2.2 Функционирование системы защиты
Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе; ценная информация немедленно подвергается угрозе при возникновении необходимости ее документирования.
В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания) конфиденциального документа, а заблаговременно, то есть до создания будущего документа. Прежде чем создать документ, следует установить, является ли данная информация конфиденциальной и какой уровень грифа конфиденциальности ей должен быть присвоен в случае положительного ответа.
Своевременное установление грифа конфиденциальности сведений, подлежащих включению в будущий документ, – первый и основной элемент защиты документированной информации, позволяющий обеспечить относительно надежную безопасность тайны фирмы.
Основу присвоения документу грифа конфиденциальности должны составлять: перечень конфиденциальных сведений фирмы, требования партнеров, а также перечень конфиденциальных документов фирмы. Система грифования документов не гарантирует сохранности информации, однако позволяет четко организовать работу с документами, в частности сформировать систему доступа к документам персонала.
Гриф конфиденциальности, или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу, представляет собой реквизит (элемент, служебную отметку, помету) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.
Информация и документы, отнесенные к коммерческой (предпринимательской) тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации:
первый, массовый уровень – грифы «Конфиденциально», «Конфиденциальная информация»;
второй уровень (достаточно редкий) – грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Особый контроль» – они присваиваются документу лично первым руководителем фирмы, им изменяются или отменяются. Использование и хранение этих документов также организуется первым руководителем с возможным привлечением руководителя службы КД;
на документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф «Для служебного пользования» («ДСП»).
Гриф ограничения доступа на документе пишется полностью, то есть не сокращается. Под обозначением грифа указываются номер экземпляра документа, срок действия грифа и иные условия его снятия. Обычно гриф располагается на первом и титульном листах документа, а также на обложке дела (тома) в правом верхнем углу. На электронных документах и документах, записанных на любых машинных носителях, гриф обозначается на всех листах. Ниже грифа или ниже адресата могут обозначаться ограничительные пометы: «Лично», «Только в руки», «Только адресату», «Лично в руки» и др. При регистрации конфиденциального документа к его номеру добавляется сокращенное обозначение грифа конфиденциальности.
Документы и информация, конфиденциальные в целом, в своей массе (например, документация службы персонала, службы безопасности, документы, отнесенные к профессиональной тайне, и т. д.), как правило, не маркируются, потому что в полном объеме обладают строгим ограничением доступа к ним персонала.
На ценных, но не конфиденциальных документах может проставляться пометка (отметка, надпись, штамп), предполагающая особое внимание к сохранности таких документов: «Собственная информация фирмы», «Информация особого внимания», «Копии не снимать», «Хранить в сейфе» и др. Могут использоваться дополнительные цветовые идентификаторы ценных и конфиденциальных документов и дел для их быстрого визуального выделения и контроля использования в процессе работы персонала[6].
Информация – это один из ресурсов предприятия, без которого четкой и слаженной работы не получится. А конфиденциальная информация дает фирме возможность, изобретая что-то новое, достигать вершин, не покоренных никем в области деятельности этого предприятия благодаря защищенности информации. Исходя из важности этой информации появляется риск для фирмы создателя лишится столь ценного ресурса. Во избежание неприятностей, связанных с утратой или хищением информации в организациях, создаются службы КД.
Представители службы в организации следят за конфиденциальными документами и сведениями, за оборотом документов в организации, создают базы данных для компьютеров и картотеки для бумажных носителей, уничтожают пронумерованные черновики конфиденциального документа, хранят документы, имеющие ценность для фирмы, и уничтожают их в установленном порядке.
Защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры обработки или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.
Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.
Следует обратить внимание и на такой значимый вопрос, как определение степени конфиденциальности сведений.
Ряд ученых-методистов предложили многоуровневую систему грифов:
- первый уровень массовый – «Конфиденциально» и «Конфиденциальная информация»;
- второй, как его определяет автор, «достаточно редкий» - «Строго конфиденциально», «Строго конфиденциальная информация», «Особый контроль»;
- для документов служебного характера ограниченного доступа - «Для служебного пользования». Под грифами он рекомендует проставлять пометки «Лично», «Только в руки» и т.п.
Другие предлагают грифы «Конфиденциально», и «Собственная информация организации», «Строго конфиденциально». Подобных предложений достаточно много.
Для коммерческой организации вполне достаточно трех степеней: «Для служебного пользования», «Коммерческая тайна», «Коммерческая тайна ОВ» (особо выделенная). Представляется целесообразным сформулировать определение понятия «гриф ограничения доступа» к конфиденциальным документам как устанавливаемую законодательством, другими правовыми актами степень конфиденциальности сведений, определяющей тяжесть ущерба в случае их распространения, включающий в себя наименование степени конфиденциальности и номер экземпляра документа.
Итак, после разработки соответствующих перечней, мы можем приступить к составлению документов. Меры защиты конфиденциальной информации в процессе создания документа должны предусматривать, прежде всего, защиту носителя и содержащейся в нем информации, а при необходимости и средств документирования.
Лейтмотив публикаций – черновики и проекты конфиденциальных документов перед выдачей исполнителю должны учитываться в соответствующих формах учета, а после подписания (утверждения) документа, уничтожаться с отметкой в формах учета. Отметки об уничтожении надо проставлять и в форме учета, и на обороте копии документа, остающейся в деле, делать запись об их уничтожении. При этом одни такой порядок работы относят к документам, содержащим коммерческую тайну, другие к «конфиденциальным документам».
Хотелось бы опять обратить внимание: не надо смешивать в один условный «конфиденциальный документ» документы с грифами «Для служебного пользования» и «Коммерческая тайна».
