11.4. технология защиты документной информации

11.4. технология защиты документной информации

11.4.1. Защищенный документооборот

Документооборот как объект защиты представляет собой совокупность (сеть) каналов распространения документированной конфиденциальной информации по потребителям в процессе управленческой и производственной деятельности.

Движение документированной информации нельзя рассматривать только как механическое перемещение документов по инстанциям, как функцию почтовой доставки корреспонденции адресатам. Основной характеристикой такого движения является его технологическая комплексность, т.е. соединение в единое целое управленческих, делопроизводственных и почтовых задач, определяющих в совокупности смысл перемещения документа.

При движении документов (в том числе электронных) по инстанциям создаются потенциальные возможности утраты этой информации за счет расширения числа источников, обладающих ценной информацией.

Угрозы документам в документопотоках включают в себя:

кражу (хищение), утерю документа или его отдельных частей (приложений, экземпляров, листов, вклеек, вставок, черновиков, редакций и т.п.);

копирование бумажных и электронных документов, фото-, видео-, аудиодокументов и баз данных;

подмену документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;

тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;

дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;

ошибочные действия персонала при работе с документами (нарушение разрешительной системы, порядка обработки документов, правил обращения с документами и т.п.);

случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;

считывание данных в чужих массивах за счет работы с остаточной информацией на копировальной ленте, бумаге, дисках ЭВМ;

маскировка под зарегистрированного пользователя;

утечка информации по техническим каналам при обсуждении и диктовке текста документа, изготовлении документов.

Главным направлением защиты документированной информации (документов) от всех видов угроз является формирование защищенного документооборота и использование в обработке и хранении документов технологической системы, обеспечивающей безопасность информации на любом типе носителя. За счет этого достигается возможность контроля конфиденциальной информации в ее источниках и каналах распространения.

Помимо общих для документооборота принципов защищенный документооборот базируется на ряде дополнительных принципов:

персональной ответственности сотрудников за сохранность носителя и тайну информации;

ограничении деловой необходимости доступа персонала к документам, делам и базам данных;

операционном учете документов и контроле за их сохранностью в процессе движения, рассмотрения, исполнения и использования;

жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.

В крупных предпринимательских структурах с большим объемом документов в потоках защищенность документооборота достигается за счет:

формирования самостоятельных, изолированных потоков конфиденциальных (грифованных) документов и, часто, дополнительного разбиения их на изолированные потоки в соответствии с уровнем конфиденциальности (уровнем грифа) перемещаемых документов;

использования централизованной автономной технологической системы обработки и хранения конфиденциальных документов, изолированной от системы обработки других документов;

организации самостоятельного подразделения (службы) конфиденциальной документации или аналогичного подразделения, входящего в состав службы безопасности, аналитической службы фирмы.

В предпринимательских структурах с небольшим составом штатных сотрудников и объемом обрабатываемых документов (например, в малом бизнесе), а также в структурах, основная масса документов в которых является конфиденциальной (например, в банках, страховых компаниях), конфиденциальные документы могут не выделяться из общего документопотока и обрабатываться в рамках единой технологической системы. Подразделение конфиденциальной документации в таких предпринимательских структурах обычно не создается. Функции централизованной обработки и хранения конфиденциальных документов возлагаются на управляющего делами, референта или иногда опытного секретаря-референта фирмы.

При любом варианте построения защищенного документооборота предпринимаемые для безопасности информации меры не должны увеличивать сроки движения и исполнения документов.

Одним из важнейших требований к защищенному документообороту является избирательность в доставке и использовании персоналом ценной информации.

Избирательность предназначена не только для обеспечения оперативности в получении пользователем ценной информации, но и ограничения в доставке ему той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. В основе избирательности в доставке и использовании конфиденциальных документов лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам, делам и базам данных. Система в данном случае предусматривает целенаправленное дробление конфиденциальной информации между сотрудниками на составные элементы, каждый из которых в отдельности значительной ценности не представляет.

Защита документированной информации в потоках достигается одновременным использованием как разрешительных (ограничительных) мер, так и комплексом технологических процедур и операций, которые входят в систему обработки и хранения документов, обеспечивающую рассмотрение, исполнение, использование и движение документов.

