Лекции ЗОКД 2006г
137
Глава 1............Техническая защита конфиденциальной информации 3 1.1. Термины и определения..........................3 1.2. Общие положения................................ 7 1.3. Организация работ по защите конфиденциальной информации.............................................12 1.4. Защита речевой конфиденциальной информации.. . .17 1.5. Защита информации в защищаемых помещениях.. . . .18 1.6. Защита информации при проведении звуко- и видеозаписи............................................19 1.7. Защита конфиденциальной информации, обрабатываемой в автоматизированных системах...........19 1.8. Рекомендации по обеспечению ЗИ при взаимодействии абонентов с информационными сетями общего пользования.. 21 Глава 2................Организация офисной деятельности 24 2.1. Офисная деятельность как особый вид управленческой деятельности............................24 2.2. Структура и функции офисной деятельности......26 2.3. Проблемы организации офисной деятельности.....31 Глава 3...........Безопасность информационных ресурсов 33 3.1. Информационные ресурсы и конфиденциальность информации.............................................33 3.2. Угрозы конфиденциальной информации............37 3.3. Система защиты конфиденциальной информации.. . .40
-
Upload
api-3722336 -
Category
Documents
-
view
609 -
download
0
description
Лекции по Защите и Обработке Конфиденциальных документов.\2006 г.
Transcript of Лекции ЗОКД 2006г
Глава 1. Техническая защита конфиденциальной информации........3
1.1. Термины и определения..........................................................................3
1.2. Общие положения...................................................................................7
1.3. Организация работ по защите конфиденциальной информации......12
1.4. Защита речевой конфиденциальной информации.............................17
1.5. Защита информации в защищаемых помещениях.............................18
1.6. Защита информации при проведении звуко- и видеозаписи............19
1.7. Защита конфиденциальной информации, обрабатываемой в
автоматизированных системах.................................................................................19
1.8. Рекомендации по обеспечению ЗИ при взаимодействии абонентов с
информационными сетями общего пользования...................................................21
Глава 2. Организация офисной деятельности.......................................24
2.1. Офисная деятельность как особый вид управленческой
деятельности..............................................................................................................24
2.2. Структура и функции офисной деятельности....................................26
2.3. Проблемы организации офисной деятельности.................................31
Глава 3. Безопасность информационных ресурсов..............................33
3.1. Информационные ресурсы и конфиденциальность информации....33
3.2. Угрозы конфиденциальной информации............................................37
3.3. Система защиты конфиденциальной информации............................40
Глава 4. Особенности работы с персоналом, владеющим
конфиденциальной информацией (КИ)..............................................................47
4.1. Персонал, как основная опасность утраты конфиденциальной
информации (КИ)......................................................................................................47
4.2. Методы добывания ценной информации у персонала......................49
4.3. Доступ к конфиденциальным сведениям, документам и базам
данных 52
Глава 5. Технологические основы обработки конфиденциальных
документов 57
5.1. Защищенный документооборот...........................................................57
5.2. Технологические основы системы ЗОКД...........................................60
5.3. Принципы учета КД..............................................................................64
Глава 6. Технология обработки поступивших КД...............................72
6.1. Учет поступивших пакетов и документов..........................................72
6.2. Распределение, рассмотрение и направление документов на
исполнение.................................................................................................................74
Глава 7. Технология обработки подготовленных официальных
документов 77
7.1. Этапы подготовки конфиденциальных документов..........................77
7.2. Учет, изготовление и издание документов.........................................79
7.3. Технология контроля исполнения документов и поручений............82
7.4. Порядок работы персонала с конфиденциальными документами и
материалами...............................................................................................................88
2
Глава 1. Техническая защита конфиденциальной
информации
1.1. Термины и определения
Абонент информационной сети общего пользования – юридическое или
физическое лицо в т.ч. являющееся сотрудником организации,
осуществляющий взаимодействие с сетью.
Абонентский пункт (АП) - автоматизированная система, подключённая к
сети с помощью коммуникационного оборудования и предназначенного для
работы абонента сети.
АП может быть выполнен как автономные компьютер с модемом и не
иметь физических каналов связи с другими средствами ВТ организации а также
в виде нескольких объединенных ЛВС с рабочими станциями и серверами
соединенными с сетями через коммуникационное оборудование.
Автоматизированная система (АС) – это система состоящая из персонала
и комплекса средств автоматизации его деятельности, реализующие
информационную технологию удалённого исполнения установленных
функций.
Администратор АС – лицо ответственное за функционирование АС в
установленном штатном режиме.
Администратор ЗИ - лицо ответственное за защиту АС от НСД к
информации.
Безопасность информации – состояние защищённости информации
характеризуемое способностью персонала, тех средств, информационных
технологий обеспечивать конфиденциальность, целостность и доступность
информации при её обработке тех средствами.
Вспомогательные тех средства и системы(ВТСС) – средства и системы не
предназначенные для передачи, обработки и хранения конфиденциальной
информации, но размещаемая совместно с основными тех средствами и
системами в защищённых помещениях.
3
К ВТСС относятся:
1. телефонные средства и системы
2. средства и системы передачи данных, системы радиосвязи(модемы,
мобильные телефоны, радиотелефоны, ..)
3. средства и системы охранной и пожарной сигнализации
4. средства и оповещения и сигнализации
5. контрольно-измерительная аппаратура
6. средства и системы кондиционирования
7. средства и системы проводной радиотрансляционной сети и приёма
программ ТВ и радио
8. средства электронной орг техники
9. иные тех средства и системы
Доступ к информации – ознакомление с информацией, её обработка
Доступность информации – состояние информации характеризующееся
способностью автоматизированных систем обеспечивать беспрепятственный
доступ к информации субъектом, имеющим на это полномочия
Закладное устройство – элемент средства съёма информации, скрытно
внедряемый(закладываемый или вносимый) в места возможного съёма
информации(ограждения, оборудование, предметы интерьера, ТС, ТСС
обработки информации)
ЗИ от НСД – деятельность, направленная на предотвращение или на
существенное затруднение НСД к информации
Защищаемое помещение – этот помещение специально предназначенное
для проведения конфиденциальных мероприятий.
Информативный сигнал – электрический сигнал, акустический,
электромагнитный и другие физ поля по параметрам которых может быть
раскрыта конфиденциальная информация передаваемая, хранимая или
обрабатываемая в основных ВТСС или обсуждаемая в защищаемых
помещениях
Информационные сети общего пользования – вычислительные сети,
4
открытые для пользования всем физическим и юридическим лицам, в услугах
которых этим лицам не может быть отказано.
Контролируемая зона(КЗ) – пространство(территория, здание) в котором
исключено неконтролируемое прибивание сотрудников и посетителей
организации а также транспортных, технических и иных материальных средств
Границами КЗ может быть:
периметр охраняемой территории организации
ограждающие конструкции охраняемого здания или охраняемой
части здания, если оно не размещено на охраняемой территории
В отдельных случаях на период обработки тех средствами
конфиденциальной информации границы КЗ могут расширяться. При этом
должны приниматься оргнизационные и технические меры исключающие, либо
существенно затрудняющие возможность перехвата в этой зоне.
онфиденциальная информация – это информация с ограниченным
доступом, не содержащая сведений составляющих ГТ, доступ к которой
ограничен в соответствии с законодательством РФ.
Конфиденциальность информации – состояние защищённости
информации, характеризуемое способностью автоматизированных систем
обеспечивать сохранение в тайне информации от субъектов не имеющих
полномочий на ознакомление с ней.
Локальная вычислительная сеть (ЛВС) – совокупность основных
технических средств, осуществляющих обмен информацией между соб. и
другими информационными системами, в том числе и с ЛВС через
определённые точки входа/выхода информации, которые являются границей
ЛВС.
Межсетевой экран(МЭ) – это локальное или функционально-
распределённое программное или программно-аппаратное средство,
реализующее контроль за информацией поступающей в АС или выходящий из
неё.
Межсетевой экран обеспечивает защиту автоматизированных систем
5
посредствам фильтрации информации, то есть её анализа на совокупность
критериев и принятия решения о её распространении на основе заданных
правил.
НСД – это доступ к информации или действия с информацией,
нарушающее права разграничения доступа с использованием штатных средств,
предоставляемых средствами ВТ или АС.
Основные технические средства и системы (ОТСС) – это ТСС, а также их
коммуникации, используемые для обработки, передачи и хранения
конфиденциальной информации.
К ним относятся АС, средства и системы связи и передачи данных,
включая коммуникационное оборудование, используемое для передачи
конфиденциальной информации.
Провайдер сети – это уполномоченная организация, выполняющая ф-ции
поставщика услуг сети.
С-ма ЗИ от НСД – это комплекс организационных мер и программно-
технических средств защиты от НСД к информации.
Служебная информация системы ЗИ от НСД – это информационная база
АС, необходимая для функционирования СЗИ от НСД(уровень полномочий
эксплуатационного персонала АС, матрица доступа, ключи, пароли.)
Специальный защитный знак(СЗЗ) – это сертифицированное и
зарегистрированное в установленном порядке изделие, предназначенное для
контроля НСД к объектам защиты в процессе которого определяется
подлинность и целостность СЗЗ путём сравнения самого знака или композиции
«СЗЗ-подложка» по категориям соответствия характерным признакам
визуальными, инструментальными и другими методами.
Технический КУИ – это совокупность объекта технической разведки,
физической среды распространения информационного сигнала и средств,
которыми добывается защищаемая информация.
Техническая защита конфиденциальной информации (ТЗКИ) – это ЗИ не
криптографическими методами, направленными на предотвращение утечки
6
защищаемой информации по техническим каналам от НСД к ней и от спец
воздействий на информацию с целью её уничтожения, искажения или
блокирования.
Услуги сети – это комплекс функциональных возможностей
поставляемых абонентом сети с помощью прикладных протоколов(протокол
электронной почты, FTP – приёмо-предачи файлов, HTTP – протокол передачи
гипертекста, IRC – диалог в реальном времени(чат), TelNet – терминальный
доступ в сети, WAIS – система хранения и поиска документов в сети.)
Целостность информации – это состояние защищённости информации,
характеризуемое способностью АС-мы обеспечивать сохранность и
неизменность конфиденциальной информации при попытках
несанкционированных или случайных воздействий на неё в процессе обработки
или хранения.
1.2. Общие положения
Порядок организации работ по обеспечению технической защиты
информации с ограниченным доступом, не содержащей сведений,
составляющих Государственную Тайну, регламентируется нормативно-
методическим документом «Специальные требования и рекомендации по
технической защите конфиденциальной информации», который разработан в
соответствии с ФЗ от 20 февраля 1995 года № 24 – ФЗ «Об информации,
информатизации и ЗИ» с указом Президента РФ от 6 марта 1997 г. №188 «Об
утверждении перечня сведений конфиденциального характера», Указ
Президента РФ от 19 февраля 1990 г. №212 «Вопросы государственной
технической комиссии при президенте РФ», Доктрина информационной
безопасности РФ, утвержденной президентом РФ от 9 сентября 2000 г.
Требования и рекомендации данного документа распространяются на
защиту государственных информационных ресурсов некриптографическими
методами, направленными на предотвращение утечки защищаемой
информации.
Документ определяет следующие вопросы защиты конфиденциальной
7
информации:
1. организацию работ по защите информации, в т.ч. при разработке и
модернизации объектов информатизации и их систем ЗИ;
2. состав и основное содержание организационно-распорядительной,
проектной, эксплуатационной и иной документации по ЗИ;
3. требования и рекомендации по защите речевой информации при
ведении переговоров, в том числе и с использованием технических
средств;
4. требования и рекомендации по ЗИ при её автоматизированной
обработке и передаче с использованием технических средств;
5. порядок обеспечения ЗИ при эксплуатации объектов
информатизации;
6. особенности ЗИ при работе и эксплуатации автоматизированных
систем, использующих различные типы средств Вычислительной
Техники и информационные технологии;
7. порядок обеспечения ЗИ при взаимодействии с сетями.
ЗИ, обрабатываемая с помощью технических средств, является составной
частью работ по созданию и эксплуатации объекта информатизации и д.
осуществляется в установленном порядке в виде системы (или подсистемы) ЗИ
во взаимосвязи с другими мерами по ЗИ.
Защите подлежат речевая информация, информация, обрабатываемая
техническими средствами, а также представленная в виде информативных
электрических сигналов, физических полей, носителей на бумажной,
магнитной, магнито-оптической и иной основе.
Объектами защиты при этом являются:
1. Средства и системы информатизации - СВТ, АС различного уровня,
в том числе информационно-вычислительные комплексы, сети и
системы, средства и системы связи и передачи данных, технические
средства приёма, передачи и обработки информации, переговорные
и телевизионные устройства, средства изготовления и
8
тиражирования документов, программные средства (операционные
системы, системы управления БД (СУБД), другое прикладное ПО),
средства защиты информации, используемые для обработки
конфиденциальной информации.
2. Технические средства и системы не обрабатывающие
непосредственно конфиденциальную информацию, но
размещённые в помещениях, где она обрабатывается.
3. Защищаемое помещение.
Защита информации на объекте информатизации достигается
выполнением комплекса организационных мероприятий и применением
средств защиты от утечки по техническим каналам от НСД и программно-
технических воздействий.
При ведении переговоров и использовании технических средств для
обработки и передачи информации возможны следующие каналы утечки
информации:
1. Акустическое излучение информативно-речевого сигнала;
2. Электрические сигналы, возникающие при преобразовании
акустического сигнала в электрический за счёт микрофонного
эффекта и распространяющиеся по проводам и линиям, выходящим
за пределы контролируемой зоны;
3. Виброакустические сигналы, возникающие при преобразовании
информативного акустического сигнала, за счёт воздействия его на
строительные конструкции и инженерно-технические
коммуникации;
4. НСД к обрабатываемой в АС информации и несанкционированных
действий с ней;
5. Воздействие на технические или программные средства в целях
нарушения конфиденциальности, целостности и доступности
информации посредством специально внедрённых программных
средств;
9
6. Побочные электромагнитные излучения от технических средств и
линий передачи информации;
7. Наводки информативного сигнала, обрабатываемого техническими
средствами на цепи электропитания и линии связи, выходящие за
пределы контролируемой зоны. Радиоизлучения, модулируемые
информационным сигналом, возникающие при работе различных
генераторов, входящих в состав технических средств;
8. Радиоизлучения или электрические сигналы от внедряемых в ТС и
защищаемое помещение специальных внедрённых электронных
устройств съёма речевой информации (закладочные устройства),
радиоизлучения или электрические сигналы от электронных
устройств перехвата информации, подключённых либо к
техническим средствам, либо к каналам связи.
9. Просмотр информации с экранов дисплеев и других средств её
отображения, бумажных или иных носителей информации, в том
числе с помощью технических средств; прослушивание
телефонных и радиопереговоров.
Перехват информации или воздействие на неё с использованием
технических средств могут вестись:
1. из-за границы КЗ, из близлежащих строений и транспортных
средств;
2. из смежных помещений, расположенных в том же здании, что и
объект защиты;
3. при посещении организаций посторонними лицами;
4. за счёт НСД к информации, циркулирующей в АС.
В качестве аппаратуры перехвата или воздействия на информацию или
технические средства могут использоваться портативные возимые и носимые
устройства, размещаемые вблизи объекта защиты, либо подключаемые к
каналам связи, а также электронные устройства съёма информации
(закладочные устройства), размещаемые внутри или вне защищаемого
10
помещения.
Кроме перехвата информации техническими средствами возможно
непреднамеренное попадание защищаемой информации к лицам, не
допущенным к ней, но находящихся в пределах контролируемой зоны (КЗ).
Это возможно за счёт следующих действий:
1. непреднамеренного прослушивания без использования ТС
конфиденциальных разговоров из-за недостаточной звукоизоляции
защищаемых помещений;
2. за счёт некомпетентных или ошибочных пользователей и
администраторов АС.
Выявление и учёт факторов, которые воздействуют или могут
воздействовать на информацию в конкретных условиях проводится в
соответствии с ГОСТ Р 51275-99 и составляет основу для планирования
мероприятий, направленных на защиту информации на объектах
информатизации.
Основное внимание должно быть уделено защите информации, в
отношении которой угрозы безопасности реализуются без применения
сложных технических средств:
1. речевая информация, циркулирующая в защищаемом помещении;
2. информация, обрабатываемая средствами вычислительной техники
от НСД к ней;
3. защита информации, выводимой на экраны видеомониторов;
4. информация, хранящаяся на физических носителях, в том числе
входящих в состав АС;
5. информация, передаваемая по каналам связи выходящими за
пределы КЗ.
