Информационная безопасность. Курс лекций
Шрифт:
Ознакомление с конфиденциальным документом – процесс информирования сотрудника фирмы или иного заинтересованного лица, осуществляемый в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом им решении или решении другой организационной структуры. Процесс завершается проставлением сотрудником визы ознакомления, но может потребоваться последующее составление другого документа или повторное обращение к этому документу. Ознакомление сотрудника с документом производится службой конфиденциальной документации. Сотрудник этой службы обязан предоставить для прочтения сотруднику только ту часть документа, которая указана в резолюции руководителя. Не допускается разрешать сотруднику знакомиться с текстом документа в полном объеме или делать выписки на неучтенном носителе. В технологическом отношении ознакомление с документом представляет собой первоначальную операцию исполнения или использования конфиденциального документа.
Опись конфиденциальных документов дела – перечень конфиденциальных документов, находящихся (подшитых) в деле, служащий для контроля их сохранности и комплектности. В описи (внутренней описи) дела указываются учетные номера документов, грифы конфиденциальности, даты подписания или утверждения, виды и краткое содержание документов, номера листов дела, соответствующих расположению документов в деле. Опись подшивается в начале дела и имеет самостоятельную нумерацию листов. Опись документов должна содержаться также в личных делах сотрудников, в папках текущего хранения неисполненных документов, предшествовать электронным документам массива, магнитного носителя, вестись персонально по каждому руководителю и исполнителю, работающим с конфиденциальными документами.
Опись конфиденциальных документов, находящихся у исполнителя – перечень документов и носителей информации, выданных сотруднику фирмы для работы. Предназначена для их учета, проверки сохранности (наличия) и контроля правильности использования и хранения.
Опись конфиденциальных документов фирмы – перечень конфиденциальных документов фирмы. Ведется в некрупных фирмах, структурах малого бизнеса с небольшим количеством конфиденциальных документов, обрабатываемых в рамках существующей технологической системы, предназначенной для открытых документов, но обеспеченной минимальным составом методов защиты. Опись служит для дополнительного учета конфиденциальных документов, проверки их наличия и комплектности, своевременного снятия грифа конфиденциальности. Может иметь традиционную бумажную или электронную форму. В крупных фирмах ведется инвентарная опись законченных производством дел, картотек и журналов.
Организационный элемент системы защиты информации — комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационные меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя: формирование и регламентацию деятельности службы безопасности и службы конфиденциальной документации, организацию составления и регулярного обновления перечней конфиденциальной информации и документации фирмы, регламентацию разрешительной системы доступа персонала к конфиденциальной информации; регламентацию направлений и методов работы с персоналом, контроля соблюдения им правил защиты информации; регламентацию технологической системы обработки и хранения конфиденциальных документов, ведение всех видов аналитической работы, регламентацию системы охраны фирмы и порядка приобретения, установки и эксплуатации инженерно-технических средств защиты информации и охраны; регламентацию действий персонала в экстремальных ситуациях и др. Организационная защита является стержнем, который связывает в единую систему все другие элементы.
Оригинал документа – первоначальный, единственный, уникальный документ. Может быть черновым и беловым документом и подлинником.
Ответственность персональная – одно из главных требований к организации функционирования системы защиты информации и обязательное условие обеспечения эффективности этой системы. Предусматривается, что полномочный руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение. В свою очередь, каждый сотрудник фирмы (в том числе работник службы конфиденциальной документации), получающий для работы конфиденциальный документ, несет аналогичную ответственность за сохранность носителя и конфиденциальность информации.
Оформление дел с конфиденциальными документами — комплекс технологических процедур обработки исполненных документов. Имеет отличительные особенности по сравнению с идентичной работой по оформлению дел с открытыми документами. Процедура оформления дела при его заведении дополнительно включает: указание на обложке дела грифа конфиденциальности и состава допущенных к делу исполнителей, оформление карточки учета разрешений и выдачи дела, подшивку в дело чистых бланков внутренней описи документов. Особенностями процедуры оформления дела при его формировании являются: внесение данных о подшиваемом документе во внутреннюю опись, нумерация листов документа в деле, прошнуровывание листов, внесение отметки о включении документа в дело в учетную форму документа. Процедура оформления дела при его закрытии в целом идентична процедуре подготовки открытых дел о сдаче в архив, но дополнительно выполняются следующие операции: опечатывание на заверительном листе концов шнурка, внесение дела в инвентарную опись законченных производством дел, картотек и журналов.
Оформление документа — проставлен не реквизитов, установленных правилами документирования.