В защищенном документообороте в большинстве случаев используется традиционная (ручная, делопроизводственная) технологическая система обработки и хранения конфиденциальных документов. В отдельных случаях автоматизируются (при сохранении традиционного учета документов) справочные и поисковые задачи, контроль исполнения. Технологическая система приобретает смешанный характер.

Следует подчеркнуть, что технологические системы обработки и хранения конфиденциальных и открытых документов базируются на единой научной и методической основе. Они едины по структуре. Однако между ними наблюдаются некоторые различия. Так, технологическая система обработки и хранения открытых документов (делопроизводственная, автоматизированная или смешанная) предназначена для решения задач в одной сфере документационного обеспечения управления.

В свою очередь, технологическая система обработки и хранения конфиденциальных документов решает задачи не только в указанной сфере, но и в сфере защиты информации конфиденциальных документов при работе с ними персонала. К этим задачам можно отнести следующие:

предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам, копиям;

обеспечение физической сохранности документов и носителей конфиденциальной информации;

обеспечение сохранности тайны фирмы, ценной информации, содержащейся в документах.

Кроме того, технологическая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и на конфиденциальные конструкторские, технологические, научно-технические и другие подобные документы, документированную информацию, записанную на различных технических носителях. Защита технических носителей конфиденциальной информации (машиночитаемых документов) имеет важное значение особенно на внемашинных стадиях их обработки и хранения. Именно на этих стадиях велика вероятность утраты носителя, его копирования или уничтожения, подмены и фальсификации.

Обработка и хранение конфиденциальных документов на различных стадиях их движения имеет свои особенности.

11.4.2. Обработка поступивших и отправляемых

документов

В процессе обработки поступивших конфиденциальных документов решаются следующие задачи защиты информации и ее носителей:

не допустить попадания в данную фирму конфиденциальных документов других фирм и организаций;

убедиться, что конверты, пакеты с конфиденциальными документами не вскрывались на пути следования от отправителя до адресата;

предотвратить утрату документов после вскрытия пакета;

исключить возможность ознакомления технических работников фирмы с конфиденциальными документами;

исключить возможность ознакомления любых работников фирмы с конфиденциальными документами, имеющими пометку «Лично»;

не допустить утерю документов и их частей за счет неполного

изъятия их из конвертов;

убедиться в комплектности документа, наличии всех листов, экземпляров и иных частей, отсутствии факта подмены документа. Пакеты, конверты, содержащие конфиденциальные документы, поступают из почтового отделения связи (ценные, заказные и простые отправления), от курьеров учреждений и фирм, от посетителей. Эти документы могут также приходить по факсимильной связи, электронной почте, по телеграфной и телетайпной связи.

Трудность выделения конфиденциальных документов из общего потока корреспонденции состоит в том, что на пакетах, конвертах и часто на самих документах не ставится гриф конфиденциальности. Объясняется это не только сугубо индивидуальным подходом к присвоению информации статуса конфиденциальной, но и нежеланием отправителя обращать внимание посторонних лиц на гриф ограничения доступа.

Учитывая эту особенность, вскрытие конвертов, предварительное рассмотрение и распределение всей поступающей корреспонденции выполняется квалифицированным сотрудником службы конфиденциальной документации фирмы, хорошо знающим структуру фирмы, функции структурных подразделений и сотрудников, состав конфиденциальной информации. Документы, поступающие по линиям факсимильной связи, также просматриваются этим сотрудником с целью определения возможной их конфиденциальности.

Сотрудник вскрывает все пакеты, конверты, бандероли (кроме имеющих пометку «Лично»), проверяет правильность адресования и комплектность документов. Поступившие документы он делит на две группы: имеющие гриф или какую-либо отметку ограничения доступа и не имеющие такой отметки.

Документы второй группы сравниваются с перечнем документов фирмы, отнесенных к категории конфиденциальных. Подобный перечень регулярно корректируется в соответствии с изменениями в деятельности фирмы, появлением новых видов работы, составленными прогнозами и планами. При совпадении наименования или темы поступившего документа с одной из позиций перечня на документе ставится гриф ограничения доступа необходимого уровня конфиденциальности. Одновременно ставится срок действия грифа и условия его снятия, указанные в перечне.

