58. Нормативно-методические документы по обеспечению безопасности информации
Нормативно-методическое обеспечение системы защиты конфиденциальной информации предназначено для регламентации процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных.
Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц. Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах фирмы и определять правовой статус информационной безопасности фирмы. Указанные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность и тайну фирмы, и выполнять действия по ее защите.
Предмет и направления защиты должны найти отражение, например, в уставе фирмы, типовых формах контрактов различного рода и назначения, положениях о структурных подразделениях фирмы, должностных инструкциях сотрудников и других документах. Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы. Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации.
Можно выделить основные, на наш взгляд, регламентирующие документы, имеющие значение для любой фирмы и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы:
1. Перечень сведений предпринимательской фирмы, составляющих ее тайну или являющихся особо ценными. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных, сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т.п.
2. Инструкция по обеспечению безопасности конфиденциальной информации фирмы, которая регламентирует:
• обязанности сотрудников фирмы при работе с конфиденциальной информацией;
• порядок доступа сотрудников к конфиденциальным документам и базам данных, оформление доступа;
• обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;
• порядок сохранения тайны фирмы при проведении совещаний, заседаний и переговоров;
• требования к помещениям для работы с конфиденциальной информацией;
• порядок охраны территории, здания, помещений, транспортных средств и персонала фирмы;
• пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;
• порядок приема, учета и контроля деятельности посетителей;
• требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;
• организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники; • ответственность сотрудников фирмы за разглашение конфиденциальной информации и утрату ценных документов.
3. Инструкция по обработке, хранению и движению конфиденциальных документов фирмы. Она регламентирует организацию работы сотрудников службы КД, менеджера (референта) по безопасности, управляющего делами фирмы, секретаря-референта первого руководителя.
Основные разделы Инструкции:
• структура защищенного документооборота фирмы;
• установление, изменение и снятие грифа конфиденциальности документов;
• порядок составления, учета, изготовления и издания конфиденциальных документов;
• копирование и размножение документов;
• прием и распределение поступивших документов;
• учет (регистрация) поступивших документов;
• отправка и рассылка документов;
• порядок передачи документов в процессе их рассмотрения и исполнения;
• контроль исполнения документов;
• порядок систематизации документов и формирования дел;
• порядок передачи документов и дел в архив фирмы, уничтожения документов и дел с истекшим сроком хранения;
• оперативное (текущее) и архивное хранение дел;
• проверка наличия документов, дел, баз данных и носителей конфиденциальной информации;
• правила хранения и использования бланков документов, печатей и штампов. В приложении к инструкции даются учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов.
Информационные (методические, советующие, обучающие) документы (правила, требования, указания, методики, памятки и т.п.), детализирующие процессы защиты информации, носят, вместе с тем, обязательный характер и устанавливают порядок работы с конфиденциальной информацией и документами отдельных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику.
Прежде всего следует выделить Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных.
Правила регламентируют:
• порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации;
• рассмотрение документов руководителем и адресования их исполнителям;
• порядок передачи и получения документов исполнителями; • ознакомление исполнителей с содержанием документов и решением по ним руководителя;
• составление и изготовление документов исполнителями; • работу руководителя с подготовленными документами;
• порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя;
• проверку наличия конфиденциальных документов и баз данных на рабочем месте руководителя и исполнителя;
• порядок ведения телефонных переговоров, факсимильной переписки;
• особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой;
• порядок работы с конфиденциальными документами за пределами фирмы, в командировках, транспорте, порядок хранения документов;
• обеспечение сохранности документов и баз данных во внерабочее время.
Правила работы менеджера по безопасности (управляющего делами, референта, секретаря-референта) фирмы с конфиденциальными документами и базами данных регламентируют:
• порядок приема и отправки конфиденциальных документов;
• порядок учета (регистрации) поступивших документов;
• организацию доступа исполнителей к конфиденциальным документам;
• распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передача документов на исполнение;
• формирование и ведение справочно-информационного банка данных по конфиденциальным документам;
• контроль исполнения документов;
• учет и изготовление документов на пишущих устройствах;
• оформление и ведение номенклатуры дел фирмы;
• формирование и хранение (текущее и архивное) дел фирмы;
• порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;
• защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;
• защиту информации при работе с ПЭВМ;
• построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;
• ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.