Разработка мер и обеспечение защиты информации осуществляется
подразделениями по ЗИ (Службами безопасности) или отдельными
специалистами, назначенными руководителем организации для проведения
11
таких работ.
Разработка мер ЗИ может осуществляться и сторонними организациями,
имеющими лицензию на право проведения таких работ.
Для защиты конфиденциальной информации используются
сертифицированные по требованиям безопасности технические средства
защиты.
Ответственность за обеспечение требуемой по технической защите
конфиденциальной информации возлагается на руководителей организации.
1.3. Организация работ по защите конфиденциальной
информации
Организация работ по защите информации возлагается на руководителей
организации, руководителей подразделений, осуществляющих разработку
проекта объектов информатизации и их эксплуатацию, а методическое
руководство и контроль – на руководителей подразделений по защите
информации. Научно-техническое руководство и непосредственную
организацию работ по созданию системы защиты информации осуществляет
главный конструктор или другое должностное лицо, обеспечивающее научно-
техническое руководство созданием объекта информатизации. В случае
разработки СЗИ или отдельных компонентов специальными организациями
организации-заказчике определяются подразделения или специалисты,
отвечающие за проведение мероприятий по ЗИ. Разработка и внедрение
осуществляется во взаимодействии разработчика со службой безопасности
организации заказчика, которая осуществляет методическое руководство и
участвует в разработке конкретных требований по ЗИ. Организация работ по
созданию и эксплуатации СЗИ определяется в разрабатываемом «Положении о
порядке организации и проведения работ по защите конфиденциальной
информации» и должна предусматривать:
1. порядок определения защищаемой информации;
2. порядок привлечения подразделений организации, специальных
сторонних организации к разработке и эксплуатации объектов 12
информатизации и СЗИ. Их задачи и функции:
1. порядок взаимодействия всех занятых в этой работе подразделений,
организаций и специалистов;
2. порядок разработки ввода в действие объектов информатизации;
3. ответственность должностных лиц за своевременность и качество
формирования требований по ЗИ, а также за качество и научно-
технический уровень разработки СЗИ.
Рекомендуются следующие стадии СЗИ:
1. Предпроектная стадия, включающая предпроектное обследование
объекта информатизации, разработку аналитического обоснования
создания СЗИ и технического задания на её создание.
2. Стадия проектирования, разработка СЗИ в составе объекта
информатизации.
3. Стадия ввода в действие, которая включает опытную эксплуатацию
и приёмосдаточные испытания средств ЗИ, а также аттестацию
объект информатизации на соответствие требованиям безопасности
информации.
На предпроектной стадии по обследовании объекта информатизации:
1. устанавливается необходимость обработки конфиденциальной
информации на данном проекте;
2. определяется перечень сведений конфиденциального характера,
подлежащих защите;
3. определяются угрозы безопасности информации и модель
вероятного нарушителя;
4. определяются условия расположения объекта информатизации
относительно границ контролируемой зоны;
5. определяется конфигурация и топология АС и систем связи,
физические, функциональные и технологические связи как внутри
этих систем, так и с другими системами;
6. определяются технические средства и системы, предполагаемые к
13
использованию в АС, а также общесистемные и прикладные
программные средств, предлагаемые к разработке;
7. определяются режимы обработки информации в АС;
8. определяется класс защищённости АС;
9. определяется степень участия персонала в обработке информации,
характер их взаимодействия между собой и со службой
безопасности;
10.определяются мероприятия по обеспечению конфиденциальности
информации на этапе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается
аналитическое обоснование необходимости создания СЗИ. Оно должно
содержать:
1. информационную характеристику и организационную структуру
объекта информатизации;
2. характеристику комплекса основных и вспомогательных
технических средств ПО, режимов работы и технологического
процесса обработки информации;
3. возможные КУИ и перечень мероприятий по их устранению и
ограничению;
4. перечень предлагаемых сертифицированных средств ЗИ;
5. обоснование необходимости привлечения специализированных
организаций, имеющих лицензию на приведение работ по ЗИ;
6. оценку материальных, трудовых и финансовых затрат на
разработку и внедрение СЗИ;
7. ориентировочные сроки разработки и внедрения СЗИ;
8. перечень мероприятий по обеспечению конфиденциальности
информации на стадии проектирования объекта.
Аналитическое обоснование подписывается руководителем организации,
руководителем организации, проводившей предпроектное обследование и
согласовывается с главным конструктором и руководителем службы
14
безопасности.
Техническое задание на разработку СЗИ должно содержать:
1. обоснование разработки;
2. исходные данные создаваемого объекта информатизации в
техническом, программном, информационном и организационных
аспектах;
3. класс защищённости АС;
4. ссылку на нормативно-методические документы, с учётом которых
разрабатывается СЗИ;
5. требования к СЗИ на основе нормативно-методических документов
и установленного класса защищённости АС;
6. перечень предлагаемых к использованию сертифицированных
средств ЗИ;
7. обоснование проведения разработок собственных средств ЗИ
невозможности или нецелесообразность использования имеющихся
на рынке сертифицированных средств ЗИ;
8. состав содержания и сроки проведения работ по этапам разработки
и внедрения;
9. перечень подрядных организаций-исполнителей работ;
10.перечень, предъявляемый заказчику научно-технической
продукции и документации.
11.Техническое задание подписывается: разработчиком,
согласовывается со службой безопасности, подрядными
организациями и утверждается заказчиком.
На стадии проектирования осуществляется:
1. разработка задания и проекта на строительные или строительно-
монтажные работы;
2. разработка раздела технического проекта в части ЗИ;
3. строительно-монтажные работы;
4. разработка организационно-технических мероприятий по ЗИ;
15
5. закупка сертифицированных образцов и серийно выпускаемых в
защищённом исполнении технических средств обработки, передачи
и хранения информации;
6. закупка технических, программных и программно-технических
средств ЗИ и их установка;
7. разработка или закупка и последующая сертификация программных
средств ЗИ;
8. организация охраны и физической защиты в помещении объекта
информатизации;
9. разработка и реализация разрешительной системы доступа
пользователей и персонала к информации;
10.определение заказчика подразделений и лиц за эксплуатацию
средств ЗИ и обучение этих лиц;
11.установка пакетов прикладных программ;
12.разработка эксп. документации, а также организационно-
распорядительной документации по ЗИ;
13.выполнение других мероприятий специфичных для конкретных
объектов.
С целью своеобразного выявления и предотвращения утечки по
техническим каналам и предотвращения специальных программно-технических
воздействий, нарушающих конфиденциальность, в организации проводится
периодический контроль состояния ЗИ (не реже 1 раза в год). Он
осуществляется службой безопасности организации, отраслевыми или
федеральными органами контроля состояния ЗИ (проводится не реже 1 раза в 2
года) и заключается в оценке:
1. соблюдения требовании нормативно-методических документов по
ЗИ;
2. работоспособности применяемых средств ЗИ;
3. знаний и выполнения персоналом своих обязанностей в части ЗИ.
16
1.4. Защита речевой конфиденциальной информации.
Утечка речевой информации возможна за счет:
1. акустического излучения информативного речевого сигнала;
2. за счет виброакустических сигналов, возникающих при
преобразовании акустического сигнала, при воздействии его на
строительные конструкции;
3. прослушивание разговоров, ведущихся в защищаемом помещении
по информационным каналам общего пользования (городская
телефонная сеть, сотовая и пейджинговая связь, радиотелефоны) за
счет скрытного подключения оконечных устройств этих видов
связи;
4. электрических сигналов, возникающих в результате преобразования
информативного сигнала из акустического в электрический за счет
микрофонного эффекта и распространяющихся по проводным
линиям и линиям передачи информации, выходящим за пределы
контролируемой зоны;
5. за счет побочных электромагнитных излучений информативного
сигнала от обрабатывающих информацию технических средств, в
том числе возникающих за счет паразитной генерации и линий
передачи информации;
6. за счет электрических сигналов, наводимых от обрабатывающих
информацию технических средств и линий ее передачи на провода
и линии, выходящие за пределы контролируемой зоны;
7. за счет радиоизлучений, модулируемых информативным сигналом,
возникающим при работе различных генераторов, входящих в
состав технических средств, установленных в защищаемом
помещении или при наличии паразитной генерации в их узлах;
8. за счет радиоизлучений электрических или инфракрасных сигналов,
модулируемых информативным сигналом от специальных
электронных устройств съема речевой информации (жучки, т.е.
17
закладочные устройства).
Также следует учитывать возможность хищения технических средств с
хранящейся в них записанной речевой информацией.
1.5. Защита информации в защищаемых помещениях.
В организациях должен быть документально определен перечень
защищаемых помещений и лиц, отвечающих за их эксплуатацию в
соответствии с установленными правилами по защите информации, а также
составлен технический паспорт на защищаемое помещение. Во время
проведения конфиденциальных мероприятий запрещается использование
радиотелефонов, устройств сотовой и пейджинговой связей, незащищенных
переносных магнитофонов и средств видеозаписи. При установке в
защищаемых помещениях телефонных и факсимильных аппаратов с
автоответчиком, а также телефонных аппаратов с автоматическим
определителем номера, их следует отключать от сети на время проведения этих
мероприятий. Для исключения возможности скрытного подключения к
телефонной сети не рекомендуется устанавливать в них цифровые телефоны
цифровых АТС, имеющих выход в городскую телефонную сеть. Рекомендуется
использовать сертифицированные по требованиям безопасности цифровые
АТС, либо устанавливать в эти защищаемые помещения аналоговые аппараты.
Ввод системы городского радиотрансляционного вещания на территорию
организации рекомендуется осуществлять через радиотрансляционный узел
(буферный усилитель), размещаемый в пределах контролируемой зоны. Если
система радиовещания используется без буферного усилителя, то следует
использовать абонентские громкоговорители в защищенном от утечки
информации исполнении.
Системы пожарной и охранной сигнализаций должны строиться только
проводной схеме сбора информации и, как правило, размещаться в пределах
одной контролируемой зоны с защищаемыми помещениями. Для обеспечения
необходимого уровня звукоизоляции помещения рекомендуется оборудование
дверных проемов тамбурами с двойными дверьми, установка дополнительных
18
рам в оконных проемах и применение шумопоглотителей на выходах
вентиляционных каналов. Если предложенными выше методами не удается
обеспечить необходимую акустическую защиту, следует применять
организационные меры, ограничивая на период проведения конфиденциальных
мероприятий доступ посторонних лиц в места возможного прослушивания
разговоров. При эксплуатации защищаемых помещений необходимо
предусматривать организационные меры, направленные на исключение НСД в
помещениях:
1. двери защищаемых помещений в период между мероприятиями, а
также во внерабочее время необходимо запирать на ключ;
2. выдача ключей от защищаемого помещения должна производиться
лицом, работающим в нем или ответственным за это помещение;
3. установка и замена оборудования, мебели, ремонт помещения
должен производиться только по согласованию и под контролем
подразделения по защите информации.
1.6. Защита информации при проведении звуко- и
видеозаписи.
Запись и воспроизведение информации с помощью аппаратуры звуко- и
видеозаписи разрешается производить только в ЗП. Для записи информации
должны применяться магнитофоны, удовлетворяющие требованиям стандартов
РФ по электромагнитной совместимости (ГОСТ 22505-97). Для высшего уровня
защищенности информации рекомендуется использовать сертифицированные
устройства. Носители информации (магнитные ленты, аудио- и видеокассеты)
должны учитываться и храниться в подразделениях организации в порядке,
установленном для конфиденциальной информации. В организации должно
быть назначено лицо, ответственное за хранение и использование аппаратуры
аудио- и видеозаписи и обеспечено хранение, и использование этой
аппаратуры, исключающие НСД к ней.
19
1.7. Защита конфиденциальной информации, обрабатываемой
в автоматизированных системах.
Основными направлениями защиты информации является:
1. обеспечение защищаемой информации от хищения, утраты, утечки,
уничтожения, подделки и блокирования доступа к ней;
2. обеспечение защищаемой информации от утечки по техническим
каналам при ее обработке, хранении и передаче.
В качестве основных мер защиты информации рекомендуется:
1. документальное оформление перечня сведений конфиденциального
характера, в том числе с учетом ведомственной и отраслевой
специфики этих сведений;
2. реализация разрешительной системы допуска исполнителей к
информации и связанных с ее использованием к документам;
3. ограничение доступа персонала и посторонних лиц в помещениях,
где размещена система информатизации, а также носители
информации;
4. разграничение доступа к информационным ресурсам, программным
системам обработки и защиты информации;
5. регистрация действий пользователей АС и обслуживающего
персонала, контроль НСД и действий пользователей;
6. учет и надежное хранение бумажных и магнитных носителей
конфиденциальной информации и их обращение, исключающее
хищение, обмен и уничтожение;
7. использование сертифицированных по требованиям безопасности
специальных защитных знаков, создаваемых на основе
современных технологий для контроля доступа к объектам защиты
и для защиты документов от подделки;
8. резервирование технических средств и носителей информации;
9. использование сертифицированных серийно выпускаемых в
защищенном исполнении ТС обработки, передачи и хранении
20
информации;
10.использование ТС, удовлетворяющих требованиям стандартов по
электромагнитной совместимости;
11.размещение объектов защиты на максимально возможное
расстояние от границы контролируемой зоны;
12.развязка цепей электропитания объектов защиты с помощью
сетевых помехоподавляющих фильтров;
13.электромагнитная развязка между информационными цепями, по
которым циркулирует защищаемая информация и др. линиями
связи;
14.размещение дисплеев и других средств отображения информации,
исключающие ее несанкционированный просмотр;
15.организация физической защиты помещений и соответственно
технических средств обработки информации с использованием
технических средств охраны;
16.предотвращение внедрений в АС программных закладок.
1.8. Рекомендации по обеспечению ЗИ при взаимодействии
абонентов с информационными сетями общего
пользования.
Основными целями абонентов сети является:
1. Получение общедоступной информации из сети;
2. Обеспечение удаленного доступа к ресурсам своей организации;
3. Обеспечение межсетевого взаимодействия отдельных абонентов
одной организации через сеть;
4. Обеспечение межсетевого взаимодействия отдельных абонентов
различных организаций через сеть;
Основными угрозами безопасности информационных ресурсов являются:
1. НСД к информационным ресурсам с целью нарушения их
конфиденциальности, целостности, доступности используя
21
следующие методы реализации угрозы:
Маскировка под уполномоченного абонента сети на основе
активного или пассивного перехвата данных
Маскировка под уполномоченного абонента сети на основании
подделки сетевых адресов
Маскировка с использованием запрещенного сервиса под
использование разрешенного сервиса
Внедрение компьютерных вирусов или других вредоносных
программ.
2. НСД к информации о структуре разрешенных сервисов, способов
их реализации путем перехвата сетевых пакетов и анализа их
содержания;
3. Блокировка межсетевого взаимодействия путем нарушения
целостности данных о настройках коммуникационного
оборудования, обеспечивающего взаимодействие абонента с сетью.
Методами обеспечения безопасности при взаимодействии абонента с
сетью является:
1. Межсетевое экранирование;
2. Мониторинг вторжений в ЛВС;
3. Анализ защищенности абонентов, предполагающих применение
специализированных программных средств (сканеров
безопасности);
4. Использование при передаче по сети информации в шифрованном
виде;
5. Использование смарт-карт, электрозамков и других носителей
информации для надежной идентификации и аутентификации
пользователя;
6. Использование средств антивирусной защиты.
Мероприятия по обеспечению безопасности информации должны быть
отражены в инструкциях, определяющих:
22
1. Порядок подключения абонента к сети;
2. Порядок изменения состава и конфигурации технических и
программных средств абонента;
3. Порядок допуска и регистрации пользователей сети;
4. Порядок применения средств защиты от НСД;
5. Обязанности и ответственность пользователей и администратора
безопасности при взаимодействии с сетью;
6. Порядок контроля за выполнением мероприятий по обеспечению
ЗИ и работы пользователей.
Пользователи обязаны знать и выполнять:
1. Требования инструкции по обеспечению безопасности;
2. Знать и соблюдать правила работы со средствами ЗИ;
3. Типы и номера технических средств, рабочих мест, а также состав
общего и специального программного обеспечения.
При работе с сетью необходимо исключить:
1. Несанкционированное подключение технических средств;
2. Изменение состава и конфигурации ЛВС без санкции
администратора безопасности;
3. Обеспечить фильтрацию входящих-исходящих сетевых пакетов по
правилам, заданным администратором информации;
4. Скрывать внутреннюю структуру сети и периодически
осуществлять аудит безопасности ЛВС.
23
Глава 2. Организация офисной деятельности
2.1. Офисная деятельность как особый вид управленческой
деятельности
Для определения понятия офисная деятельность необходимо обратиться к
рассмотрению понятий система и управление.