Если документ поступил с грифом ограничения доступа, то этот гриф не может быть снят даже в случае, когда данный документ не входит в указанный выше перечень. Гриф может быть изменен только в сторону повышения уровня конфиденциальности, потому что фирма обязана защищать не только свои секреты, но и секреты всех юридических и физических лиц, установивших контакт с данной фирмой.

Все поступившие конфиденциальные документы подлежат немедленному учету. Документы, не отнесенные к разряду конфиденциальных, повторно внимательно просматриваются и передаются сотруднику, занятому обработкой и хранением открытых документов.

В процессе обработки отправляемых конфиденциальных документов решаются следующие задачи защиты информации и ее носителей:

исключить возможность тайного вскрытия пакета и несанкционированного ознакомления с документами в процессе их пересылки (передачи) адресату, подмены документов и листов;

ограничить возможности утери, кражи или подмены пакета с конфиденциальным документом;

подтвердить факт отправки документа и правильность оформления этого факта в учетных формах;

исключить ошибочную отправку документа, пакета другому адресату, необоснованную рассылку документов ряду адресатов.

Конвертование и отправка конфиденциальных документов осуществляются сотрудником службы конфиденциальной документации фирмы. Отправка документов лично исполнителями не допускается.

Разрешением на отправку исходящего конфиденциального документа является подписанное первым руководителем фирмы сопроводительное письмо к документу или разрешительная запись, сделанная лично руководителем в учетной карточке, если документ отправляется без сопроводительного письма.

При пересылке конфиденциальных документов почтой или по каналам факсимильной или иной оперативной связи текст документа шифруется.

Конфиденциальные документы упаковываются в два пакета, т. е. производится их двойное пакетирование. На внутреннем пакете указываются: гриф конфиденциальности, фамилия лица, которому документ адресуется, номера вложенных документов, при необходимости ставится пометка «Лично». Внутренний пакет опечатывается бумажными наклейками, на которых ставится печать «Для пакетов» или печать службы конфиденциальной документации фирмы. Внешний пакет оформляется в соответствии с Почтовыми правилами, указанные выше сведения на него не выносятся.

Пакеты с конфиденциальными документами пересылаются ценными отправлениями. Передача их в почтовое отделение фиксируется в почтовом реестре, копия которого с почтовым штемпелем помещается в соответствующее дело.

Чаще всего пакеты с конфиденциальными документами передаются адресатам курьерами (нарочными) фирмы. В этом случае двойное конвертование, как правило не применяется. Все необходимые отметки делаются на одном светонепроницаемом пакете, который опечатывается. Передача документов курьером фиксируется в разносной книге или реестре, расписке.

Следовательно, обработка поступивших и отправляемых конфиденциальных документов связана с выполнением ряда дополнительных процедур и отличается усложненной технологией, позволяющей решить не только чисто экспедиционные задачи, но и задачи защиты информации и носителя от возможного несанкционированного доступа.

11.4.3. Учет конфиденциальных документов и

формирование справочно-информационного

банка данных по документам

Учет конфиденциальных документов предусматривает не только регистрацию факта создания (издания) или получения документа, но и обязательную фиксацию всех перемещений документа по инстанциям, руководителям и исполнителям в процессе рассмотрения, исполнения и использования документов. Учет этих документов и их хранение всегда централизованы в подразделении конфиденциальной документации фирмы или у референта первого руководителя.

Основной целью учета конфиденциальных документов является обеспечение их физической сохранности. Учет конфиденциальных документов решает следующие задачи:

фиксирование факта поступления или издания документа;

фиксирование местонахождения документа;

обеспечение поиска документов при проверки их наличия или необходимости обращения к документу;

обеспечение справочно-информационной и контрольной работы по документам;

предупреждение утраты копий и экземпляров документа, черновиков и редакций, приложений и отдельных листов.

Для решения этих задач целесообразно вести следующие виды учета конфиденциальных документов фирмы:

учет входящих (поступивших, входных) документов;

учет подготовленных, изданных исходящих (отправляемых, выходных) и внутренних документов;

инвентарный (выделенный) учет документов, дел и носителей конфиденциальной информации.

При любом виде учета индексирование конфиденциальных документов базируется на валовой нумерации документов всего потока в течение календарного года. Преимущество валовой нумерации состоит в гарантированной сохранности номера, выделенного для данного документа, записи исходных сведений о документе и карточки, заведенной на документ. Ни один номер не может исчезнуть, а карточка выпасть из систематизированного по номерам массива.

