11.7. нормативно-методическое обеспечение защиты документированной информации

11.7. нормативно-методическое обеспечение защиты документированной информации

Нормативно-методическое обеспечение защиты конфиденциальной информации предназначено для регламентации процессов обеспечения информационной безопасности фирмы, в том числе при работе персонала с конфиденциальной информацией, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.

Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах фирмы и определять правовой статус информационной безопасности фирмы. Указанные положения позволяют на законных основаниях вести речь о сохранении предпринимательской тайны, выделять ценную информацию, составляющую собственность и тайну фирмы, и выполнять действия по ее защите. Предмет и направления защиты должны найти отражение, например, в уставе фирмы, типовых формах контрактов различного рода и назначениях, положениях о структурных подразделениях фирмы, должностных инструкциях сотрудников и других документах.

Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы.

Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации. Можно выделить основные, на наш взгляд, регламентирующие документы, имеющие значение для любой фирмы и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы.

Прежде всего, следует назвать Перечень сведений предпринимательской фирмы, составляющих ее тайну или являющихся особо ценными. Перечень предназначен для определения состава конфиденциальных документов и баз данных, установления грифов ограничения доступа к бумажным и электронным документам, определения необходимой структуры системы защиты информации. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т.п.

Другим важным регламентирующим документом является Инструкция по обеспечению безопасности собственной информации предпринимательской фирмы. Она необходима для организации работы по защите конфиденциальной и ценной документированной информации и включает в себя:

«Обязанности сотрудников фирмы при работе с конфиденциальной информацией»;

«Порядок доступа сотрудников к конфиденциальным документам и базам данных, оформление доступа»;

 «Обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала»;

«Порядок сохранения тайны фирмы при проведении совещаний, заседаний и переговоров»;

«Требования к помещениям для работы с конфиденциальной информацией»;

«Порядок охраны территории, здания, помещений, транспортных средств и персонала фирмы»;

«Пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов»;

«Порядок приема, учета и контроля деятельности посетителей»;

«Требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях»;

«Организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники»;

«Ответственность сотрудников фирмы за разглашение конфиденциальной информации и утрату ценных документов».

Инструкция по обработке, хранению и движению конфиденциальных документов предпринимательской фирмы предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами фирмы. Основные разделы этой инструкции:

«Структура защищенного документооборота фирмы»;

«Установление, изменение и снятие грифа конфиденциальности документов»;

«Порядок составления, изготовления и издания конфиденциальных документов»;

«Копирование и размножение документов»;

«Прием и распределение поступивших документов»;

«Учет (регистрация) документов»;

«Отправка и рассылка документов»;

«Порядок передачи документов в процессе их рассмотрения и исполнения»;

«Контроль исполнения документов»;

«Порядок систематизации документов и формирования дел»;

«Порядок передачи документов и дел в архив фирмы, уничтожения документов и дел с истекшим сроком хранения»;

«Оперативное (текущее) и архивное хранение дел»;

«Проверка наличия документов, дел, баз данных и носителей конфиденциальной информации»;

 «Правила хранения и использования бланков документов, печатей и штампов».

В приложении к инструкции даются учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов.

Информационные (методические, советующие, обучающие) документы (правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носят вместе с тем обязательный характер и устанавливают порядок работы с конфиденциальной информацией и документами различных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику. Целесообразно выделить следующие информационные документы.

Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных включают в себя:

«Порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации»;

«Рассмотрение документов руководителем и адресование их исполнителям»;

«Порядок передачи и получения документов исполнителями»;

«Ознакомление исполнителей с содержанием документов и решением по ним руководителя»;

«Составление и изготовление документов исполнителями»;

«Работа руководителя с подготовленными документами»; •

«Порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя»;

«Проверка наличия конфиденциальных документов и баз данных на рабочем месте руководителя и исполнителя»;

«Порядок ведения телефонных переговоров, факсимильной переписки»;

«Особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой»;

«Правила работы с конфиденциальными документами за пределами фирмы, в командировках, транспорте, порядок хранения документов»;

«Обеспечение сохранности документов и баз данных во внерабочее время».