Понятие система-это, прежде всего целостность объекта.
Любое образование, любое множество объектов может быть названо
системой, если оно помогает решать сформулированную задачу.
Всегда необходимо определить цель изучения и критерий,
обуславливающий существование данного объекта.
Понятие управления до сих пор не имеет общепринятого определения. Но
в большинстве случаев можно выделить процессы управления.
Поскольку всякая реальная система является открытой, т.е.
взаимодействует с окружающей средой, в ней происходят изменения, которые
могут иметь две крайне противоположные друг другу формы - это деградация
(упрощение или разрушение системы) и развитие (усложнение системы,
накопление ею информации).
Вместе с тем возможно временное равновесие между системой и средой,
благодаря которому система в течение некоторого времени остается
относительно неизменной.
Система управления обладает определенной структурой, а именно
состоит из управляемого процесса и управляющей части.
24
УЧ
УП
УВ Информация об УП
Система управления
Обозначения: УЧ – Управляющая часть
УП – Управляемый процесс
УВ – Управляющее воздействие
Воздействие обеих частей друг на друга осуществляется в виде передачи
информации.
Управляющая часть включает в себя ряд элементов:
1. Измерительные;
2. Исполнительные;
3. Решающие.
Каждый из них выполняет определенную функцию в реализации
процесса управления и между собой они связаны информационным связями.
Эти элементы связаны между собой и с внешней средой посредством передачи
информации:
1. О целях управления;
2. Об управляющих воздействиях;
3. О состоянии управляемого процесса.
Обозначения УП – Управляемый процесс
25
СУ
Решающий элемент
Измерительный элемент Исполнительный элемент
Информация об УВ
УП
Информация о состоянии УП
Воздействие внешней среды
Воздействие на внешнюю среду
УЧ
Информация о целях управления
Решающий элемент
УВ – Управляющее воздействие
УЧ – Управляющая часть
СУ – Система Управления
Сложная конфигурация управляемого процесса порождает усложнение
управляющей части системы управления, приводя к появлению
дополнительных координирующих элементов, а это означает, что
функционирование такой системы определяет специфический вид деятельности
– управленческую деятельность.
Управленческая деятельность-это определенным образом организованная
совокупность действий множества людей (персонала), реализация которых
обеспечивает реализацию функций управляемого процесса и достижения целей
системы управления в целом.
Характеристики управленческой деятельности
1. Управленческая деятельность осуществляется в течение
определенного временного интервала (время существования
системы управления);
2. Управленческая деятельность осуществляется в определенных
пространственных границах, как правило определяемых местом
размещения управляющей системы;
3. Управленческая деятельность реализуется людьми, для которых она
является основным видом деятельности;
4. Содержание управленческой деятельности определяется задачами,
решение которых приводит к оптимальному протеканию
управляемого процесса.
2.2. Структура и функции офисной деятельности
Офисная деятельность – это определенным образом организованная
совокупность действий персонала, реализация которых обеспечивает
эффективное выполнение управленческой деятельности.
Офисная деятельность предполагает наличие следующих структурных
характеристик:
26
1. Офисная деятельность осуществляется в границах определяемых
размещением офиса, количеством мест, их иерархической
соподчиненностью и др.;
2. Офисная деятельность осуществляется в течение определенного
временного интервала;
3. Офисная деятельность реализуется людьми, для которых она
полностью или частично является основным видом деятельности;
4. Содержание офисной деятельности определяется задачами
обеспечения условий для эффективной реализации управленческой
деятельности.
Раскрытие характеристик офисной деятельности необходимо
осуществить через содержание управленческой деятельности, которая сводится
к принятию управленческих решений.
Управленческое решение – это команда поступающая от управляющей
части системы к управляемому процессу, и подлежащая выполнению.
Проявления управленческого решения:
1. Деятельность протекающая в управляющей части системы и
связанная с подготовкой, нахождением, выбором и принятием
определенных вариантов действий;
2. вариант воздействия управляющей части системы на управляемый
процесс, т.е. описание предполагаемых действий управляющей
части системы по отношению к объекту управления;
3. Организационно – практическая деятельность по реализации
выбранного воздействия.
Управленческое решение принимается тогда, когда выявлена та или иная
управленческая проблема
Выявив проблему важно всесторонне ее исследовать и получить ответы
на следующие вопросы:
1. Каковы причины и условия ее возникновения;
2. Каковы ее возможности и значимость;
27
3. Какой характер решения необходим в данной проблемной
ситуации;
4. Каковы ее возможные последствия;
5. Каково отношение к проблеме людей;
6. Где может быть принято решение;
7. Есть ли ресурсы для решения проблемы;
8. Кто из людей способен к
решению;
9. Какая информация необходима.
Процесс выработки и принятия решения
может быть структурирован следующим
образом:
На первом этапе, на основании
сопоставления фактического и желаемого
состояния управляемого объекта
определяется необходимость оказания на
него, управляющих воздействий. Конкретное
содержание деятельности определяется
постановкой задачи в которой должны быть
сформированы следующие вопросы:
1. какую управленческую проблему
нужно решить;
2. в каких условиях нужно решить;
3. когда ее нужно решить;
4. какими силами и средствами будит решаться проблема.
Результатом первого этапа является содержательное описание
проблемной ситуации.
На втором этапе производится анализ проблемной ситуации, в ходе
которой конкретизируется:
1. цели, достигаемые при решении проблемы;
28
Выявление проблемыФормализация проблемыФормировании
мн-ва
альте
рнати
в
Выбор решенияРеализация решения Оценка следствий принятого решения
2. ограничения при реализации действий по устранению проблемной
ситуации;
3. возможные методы и действия решения задач.
Поставленная управленческая задачи приводится к некоторому
структурированному виду, позволяющему либо применить для решения задачи
уже известные методы, либо осуществить поиск или разработку новых методов.
На третьем этапе формируем различные варианты решения задачи.
На четвертом этапе из ранее сформированного множества вариантов
выбирается один единственный, который и воплощается в виде
управленческого решения.
При оценке различных вариантов решений может возникать
необходимость корректировки, что приведет к возврату на соответствующие
этапы.
Описанные этапы осуществляются в рамках решающего элемента
управленческой системы.
На пятом этапе выполнение принятого управленческого решения
возложено на исполнительный элемент.
На шестом этапе оценка состояния управляемого объекта как результата
реализации решения возложенного на измерительный элемент.
Непрерывные управляемые процессы т е управленческая деятельность
должна осуществляться постоянно. К такому роду процессам относится
производство в химической, металлургической, энергетической отраслях
промышленности.
В данном случае определить временные характеристики управленческой
деятельности можно следующим образом: управленческая деятельность
осуществляется с относительно неизменной интенсивностью в течение всего
периода функционирования управляемого процесса без перерыва.
Дискретные управляемые процессы функционируют в течении четко
выделенных временных интервалов с определенными моментами начала и
окончания, что позволяет управлять ими не непрерывно, а в указанные
29
интервалы. Временные характеристики управленческой деятельности можно
определить следующим образом: она осуществляется в рамках явно
выраженных интервалов времени с четко определенными моментами начала и
окончания, причем в различных интервалах ее интенсивность различна.
Кадровые характеристики офисной деятельности определяются
свойствами персонала. Можно выделить следующие параметры:
1. количество специалистов;
2. уровень квалификации специалистов;
3. состав специалистов;
4. уровень специализации;
5. стаж работы;
6. общие параметры, характеризующие работу с кадрами.
Расшифруем:
1. Количество специалистов определяется объемом и масштабом
управленческой деятельности, которая в сваю очередь зависит от
сложности управляемого процесса.
2. Состав специалистов определяется необходимым объемом
деятельности в конкретных конфигурациях управленческой
деятельности соответствующими нормативными документами
(квалификационными справочниками) и может включать в себя как
управленческий персонал, т. е. лица, готовящие и принимающие
решения, так и персонал, обеспечивающий специфику и
организационную поддержку, процесса выработки и принятия
решения.
3. Уровень спецификации – управленческий персонал может
полностью решать управленческую и офисную деятельность (для
элементарных управленческих процессов, где персонал воплощен в
одном человеке (мастер, бригадир и т. д.) может быть полностью
освобожден от офисной деятельности) менеджеры высшего уровня
и государственные руководители может наряду с основной
30
деятельностью выполнять некоторые задачи основной
деятельности.
4. Квалификация офисного персонала определяется соответствующей
профессиональной подготовки. Подготовка может быть различной
формы:
Полученные средствами специального образования (секретари –
референты, техники) осуществляющие эксплуатацию
информационных систем;
Получение высшего образования (референты, руководители
служб документационного и информационного обеспечения,
инженеры) осуществляющие эксплуатацию информационных
систем;
Подготовка и переподготовка на различных кратко срочных
курсах (секретари, и персонал служебного документационного и
информационного обеспечения).
2.3. Проблемы организации офисной деятельности
Организация офисной деятельности предполагает:
1. определение целей и задач;
2. разработку системы мероприятий реализации цели и разделения
задачи на определенные виды работ;
3. интеграцию отдельных работ в соответствующее подразделение;
4. мотивацию, взаимодействие, поведение, взгляды персонала,
которые определяются мероприятиями, направленных на
реализацию поставленных целей и отчасти личный характер.
5. принятие решений, коммуникация информационные потоки,
контроль, поощрение наказание, имеющие решающие значение, для
выполнения поставленных целей.
6. единую организационную систему, которая понимается как
внутренняя согласованность, которая должна быть достигнута
между всеми перечисленными элементами.
31
Разработка системы мероприятий для реализуемых целей и разделения
задач на отдельные виды работ предполагает определение состава функций
информационного обслуживания управленческой деятельности в рамках ее
характеристик, а также выделение соответствующих задач с учетом
последовательности их выполнения.
32
Глава 3. Безопасность информационных ресурсов
3.1. Информационные ресурсы и конфиденциальность
информации
В соответствии с действующим Федеральным Законом, информационные
ресурсы предприятия, организации и других, государственных не
государственных структур могут включать в себя документы и массивы
документов (дела), документы в информационных системах (библиотеках,
архивах, фондах, банках данных) на любых носителях в том числе,
обеспечивающих работу вычислительной и орг. техники.
Документирования информации является обязательным условием
включения информации в информационные ресурсы.
ПО принадлежности к тому или иному виду собственности
информационные ресурсы могут быть государственными или не
государственными, а как элемент состава имущества находящегося в:
1. собственности граждан;
2. органов государственной власти;
3. исполнительных органов;
4. органов слитного самоуправления;
5. государственных учреждений;
6. организация и предприятий;
7. общественных объединений;
8. предпринимательских структур.
В соответствии с интересами обеспечения национальной безопасности и
степенью ценности дел государства, а также правовыми, экономическими и
другими интересами
Предпринимательских структур информационные ресурсы могут быть:
1. открытыми, т. е. общедоступным использованиям в работе без
специального разрешения, публикуемые в СМИ, оглашаемые на
конференциях, в выступлениях и интервью.
33
2. ограниченного доступа и использования, т. е. содержащие сведения
составляющий той или иной вид тайны и подлежащие защите,
охране, наблюдению и контролю.
Запрещается относить к информации ограниченного доступа:
1. законодательные и другие нормативные акты;
2. документы, содержащие информацию о чрезвычайных ситуациях;
3. документы, содержащие информацию о деятельности органов
государственной власти;
4. документы, накапливаемые в открытых фондах библиотек и
архивов.
Накопители информационных ресурсов называют источниками
информации. Они включают в себя:
1. публикации о фирме и ее разработках;
2. рекламные издания, выставочные материал, документацию;
3. персонал фирмы и окружающие фирму люди;
4. физическое поле, волны, излучения, сопровождающие работу
офисной и вычислительной техники.
Источники содержат информацию как открытого, так и ограниченного
доступа. Документы как источники ограниченного доступа включают:
1. документацию, содержащую ценные сведения и ноу-хау;
2. комплексы обычной, деловой и научной документации,
содержащие общеизвестные сведения, организационно правовые и
распорядительные документы;
3. рабочие записи сотрудников, их служебные дневники, личные
рабочие планы и переписку по производственным вопросам;
4. личные архивы сотрудников фирмы;
В каждой из указанных групп могут быть:
1. документы на традиционных бумажных носителях;
2. документы на технических носителях (магнитные, фотопленочные
и др.);
34
3. электронные документы, банки электронных документов,
изображение документов на экране дисплея.
В каждой из указанных групп могут быть три типа документов:
1. документы на традиционных бумажных носителях;
2. документы на технических носителях (магнитные);
3. электронные документы, банки электронных документов,
изображения документов на экране дисплея.
При выполнении управленческих действий информация источника
распространяется во внешней среде, тем самым, увеличивая число опасных
источников разглашения или утечки информации ограниченного доступа.
Канал распространения информации представляет собой путь
перемещения сведений из одного источника в другой. Этот канал включает в
себя:
1. деловые, управленческие, торговые, научные и другие
коммуникативные и регламентированные связи,
2. информационные сети,
3. естественные технические каналы и излучения.
Документированные информационные ресурсы являются собственной
информацией организации и представляют для неё значительную ценность. Эта
информация составляет интеллектуальную собственность организации.
Ценность информации может быть стоимостной категорией и
характеризовать конкретный размер прибыли при её использовании или размер
убытков при её утрате. Информация становится ценной ввиду её правового
значения для фирмы. Ценность может проявляться в перспективном, научном,
техническом или технологическом значении.
Существуют два вида информации, интеллектуально ценной для
организации:
1. техническая, технологическая (методы изготовления продукции,
ПО, производственные показатели, результаты испытаний опытных
образцов, данные контроля качества),
35
2. деловая (стоимостные показатели, результаты исследований рынка,
списки клиентов, экономические прогнозы, стратегии действий на
рынке).
Ценная информация охраняется нормами права (патентного и
авторского), товарным знаком или защищается включением её в категорию
информации, составляющую тайну фирмы.
Процесс выявления и регламентации состава ценной информации,
составляющей тайну фирмы, является основополагающей частью системы
защиты информации.
Состав этих сведений фиксируется в специальном перечне,
определяющем период их конфиденциальности, уровень или гриф их
конфиденциальности, список сотрудников фирмы, которым дано право
использовать эти сведения в работе.
Дополнительно может составляться перечень документов, в которых
защищаемая информация отражается или документируется. В перечень
включаются также документы, не содержащие указанную информацию, но
представляющие ценность для фирмы и подлежащие охране.
Перечень формируется индивидуально каждой фирмой в соответствии с
рекомендацией официальной комиссии и утверждается руководителем фирмы.
При заключении любого договора или контракта стороны обязаны брать
взаимные письменные обязательства по защите конфиденциальной
информации другой стороны и документов, получаемых при переговорах.
Документированная информация ограниченного доступа всегда
принадлежит к одному из видов тайн, государственной или негосударственной.
В соответствии с этим документы делятся на секретные и несекретные.
Обязательным признаком секретности документа является наличие в нём
сведений, составляющих государственную тайну, а несекретные документы,
включающие сведения, относимые к негосударственной тайне (служебная,
коммерческая, банковская, профессиональная, производственная) или
содержащие персональные данные граждан, называется конфиденциальными.
36
Под конфиденциальным (закрытым или защищаемым) документом
пониматся необходимым образом оформленный носитель документируемой
информации, содержащий сведения ограниченного доступа или использования,
который составляет интеллектуальную собственность юридического или
физического лица.
Конфиденциальные документы включают в себя:
1. в государственных структурах – служебную информацию
ограниченного распространения, именуемую ДСП, т.е.
информацию, отнесённую к служебной тайне, а также документы,
имеющие рабочий характер и не подлежащие публикации в
открытой печати;
2. в предпринимательских структурах – сведения, которые их
собственники или владелец имеет право отнести к коммерческой
тайне;
3. независимо от принадлежности любые персональные данные о
гражданах, а также сведения, содержащие профессиональную
тайну, технические и технологические новшества (до момента их
патентования), тайну предприятий связи, сферы обслуживания.
Особенностью конфиденциального документа является то, что он
представляет собой одновременно:
1. массовый носитель ценной защищаемой информации,
2. основной источник накопления и объективного распространения
этой информации, а также её неправомерного разглашения или
утечки,
3. обязательный объект защиты.
3.2. Угрозы конфиденциальной информации
Под угрозой или опасностью утраты информации понимается единичное
или комплексное реальное или потенциальное активное или пассивное
проявление неблагоприятных возможностей источников угрозы создавать
критические ситуации и оказывать дестабилизирующие действия на
37
защищаемую информацию, документы и БД.
Факторы угрозы: стихийные бедствия, аварии технических средств и
линий связи, другие объективные обстоятельства, а также заинтересованные и
незаинтересованные в разглашении информации лица.