Серьезным недостатком валовой нумерации документов является отсутствие ее привязки к месту хранения документа. Однако к валовому номеру документа может добавляться смысловой индекс, обозначающий дело по номенклатуре, в котором будет храниться документ, подразделение-исполнитель и т.п.

Номер поступившего конфиденциального документа проставляется не только во входящем штампе на первом листе документа, но и на первом листе каждого приложения в штампе «К вх. № __» с указанием года регистрации. Во входящем штампе документа дополнительно проставляется количество листов основного документа и приложений с указанием грифа их конфиденциальности, например: «Кол-во листов: 1 к + 5 нк». При наличии в поступившем пакете нескольких документов каждый из них учитывается за отдельным номером.

В журналах и карточках учета записываются не только исходные данные о документе, но и сведения о его движении с момента поступления или издания до завершения исполнения и подшивки в дело, отправки адресату или уничтожения. Каждая запись заверяется росписями сотрудника службы конфиденциальной документации и исполнителя или второго сотрудника этой службы.

При заполнении на конфиденциальный документ одного экземпляра учетной карточки возникает необходимость ведения контрольного журнала. Журнал предназначен для обеспечения последовательности присвоения документам порядковых учетных номеров, контроля за наличием документов и карточек, ускорения поиска документов. Против учетного номера документа в журнале указывается фамилия лица, расписавшегося в карточке за получение документа, т.е. фиксируется местонахождение документа. При заполнении на документ двух и более экземпляров карточки функцию контрольного журнала выполняет валовая картотека.

Традиционный учетный и справочно-информационный банк данных по конфиденциальным документам обычно включает в себя:

справочную картотеку на неисполненные документы, в которой первые экземпляры карточек располагаются по исполнителям;

валовую картотеку с разделами неисполненных (для вторых экземпляров карточек) и исполненных (для первых экземпляров карточек) документов, в которой карточки располагаются в последовательности учетных номеров документов;

контрольную картотеку, в которой дополнительные экземпляры карточек располагаются по' срокам исполнения документов;

справочную картотеку на исполненные документы, в которой освободившиеся (вторые) экземпляры карточек располагаются по корреспондентам.

Если на конфиденциальные документы ведется справочная картотека, аналогичная картотеке на открытые документы, то часть картотеки на неисполненные документы формируется по исполнителям, а в части на исполненные документы карточки располагаются по рубрикам номенклатуры дел (если нумерация документов ведется по каждому делу отдельно) или в валовой последовательности номеров документов. В обоих вариантах экземпляры карточки помещаются одновременно в обе части картотеки.

По окончании рабочего дня второй сотрудник службы конфиденциальной документации проверяет правильность регистрации документов и их наличие.

В учетных формах не разрешается делать какие-либо исправления с помощью корректирующей жидкости или подчистки бритвой. Исправления аккуратно вписываются работником службы конфиденциальной документации рядом или выше ошибочной записи и заверяются его росписью. Ошибочная запись зачеркивается одной чертой. Учетные формы не должны содержать конфиденциальные сведения. Вместе с тем журналы и картотеки содержат в совокупности данные ограниченного распространения, в связи с чем их следует хранить в условиях, исключающих доступ к ним посторонних лиц.

Перемещение конфиденциальных документов между сотрудниками службы конфиденциальной документации фиксируется в передаточном журнале.

Автоматизированный учет конфиденциальных документов включает в себя следующие процедуры:

ввод в систему исходных сведений о документах и формирование машинного (электронного) журнала (картотеки);

контроль правильности внесенных записей и их соответствия учитываемым документам;

распечатка на бумажном носителе введенных записей (отдельно по каждому документу или по всем документам за рабочий день) для формирования традиционного журнала (картотеки);

распечатка при необходимости учетной формы (листа журнала, карточки) выдачи документа.

В электронный журнал конфиденциальные документы вносятся в хронологической последовательности их поступления в службу конфиденциальной документации.

Бумажные распечатки записей исходных сведений о документах, внесенных в электронный журнал, обеспечивают учетную функцию удостоверения факта поступления или издания документа, его местонахождения и места хранения. Распечатки в комплексе формируют традиционный учетный журнал (картотеку), в котором записи о документах располагаются в валовом порядке. Журнал является одновременно:

описью конфиденциальных документов;

страховым массивом учетных данных о документах на случай порчи или уничтожения электронного журнала.