Правила работы менеджера по безопасности (управляющего делами, референта) предпринимательской фирмы с конфиденциальными документами и базами данных включают в себя:

«Порядок приема и отправки конфиденциальных документов»;

«Порядок учета (регистрации) документов»;

«Организация доступа исполнителей к конфиденциальным документам»;

«Распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передача документов на исполнение»;

«Формирование и ведение справочно-информационного банка данных по конфиденциальным документам»;

«Контроль исполнения документов»;

«Оформление и изготовление документов на пишущих устройствах»;

«Оформление и ведение номенклатуры дел фирмы»;

«Формирование и хранение (текущее и архивное) дел фирмы»;

«Порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя»;

«Защита информации при ведении телефонных переговоров и передаче информации по факсимильной связи»;

«Защита информации при работе с ПЭВМ»;

«Построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время»;

«Ответственность за нарушение правил работы с конфиденциальной документацией и базами данных».

Правила работы менеджера по персоналу предпринимательской фирмы включают в себя:

«Обязанности менеджера в области защиты информации и работы с сотрудниками, обладающими секретами фирмы»;

«Организация и документирование приема сотрудников на работу»;

«Обязательства сотрудников по сохранению тайны фирмы»;

«Контроль соблюдения персоналом правил работы с конфиденциальными документами и информацией»;

«Организация и документирование переводов сотрудников на другие должности и изменения условий контрактов»;

«Порядок формирования и ведения личных дел сотрудников»;

«Порядок оформления и ведения трудовых книжек сотрудников»;

«Порядок ведения справочно-информационного банка данных по персоналу фирмы»;

 «Правила и методы защиты персональных данных»; «Организация и документирование увольнений сотрудников, обязательства по сохранению секретов фирмы»;

«Порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных»;

«Принципы и направления формирования нормального психологического климата в коллективе, воспитания гордости персонала за свою фирму»;

«Психологический анализ сотрудников, тестирование, анкетирование, инструктирование и обучение персонала»; «Правила хранения документов и работы с ними»; «Организация охраны помещения службы персонала в рабочее и •нерабочее время»;

«Ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках фирмы и другой конфиденциальной информации».

Информационные документы могут также регламентировать требования по единообразному выполнению персоналом определенных видов типовых действий. К таким документам можно отнести, например, Правила обеспечения безопасности секретов фирмы и конфиденциальной, ценной информации в экстремальных ситуациях. Правила включают в себя:

«Классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов фирмы, информации и документов»;

«Порядок (при необходимости план) эвакуации и охраны документов, дел и баз данных»;

«Порядок (при необходимости план) эвакуации и оказания

помощи персоналу»;

«Порядок охраны имущества фирмы, оборудования и технических средств защиты информации»;

«Порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.)»;

«Порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций».

Рассмотренные нормативно-методические документы отражают действующую в фирме систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись. Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация. Контроль за соблюдением сотрудниками фирмы изложенных в документах требований возлагается на службы безопасности, конфиденциальной документации и персонала, а в некрупных фирмах — на менеджера по безопасности.

Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание ими своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты и определенной гарантией сохранности собственной информации фирмы.

Литература к главе 11

1. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25-января 1995 г. Сборник законов Российской Федерации. 1995. № 8. Ст. 609.

2. Экономическая безопасность предприятия: Защита коммерческой тайны. Практическое пособие для руководителей и специалистов. Под ред. В. М. Чаплыгина. М., Аналитик-Пресс, 1991.

3. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. — М., Энергоатомиздат,, 1994.

4. Киселев А. Е., Чаплыгин В. М., Шейкин М. С. Коммерческая безопасность. — М., Инфоарт, 1993.

5. Крысин А. В. Безопасность предпринимательской деятельности. М., Финансы и статистика, 1996.

6. Левин А. А. Секрет фирмы. — М., Машиностроение, 1992.

7. Степанов Е. А. Некоторые документоведческие проблемы защиты информации. Документ в административных структурах. М., ВНИИДАД, 1995.

8. Халяпин Д. Б., Ярочкин В. И. Основы защиты информации: Учебное пособие. М,, ИПКИР, 1994.

9. Халяпин Д. Б., Ярочкин В. И. Основы защиты промышленной и коммерческой информации. Термины и определения. — М., ИПКИР, 1992.

10. Ярочкин В. И. Безопасность информационных систем. — М., Ось-89, 1996.