Угрозы: несанкционированное уничтожение документов, ускорение
угасания текста (старение), подмена или изъятие документов, фальсификация
текстов и др.
Для информационных ресурсов ограниченного доступа имеется
значительно большее число угроз из-за повышенного числа угроз повышенного
интереса со стороны различного рода злоумышленников.
Под злоумышленником понимается лицо, действующее в интересах
конкурента или в личных корыстных интересах (агенты иностранных
спецслужб, агенты промышленного и экономического шпионажа,
криминальные структуры, отдельные преступные элементы, психически
больные лица).
Основной угрозой безопасности информационных ресурсов является
несанкционированный доступ (НСД) злоумышленника или постороннего лица
к документальной информации и, как результат, противоправное её
использование.
Постороннее лицо – любое лицо, не имеющее непосредственного
отношения к деятельности фирмы, (работники коммунальных служб, служб
экстренной помощи и прохожие), посетители фирмы, работники других орг.
структур, а также сотрудники данной фирмы, не обладающие правом доступа в
определённые помещения, к конкретному документу, к БД.
Основным виновником НСД к информационным ресурсам является
персонал, работающий с такой документацией.
Обязательным условием успешного осуществления попытки НСД
является интерес к ним со стороны конкурентов, определённых лиц, служб и
организаций. Основной виновник НСД – персонал.
Возможные причины утраты информационных ресурсов:
38
1. наличие интереса конкурента, учреждений, фирм или конкретных
лиц к информации,
2. возникновение риска угрозы, организованной злоумышленником
или при случайно сложившихся обстоятельствах,
3. наличие условий, позволяющих злоумышленнику осуществить
необходимые действия и овладеть информацией.
Эти условия могут включать:
1. Отсутствие функциональной, аналитической, и контрольной работы
по выявлению и изучению угроз, каналов и степени риска
нарушений безопасности информационных ресурсов
2. Не эффективную систему ЗИ или отсутствие её;
3. Не проффесионально организационную технологию обработки и
хранения конфидициональных документов;
4. Не упорядоченный набор персонала и текучесть кадров, сложный
психологический климат в коллективе;
5. Отсутствие системы обучение сотрудников правилам ЗИ
ограниченного доступа;
6. Отсутствие системы контроля со стороны руководства за
соблюдение персоналом требований нормативных документов по
работе с информацией ограниченного доступа;
7. Бесконтрольное посещение помещения фирмы посторонними
лицами;
Утрата информации характеризуется двумя условиями.
Информация переходит:
1. Непосредственно заинтересованному лицу;
2. К случайному третьему лицу;
Непреднамеренный переход информации к третьему лицу возникает в
результате:
1. Утери или неправильного уничтожения документа;
2. Игнорирование или умышленного не выполнения сотрудника
39
требований по защите конфиденциальной информации;
3. Излишнее разговорчивость сотрудников при отсутствии
злоумышленника(коллег по работе, родственники, друзья и т.п.);
4. Работа с документами ограниченного доступа при посторонних
лицах, несанкционированной передачи их другому сотруднику;
5. Использование сведений ограниченного доступа в открытой
документации(открытая печать, личные записи и т.д.);
6. Отсутствие маркировки или грифование информации их
документов;
7. Наличие в документах излишней информации ограниченного
доступа;
8. Самовольного копирования сотрудником документов в служебных
или коллекционных целях;
3.3. Система защиты конфиденциальной информации.
Практической реализации концепции информационной безопасности
является технологическая система ЗИ. ЗИ представляет собой жестко
регламентированный технологический процесс, предупреждающий нарушение
доступности, целостности, достоверности и конфидициальности ценных
информационных ресурсов и обеспечивающий достаточно надёжную
безопасность информации в процесс управленческой и производственной
деятельности.
Система ЗИ – рациональная совокупность методов, средств и
мероприятий, снижающих уязвимость информации.
Главными требованиями к организации информационного
функционирования системы является:
1. Персональная ответственность руководителей и сотрудников за
сохранность посетителей конфидинциольной информации;
2. Регламентация состава конфидинциольных сведений и документов
подлежащих защите;
3. Регламентация порядка доступа персонала к конфидинциольным
40
сведения и документам;
4. Наличие специализированной службы безопасности,
обеспечивающих практическую реализацию систем защиты;
5. Нормативно методическое обеспечение деятельности этой службы;
Собственники информационных ресурсов самостоятельно определяют
необходимую степень защищённости ресурсов, тип системы, способы и
средства защиты исходя из ценности информации. Структура системы защиты
документов охватывает не только электронные информационные системы, но и
весь управленческий комплекс организации. Основной характеристикой
является компетентность т.е. наличие в ней обязательны элементов,
охватывающих все направления ЗИ. Элементами системы являются: правовой,
организационный, инженерно-технический, программно-аппаратный и
криптографический. Правовой элемент основывается на нормах
информационного права и предполагает юридическое закрепление отношений
фирмой и государством по поводу правомерности исполнения системы ЗИ;
фирмы и персонала по поводу обязанностей персонала соблюдать
установленные ограничительные и технологические меры защитного характера,
а так же ответственности персонала за нарушение порядка ЗИ.
Этот элемент включает:
1. Наличие в организационных документах фирмы в правилах
трудового распорядка, контрактах заключённых сотрудниками и
рабочих инструкциях положений и обязательств по защите
конфидинциольной информации.
2. Формирование и доведение до сведения всех сотрудников фирмы
положения о правовой ответственности за разглашение
конфидинциольной информации, несанкционированное
уничтожение или фальсификацию документов.
3. разъяснение лицам, принимаемым на работу положения о
добровольности принимаемых ими на себя ограничений, связанных
с выполнение обязанностей по ЗИ.
41
Организационный элемент содержит меры управленческого,
ограничительного и технологического характера, определяющие основы и
содержание системы защиты.
Элемент включает в себя регламентацию:
1. Организация деятельности службы безопасности и службы
конфидинциольной документации, обеспечивающий деятельности
этих служб нормативно-методическими документами по
организации и технологии ЗИ;
2. Составление и регулярного обновления перечня защищаемой
информации, составление и ведение описи защищаемых бумажных,
машиночитаемых и электронных документов;
3. Разрешительные системы разграничения доступа персонала к
защищаемой информации;
4. Методов отбора персонала для работа с защищенной информацией,
методики обучения персонала;
5. Направлений и методов воспитательной работы с персоналом,
контроля соблюдения сотрудников порядка ЗИ;
6. Технологии защиты обработки и хранения документов фирмы;
7. Порядка защиты ценной информации от случайных и умышленных
НС действий персонала;
8. Ведение всех видов аналитической работы;
9. Порядка ЗИ при проведении совещании, переговоров, приёме
посетителей;
10.Оборудование и аттестацию помещений, выделенных для работы с
конфиденциальной информацией, лицензирование технологических
систем и средств ЗИ;
11.Пропускного режима на территории, зданиях и помещениях фирмы,
идентификация персонала и посетителей;
12.Система охраны территории, здания, помещения;
13.В экстремальных ситуациях регламентация персонала;
42
14.Организационных ? приобретение, установки и эксплуатации
технических средств ЗИ и охраны;
15.Организационных вопросов защиты персональных компьютеров,
информационных систем, локальных сетей;
16.Работы по управлению системой ЗИ;
17.Критериев и порядка проведения оценочных мероприятий по
установлению степени эффективности системы ЗИ
Сознательность, обученность и ответственность персонала можно с
полным правом назвать краеугольным камнем любой даже самой технически
совершенной системы защиты информации. Организационные меры защиты
отражаются в нормативно-методических документах службы безопасности,
службы конфиденциальной документации учреждения или фирмы. В этой
связи часто используется единое название двух рассмотренных выше элементов
системы защиты - «элемент организационно-правовой защиты информации».
Инженерно-технический элемент системы защиты информации
предназначен для пассивного и активного противодействия средствам
технической разведки и формирования рубежей охраны территории, здания,
помещений и оборудования с помощью комплексов технических средств. При
защите информационных систем этот элемент имеет весьма важное значение,
хотя стоимость средств технической защиты и охраны велика. Элемент
включает в себя:
1. сооружения физической (инженерной) защиты от проникновения
посторонних лиц на территорию, в здание и помещения (заборы,
решетки, стальные двери, кодовые замки, идентификаторы, сейфы
и др.);
2. средства защиты технических каналов утечки информации,
возникающих при работе ЭВМ, средств связи, копировальных
аппаратов, принтеров, факсов и других приборов и офисного
оборудования, при проведении совещаний, заседаний, беседах с
посетителями и сотрудниками, диктовке документов и т.п.;
43
3. средства защиты помещений от визуальных способов технической
разведки;
4. средства обеспечения охраны территории, здания и помещений
(средства наблюдения, оповещения, сигнализирования,
информирования и идентификации);
5. средства противопожарной охраны;
6. средства обнаружения приборов и устройств технической разведки
(подслушивающих и передающих устройств, тайно установленной
миниатюрной звукозаписывающей и телевизионной аппаратуры и
т.п.);
7. технические средства контроля, предотвращающие вынос
персоналом из помещения специально маркированных предметов,
документов, дискет, книг и т.п.
Программно-аппаратный элемент системы защиты информации пред-
назначен для защиты ценной информации, обрабатываемой и хранящейся в
компьютерах. Элемент включает в себя:
1. автономные программы, обеспечивающие защиту информации и
контроль степени ее защищенности;
2. программы защиты информации, работающие в комплексе с
программами обработки информации;
3. программы защиты информации, работающие в комплексе с
техническими (аппаратными) устройствами защиты информации
(прерывающими работу ЭВМ при нарушении системы доступа,
стирающие данные при несанкционированном входе в базу данных
и др.);
Криптографический элемент системы защиты информации предназначен
для защиты конфиденциальной информации методами криптографии. Элемент
включает:
1. регламентацию использования различных криптографических
методов в ЭВМ и локальных сетях;
44
2. определение условий и методов криптографирования текста
документа при передаче его по незащищенным каналам почтовой,
телеграфной, телетайпной, факсимильной и электронной связи;
3. регламентацию использования средств криптографирования
переговоров по незащищенным каналам телефонной и радиосвязи;
4. регламентацию доступа к базам данных, файлам, электронным
документам персональными паролями, идентифицирующими
командами и другими методами;
5. регламентацию доступа персонала в выделенные помещения с
помощью идентифицирующих кодов, шифров.
Составные части криптографической защиты, коды, пароли и другие ее
атрибуты разрабатываются и меняются специализированной организацией.
Применение пользователями собственных систем шифровки не допускается.
На практике могут быть реализованы только отдельные составные части в
зависимости от поставленных задач. Например, в некрупной фирме с
небольшим объемом защищаемой информации можно ограничиться регламен-
тацией технологии обработки и хранения документов, доступа персонала к
документам и делам. Можно дополнительно выделить в отдельную группу и
маркировать ценные бумажные, машиночитаемые и электронные документы,
вести их опись, установить порядок подписания сотрудниками обязательства о
неразглашении тайны фирмы, организовывать регулярное обучение и инст-
руктирование сотрудников, вести аналитическую и контрольную работу.
В крупных производственных и исследовательских фирмах с множеством
информационных систем и значительными объемами защищаемых сведений
формируется многоуровневая система защиты информации, характеризующая-
ся иерархическим доступом к информации. Однако эти системы, как и про-
стейшие методы защиты, не должны создавать сотрудникам серьезные неудоб-
ства в работе, т.е. они должны быть «прозрачными».
Следовательно, безопасность информации в современных условиях имеет
принципиальное значение для предотвращения незаконного использования
45
ценных сведений. Задачи обеспечения безопасности информации реализуются
комплексной системой защиты информации. Основным условием безопасности
информационных ресурсов ограниченного доступа от различных видов угроз
является организация в фирме аналитических исследований, построенных на
современном научном уровне и позволяющих иметь постоянные сведения об
эффективности системы защиты и направлениях ее совершенствования в соот-
ветствии с возникающими ситуационными проблемами.
46
Глава 4. Особенности работы с персоналом, владеющим
конфиденциальной информацией (КИ)
4.1. Персонал, как основная опасность утраты
конфиденциальной информации (КИ)
В основе системы ЗИ лежит человеческий фактор, предполагающий
преданность персонала интересам фирмы и осознанное соблюдение им
установленных правил ЗИ.
В решении проблемы информационной безопасности значительное место
занимает выбор эффективных методов работы с персоналом.
Однако иногда персонал является основным источником утраты ценной и
КИ. Объясняется это тем, что с т. з. психологических особенностей, персонал-
это сложное явление. Каждый из сотрудников всегда индивидуален, трудно
предсказуем, а мотивации его поведения довольно часто противоречивы и не
отвечают требованиям сложившейся ситуации. В современных
предпринимательских структурах практически каждый основной сотрудник
становится носителем ценных сведений, которые представляют интерес для
конкурентов и криминальных структур. В контексте безопасности кадровая
политика имеет профильную роль по отношению к такому типу угрозы как
неблагонадежность отдельных сотрудников.
Помимо профессиональных способностей сотрудники, связанные с
секретами фирмы, должны обладать высокими моральными качествами,
порядочностью, исполнительностью и ответственностью.
Человеческий фактор должен постоянно учитываться в долговременной
стратегии фирмы (руководитель должен подбирать персонал с перспективой
для них), в ее текущей деятельности и являться основным элементом
эффективной системы защиты информационных ресурсов.
Организационные мероприятия по работе с персоналом можно разделить
на несколько групп:
1. проведение усложненных аналитических процедур при приеме и
47
увольнении сотрудников;
2. документирование добровольного согласия лица не разглашать
конфиденциальные сведения (КС) и соблюдать правила
обеспечения безопасности информации;
3. инструктирование и обучение сотрудника к практическим
действиям по ЗИ;
4. контроль за выполнением персоналом требований по ЗИ.
Сложности в работе с персоналом определяются:
1. большой ценой решения о допуске лица к тайне предприятия;
2. наличием в фирме небольшого контингента сотрудников,
служебные обязанности которых, связаны с использованием КС
(руководители, ответственные исполнители, сотрудники службы
КД);
3. разбиением тайны на отдельные элементы, каждый из которых
известен определенным сотрудникам в соответствии с
направлением их деятельности;
Персонал и окружающие фирму люди (возможный источник утраты
информации):
1. все сотрудники фирмы;
2. сотрудники других фирм (посредники, изготовители
комплектующих деталей, рекламные агенты, представители
торговых фирм);
3. сотрудники государственных учреждений, к которым фирма
обращается в соответствии с законом (налоговые и др. инспекции,
муниципальные и правоохранительные органы);
4. журналисты СМИ;
5. посетители фирмы, работники коммунальных служб, почтовые
служащие, работники служб экстремальной помощи;
48
6. посторонние лица, работающие или проживающие рядом со
зданием или помещением фирмы, уличные прохожие;
7. родственники, знакомые и друзья всех указанных выше лиц.
Перечисленные лица являются или могут стать источниками КС, а
наиболее осведомленными в секретах фирмы являются 1-й руководитель, его
основной заместитель, их референты и секретари, а также сотрудники службы
КД.
4.2. Методы добывания ценной информации у персонала
Можно выделить т. н. осознанное сотрудничество работника фирмы со
злоумышленником. К такому сотрудничеству можно отнести:
1. инициативное сотрудничество работника фирмы с целью мести
руководству или коллективу фирмы, а также по причине подкупа,
регулярной оплаты постоянных услуг и психической
неустойчивости;
2. формирование сообщества, т. е. злоумышленник и его сообщник,
работающий на основе убеждения в справедливости взглядов
злоумышленника, либо дружеских отношений, либо
взаимопомощи;
3. сотрудничество на основе личного убеждения работника в
противоправных действиях руководства фирмы или их моральном
разложении;
4. склонение либо принуждение к сотрудничеству путем обманных
действий, а также изменения взглядов или моральных принципов
путем убеждения, вымогательства, шантажа, использование
отрицательных черт характера, физического насилия.
Наиболее частым, достаточно опасным и трудновыявляемым является
использование сотрудника фирмы для неосознанного сотрудничества:
1. переманивание ценных и осведомленных специалистов обещанием
лучшего материального вознаграждения, лучшими условиями труда
49
и иными преимуществами;
2. ложная инициатива в приеме сотрудника на высокооплачиваемую
работу в конкурирующую фирму и выведывание в процессе
собеседования необходимых КС, а затем отказ в приеме;
3. выведывание ценной информации у сотрудника фирмы с помощью
подготовленной системы вопросов на научных конференциях, а
также встречах с прессой, на выставках, в личных беседах, в
служебной и неслужебной обстановке;
4. подслушивание и записывание на диктофон разговоров
сотрудников;
5. прослушивание служебных и личных телефонов сотрудников
фирмы, перехват телексов, телеграмм, факсов, сообщений по
электронной почте, вскрытие и ознакомление со служебной и
личной корреспонденцией руководства фирмы;
6. получение злоумышленником от сотрудника нужной информации,
когда сотрудник находится в состоянии алкогольного опьянения,
под действием наркотиков, психотропных препаратов, внушений,
гипноза; приведением злоумышленником сотрудника в
бессознательное состояние.