Автоматизированный справочно-информационный банк данных по конфиденциальным документам имеет вспомогательное значение и ведется совместно с банком данных на бумажных носителях. Автоматизированный банк данных реализует функцию справочного и поискового обслуживания пользователей, контроля исполнения документов и иногда работы персонала с электронными аналогами бумажных документов. Учетная функция сохраняется за традиционным банком данных.

Сведения об изменении местонахождения документа вносятся в электронный журнал, который выполняет в данном случае роль контрольного журнала. По окончании исполнения делается новая распечатка полных сведений о документе, которая помещается в традиционную картотеку вместо находившейся там распечатки исходных сведений о документе.

Выдача документов исполнителям осуществляется по распечаткам учетного журнала (карточек учета) документов, в которых фиксируется роспись за получение и возврат документов. Документы (например, инвентарного учета) могут также выдаваться под роспись в распечатке карточки учета выдачи документа. В крупных предпринимательских структурах иногда используется метод «электронной подписи» за получение и возврат электронного документа. Однако подобные автоматизированные системы должны основываться на четких принципах и методах разграничения доступа к информации и иметь комплексную защиту от злоумышленника.

Учет изданных конфиденциальных документов дополнительно решает следующие задачи:

предотвращение утери черновиков и вариантов документа;

подтверждение факта уничтожения всех черновых материалов, возникших в процессе исполнения документа;

подтверждение факта передачи документа на отправку или, исполнение, передачи его другим сотрудникам службы конфиденциальной документации.

Для учета изданных конфиденциальных документов исполнитель сдает сотруднику службы конфиденциальной документации:

все экземпляры подписанного руководителем документа;

приложения к документу (при наличии);

черновики основного документа и приложений, редакции и варианты документа, рабочие записи;

документ, послуживший основанием для составления данного документа.

О сдаче и уничтожении указанных материалов сотрудник службы конфиденциальной документации делает отметку в учетных карточках документов и во внутренней описи документов, находящихся у исполнителя. Отметка в учетной карточке заверяется росписями указанного сотрудника и исполнителя.

Факт уничтожения черновика и других материалов подтверждается также отметкой на копии документа, остающейся в деле службы конфиденциальной документации. Например: «Черновик уничтожен. Дата. Подпись сотрудника службы документации». Черновики и другие материалы уничтожаются в присутствии исполнителя путем сожжения или измельчения, исключающим возможность восстановления текста. Попытки исполнителей оставить в своем распоряжении какие-либо неучтенные материалы по исполненному конфиденциальному документу должны рассматриваться руководством фирмы как грубое нарушение трудовой дисциплины.

Приложения к изданным конфиденциальным документам являются самостоятельными документами и имеют свои учетные номера по соответствующим видам учета.

Изданным конфиденциальным распорядительным документам и протоколам присваивается не только общий валовый учетный номер, но и порядковый номер в данной группе документов.

На инвентарный (списочный, перечневый) учет берутся следующие конфиденциальные документы:

не подлежащие подшивке в дела, например сброшюрованные документы, документы большого формата, чертежно-графические, научно-технические документы, в том числе являющиеся приложениями к основным документам, фотографии, рисунки;

изъятые по какой-либо причине из дела и переведенные на выделенное хранение (образовавшие самостоятельное дело), например, особо ценные документы, документы более широкого доступа, чем другие документы дела, и т.п.;

технические носители информации (чистые или с записанной информацией), например дискеты, видеои аудиокассеты, кассеты с фотопленкой и т.п.;

бумажные носители информации особо ценных документов для составления черновиков, оригиналов и подлинников документов, например рабочие тетради, отдельные листы бумаги, тетради с отрывными листами и т.п.;

журналы учета документов и учетные картотеки, картотеки учета выдачи дел и документов, законченные производством дела.

На инвентарный учет после заполнения справочных карточек могут браться все конфиденциальные документы фирмы, если объем таких документов невелик.

Картотека (журнал) инвентарного учета конфиденциальных документов ведется непрерывно. Номера каждого года продолжают номера предыдущих лет. Инвентарный номер указывается на документе в верхнем левом углу первого листа, например: «Инв. № ___ и дата». Одновременно может формироваться электронный справочный массив по документам.