Согласно «Положению о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» черновики и варианты документов «Для служебного пользования» не учитываются, уничтожаются работником службы делопроизводства с отражением факта уничтожения в учетных формах. Такой же порядок работы с документами вполне применим и в коммерческих структурах. Безусловно, информация, связанная с созданием принципиально новых изделий, технологий и др. требует учета черновиков с максимальной степенью защиты, что должно быть отражено еще на стадии составления перечней.
Как справедливо отмечает Т.В. Кузнецова, «пока документ не зарегистрирован, не получил своего номера… он как бы ещё не существует»[7]. Конфиденциальная информация в черновике присутствует, как и в том, что только трудозатраты на документирование с учётом черновиков увеличиваются на 20-25%. Однако право выбора - учитывать или не учитывать черновики - за обладателем информации.
Вместе с тем давно известны организационные меры по защите информации при её документировании:
- организация внезапных проверок работы исполнителей с конфиденциальными документами;
- выделение специально оборудованных помещений;
- установка опечатываемых службой делопроизводства хранилищ для черновиков, испорченных проектов и их централизованное уничтожение и т.п.
Нельзя не обратить внимание на отдельные положения, связанные со способами документирования конфиденциальной информации. Так, А.Н. Белов и А.А. Белов рекомендуют не использовать при документировании диктофоны, магнитофоны, диктовать текст. На наш взгляд, главное не запретить, а объяснить, что они являются каналами возможной утечки информации и их надо соответствующим образом защищать. Они же и А.В. Пшенко предлагают при отправке документа почтой или по электронным каналам связи шифровать текст, каким образом – не поясняют. Существуют более простые и дешевые способы решения этой задачи, например, использование режима легендирования, который может закладываться уже на стадии документирования.
Другим реквизитом конфиденциального документа, помимо текста, является гриф ограничения доступа.
Заключение
Безопасность ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.
Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.
Таким образом, защищенность документопотоков достигается за счет:
1) одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;
2) нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;
3) формирования самостоятельных, изолированных потоков конфиденциальных документов и (часто) дополнительного их разделения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;
3) использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов.
Библиографический список
I. Источники
1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ // С3 РСФСР, 2006, №31(ч. 1).
2. Положение «О порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утвержденное Постановлением Правительства Российской Федерации от 3 ноября 1994 г. N 1233.
II. Литература
1. Андреева В.И. Делопроизводство: организация и ведение.- М.: КНОРУС, 2006. – 436 с.
2. Белов А.Н., Белов А.А. Делопроизводство и документооборот.- М.: ЭКСМО, 2007. – 376 с.
3. Домарев В.В. Защита информации и безопасность компьютерных систем. – М., 2005. – 415 с.
4. Кузнецов А.А. Секретарское дело.- М.: АСТ, 2007. – 523 с.
5. Кузнецов И.Н. Защита деловой информации.- М.: Экзамен, 2008. – 432 с.
6.Некраха А.В., Шевцова Г.А. Организация конфиденциального делопроизводства и защита информации. - М.: изд-во «Академический проект», 2007. - 513 с.
7.Пшенко А.В. Документационное обеспечение управления. - М.: «Издательство Проспект», 2008. – 412 с.
8. Степанов Е.А. Технология обработки конфиденциальных документов в предпринимательских структурах.- М.: ГУУ, 2002. – 341 с.
III. Статьи журналов
1. Алексенцев А.И. Конфиденциальное делопроизводство. //Секретарское дело, 2004, № 8-9.
2. Данилов Ю.М. Защита и обработка конфиденциальных документов // Делопроизводство, 2008, №1.
3. Кузнецова Т.В. Делопроизводство (документационное обеспечение управления. // Управление персоналом, 2007, № 4.
4. Ищейнов В.Я. Организация защиты коммерческой тайны на объектах информатизации.- Делопроизводство, 2008, №1.
[1] Кузнецов И.Н. Защита деловой информации.- М.: Экзамен, 2008. – С. 57.
[2] Некраха А.В., Шевцова Г.А. Организация конфиденциального делопроизводства и защита информации. - М.: изд-во «Академический проект», 2007. - С. 114.
[3] Андреева В.И. Делопроизводство: организация и ведение.- М.: КНОРУС, 2006. – С. 34.
[4] Пшенко А.В. Документационное обеспечение управления. - М.: «Издательство Проспект», 2008. – С. 216.
[5] Алексенцев А.И. Конфиденциальное делопроизводство. //Секретарское дело, 2004, № 8. – С. 23.
[6] Данилов Ю.М. Защита и обработка конфиденциальных документов // Делопроизводство, 2008, №1.- С. 14.
[7] Кузнецова Т.В. Делопроизводство (документационное обеспечение управления. // Управление персоналом, 2007, № 4.- С. 46.
... , ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде. 4.3. Факторы, влияющие на защиту информации в адвокатской конторе Внешние факторы: · деятельность конкурентных юридических фирм, направленная против интересов фирмы «Юстина»; · деятельность правоохранительных органов ...
... эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя. 2.4 Разработка системы видеонаблюдения объекта защиты Целевыми задачами видеоконтроля объекта защиты является: 1) обнаружение: - общее наблюдение за обстановкой; - ...
... согласно Закону привлекаются к ответственности в зависимости от нанесенного ущерба от административной ответственности до лишения свободы сроком до 10 лет. МЕТОДИКА ЗАЩИТЫ ИНФОРМАЦИИ В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ МВД РФ. 3.1.Политика безопасности КЮИ МВД РФ. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных ...
... защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше. Информация как объект защиты Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты. ...
0 комментариев