От персонала информация переходит к злоумышленнику по причине:
1. слабого знания персоналом требований и правил по ЗИ;
2. злостного или безответственного невыполнения сотрудником этих
правил;
3. по причине использования экстремальных ситуаций в помещении
фирмы и происшествий с персоналом;
4. по причине ошибочных действий персонала.
Ошибочные и безответственные действия подразделяются на 2 группы:
1. неспровоцированные злоумышленником (взятие
конфиденциальных документов (КД) на дом; оставление без
50
надзора документа или загруженного компьютера; выбрасывание в
мусорную корзину черновиков и копий КД; использование КИ в
открытых публикациях; ошибочная выдача КД сотруднику, не
имеющему к нему доступа);
2. провоцирование злоумышленником: предоставление КИ на ложные
социологические и др. опросы; прохождение сотрудником ложного
анкетирования; обман сотрудника; проход злоумышленника в
служебное помещение или на территорию фирмы; общение
сотрудника со злоумышленником по поводу сведений,
составляющих тайну.
Личные и бытовые затруднения сотрудников, на которые не обращает
внимание руководство фирмы является хорошей почвой для работы с ними
злоумышленника.
Чаще всего злоумышленник выявляет сотрудников, обладающих
человеческими слабостями, которые нужно развивать и использовать с пользой
для его дела.
Например, болтливость, амбициозность, легкомыслие, стремление к
развлечениям, любовь к незаработанным деньгам и т. д. В этом случае
злоумышленник с успехом использует лесть, обещания, подарки, установление
дружеских и близких отношений, одалживание денег. Он играет также на
естественном стремлении сотрудника показаться более компетентным,
осведомлённым и значимым в делах фирмы.
Но наиболее частой причиной разглашения секретов фирмы является
обычная глупость сотрудника или его неумение оценивать ситуацию, а также
незнание методов эффективного противодействия злоумышленнику, т. е.
плохой подбор персонала и его необученность. Следовательно даже
поверхностный анализ некоторых способов добывания конфиденциальной
информации показывает, что система защиты секретов фирмы должна прежде
всего основываться на тщательном отборе персонала, анализе его личных и
51
моральных качеств, обучении сотрудников правилам защиты информации и
противодействия злоумышленникам.
4.3. Доступ к конфиденциальным сведениям, документам и
базам данных
Регламентация порядка доступа лежит в основе режима
конфиденциальности работ. Режим представляет собой совокупность
ограничительных правил, мероприятий и норм, обеспечивающих
контролируемый доступ к информации и документам. Режим базируется на так
наз. разрешительной системе.
Принцип построения разрешительной системы доступа:
1. надёжность (относительное исключение возможности НСД
посторонних лиц к документам в обычных и экстремальных
условиях);
2. полнота охвата всех категорий исполнителей и всех категорий
исполнителей и всех категорий документов;
3. конкретность, т. е. однозначность решения о доступе;
4. производственная необходимость как единственный критерий
доступа исполнителя к документу;
5. определение состава должностных лиц, дающих разрешение на
доступ исполнителя к конфиденциальным документам,
исключающим возможности бесконтрольной выдачи таких
разрешений;
6. строгая регламентация порядка работы всех категорий сотрудников
фирмы с информацией.
Разрешение на доступ к конкретной информации может быть дана при
соблюдении следующих условий:
1. наличие подписанного приказа первого руководителя о приёме на
работу или назначении на должность в структуру которого входит 52
работа с данной информацией;
2. наличие подписанного сторонами трудового договора, имеющего
пункт о сохранении тайны фирмы;
3. соответствие функциональных обязанностей сотрудника
передаваемым ему документам и информации;
4. знание сотрудником требований нормативно-методических
документов по защите информации и сохранению тайны фирмы;
5. наличие необходимых условий в офисе для работы с
конфиденциальными документами;
6. наличие системы контроля за работой сотрудника.
Руководители несут персональную ответственность за правильность
выдаваемых ими решений на доступ исполнителей к конфиденциальным
сведениям, а лица, работающие с конфиденциальными документами несут
персональную ответственность за сохранение в тайне их содержания.
Руководители фирмы имеют право давать разрешение на ознакомление
со всеми видами конфиденциальных документов фирмы всем категориям
исполнителей и другим лицам.
Разрешение на доступ к конфиденциальным сведениям всегда даётся
только в письменном виде (либо резолюцией на документ, либо приказом).
При организации доступа сотрудников фирмы к конфиденциальным
массивам электронных документов, можно выделить следующие главные
составные части:
1. доступ к ПК, серверу или рабочей станции;
2. доступ к машинным носителям информации, хранящимся вне ЭВМ;
3. непосредственный доступ к БД и файлам.
Доступ к ПК, серверу или рабочей станции предусматривает:
1. определение состава сотрудников, имеющих право доступа в
помещение, в котором находится соответствующая вычислительная
53
техника и средства связи;
2. регламентацию временного режима нахождения этих лиц в
указанных помещениях, протоколирование периода работы этих
лиц в иное время;
3. организацию охраны этих помещений (в рабочее и нерабочее
время), определение правил вскрытия помещений, отключение
охранных технических средств, определение правил постановки на
сигнализацию, регламентацию работы технических средств в
рабочее время;
4. организацию контролируемого режима входа в помещение и
выхода из них;
5. организацию действий охраны и персонала в экстремальных
ситуациях;
6. организацию выноса из указанных помещений материальных
ценностей, машинных и бумажных носителей информации,
контроль вносимых в помещение и выносимых персоналом личных
вещей.
Доступ к машинным носителям конфиденциальной информации,
хранящейся вне ЭВМ предполагает:
1. организацию учёта и выдачи сотрудникам чистых машинных
носителей информации;
2. организацию ежедневной фиксируемой выдачи сотрудникам и
приёма от них носителей с записанной информацией;
3. определение состава сотрудников, имеющих право оперировать с
конфиденциальной информацией с помощью ПК;
4. организацию системы закрепления за сотрудниками машинных
носителей информации;
5. организацию порядка уничтожения информации на носителе,
порядка и условий физического уничтожения носителей;
6. организацию хранения машинных носителей, регламентацию
54
порядка их эвакуации в экстремальных ситуациях;
7. определение и регламентацию первым руководителем состава
сотрудников, не сдающих по объективным причинам технические
носители информации.
Доступ к конфиденциальным БД и файлам подразумевает:
1. определение состава сотрудников, допускаемых к работе с
определёнными БД и файлами;
2. именование БД и файлов, фиксирование имён пользователей и
операторов, имеющих право доступа к ним (БД);
3. учёт состава БД и файлов, регулярную проверку наличия
целостности и комплектности электронных документов;
4. регистрацию входа в БД, автоматическую регистрацию имени
пользователя и времени работы, сохранение первоначальной
информации;
5. регистрацию попытки НСД в БД, регистрацию ошибочных
действий пользователя, автоматическую передачу сигналов тревоги
охране и автоматическое отключение ПК;
6. установление и нерегулярное по сроку изменение имён
пользователей, массивов и файлов, паролей (актуально при частой
смене персонала);
7. отключение ЭВМ при нарушениях в системе регулирования
доступа или сбоя в системе защиты информации;
8. механическое (ключом или другим приспособлением)
блокирование отключенной, но загруженной ЭВМ при
недлительных перерывах в работе пользователя.
Коды, пароли, ключи, шифры, специальные программные продукты,
аппаратные средства и другое разрабатываются, меняются в
специализированной организации и индивидуально доводятся до сведения
каждого пользователя работником этой организации или системным
55
администратором; применение пользователями собственных кодов не
допускается.
56
Глава 5. Технологические основы обработки
конфиденциальных документов
5.1. Защищенный документооборот
Целью документооборота является обеспечение управленческой
деятельности и процесса принятия решения ценной, полезной, своевременной,
полной и достоверной информацией.
Движение документированной информации (на бумажных, магнитных
или иных носителях) пол линиям связи объективно сопровождает
управленческую деятельность. Как технологический процесс документооборот
представляет собой схему движения традиционных, машиночитаемых и
электроннх документов по пунктам их учета, рассмотрения, исполнения и
хранения для выполнения формальных и технических процедур и операций.
Основной характеристикой движения документированной информации
является ее технологическая комплексность, т.е. объединение управленческих,
делопроизводственных и почтовых задач.
Документооборот отражает весь жизненный цикл документа, т.е. период
ее активной жизни в управленческом процессе и пассивный период архивной
жизни.
Документооборот как объект защиты представляет собой упорядоченную
совокупность каналов санкционированного распространения
конфиденциальной документированной информации в процессе
управленческой и производственной деятельности потребителей этой
информации. При движении конфиденциальных документов по инстанциям
увеличивается число источников, обладающих ценными сведениями. Наиболее
часто встречающимися угрозами конфиденциальным документам в
документопотоках могут быть:
1. Несанкционированный доступ постороннего лица к документам
2. Утрата документа или его отдельных частей
3. Утрата конфиденциальности информации за счет ее разглашения
57
персоналом или утечки по техническим каналам
4. Подмена документов, носителей и их отдельных частей
5. Случайное или умышленное уничтожение ценных документов и баз
данных
6. Уничтожение документов в экстремальных ситуациях
Для электронных документов угрозы классифицируются по степени
риска следующим образом:
1. Непреднамеренные ошибки пользователей, работников службы КД
и других лиц, обслуживающих информационные системы
2. Кражи и подлоги информации
3. Стихийные ситуации внешней среды
4. Заражение вирусами
5. носителя технологического обеой информ
Защищенность документопотоков достигается за счет:
8. Одновременного использования режимных мер и технологических
приемов, входящих в систему обработки и хранения
конфиденциальных документов
9. Нанесение отличительной отметки (грифа) на чистый носитель или
документ, в том числе и на сопроводительный, что позволяет
выделить их в общем потоке документов
10.Формирование самостоятельных изолированных потоков
конфиденциальных документов и дополнительное разбиение их на
подпотоки в соответствии с их уровнем конфиденциальности
11.Использование автономной технологической системы обработки и
хранения конфиденциальных документов, не соприкасающихся с
системой обработки открытых документов
12.Регламентация движения документов как внутри фирмы, так и
между фирмами (с момента возникновения мысли о необходимости
создания документа до передачи его в архив или уничтожения)
58
13.Организация самостоятельного подразделения конфиденциальной
документации или аналогичного подразделения, входящего в
состав СБ или аналитической службы
14.Перемещение документов между руководителями, исполнителями
и другим персоналом осуществляется только через службу КД
Совокупность технологических стадий, сопровождающих потоки
конфиденциальных документов, включают в себя следующие стадии
обработки:
1. Прием, учет и первичная обработка поступивших пакетов,
конвертов и незаконвертированных документов
2. Учет поступивших документов и формирование справочно-
информационного банка данных документов
3. Предварительное рассмотрение и распределение поступивших
документов
4. Рассмотрение документов руководителем и передача их на
исполнение на технологические участки службы КД
5. Ознакомление с документами исполнителей и использование или
исполнение документов
Выходной и внутренний документопотоки включают в себя следующие
обработки КД:
1. Исполнение документов. Этапы:
Определение уровня грифа конфиденциальности документа
Учет носителя будущего документа
Составление текста
Учет подготовленного документа
Его изготовление и издание
2. Контроль исполнения документов
3. Обработка изданных документов
Отправка их адресатам
Передача изданных документов на исполнение
59
Систематизация исполненных документов в соответствии с
номенклатурой дел
Оформление, формирование и закрытие дел
Подготовка и передача дел в архив
В состав всех документопотоков включается ряд дополнительных стадий
обработки:
1. Инвентарный учет документов, дел и носителей информации, не
включаемых в номенклатуру дел
2. Проверка наличия документов, дел и носителей информации
3. Копирование и тиражирование документов
4. Уничтожение документов, дел и носителей информации
Защита документированной информации в документопотоках
обеспечивается комплексом разнообразных мер режимного, технологического,
аналитического и контрольного характера. Перемещение документов в
процессе выполнения каждой стадии сопровождается набором связанных
учетных операций, закреплением документа за конкретным сотрудником и его
персональной ответственностью за сохранность носителя конфиденциальной
информации.
5.2. Технологические основы системы ЗОКД
Под технологической системой обработки и хранения КД понимается
упорядоченный комплекс организационных и технологических процедур и
операций, обеспечивающих служб и технических средств, предназначенных
для практической реализации задач, стоящих перед функциональным
элементом документопотока.
В отличии от открытых документов к обработке КД предъявляются
следующие серьезные требования:
1) централизация всех стадий, этапов, процедур и операций по
обработке и хранению КД;
2) учет всех без исключения КД;
60
3) операционный учет технологических действий производимых с
традиционным бумажным или электронным носителем
документа. Учет каждого факта жизненного цикла документа;
4) обязательный контроль вторым работником службы КД
правильности выполнения учетных операций;
5) учет и обеспечение сохранности не только документов, но и
учетных форм;
6) ознакомление и работа с документом только на основании
письменного разрешения полномочного руководителя,
письменного фиксирования все обращений персонала к
документу;
7) обязательная подпись руководителей, исполнителей и
технического персонала при выполнении любых действий с
документов в целях обеспечения персональной ответственности
за собранность носителя и конфиденциальность информации;
8) строгий контроль выполнения персонала правил работ с КД,
делами и БД;
9) систематические (периодические и разовые) проверки наличия
документов у исполнителей, в делах, БД, на машины носителя и
т.д. и служебный контроль сохранности комплектности,
целостности и местонахождения каждого конфиденциального
документа;
10) процедур копирования и размножения конфиденциальных
документов, а также контроль технологии выполнения этих
процедур.
Технологические системы обработки и хранения КД могут быть
традиционными, автоматизированными и смешанными.
Традиционные делопроизводственные системы.
Основываются на ручных методах работы человека с документом и
являются универсальными. Обеспечивают защиту информации как в обычных,
61
так и в экстремальных условиях. Системы характеризуются низкой степенью
оперативности доставки документов потребителю, невысокой эффективностью
справочной, поисковой и контрольной работы по документам, потребностью в
значительном количестве персонала обслуживающего систему.
Ведение конфиденциального делопроизводства централизуется в едином
подразделении в службе кд функционально несвязанного с подразделением,
обрабатывающим открытые документы.
Служба КД может включать в себя следующие функциональные группы:
1) группу учета поступивших документов;
2) группу учета носителей КИ;
3) группу учета и обработки изданных документов;
4) группу учета номенклатурных дел (архив фирмы);
5) группу инвентарного учета документов;
6) бюро изготовления документов;
7) копировально-множительная группа;
8) контрольно-методическая группа.
Службу КД необходимо располагать в помещении, смежном с приемной
1-го руководителя фирмы. В этом помещении ведется обработка и хранение
всех КД, право входить в рабочее помещение службы обладает только 1-ый
руководитель фирмы и руководитель СБ.
Автоматизированные системы.
Должна обеспечивать потребности персонала в КИ за счет:
1) значительного сокращения объема работы с документами и
числа технических операций, выполняемых персоналом службы
ручными методами;
2) реализации возможности для персонала фирмы работы с
электронными документами в режиме безбумажного
документооборота
3) достаточной гарантии сохранности и целостности информации,
регулярного контроля и противодействия попыткам НСД к
62
банку данных;
4) аналитических работ по определению степени защищенности
информации и поиску возможных каналов ее утраты;
5) единства технологического процесса с режимным требованием
ЗИ (допуск, доступ, регламентация выполнения процедур и
операции);
6) персональной ответственности за сохранность
конфиденциальных сведений в машинных массивах и на
магнитных носителях;
7) возможность постоянного учета местонахождения
традиционного или электронного документа и проверка его
наличия в любое время;
8) предотвращение перехвата информации из ЭВМ по
техническим каналам, наличия надежной охраны помещений, в
которых находится ВТ, охраны компьютеров и линии
компьютерной связи
В помещениях, в которых конфиденциальная информация
обрабатывается на ЭВМ, должны иметь защиту от технических средств
промышленного шпионажа, круглосуточную охрану и пропускной режим.
Кроме того, следует учитывать, что при автоматизированной обработка резко
увеличивается количество носителей, содержащих конфиденциальные
сведения.
Недостатком обработки информации на ЭВМ является необходимость
постоянного дублирования информации на нескольких носителях из-за
опасности ее утраты по техническим причинам.
