращении трудовых отношений с предприятием, на котором сотрудник был допущен к конфиденциальной информации, обязательства о не разглашении конфиденциальных сведений действуют в течении 2 лет, если иной срок не установлен трудовым контрактом.
При передаче дел в архив на документы содержащих конфиденциальные сведения составляется отдельная опись.
Архивное хранение таких документов производится в опечатанных коробках, в помещениях, исключающих не санкционированный доступ.
На документы, содержащие конфиденциальные сведения, отобранные к уничтожению, составляется акт, утверждаемый руководителем предприятия. Уничтожаются документы в присутствии комиссии с помощью специальной машины или иным способом, исключающим возможность восстановления имеющейся в них информации.
Регламентация доступа персонала организации к конфиденциальным сведениям, документам и базам данных является одной из главных составных частей технологии защиты информации. важно четко и однозначно определить, кто, кого, к каким сведениям, когда и как допускает.
При разработке разрешительной системы доступа к конфиденциальной информации в полной мере учитываются характер направлений деятельности и структура организации, сложившаяся система управления, производственные связи внутри организации, распределение обязанностей между заместителями первого руководителя организации и другие факторы. Чрезмерные ограничения в выдаче разрешений к защищаемой информации приводят к снижению оперативности в решении производственных вопросов, а излишняя либерализация создаеь условия для утраты конфиденциальной информации.
Количество сотрудников организации, допускаемых к конфиденциальным сведениям, должно быть строго ограничено кругом лиц, которым указанные сведения действительно необходимы для выполнения возложенных на них служебных обязанностей.
Разрешительная система допуска к конфиденциальной информации обычно разрабатывается службой безопасности организации, а в некрупных фирмах – первыми руководителями.
При этом под допуском понимается процедура оформления права сотрудника организации или иного лица на допуск к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.
Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.
К ценной конфиденциальной информации допускаются, как правило, люди, проработавшие в организации определенное время и зарекомендовавшие себя с положительной стороны.
В предпринимательских структурах разрешение на допуск обычно дает первый руководитель организации. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может также оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников.
Оформление допуска обязательно сопровождается подписанием работником обязательств о неразглашении доверяемых ему конфиденциальных сведений – при поступлении на работу и при увольнении с работы.
Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.
Доступ – практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных.
Разрешение на доступ к конфиденциальным сведениям является всегда персонифицированным – индивидуальным как с точки зрения того, кто дает разрешение, так и с точки зрения того, кому дается такое разрешение. Руководители, имеющие право давать разрешение на доступ, несут персональную ответственность за принятое решение. неправильное решение трактуется как разглашение конфиденциальных сведений.
Сотрудники, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне содержания документов, сохранность носителя и соблюдение установленных правил работы с документами. сотрудники могут получать разрешение на доступ к конфиденциальным сведениям только в пределах своих должностных (функциональных) обязанностей и в объемах, действительно необходимых для выполнения служебных обязанностей.
Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:
-
наличии подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в состав функциональных обязанносте которой входит работа с данной конкретной информацией; -
наличии подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны организации, и подписанного обязательства о неразглашении ставших известными лицу конфиденциальных сведений и соблюдения правил их защиты; -
прямом отношении функциональных обязанностей сотрудника передаваемым ему документам и информации; -
знании сотрудником требований нормативно–методических документов по защите информации и сохранению тайны; -
наличии необходимых условий в офисе для работы с конфиденциальными документами и базами данных.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников могут их знать».
В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальных сведений. Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленников и определяется уровень защищенности информации. Достигается также минимизация привилегий по доступу персонала к информации.
При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной по возможности одному конкретному сотруднику или подразделению. Документ, следовательно, должен быть по возможности простым и посвящен одному вопросу.
Для эффективных контрдействий в случае утери информации следует соблюдать правило, по которому в обязательном порядке регистрируются все лица, которые имели или имеют доступ к определенным документам, коммерческим или иным секретам.
Организуя доступ сотрудников организации к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида:
-
доступ к персональному компьютеру, серверу или рабочей станции; -
доступ к машинным носителям информации, хранящимся вне ЭВМ; -
непосредственный доступ к базам данных и файлам; -
В свою очередь доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает: -
определение и регламентацию первым руководителем организации состава сотрудников, имеющих право доступа (входа) в помещение, в котором находятся соответствующая вычислительная техника и средства связи; -
регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности организации наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.); -
организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализации; определения правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время; -
организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них; -
организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений; -
организацию выноса из указанных помещений материальных ценностей. машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.
Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:
-
организацию учета и выдачи сотрудникам чистых машинных носителей информации; -
организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных); -
определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации; -
организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации; -
организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя; -
организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителе в экстремальных ситуациях; -
определение и регламентацию первым руководителем состава сотрудников, не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.
Работа сотрудников службы конфиденциальной документации и персонал фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.
Доступ к базам данных и файлам подразумевает:
-
определение и регламентацию первым руководителем состава сотрудников, допускаемых к работу с определенными базами данных и файлами; контроль системы доступа администратором базы данных; -
наименование баз данных и фалов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним; -
учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов; -
регистрацию (протоколирование) входы в базу данных или файл, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации; -
регистрацию (протоколирование) попытки несанкционированного входа в базу данных или файл, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера; -
установление и бессистемное по сроку изменение имени пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.д.), особенно при частой смене персонала; -
отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации; -
механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.