Поставленные на инвентарный учет технические носители информации маркируются. Маркировка предусматривает нанесение на них следующих данных: инвентарного номера, номера или названия структурного подразделения, фамилии исполнителя. Надписи делаются красящим веществом, имеющим хорошую механическую стойкость. Этим же веществом окрашиваются винты или иные детали, скрепляющие корпус кассеты, дискеты или футляра с целью сигнализации об их несанкционированном вскрытии.

Учет конфиденциальных документов позволяет не только обеспечить сохранность документов и организовать по ним справочно-инфсрмационную и контрольную работу, но и проводить периодические и непериодические проверки наличия документов.

Целью проверки наличия конфиденциальных документов является установление фактического соответствия имеющихся документов записям в учетных формах, их сохранности, целостности и комплектности. Такие проверки побуждают исполнителей к тщательному соблюдению правил работы с документами и заботе об их физической сохранности.

Проверка ведется от учетных данных к документам, экземплярам документов и составным частям каждого экземпляра.

Регламентированные, обязательные проверки наличия конфиденциальных документов проводятся ежеквартально и по окончании календарного года. Нерегламентированные проверки осуществляются при смене руководителей подразделений, увольнении исполнителя, после завершения экстремальной ситуации, выявлении фактов угрозы информации и в других случаях. Если регламентированные проверки наличия охватывают все конфиденциальные документы фирмы, то при нерегламентированной проверке ограничиваются конкретной частью документации.

Проверки наличия документов проводятся специально назначаемой комиссией, в которую обычно входят: заместитель руководителя фирмы, руководитель службы безопасности и другие лица. По результатам проверки составляется акт.

Ежедневные проверки наличия документов (самопроверки) проводятся по окончании рабочего дня всеми сотрудниками, работающими с конфиденциальными документами.

Следовательно, основной целью учета конфиденциальных документов является, прежде всего, формирование информационной базы, обеспечивающей постоянное наблюдение за сохранностью каждого документа и своевременное фиксирование его местонахождения.

11.4.4. Порядок работы персонала с конфиденциальны

ми документами

При выходе документов за пределы службы конфиденциальной документации их безопасность резко снижается за счет санкционированного ознакомления с ними значительного числа сотрудников фирмы. В связи с этим правильная организация работы персонала с этими документами представляется крайне важной.

Особенно велика угроза электронным документам в результате потенциальной доступности информации большому количеству сотрудников и трудности определения часто самого факта кражи информации.

Руководители и исполнители фирмы при работе с конфиденциальными документами обязаны:

знакомиться только с теми конфиденциальными документами, к которым они получили разрешение на доступ в силу должностных обязанностей;

предъявлять работнику службы конфиденциальной документации числящиеся за ними документы для проверки их наличия и комплектности;

вести учет находящихся у них конфиденциальных документов;

ежедневно по окончании рабочего дня проверять наличие документов, сдавать их на хранение в службу конфиденциальной документации;

немедленно сообщать непосредственному руководителю и в службу конфиденциальной документации об утрате или недостаче документов, обнаружении лишних или неучтенных документов, отдельных листов;

сдавать по описи в службу конфиденциальной документации все числящиеся за ними документы при увольнении, уходе в отпуск, отъезде в командировку.

Все передачи конфиденциальных документов руководителям и исполнителям должны регистрироваться в карточках учета документов. Прием и выдача документов осуществляются под роспись, что необходимо для установления факта возложения персональной ответственности за документ на конкретных сотрудников.

Руководители, выполняя процедуру рассмотрения документов, решают следующие задачи защиты информации:

принятие правильного решения по составу исполнителей, допускаемых к документу;

исключение возможности ознакомления с документом посторонних лиц;

предотвращение возможности хищения или копирования документов посетителями, секретарем и другими лицами;

исключение возможности утечки информации по техническим каналам.

При этом необходимо помнить, что посторонним лицом является любое лицо, не имеющее права доступа к данному конкретному документу, в том числе другие руководители и специалисты фирмы.