Смешанная технология обработки и хранения документов совмещает
традиционную и автоматизированную системы.
Выборочно автоматизируется:
справочная и поисковая работы по бумажным делам;
процедура составления и изготовления документов и учетных
63
форм;
контроль исполнения и другие сервисные задачи.
Остальные стадии и процедуры выполнятся по традиционной технологии:
распределение бумажных документов, их рассмотрение, исполнение,
оперативное и архивное хранение.
5.3. Принципы учета КД
По отношению к открытым документам учет (регистрация), в первую
очередь преследует цель включения документа в справочно-информационную
систему для выполнения функций справочной и поисковой работы по
документам, а также контроля и исполнения.
При учете КД на 1-ый план выдвигается функция сохранности
документов и фиксирования их местонахождения. Основной целью учета КД
является обеспечение их физической сохранности, контроль за доступом к ним
персонала. В отличии от регистрации открытых документов КД учитываются
сразу же при поступлении или перед изготовлением беловика, т.е. до
выполнения процедур рассмотрения, распределения и т.д. Индивидуальному
учету подлежат все без исключения документы. Учет предусматривает не
только фиксирование факта поступления документа, но и обязательное
регистрирование всех перемещений и совершенных с ним действий.
При ведении учета возможные угрозы КД реализуются в результате:
1. Выпадения документов из учетной системы за счет ошибочных иди
злоумышленых действий работников службы КД.
2. Отсутствие фиксированного контроля за документом при переходе
его от одной технологической стадии движения и процедуры
обработки к другой.
3. Включения конфиденциальных сведений из документов в учетные
формы.
4. Утечки информации по техническим каналам.
5. Использования работником службы КД традиционной или
автоматизировано технологии, не предназначенной для обработки и
64
хранения КД или самодельной непрофессиональной технологии.
6. Нарушения порядка выполнения учета операций и ведения
справочно-информационной БД по документам.
Основным способом ЗИ от различных угроз является строгая
регламентация технологических процедур учета и контроль за соблюдением
работниками службы КД, персоналом и руководством фирмы требований и
правил.
Учет конфиденциальных документов должен решать задачи
фиксирования следующих фактов:
1. поступление пакета с документами или документом, поступающего
по электронной или факсимильной почте
2. регистрация исходных сведений о документе и включение его в
справочно-информационный банк данных
3. факт переноса информации с бумажного документа на машинный
носитель
4. факт перемещения документа в процессе его рассмотрения,
исполнения и возвращения в службу КД
5. местонахождение документа в любой момент времени в период
исполнения документа и при его архивном хранении
6. факт регистрации исходных сведений о подготовленном документе
7. факт дальнейшей работы над изданным документом или
отправление его адресату
8. факт начала и окончания составления, изготовления и издания
документа
9. факт оформления специально подготовленных носителей для
составления конфиденциальных документов
10.факт перевода документа с одного вида учета на другой
11.обеспечение поисковой, справочной и контрольной работы по
конфиденциальным документам
12.факт регулярного удостоверения комплектности документа при
65
выполнении каждой технологической процедуры с целью
предупреждения утраты копий и экземпляров документа,
черновиков, приложений и отдельных листов
13.регистрация в машинном журнале всех действий, которые
выполняются с электронными документами в БД
14.регистрация регулярных контрольных операций 2-го работника
службы КД по проверке правильности выполнения работником
службы всех технологических операций и проверки наличия
документов.
Учет конфиденциальных документов централизируется по категориям
документов на участках службы КД. Он всегда делится на несколько
изолированных видов, так называемых учетов, соответствующих стадиям в
технологической схеме обработки документов.
Целесообразны следующие виды учета:
1. учет пакетов, содержащих конфиденциальные документы, а также
учет поступления конфиденциальных документов, документов,
поступающих по телеграфной, электронной почте, факсимильной
связи с грифом конфиденциальности
2. пакетный учет поступления документов, не имеющих грифа
конфиденциальности, но отнесенных к документам ограниченного
доступа в перечне данной фирмы
3. учет входящих документов
4. учет подготовленных исходящих и внутренних документов
5. инвентарный учет документов
6. номенклатурный учет дел
При любом виде учета КД выполняются следующие процедуры:
1. индексирование документов
2. первичная регистрация исходных сведений о документе
3. последующая запись рабочих сведений о документе
4. формирование справочно-информационного банка данных
66
5. ведение этого банка
6. контроль процесса полноты и правильности регистрации
документа, а также их сохранности.
Основой индексирования (присвоения условного обозначения, имени)
конфиденциального документа является валовая нумерация всего потока доку-
ментов в течение календарного года. Подобная индексация гарантирует со-
хранность записи исходных сведений о документе - ни один номер не может
исчезнуть, а карточка выпасть из систематизированного по номерам массива, К
номеру документа может добавляться смысловой индекс, идентифицирующий
дело, в котором будет храниться документ.
Состав сведений, включаемых в учетную форму (журнал или карточку)
для регистрации конфиденциальных документов, подразделяется на два блока:
1. фиксирующий постоянные сведения о документе:
вид документа;
наименование автора;
дата;
индекс, краткое содержание, количество листов, наличие
приложений, количество листов приложений.
2. блок, фиксирующий переменные или рабочие сведения о движении
и местонахождении документа
резолюция руководителя;
обозначение фамилий исполнителя;
время и дата передачи документа;
другие отметки.
При карточной форме учета на каждый конфиденциальный документ за-
полняется 1 или 2 экземпляра регистрационной карточки. При заполнении од-
ного экземпляра карточки она учитывается в контрольном (контрольно-
учетном) журнале. Журнал предназначен для обеспечения последовательности
присвоения документам учетных номеров, контроля за наличием документов и
карточек, ускорения их поиска и внесения отметок о местонахождении
67
документа.
Перемещение конфиденциальных документов и учетных карточек между
работниками службы КД фиксируются в передаточном журнале.
В учетных формах не разрешается делать какие-либо исправления с по-
мощью корректирующей жидкости или подчистки бритвой. Исправление акку-
ратно вписывается работником службы КД рядом или выше ошибочной записи
и заверяется его росписью. Ошибочная запись зачеркивается одной чертой.
Автоматизированный учет КД включает в себя следующие процедуры:
1. подготовка документов к вводу ЭВМ
2. ввод исходных сведений о документах в автоматизированный банк
данных (АБД)
3. ввод в предварительный массив АБД электронных документов,
документов на магнитных носителях и путем сканирования
бумажных документов
4. распечатка на бумажном носителе исходных учетных сведений о
документе и при необходимости распечатка на бумажном носителе
электронных документов
5. ежедневная проверка правильности регистрации документов и их
наличие
6. изготовление на учтенной дискете страховой копии документа,
поступившего по линии электронной почты
7. перенос электронных документов из предварительного массива в
основной рабочий массив
8. обозначение на бумажном документе или на сопроводительном
письме к дискете отметки о вводе документа в БД с указанием его
учетного номера.
9. подшивка бумажного документа и бумажной копии электронного
документа в дело в соответствии с номенклатурой дел службы КД,
а также помещение страховых дискет в ячейку места хранения.
На основе применяемых традиционных и электронных регистрационных
68
форм создается справочно-информационный банк данных (учетный аппарат),
который предназначен для контроля за сохранностью документов, накопления
исходных данных о документах, внесения в учетные формы рабочих сведений в
процессе исполнения или использования документов, обеспечения контроля за
исполнением документов и проверки их наличия.
Банк данных по документам должен отвечать следующим требованиям:
1. содержать полные и достоверные данные о всех конфиденциальных
документах
2. банк должен иметь единообразную схему построения
3. наименование граф в учетных формах должны быть правильно
сформулированы и однозначно пониматься сотрудниками
4. отличаться минимальной трудоемкостью при формировании и
ведении
5. обеспечивать сопоставление учетных номеров при переводе
документа с одного вида учета на другой.
Банк может быть традиционным и автоматизированным
Задачи справочно-информационного банка данных решаются двумя
обязательными технологическими элементами: формированием банка и
ведением банка. Традиционный справочно-информационный БД по КД при
любом виде учета включает в себя:
1) журналы учета документов по видам учета или;
2) учетную валовую картотеку с разделами неисполненных и
исполненных документов. В картотеке документы находятся по
номерам;
3) учетную картотеку не неисполненные документы, в которых первые
экземпляры карточек располагаются по исполнителям. Такая
картотека называется «за исполнителем»;
4) справочную картотеку на исполненные документы, в которой
освободившиеся экземпляры карточек располагаются по
корреспондентам или другому удобному признаку;
69
5) конфиденциальную картотеку по распорядительным документам;
6) контрольную картотеку, в которой дополнительные экземпляры
карточек располагаются по срокам исполнения документов;
7) передаточный журнал для фиксирования факта передвижения
документа и учетной карточки с одного участка службы КД на другой
или от одного работника к другому.
В АС дополнительно должен быть организован учет состава и динамики
актуализации всех машинных массивов документов, всех типов машинных
носителей информации и записанных на них документов. Любая операция с
документов подлежит фиксированию учетной форме, машинном журнале и
подтверждается подписью одного или двух сотрудников.
Автоматизированный справочно-информационный БД должен иметь
следующие основные учетные массивы:
1) инвентарную валовую опись электронных, традиционных и иных
КД с указанием их местоположения или валовую опись учетных
карточек документов по видам учета (так называемые
контрольные журналы);
2) массивы электронного учета карточек документов по видам
учета;
3) массив электронных карточек учета выдачи документов по видам
учета;
4) описи рабочего и архивного массива электронных КД по
каждому компьютеру;
5) массив учетных карточек машинных носителей с перечислением
всех документов, записанных на этих носителях;
6) описи документов на любых носителях, находящихся у
руководителей и исполнителей;
7) описи предварительного массива КД компьютера службы КД.
Основное назначением всех этих массивов – обеспечение справочно-
поисковой и контрольной по документов, учета их местонахождения и наличия
70
возможности немедленной проверки сохранности и комплектности этих
документов а любых носителях без предварительной подготовки.
Учетную и страховую функции, а также функцию обеспечения
персональной ответственности за сохранность документов могут выполнят
следующие традиционные массивы, сформированные на основе бумажных
экземпляров электронных массивов:
1. Страховая учетно-валовая картотека бумажных экземпляров
электронных карточек документов.
2. Картотека «за исполнителем» для бумажных экземпляров электронных
карточек учета выдачи документов.
3. Картотека учетных карточек машинных носителей информации.
Кроме того ведется комплект постоянно обновляемых и достоверных
дубликатов всех машинных носителей, на которых записаны сведения о КД или
сами документы. При технологическом различии АС в электронных
документах и учетных формах пользователи могут ставить ЭЦП, ежедневный
код или в бумажных экземплярах фамилию и подпись. Совмещать два вида
подписи не допускается.
Процедура ввода в АБД текста электронного КД или документа с
дискеты, а также текста бумажного документа выполняется в тех АС, которые
имеют специальное сертифицированное ПО и снабжены КСЗИ.
Заключительной процедурой при любой технологической системой учета КД
является контроль процесса регистрации и сохранности документов и учетных
форм на каждом участке службы КД. Цель процедуры состоит в ежедневной
проверке вторым работником службы КД соответствия состава документов,
подлежащих учету и состава реально учтенных документов. Контроль
распространяется на все виды документов на любых носителях. Факт контроль
подтверждается подписью работника.
71
Глава 6. Технология обработки поступивших КД
6.1. Учет поступивших пакетов и документов
В основе правильной организации работы с поступившими пакетами
лежит выполнения комплекса технологических процедур включающего: прием
пакетов, учет пакетов, распределение и вскрытие пакетов, выделение из общего
документопотока ценных и КД, а также закрытие журнала учета пакетов. При
выполнении указанного комплекса процедур осуществляется:
1) контроль сохранности, целостности и комплектности
документов, установление возможного факта вскрытия пакета на
пути его следования от отправителя к адресату;
2) исключение случаев попадания в фирму пакетов и документов
других организаций, предотвращение разглашения их секретов;
3) документированное удостоверение факта получения пакета с
документами от службы доставки с целью предотвращения
утраты документов после вскрытия пакета;
4) формирование исходной учетной базы для последующей
регистрации документов и фиксация их местонахождения;
5) учет документов, присланных во временное пользование;
6) исключение возможности ознакомления работников службы КД
с документами, составляющими особую ценность или
имеющими пометку «лично»;
7) предотвращение утраты документов или их частей за счет
неполного их изъятия из пакетов;
8) контроль соответствия количества поступивших документов
количеству документов, переданных на регистрацию;
9) установление связи исходящего номера поступившего
документа с его регистрационным входящим номером и
номером в передаточной учетной форме;
10) обеспечение проверки наличия документов, зарегистрированных
72
в пакетно-контрольном журнале учета пакета.
Поступившие пакеты до их вскрытия, а также незаконвертированные
документы должны быть зарегистрированы в журнале учета пакетов. Запись,
сделанная в журнале документирует факт доставки пакета и является
первоисточником для последующего контроля состава зарегистрированных
документов.
Журнал учета делится на 3 зоны:
1. исходные сведения о пакетах (наименование и номер, количество
пакетов или документов, подпись курьера)
2. исходные сведения о документах (порядковый номер пакета, номер
документа, указанный на пакете, дата, количество листов в документе,
входящий номер, подпись сотрудника)
3. Рабочие сведения (инвентарный номер, отметка о возврате
ошибочного документа, отметка об отправлении)
В организации должен быть установлен порядок, при котором все пакеты,
конверты, а также незаконвертованные документы принимались только
работником службы КД, а в некрупных организациях секретарем-референтом
первого руководителя.
Изъятые их пакетов документы работник делит на две группы: имеющие
гриф ограничения доступа и не имеющие. Документы второй группы
сравниваются с перечнем сведений, отнесенных к конфиденциальным.
Документы отнесенные к категории конфиденциальные вносятся в журнал
учета пакетов с целью выключения их в первичную систему обеспечения
безопасности ИР фирмы.
Картотека учета входящих документов включает следующие зоны:
1. Зона исходных сведений: входящий номер и гриф
конфиденциальности, дата поступления, исходящий номер документа,
количество листов и приложений, откуда поступил, вид документа и
его краткое содержание.
2. Зона сведений о месте хранения документа: индекс дела, номера
73
листов дела, подписи о подшивке документа, проверки наличия.
3. Зона сведений о местонахождении при движении: кому выдан,
количество листов, подпись о получении, дата, подпись возврата,
сведения о движении первого экземпляра карточки, отметка о
проверке закрытия всех позиций карточки.
4. Зона сведений об отправке: куда отправлен, количество листов,
наименование и номер сопроводительного документа и дата, подписи
по проверке, отметка о возврате.
Результатом традиционного или автоматизированного учета КД должно
стать фиксирование исходных сведений о документе в целях последующего
формирования справочно-информационного БД по документам.
6.2. Распределение, рассмотрение и направление документов
на исполнение
По завершении процедуры учета поступивших КД передаются для
работы сотрудникам фирмы.
Передача документов сопровождается выполнением следующих
процедур:
1) Распределение документов;
2) Рассмотрение документов руководителем;
3) Передача документов исполнителям или на другие участки
службы КД.
Цель процедуры распределение – определение рационального пути
маршрута дальнейшего движения документа в соответствии с его
функциональной особенностью и местом в разрешительной системе доступа.
Реализация процедуры основывается на анализе содержания документа,
который является главным критерием однозначного определения: кто из
руководителей кому из исполнителей как, когда и с какими категориями
документов разрешает знакомится или работать.
В соответствии с системой доступа функционирующей в организации
поступающие документы распределяются на следующие группы:74
1) подлежащие рассмотрению первым руководителем;
2) подлежащие рассмотрению конкретным заместителем;
3) передаваемые руководителям структурных подразделений;
4) передаваемые непосредственно исполнителям.
При рассмотрении документов руководителем должны быть решены
следующие задачи обеспечения ЗИ:
принятие правильного решения по составу исполнителей,
допускаемых к документам;
исключение возможности ознакомления с документов
посторонних лиц в процессе работы;
исключение возможности утечки информации по техническим
каналам;
обеспечение физической сохранности всех частей документа.
Передача документов руководителем осуществляется работников службы
КД под подпись в традиционном журнале учета документов передаваемых
руководству, или бумажном экземпляре, аналогичному электронному журналу.
КД перемещаются между руководителями только через службу КД.