Оформление и учет носителей конфиденциальной, информации — этап стадии исполнения конфиденциального документа. Осуществляется заблаговременно, т. е. до начала составления документа. Назначение учета носителей (документов предварительного учета) состоит в том, чтобы обеспечить безопасность информации, контроль ее сохранности не только в подлиннике, но и во всех черновых материалах, вариантах и редакциях документа, отдельных записях. Основными задачами учета являются следующие: закрепление факта присвоения носителю (например, обычным листам бумаги, тетради, блокноту, дискете и т. п.) степени конфиденциальности; присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием носителя и проверки его наличия; документирование фактов перемещения носителя между сотрудниками фирмы, закрепления персональной ответственности за его сохранность; контроль за работой исполнителя над документом и своевременным уничтожением носителя или его частей, потерявших практическое значение. В предпринимательских структурах предварительный учет бумажных носителей информации, как правило, не производится. Не ставятся на учет носители информации, предназначенные для составления документов, которые относятся к служебной и профессиональной тайне. Однако магнитные носители везде и в обязательном порядке ставятся на инвентарный (перечневый) учет, т. е. включаются в инвентарную опись и маркируются. Предварительный учет носителей целесообразен на уровне руководства фирмы, где концентрируется действительно ценная информация, обычно с грифом «Строго конфиденциально», а также при документировании технических и технологических новшеств.
Охрана информационных ресурсов открытого доступа — обеспечение безопасности ценной информации, являющейся интеллектуальной собственностью юридического или физического лица. Осуществляется нормами патентного, авторского и смежных прав, торговыми правилами и обычаями, а также использованием товарного знака, торговой марки, знака обслуживания, эмблемы предприятия.
П
Передача конфиденциальных документов руководителям и исполнителям — усложненный по сравнению с аналогичной стадией обработки открытых документов комплекс процедур, выполняемый службой конфиденциальной документации и предусматривающий как оперативное доведение документа до исполнителя, так и соблюдение действующей в фирме разрешительной системы доступа персонала к конфиденциальным документам, которая лежит в основе избирательности в доставке документирован ной информации руководителям и исполнителям, и порядка возложения или снятия с них персональной ответственности за документ. Следует учитывать, что пользователь (потребитель) конфиденциальной информации руководствуется указаниями руководителя при определении, какая информация ему нужна и какой информацией он может пользоваться. Передача документов сопровождается выполнением следующих процедур: оформление в учетной форме факта передачи; рассмотрение документа руководителем; оформление и передача документа исполнителю или на другой участок службы конфиденциальной документации (см. также Обработка поступивших документов. Работа службы конфиденциальной документации с исполнителями). Передача документов между руководителями и исполнителями осуществляется только через службу конфиденциальной документации с обязательным фиксированием динамики изменения местонахождения документа. Передача документов руководителям без росписи или через секретарей, референтов, помощников не допускается.
Перечень конфиденциальных документов – систематизированный список получаемых и издаваемых конфиденциальных документов фирмы, составляется на основе перечня конфиденциальных сведений. Предназначен для регламентации рационального состава конфиденциальных документов и их основных характеристик, в частности уровня грифа конфиденциальности сведений, состава сотрудников, допущенных к документу, минимально необходимого объема конфиденциальных сведений, включаемых в документ, сроков конфиденциальности документа и др. Перечень регулярно изменяется и дополняется в соответствии исправлениями, вносимыми в перечень конфиденциальных сведений фирмы.
Перечень конфиденциальных сведений – классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Форма отнесения информации фирмы к категории защищаемой. В основе перечня обычно лежит типовой состав ценных сведений фирм данного профиля. Наличие перечня – одно из главных условий эффективного функционирования системы защиты информации. Перечень формируется индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждается первым руководителем фирмы. Перечень – это многоцелевой документ, предназначенный для: выделения конфиденциальных документов из общего потока документов, реализация разрешительной системы доступа персонала к конфиденциальным сведениям и документам, использования в качестве доказательства в суде при рассмотрении дел о краже ценной информации. При составлении перечня производится расчленение (дробление) тайны фирмы на отдельные информационные элементы, известные разным лицам. Одновременно в перечне регламентируется срок конфиденциальности сведений, уровень грифа конфиденциальности и состав сотрудников, которым дано право пользоваться этими сведениями. Перечень является рабочим инструментом и должен постоянно обновляться и корректироваться в соответствии с динамикой изменений в деятельности фирмы. На основе перечня может составляться перечень конфиденциальных документов фирмы.
Перечень секретных сведений – наиболее распространенная в России форма засекречивания информации. Составляется отраслевыми и ведомственными органами управления на основе Закона Российской Федерации «О государственной тайне» и Перечня сведений, отнесенных к государственной тайне, утвержденных Президентом Российской Федерации и подлежащих обязательному опубликованию. Отраслевая принадлежность засекречиваемых сведений означает привязку их к определенной сфере производственной деятельности, ведомственная принадлежность – привязку сведений к органу государственной власти. Программно-целевое засекречивание сведений означает их принадлежность к целевым программам научно-исследовательских и опытно-конструкторских работ, охватывающих чаще всего несколько отраслей промышленности.