Сотрудник служба конфиденциальной документации, выдавая документы исполнителям для работы, обязан:

предотвратить выдачу документа лицу, не имеющему права доступа к нему;

зафиксировать факт передачи документа исполнителю;

обеспечить физическую сохранность документа, приложений, листов и других частей документа;

ознакомить исполнителя только с той частью документа, которая ему адресована;

предотвратить возможность ознакомления с документом постороннего лица при выдаче документа исполнителю и возврате им

документа;

обеспечить учет документов, находящихся у исполнителей. Ответственность за сохранность конфиденциальных документов и предотвращение утечки информации в подразделениях фирмы несут их руководители.

Печатание конфиденциальных документов на бумажном носителе производится сотрудником службы конфиденциальной документации на пишущей машине или с помощью ПЭВМ. Изготовлять документы может и сам исполнитель на своем рабочем месте при условии обеспечения сохранности тайны фирмы.

На последнем листе каждого экземпляра документа проставляется количество отпечатанных экземпляров, их адрес или местонахождение, фамилия и номер телефона исполнителя, фамилия оператора, печатавшего документ, и дата. При изготовлении документов не должна использоваться новая красящая лента и копировальная бумага, не должны подкладываться под валик пишущего устройства дополнительные листы бумаги. Документы не следует диктовать, наговаривать на диктофон. Окна в помещении целесообразно тонировать или зашторивать. Экран дисплея необходимо разворачивать в сторону от окна и входной двери.

Размножение конфиденциальных документов и снятие с них копий производится по письменному разрешению руководителя подразделения, в котором работает исполнитель. Дополнительно размноженные экземпляры учитываются в службе конфиденциальной документации за номером подлинника и в той же учетной форме. Выписки из конфиденциальных документов делаются также с разрешения руководителя подразделения и учитываются за новыми номерами на карточках учета подготовленных (изданных) документов.

Целевое использование сотрудниками фирмы копировальной техники следует строго контролировать. Копировальные аппараты могут размещаться в специальном помещении службы конфиденциальной документации и при необходимости в кабинетах руководителей. По окончании рабочего дня эти помещения должны запираться, опечатываться и сдаваться под охрану.

Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов сопровождается дополнительными требованиями к системе их безопасности. Для персонала централизованно разрабатывается иерархическая система идентифицирующих паролей, кодов и ключей для обеспечения разграничения доступа к информации, .

Система утверждается приказом первого руководителя и доводится выборочно в строго индивидуальном порядке до каждого сотрудника фирмы под роспись. Обновление системы должно быть постоянным, что особенно важно при частой смене персонала.

Любое санкционированное или несанкционированное обращение к информации должно регистрироваться (протоколироваться). Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутвержденных или необычных программ. Применение персоналом собственных (не зарегистрированных) защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматически стираться.

Закончив работу на ПЭВМ сотрудник обязан:

перенести конфиденциальную информацию на гибкие носители информации (дискеты, диски);

 стереть конфиденциальную информацию с носителей в ПЭВМ и записать шумовую информацию для предотвращения считывания остаточных сигналов;

проверить наличие гибких магнитных носителей информации по внутренней описи и сдать их в службу конфиденциальной документации;

блокировать ПЭВМ персональным ключом и отключить электропитание в помещении;

запереть и опечатать помещение, сдать его под охрану.

После изготовления конфиденциального документа на принтере и при необходимости переноса текста на дискету информация в ПЭВМ также должна быть стерта с магнитного носителя. Факт уничтожения информации подтверждается росписями исполнителя и сотрудника службы конфиденциальной документации в карточке учета изданного документа.

В службе конфиденциальной документации должны храниться регулярно обновляемые копии используемых исполнителями магнитных носителей конфиденциальной информации. Работа с электронными конфиденциальными документами разрешается только при наличии в фирме сертифицированной системы защиты компьютеров и локальной сети.

При работе с конфиденциальными документами руководители и исполнители должны быть обеспечены:

постоянным рабочим местом;

личным сейфом (металлическим шкафом) и кейсом для хранения документов;

номерной личной металлической печатью.

Ключи от сейфа и кейса, металлическая печать постоянно хранятся у руководителя или исполнителя. Дубликаты ключей должны находиться в службе конфиденциальной документации.

Рабочее место сотрудника фирмы следует разместить таким образом, чтобы исключить возможность обозрения находящихся на столе конфиденциальных документов лицами, не имеющими к ним отношения. Рабочий стол не должен просматриваться через окно из соседних домов. Помещения, в которых конфиденциальная информация обрабатывается на ПЭВМ, должны иметь защиту от технических средств промышленного шпионажа.