Работник службы КД, выдавай документ сотрудникам для ознакомления или
работы обязан:
1) не допустить выдачу документа лицу, не имеющему право
доступа к нему;
2) в присутствии сотрудника проверить физическую сохранность
документа, наличие всех приложений, листов и зафиксировать
факт передачи документа в учетной форме под росписб
сотрудника;
3) ознакомить сотрудника только с той частью документа которая
ему адресована, не разрешать делать выписки;
4) предотвращать любую возможность ознакомления с документов
посторонним лицом;
5) обеспечить учет документов, находящихся у сотрудников и
75
обеспечить контроль сохранности этих документов в рабочее и
нерабочее время.
Документы выдаются исполнителям для работы под роспись в учетной
карточке; электронные документы передаются в виде копий с внесением
исполнителя в электронную карточку документа, а также его ЭЦП в компьютер
службы КД.
Все полученные исполнителем КД в обязательном порядке вносятся в
традиционную внутреннюю опись документов. Опись предназначена для
проверки наличия документов и записей отметок службы КД о возврате
документов исполнителем.
При возврате исполнителем документа в службе КД проверяется
соответствие документа учетной форме и его комплектности, после этого
ставится подпись сотрудника и дата.
При передаче документа на другой участок службы КД вместе с
документом передается и его учетная карточка, которая затем возвращается с
отместкой выполнении задания. Подписи в получении и карточки ставятся в
передаточном журнале.
76
Глава 7. Технология обработки подготовленных
официальных документов
7.1. Этапы подготовки конфиденциальных документов.
Исполнительные документы – понимается процесс документирования
управленческих решений, результатов выполняемых руководителями и
сотрудниками фирмы, задач и поручений, а так же реализации функции
закрепленной за ними в должностных инструкциях.
Процесс исполнения характеризуется следующими факторами:
1. получатель руководитель или сотрудник поступающей
документации
2. письменным или устным указом выше стоящего руководителя
3. устным запросом на информацию или принятия решения от другого
учреждения
4. заданиями и поручениями включающих рабочие планы
(должностные инструкции)
5. полезная информация получается из реферативных и
информационных сборников, а так же рекламных изданий
В отличие от исполнения процесс использования документа предполагает
включение его в информационно-документную систему. Для использования в
работе обычно поступают: законодательные акты, организационно-правовые,
нормативные, распорядительные, справочно-информационные документы,
рекламные издания и научно-техническая информация. В ходе исполнительно
конфиденциальные документы подвергаются максимальному возможному
спектру угроз, которые реализуются за счет:
документирования конфиденциальной информации на случайный
носитель не входящий в сферу контроля СКД;
подготовки к изданию документов не обоснованной деловой
необходимости или не разрешенной для издания;
за счет включения в документы избыточной конфиденциальных
77
сведений, что равносильно разглашению тайны фирмы;
за счет случайного или умышленного занижения грифа
конфиденциальных сведений включающихся в документ;
за счет изготовления документов в условиях, которые не
гарантируют сохранности носителя или конфиденциальности
информации;
за счет утери черновика, оригинала, варианта или редакции
документа, приложения к документу умолчание этого факта с
попыткой подмены, утраты материалов;
за счет сообщения содержания проекта конфиденциальных
документов постороннему лицу, а так же не санкционированного
копирования документа;
за счет ошибки действующего сотрудника СКД, особенно в
частности нарушения разрешительной системы доступа к
документами
Выделяют следующие основные исполнительные конфиденциальные
документы:
1. установка уровня грифа конфиденциальных сведений подлежат
включению в будущий документ;
2. оформление и учет носителя для документа выделенного комплекса
конфиденциальной информации:
3. составление вариантов и черновика текста документа;
4. учет подготовленного черновика конфиденциального документа;
5. изготовление проекта конфиденциального документа;
6. издание конфиденциального документа;
Своевременное установление грифа конфиденциальности является
первым основным элементом защиты конфиденциальной информации. В
основе присвоения документу грифа конфиденциальности должен лежать
перечень конфиденциальных сведений фирмы, требования партнёров, условия
78
контракта, а так же перечень документов фирмы.
Схема грифования документов не гарантирует конфиденциальности, но
позволяет чётко организовать работу и организовать схему доступа к
документам.
Гриф конфиденциальности (гриф ограничения доступа) представляет
собой реквизит (элемент, служебную отметку, пометку и т.д.) формуляра
документа, свидетельствующий о конфиденциальности сведений,
содержащихся в документе, проставляется на самом документе и
сопроводительном письме к нему.
Информация и документы, отнесённые к коммерческой тайне имеют
несколько уровней грифа ограничения доступа:
1. массовый "конфиденциально", "конфиденциальная информация".
2. "строго конфиденциально", "строго конфиденциальная информация",
"конфиденциально. особый контроль" (гриф присваивается документу лично
первым руководителем, или изменяется и отменяется. Исполнение,
использование и хранение документов с этим грифом также организуется
первым руководителем. Исполнителям документы с таким грифом не
передаются). На документах, содержащих сведения, относящиеся к
коммерческой тайне, ставится гриф "ДСП" или, реже, "конфиденциально".
Гриф ограничения доступа, указываемый на документе, пишется
полностью и не сокращается. Под обозначением грифа ставится номер
экземпляра документа, срок действия грифа и иные условия его снятия. Гриф
располагается в соответствии с ГОСТ Р6.30-97 на первом и титульном листах
документа, а так же на обложке дела в правом верхнем углу.
На электронных документах и документах, записываемых на любые
машинные носители гриф обозначается на всех листах.
Ниже грифа может обозначаться ограничительная пометка типа "лично",
"только в руки", "только адресату" и пр.
При регистрации КД к его регистрационному номеру добавляется
сокращённое обозначение его грифа конфиденциальности.
79
Документы и информация, конфиденциальные в целом, как правило не
маркируются, т.к. в полном объёме обладают строгим ограничением к нему
доступа адресатов.
Гриф документации присваивается документам:
1. исполнителем при подготовке к составлению проекта документа;
2. руководителе структурного подразделения/руководителем фирмы при
подписании или согласовании документа.
3. работником службы КД при первичной обработке поступивших
документов если конфиденциальный для фирмы документ не имеет грифа
ограничения доступа.
Другим важным вопросом, решаемым руководством фирмы до начала
составления такого документа является определение необходимости
предварительной регистрации носителя, на котором будет формироваться
черновик и беловик документа.
Носители документированной конфиденциальной информации:
для традиционных текстовых документов: специальный блокнот с
отрывными листами и корешком, выполняющим функцию учёта
документов, нанесение отметок о целевом их использовании,
рабочая тетрадь для больших по объему документов, отдельные
пронумерованные листы бумаги, типографские формы и бланки
документов;
для чертёжно-графических документов: пронумерованные листы
ватмана, кальки, плёнки, координатной бумаги и т.д.;
для машинно-читаемых документов: маркированные и
пронумерованные магнитные ленты, диски, дискеты, карты;
для аудио и видеодокументов: маркированные и пронумерованные
кассеты с магнитной плёнкой, лазерные диски, кассеты с
киноплёнкой;
для фотодокументов: маркированные и пронумерованные кассеты с
фотоплёнкой, фотобумага, микрофильмы, слайды.
80
Этапы оформления и учёта носителей конфиденциальной информации:
1. первичное оформление носителя, в процессе которого выполняются
специализированные операции, позволяющие в дальнейшем контролировать
подлинность носителя и сохранность всех его элементов;
2. традиционный или автоматизированный учёт носителя, при котором
документируется факт включения носителя в категорию ограниченного
доступа с присвоением ему инвентарного номера;
3. окончательное оформление носителя. в процессе которого учётные
данные переносятся на носитель и его составные части для их идентификации;
4. выдача учтённого укомплектованного носителя информации
исполнителю, закрепление за ним персональной ответственности за
сохранность носителя и его целевое использование;
5. выдача исполнителю при необходимости дополнительных учтённых
листов. форм и бланков;
6. приём от исполнителя носителя информации, в процессе которого
проверяются: комплектность, наличие оправдательных отметок за
отсутствующие элементы и документирование факта передачи носителя в
службу КД;
7. ежедневная проверка правильности учёта носителей и их наличие.
При документировании конфиденциальной информации следует
учитывать, что:
1. объём включаемых в документ конфиденциальных сведений должен
быть минимальным и определяется реальной ситуацией;
2. документ всегда ложен касаться только одного вопроса;
3. необходимо заблаговременно предусмотреть, чтобы сводные,
плановые, распорядительные и другие подобные документы, составляемые в
виде сложных многоадресных схем в полном объёме не рассылались по
подразделениям и исполнителям, а доводились до них избирательно в виде
персонифицированных приложений-заданий или в виде отдельных документов;
81
4. информация, относящаяся к тайне фирмы. должна быть максимальным
образом локализована в конкретной части документа, либо его разделе или
приложении (отдельной дискете или эл. носителе с усложнённой процедурой
доступа);
5. включаемые в документ конфиденциальные фотоиллюстрации,
нашиваются на учтенные листы, а их количество оговаривается в
сопроводительном письме или специальной записи.
6. не допускается делать копии и выписки из ранее изданных КД без
разрешения соответствующего должностного лица, либо организации-автора.
7. конфиденциальные показатели-формулы, выводы, результаты опытов и
описания технологических процессов должны фиксироваться в документе
только 1 раз. При необходимости повторного их описания делается ссылка на
документ, в котором они ранее были отражены;
8. в неконфиденциальных документах не допускаются намеки на наличие
конфиденциальных сведений или их описания в производственной форме;
9.. составление плановых и отчётных показателей деятельности фирмы,
аналитические выводы по производству и продаже продукции, параметры
новых технологий, характеристики know-how допускается хранить только на
уровне первого руководителя фирмы в документах, делах и БД с грифом
"строго конфиденциально".
10. не допускается включение в неконфиденциальные документы
сведений, составляющих интеллектуальную собственность или коммерческую
тайну других фирм или лиц;
11. для обеспечения высокого уровня конфиденциальности пересылаемых
обычной почтой, передаваемых по незащищённым каналам связи
целесообразно было б решить вопрос о их шифровании.
7.2. Учет, изготовление и издание документов
Ни один проект конфиденциального документа не может быть изготовлен
с черновика и обрести статус правомерно документированной информации без
санкции (письменного разрешения) полномочного должностного лица фирмы.
82
Причина появления этой особенности заключается в необходимости
документирования такого правового события, как зарождение персональной
ответственности данного должностного лица за издание конкретного
документа.
Разрешение фиксируется двумя способами: или утвержденным первым
руководителем фирмы перечнем (табелем, списком) издаваемых в
подразделениях конфиденциальных документов, или индивидуальным
разрешением в виде соответствующей подписанной этим руководителем записи
на черновике документа. На черновике документа, вошедшего в указанный
перечень, исполнитель указывает: наименование подразделения (направления
деятельности) фирмы, свою фамилию и номер телефона, количество
необходимых экземпляров проекта документа, номер формы бланка или
типовой формы. Отметка заверяется росписью исполнителя. Во втором случае
эта отметка утверждается разрешающей визой соответствующего руководителя
фирмы.
Четвертая и, пожалуй, наиболее существенная особенность
документирования конфиденциальной информации, касающаяся уже
непосредственно технологических процедур изготовления самого документа,
состоит в централизованном учете – присвоении единого учетного номера
черновику и проекту будущего документа. Одновременно на еще не
изготовленный документ в службе КД заполняется комплект учетных карточек.
Полученный черновиком документа учетный номер будет сопровождать проект
документа, а затем и сам документ в течение его последующего «жизненного
цикла». Обязательно учитываются проекты подготовленных
конфиденциальных электронных документов, телетайпограмм, факсов.
В случае, когда исполнитель имеет разрешение на самостоятельное
изготовление конфиденциальных документов, перед выполнением этого этапа
он обязан передать черновик в службу КД для учета. После регистрации
черновик возвращается исполнителю под роспись в учетной карточке подготов-
ленного документа. Учету подлежат черновики всех конфиденциальных
83
документов независимо от места их составления и последующего изготовления
проекта документа.
В учетной карточке подготовленного документа отражается
последовательно ход работы над проектом документа в процессе его
изготовления, издания, последующего исполнения или отправки, хранения или
уничтожения. Карточка включает в себя следующие зоны:
а) зону исходных сведений о документе (учетный номер и гриф
конфиденциальности; дата печатания, вид и краткое содержание,
подразделение и фамилия исполнителя, номер носителя, с которого печатался
проект документа и др.);
б) зону рабочих сведений о документе (росписи за уничтожение
черновика и дата; дата выдачи; количество листов, экземпляров; кому выдан и
др.);
в) зону отметок об отправлении и возврате документа;
г) зону отметок о передаче документа на другие участки службы КД или
движении документа;
д) зону отметок о подшивке документа в дело или взятии его на
инвентарный учет;
е) зону отметок об уничтожении документа.
Учетная карточка регистрируется в журнале учета карточек
подготовленных документов, имеющем графы: учетный номер и гриф
конфиденциальности; подпись сотрудника участка подготовленных документов
за получение карточки документа и дата; примечание.
Целью этапа изготовления конфиденциального документа является
перепечатывание черновика документа и создание оформленного в
соответствии с государственным стандартом оригинала (беловика) проекта
документа, предназначенного по окончании этапа издания стать подлинником
документа.
В процессе изготовления конфиденциального документа должны быть
решены следующие задачи обеспечения защиты информации:
84
предотвращение несанкционированного изготовления
конфиденциального документа кем-либо из персонала фирмы. даже
при наличии объективных предпосылок для такого действия; ссылки
на последующее получение разрешения на издание не должны иметь
силы;
обеспечение контроля за сохранностью носителей, на которых
последовательно изготовляются черновик, проект документа и его
варианты; контроль за сохранностью и порядком уничтожения
испорченных носителей посредством установления информационной
связи различных форм учета, например, учета носителя, учета
черновика и изготовленного проекта документа, инвентарного учета и
других;
обеспечение тайны информации путем изготовления документа в
специально оборудованном помещении, оснащенном комплексом
технических средств защиты информации и исключающем
нахождение в нем посторонних лиц;
обеспечение оперативных и результативных проверок наличия,
комплектности, целостности и подлинности документов путем
нанесения на проект документа учетных и защитных отметок.
Этап изготовления конфиденциальных документов включает следующие
технологические процедуры:
прием работником службы КД от исполнителя черновика документа;
традиционный или автоматизированный учет черновика и проекта
подготовленного документа;
печатание и выдача черновика и проекта документа исполнителю;
перепечатывание отдельных листов и документа в целом;
снятие копий с документа, производство выписки и изготовление
дополнительных экземпляров документа;
ежедневная проверка наличия у работника службы КД черновиков и
проектов документов, находящихся на этапе изготовления.
85
7.3. Технология контроля исполнения документов и
поручений
Контроль исполнения конфиденциальных документов включает в себя
непосредственную проверку и регулирование хода исполнения, учет и анализ
результатов исполнения контролируемы документов в установленные сроки.
Основные задачи системы срокового контроля за исполнением
документов:
1. запоминать все поставленные на контроль документы, указания,
поручения, задания, мероприятия, управленческие решения и
помнить о них до окончания реального выполнения;
2. формировать справочно-информационный банк данных по
контролируемым документам и поручениям;
3. корректировать массив хранимой контролируемой информации при
изменении срока исполнения, состава исполнителей, содержания
заданий и при движении документа в процессе работы с ним;
4. информировать руководителей, специалистов (исполнителей) и
сотрудников службы КД о состоянии и ходе исполнения
документов, осуществлять оперативный поиск справочных
сведений о документах;
5. напоминать (сигнализировать) руководителям и исполнителям о
наличии неисполненных документов и поручений;
6. фиксировать факты исполнения или неисполнения контролируемых
документов;
7. анализировать уровень исполнительской дисциплины в фирме в
целом, по структурным подразделения, специалистам, видам
документов и другим аспектам.
Контроль исполнения документов включает в себя две обязательные
составные части: предупредительный контроль и контроль последующий.
Предупредительный (текущий, оперативный) контроль оказывает
активное управленческое влияние на ход исполнения документа и
86
осуществляется путем периодической проверки и регулирования процесса
исполнения, сигнализирования руководителям и исполнителям о приближении
срока окончания работы над документом. Ведется в течение всего периода
исполнения документа. Всегда носит индивидуальный характер по отношению
к документу, поручению, заданию и охватывает массив, как правило, наиболее
важных документов.
Последующий (итоговый, сплошной) контроль проводится периодически
(еженедельно, ежемесячно, ежеквартально). Он представляет собой
аналитическое обобщение исполнительской дисциплины в структурных
подразделениях фирмы и по исполнителям. При отсутствии в фирме
предупредительного контроля последующий контроль решает только одну
задачу — констатацию факта выполнения или невыполнения того или иного
решения, когда сроки его исполнения истекли и исправить создавшееся, часто
критическое, положение уже практически невозможно.