На рабочем столе всегда должен находиться только тот конфиденциальный документ и материалы к нему, с которыми в данный момент работает сотрудник. Другие документы следует хранить в запертом сейфе. Руководители и исполнители не должны вести какие-либо картотеки для организации работы с конфиденциальными документами и контроля за их исполнением. Очередность исполнения определяется раскладкой документов по рабочим папкам: «Ознакомление», «Согласование», «Срочно», «Задания на такое-то число» и т.п. Не разрешается хранение конфиденциальных документов в ящиках рабочего стола, в шкафах и других широко доступных местах, даже если они имеют запоры.

Если на рабочем месте руководителя или исполнителя отсутствуют необходимые условия для работы с конфиденциальными документами, то ознакомление с документами и их исполнение осуществляются в специальном помещении службы конфиденциальной документации. Здесь же ведется работа с документами особой ценности.

Все конфиденциальные документы, бумажные, магнитные носители информации, дела и другие материалы, полученные руководителем или исполнителем на срок более одного дня, вносятся службой конфиденциальной документации в опись (перечень) документов, находящихся у исполнителя. Электронный экземпляр описи находится в службе документации, а его распечатка на бумажном носителе передается исполнителю. Документы, полученные на время рабочего дня, в опись не вносятся. За полученный документ исполнитель расписывается в карточке учета. При возврате документа сотрудник службы документации расписывается и в карточке, и в описи.

Персоналу, работающему с бумажными и электронными конфиденциальными документами, запрещается:

использовать конфиденциальные сведения в публикациях, открытых документах, докладах и переписке, рекламных материалах, выставочных проспектах и информационных сообщениях;

передавать кому-либо (в том числе сотрудникам фирмы) устно или письменно конфиденциальную информацию, документы, если это не связано со служебной необходимостью и не санкционировано непосредственным руководителем;

вести переговоры, содержащие конфиденциальные данные, по незащищенным линиям связи, в неприспособленных помещениях, в присутствии посторонних лиц;

снимать копии с конфиденциальных документов и делать из них выписки без письменного разрешения непосредственного руководителя;

знакомиться с документами, делами и базами данных других сотрудников, работать за их компьютерами;

переписывать сведения из документов в личные записные книжки, дневники, календари, карточки учета работы;

вносить и пользоваться в помещениях фирмы личными фото-, видеоаппаратами, компьютерами, аудиотехникой, магнитофонами, плеерами, переговорными устройствами, техническими носителями информации (дискетами и т.п.), радиотелефонами, копировальными аппаратами;

выносить конфиденциальные документы из здания фирмы без разрешения первого руководителя, работать с конфиденциальными документами в не предназначенных для этого помещениях;

оставлять конфиденциальные документы на рабочем столе без контроля, хранить эти документы вместе с открытыми документами и материалами, оставлять без контроля ПЭВМ с загруженной конфиденциальной информацией;

разглашать сведения о характере автоматизированной обработки конфиденциальной информации на ПЭВМ и о личных идентифицирующих паролях;

разглашать сведения о составе находящихся у него конфиденциальных документов и материалов, системе их защиты и месте хранения, а также известных ему элементах обеспечения безопасности фирмы.

По окончании рабочего дня руководители и исполнители должны проверить наличие конфиденциальных документов (в том числе на магнитных носителях), убедиться в их комплектности и сдать их в службу конфиденциальной документации. Оставлять конфиденциальные документы на рабочем месте не разрешается. Сдается, как правило, каждый документ в отдельности. При наличии у сотрудника нескольких конфиденциальных документов, необходимых ему для ежедневной работы, они могут помещаться вместе с описью в специальный кейс, который запирается, опечатывается личной печатью этого сотрудника и сдается в службу конфиденциальной документации.

Следовательно, работа руководителей и исполнителей с конфиденциальными документами регламентируется достаточно жесткими требованиями к соблюдению действующего в фирме порядка обеспечения сохранности фирменных секретов. Однако возникающие ограничения в оперировании информацией нельзя рассматривать как следствие недоверия к персоналу. Соблюдение этих требований позволяет правильно организовать достаточно сложную работу с конфиденциальными документами и, что очень важно, дает уверенность сотрудникам в правильности своих действий.