Контролю исполнения подлежат все зарегистрированные документы,
требующие принятия решения и (или) выполнения определенных
управленческих действий, составления ответного или иного документа,
внесения изменений в нормативные, инструктивные, плановые и другие
документы.
Предметом контроля в распорядительных, плановых и других подобных
документах, решениях коллегиальных органов являются не сами документы, а
содержащиеся в них задания. Контролируется процесс ознакомления
руководителей и специалистов с документами, предназначенными для
использования в работе (приказами, инструкциями и др.) или присланными во
временное пользование, для согласования или утверждения.
Любой контролируемый документ всегда должен иметь строго
определенный срок исполнения. Срок исполнения документов может быть
типовым и индивидуальным.
Типовой срок указывается в перечне документов, подлежащих
обязательному контролю. Как правило, типовой срок исполнения основной
87
массы документов 10-15 дней. Для документов не указанных в перечне, сроки
исполнения не должны превышать 10 дней.
Индивидуальный срок исполнения документа определяется
руководителем и фиксируется в распорядительных пунктах документа или
резолюции. Этот срок не должен быть больше типовой для данной категории
документов. В распорядительных документах и документах коллегиальных
органов индивидуальный срок исполнения указывается отдельно в каждом
пункте – по заданиям и поручениям.
Технологические процедуры контроля исполнения документов
организуются таким образом, чтобы в любой момент руководители фирмы и
сотрудники службы КД имели полную и достоверную информацию о ходе
исполнения каждого контролируемого конфиденциального документа без
обращения к самому документу или исполнителю.
В основе построения технологических процедур контроля исполнения
документов лежит применяемая в фирме система учета конфиденциальных
документов и ведения справочно-информационного банка данных по
документам.
В технологическом процессе контроля выделяются четыре основных
последовательно выполняемых этапа: постановка документов на контроль,
ведение контроля, снятие документов с контроля, анализ исполнительской
дисциплины.
Этап постановки документов на контроль
Этап включает в себя следующий типовой комплекс процедур:
1. выявление документов, требующих контроля исполнения;
2. запись исходных сведений о документе в традиционную или
электронную карточку;
3. включение карточки в рабочий (предварительный) массив
картотеки контролируемых документов;
4. контроль срока нахождения документов на рассмотрении
руководства учреждения;
88
5. внесение в карточку документа резолюции руководителя или
отметки службы КД о направлении документа в структурное
подразделение и передача документа;
6. перемещение карточки документа из рабочего в основной массив
картотеки службы КД.
Начало цикла контрольных операций должно совпадать с моментом учета
поступивших и подготовленных документов. Часто контроль исполнения
поступивших документов начинается после рассмотрения документа
руководителем, что нельзя признать правильным, так как на стадии
рассмотрения могут быть значительные нарушения срока работы с документом.
При традиционной технологической системе учета на контролируемый
конфиденциальный документ заполняется дополнительный экземпляр учетной
карточки для обеспечения контрольной картотеки.
Систематизированный массив традиционных контрольных экземпляров
учетной карточки на документы образует контрольную картотеку службы КД.
Контрольная картотека (раздел) строится по срокам исполнения документов,
поэтому ее часто называют сроковой. Независимо от местонахождения и
объема карточек картотека формируется по единому принципу. Она состоит из
31 ячейки (по числу дней в месяце), которые образуют ее основной массив, и
двух дополнительных отделений: для карточек на просроченные документы и
для карточек на документы, исполнение которых намечено на следующий
месяц или на более длительный срок. Карточки располагаются в картотеке по
ячейкам в соответствии с установленными датами окончания исполнения
документов. Внутри ячеек карточки могут размещаться по индексам
структурных подразделений или по фамилиям исполнителей. Учитывая, что в
карточках фиксируются задания по исполнению документов и ход исполнения,
контрольная картотека является строго конфиденциальной.
При автоматизированной технологии контроля исполнения документов
ввод исходной информации о контролируемом документе осуществляется или
одновременно с автоматизированным учетом до-кументов, или после
89
рассмотрения документа руководителем и принятия им решения о
необходимости контроля исполнения документа. В последнем случае ввод
информации в систему ведется в режиме корректирования исходных сведений
о документе. Входными документами могут быть:
непосредственно сам контролируемый бумажный или
машиночитаемый документ;
электронный документ, поступивший по линиям связи;
традиционная регистрационно-контрольная карточка на документ;
перечень (ведомость) документов, поставленных на контроль;
карточка внесения изменений, откорректированная традиционная
карточка на документ и другие виды документов-корректировок.
Этап ведения контроля
Этап ведения контроля заключается в выполнении действий по
предупредительному наблюдению за ходом исполнения конфиденциального
документа и регулированию процесса исполнения. Включает следующий
типовой состав процедур:
поиск в традиционной или электронной картотеке (разделе)
необходимых карточек;
внесение в карточку отметок о передаче документа из одного
структурного подразделения в другое, от одного исполнителя
другому;
устное или письменное напоминание исполнителю о приближении
срока окончания работы над документом (например, за 10, 5, и 2
дня);
внесение записи о состоянии исполнения в соответствующую зону
карточки;
составление сигнальных перечней документов и заданий,
находящихся в структурном подразделении и подлежащих
исполнению в текущем или последующем периоде (месяце, декаде);
регулярное беззапросное информирование руководителей о ходе
90
исполнения документов, причинах задержек в исполнении, мерах
по обеспечению своевременного исполнения документов;
внесение в карточку отметок об изменении срока исполнения
документа или задания, состава исполнителей, работающих над
документом, и т.п., перестановка карточек в традиционной кар-
тотеке;
выдача оперативной поисковой и справочной информации о
контролируемых документах по запросам руководителей;
возвращение карточек в ячейки картотеки (раздела). Указанные
операции выполняются службой КД с использованием
традиционной картотеки или базы данных автоматизированной
системы. Проверка хода исполнения осуществляется в следующем
порядке: задания последующих лет контролируются не реже одного
раза в год, задания последующих месяцев текущего года – не реже
одного раза в месяц, задания текущего месяца — каждые десять
дней, за пять дней и затем ежедневно до истечения срока.
Этап снятия документов с контроля
Этап снятия документов с контроля включает следующий типовой состав
процедур:
принятие руководителем решения о снятии документа с контроля и
отдача соответствующего распоряжения службе КД;
внесение отметки об исполнении документа в экземпляры учетной
карточки;
перестановка карточки из контрольной картотеки (раздела) в
справочную картотеку (раздел) вместо хранившегося там
экземпляра карточки;
подшивка контролируемого документа, имеющего отметку об
исполнении, и всех относящихся к нему материалов в дело.
Документ считается исполненным и снимается с контроля после
реального и окончательного выполнения всех заданий, поручений и решений,
91
содержащихся в документе и резолюции руководителя, сообщения результатов
заинтересованным учреждениям, организациям, фирмам и лицам или наличия
другого документированного подтверждения факта исполнения (например,
внесения дополнений в другие документы).
Этап анализа исполнительской дисциплины
Этап анализа исполнительской дисциплины включает следующий
типовой состав процедур:
сбор необходимой информации по традиционной или электронной
картотеке (разделу);
рукописное или автоматическое составление итоговых перечней
документов, количественных сводок и справок по результатам
контрольной работы за определенный промежуток времени;
распечатка (печатание) итоговых документов контроля;
передача итоговых документов по результатам контрольное работы
и материалов анализа исполнительской дисциплины на
рассмотрение руководству фирмы и структурных подразделений;
выработка и осуществление мер, стимулирующих высокий уровень
исполнительской дисциплины в фирме.
7.4. Порядок работы персонала с конфиденциальными
документами и материалами
Уязвимость документа резко возрастает при выходе его за пределы
службы КД. В этой связи правильная организация работы персонала фирмы с
конфиденциальными документами и контроль за выполнением сотрудниками
установленных правил представляются крайне важными.
Работникам службы КД и персоналу фирмы следует учитывать, что
работающий в фирме злоумышленник или сотрудник фирмы, связанный со
злоумышленником, похищают, уничтожают или фальсифицируют, как правило,
не те документы, с которыми они работают, а документы и информацию,
доверенные другим сотрудникам. Особую ценность в этом плане для
злоумышленника представляют работники службы КД или референты 92
руководителей как лица наиболее осведомленные в тайне фирмы.
Сотрудники фирмы, в том числе руководители любого уровня, при работе
с конфиденциальными документами обязаны:
знакомиться только с теми конфиденциальными документами, к
которым они получили письменное разрешение на доступ в силу
должностных обязанностей;
немедленно предъявлять работнику службы КД все числящиеся за
ним документы (на бумажных и магнитных носителях,
электронные, фото-, видео-, аудиодокументы) для проверки их
наличия и комплектности;
вести совместно с работником службы учет находящихся у него
конфиденциальных документов;
ежедневно по окончании рабочего дня проверять наличие
документов и сдавать их на хранение в службу КД;
сдавать по описи работнику службы КД все материалы по
окончании исполнения документа или работы над ним;
сдавать по описи работнику службы КД все числящиеся за ним
документы и материалы при увольнении, уходе в отпуск, отъезде в
командировку;
немедленно сообщать первому руководителю фирмы и в службу
КД об утрате или недостаче до кументов, обнаружении лишних или
неучтенных документов, отдельных листов.
Работа с конфиденциальными документами на рабочих местах
разрешается сотрудникам фирмы только при наличии условий, исключающих
возможность утраты документа или хищения информации. При отсутствии
этих условий сотрудники фирмы работают с конфиденциальными
традиционными и электронными документами, делами и базами данных в
специально предназначенном для этого помещении службы КД.
Для работы с конфиденциальными документами сотрудник должен быть
обеспечен: постоянным рабочим местом, личным сейфом (металлическим
93
шкафом), кейсом для хранения и переноса конфиденциальных документов,
номерной личной металлической печатью.
Рабочее место исполнителя должно быть размещено таким образом,
чтобы была исключена возможность обозрения находящихся на столе
документов лицами, не имеющими к ним отношения. Экран компьютера не
должен быть виден коллегам по рабочему помещению, посетителям, в окно и
от входной двери. Помещение, в котором конфиденциальная информация
обрабатывается на ЭВМ, должно иметь защиту от технических средств
промышленного шпионажа. На рабочем столе всегда должен находиться только
тот конфиденциальный документ и материалы к нему, с которыми в данный
момент работает сотрудник. Другие документы должны быть заперты в сейфе.
Сотрудникам не разрешается хранить конфиденциальные документы,
дела, дискеты на рабочем столе, в ящиках рабочего стола, неприспособленных
шкафах. Ключи от сейфа и кейса, металлическая печать постоянно хранятся у
сотрудника. Дубликаты всех ключей должны находиться в службе КД в
опечатанном исполнителем пенале (в том числе дубликаты ключей от сейфа и
кейса, которыми пользуется первый руководитель). Прочитанные листы
конфиденциального документа всегда должны лежать текстом вниз.
Если к рабочему столу подходит кто-либо из сотрудников, исполнителю
следует перевернуть лист, с которым он работает, текстом вниз. При выходе из
помещения на любое время исполнитель должен убрать в сейф все документы и
материалы, запереть сейф, заблокировать компьютер и, если в помещении не
остаются другие сотрудники, запереть входную дверь.
Руководителям и исполнителям, работникам службы КД не следует вести
какие-либо вспомогательные картотеки по. организаций работы с
конфиденциальными документами и; контроля за их исполнением.
Исполненные (до подшивки в дело) и неисполненные документы должны
храниться только в рабочих папках, на которых указывается их целевое
назначение: «Ознакомление», «Согласование», «Срочно», «Задания на такое-то
число», «Подлежит возврату», «На подшивку в дело» и т.п. Папки должны
94
иметь описи находящихся в них документов. Хранить документы в россыпи в
ящиках столов, шкафах, сейфах в одной папке не допускается. Дела,
закрепленные за конкретным исполнителем, имеют индивидуальное цветовое
отличие, позволяющее выявлять факты несанкционированного обращения к
этим делам другого сотрудника.
Всем сотрудникам фирмы, работающим с конфиденциальными
документами, делами, информацией, запрещается:
использовать конфиденциальные сведения в публикациях,
открытых документах, докладах и интервью рекламных
материалах, выставочных проспектах и любых других
информационных со бщениях массового распространения;
сообщать кому-либо (в том числе коллегам по работе или
родственникам) устно или письменно онфиденциальную
информацию, несанкционированно передавать документы, даже
если это связано со служебной деятельностью;
вести переговоры, содержащие конфиденциальные сведения, по
незащищенным линиям связи, в неприспособленных помещениях, в
присутствии посторонних лиц;
обсуждать конфиденциальные вопросы в местах общего
пользования (в том числе в любых видах транспорта – служебном,
личном, общественном);
знакомиться с документами, делами и базами данных других
сотрудников, работать с их компьютерами без письменного
разрешения первого руководителя;
переписывать сведения из документов в личные дневники, карточки
учета работы, календари, еженедельники и т.п., переносить их в
справочные и личные учетно-плановые массивы ЭВМ;
вносить и пользоваться в помещениях фирмы личными фото- и
видеоаппаратами, компьютерами, аудиотехникой, магнитофонами,
плеерами, переговорными устройствами, техническими носителями
95
информации (дискетами и др.), радиотелефонами, копировальными
аппаратами;
выносить из здания фирмы любые (в том числе открытые)
служебные документы без письменного разрешения первого
руководителя;
оставлять документы на рабочем столе или работающий компьютер
при выходе из помещения на любое время;
хранить конфиденциальные документы вместе с открытыми
документами и материалами, формировать в одном деле или
машинном массиве конфиденциальные и открытые сведения;
разглашать сведения о характере автоматизированной обработки
конфиденциальной информации и о личных идентифицирующих
кодах и паролях;
разглашать сведения о составе находящихся у сотрудника
документов и материалов, системе их защиты и месте хранения, а
также известных ему элементах обеспечения безопасности фирмы и
персонала.
Работникам службы КД рекомендуется регулярно проверять программное
обеспечение компьютеров, на которых обрабатывается конфиденциальная
информация. Цель проверки – обнаружение неутвержденных или необычных
программ. Резервные и страховые копии всех документов фирмы, находящихся
на магнитных носителях, должны храниться в службе КД. Актуализация копий
осуществляется по мере необходимости работником службы КД с письменной
санкции руководителя подразделения (направления деятельности) фирмы и в
присутствии соответствующего исполнителя. Санкция и факт актуализации
фиксируются в учетной карточке документа.
В конце рабочего дня исполнители обязаны перенести всю
конфиденциальную информацию из компьютера на гибкие носители
информации, стереть информацию с жестких дисков, проверить наличие всех
конфиденциальных документов (на бумажных, магнитных и иных носителях),
96
убедиться в их комплектности и сдать в службу КД. Оставлять
конфиденциальные документы на рабочем месте не разрешается. Не
допускается также хранение на рабочем месте исполнителя копий
конфиденциальных документов.
Исключительным правом постоянного хранения документов на рабочих
местах могут пользоваться: первый руководитель, его заместитель, сотрудники
службы персонала и других служб по усмотрению первого руководителя,
которые располагают объемными массивами конфиденциальных бумажных
документов (картотеками, папками и др.) или большим числом
машиночитаемых документов.
Конфиденциальные материалы такого рода помещаются в сейф
(металлический шкаф), который запирается, опечатывается и сдается под
охрану. Сейф оборудуется охранной сигнализацией. Компьютеры с обширным
составом конфиденциальной информации, которую невозможно переносить на
гибкие диски, или сложными базами данных опечатываются двумя печатями –
исполнителя и представителя службы безопасности. Снятие печатей в начале
рабочего дня также производится этими лицами.
После подготовки конфиденциальных документов к сдаче в службу КД
исполнитель обязан отключить ЭВМ, блокировать ее персональным ключом,
проверить наличие и комплектность открытых документов, дискет, дел, других
материалов, хранящихся в металлическом шкафу, и запереть шкаф. В
помещении отключается электроэнергия, входная дверь запирается,
опечатывается, и помещение сдается под охрану. Подобные помещения
охраняются особенно тщательно, оборудуются комплексом технических
средств сигнализации и оповещения. Сейфы с особо ценными документами
целесообразно размещать в помещении службы КД.
Отметки о закрытии и вскрытии рабочих комнат сотрудниками фирмы,
отключении технических средств сигнализации и оповещения делаются в
специальном журнале службы охраны с росписью лица, ответственного за
помещение, и представителя охраны. Основные и резервные ключи от рабочих
97
комнат хранятся в сейфе в помещении охраны в специальных пеналах. Пенал
закрывается и опечатывается лицом, ответственным за помещение. Уборка
рабочих помещений разрешается только в присутствии указанного лица и под
его наблюдением.
98