Правила работы менеджера по персоналу предпринимательской фирмы регламентируют:
• обязанности менеджера в области защиты информации и работы с сотрудниками, обладающими секретами фирмы;
• организацию и документирование приема сотрудников на работу;
• обязательства сотрудников по сохранению тайны фирмы;
• контроль соблюдения персоналом правил работы с конфиденциальными документами и информацией;
• организацию и документирование переводов сотрудников на другие должности и изменения условий контрактов;
• порядок формирования и ведения личных дел сотрудников;
• порядок оформления и ведения трудовых книжек сотрудников;
• порядок ведения справочно-информационного банка данных по персоналу фирмы;
• правила и методы защиты персональных данных;
• организацию и документирование увольнений сотрудников;
• порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных;
• принципы и направления формирования нормального психологического климата в коллективе, воспитания фирменной гордости персонала;
• психологический анализ сотрудников, тестирование, анкетирование, инструктирование и обучение персонала;
• правила хранения документов и работы с ними;
• организацию охраны помещения службы персонала в рабочее и нерабочее время;
• ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках фирмы и другой конфиденциальной информации.
Информационные документы регламентируют также требования по единообразному выполнению персоналом определенных видов типовых действий.
Так, правила обеспечения безопасности секретов фирмы и конфиденциальной информации в экстремальных ситуациях включают в себя классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов фирмы, информации и документов и регламентируют:
• порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;
• порядок (при необходимости — план) эвакуации и оказания помощи персоналу;
• порядок охраны имущества фирмы, оборудования и технических средств зашиты информации;
• порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т.п.);
• порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций. Рассмотренные нормативно-методические документы отражают действующую в фирме систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись.
Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация.
Контроль за соблюдением сотрудниками фирмы изложенных в документах требований возлагается на службы: безопасности, конфиденциальной документации, персонала, а в некрупных фирмах — на менеджера по безопасности.
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты и определенной гарантией сохранности собственной информации фирмы.
- 1. Информационная безопасность
- 2. Информационная безопасность – дело межгосударственное
- 3. Информационная безопасность и геоинформационные системы
- 4. Информационная безопасность и интересы бизнеса
- 5. Информационная безопасность корпоративных (ведомственных) сетей связи
- 6. Каналы утечки информации
- 7. Классификация угроз безопасности информации
- 8. Угрозы, не связанные с деятельностью человека
- 9. Угрозы, связанные с деятельностью человека
- 10. Утечка акустической информации из-за применения подслушивающих устройств
- 11. Прослушивание и запись переговоров по телефонным линиям
- 12. Утечка информации за счет скрытного и дистанционного видеонаблюдения
- 13. Лазерный съем речевой информации
- 14. Основные понятия компьютерной безопасности
- 15. Лицензирование
- 16. Особенности безопасности компьютерных сетей
- 17. Нарушения безопасности сети
- 18. Взлом программного модуля
- 19. Меры защиты информационной безопасности
- 20. Меры защиты: четыре уровня защиты
- 21. Метод авторизации через интернет
- 22. Побитовое копирование cd
- 23. Признаки наличия язвимых мест в информационной безопасности
- 24. Пути утечки информации в вычислительных системах
- 25. Устойчивость к взлому
- 26. Устойчивость к прямому копированию
- 27. Законы ук рф, связанные с «Преступлениями в сфере компьютерной информации»
- 28. Утечка информации при использовании средств связи и различных проводных коммуникаций
- 29. Перехват разговоров по радиотелефонам и сотовой связи
- 30. Использование сети 220 в для передачи акустической информации из помещений.
- 31. Комплексный подход к обеспечению информационной безопасности
- 32. Организованные меры обеспечения защиты информации
- 33. Подбор персонала для обеспечения безопасности
- 34. Краткая характеристика источников информации
- 35. Безопасность оптоволоконных кабельных систем
- 36. Защита информации в оптическом диапазоне частот
- 37. Классификация современных биометрических средств защиты информации
- 38. Принципы построения системы информационной безопасности объекта
- 39. Определение границ управления информационной безопасностью объекта
- 40. Выбор контрмер, обеспечивающих информационную безопасность
- 41. Проверка системы защиты информации
- 42. Составление плана защиты информации
- 43. Реализация плана защиты информации (управление системой защиты информации)
- 44. Практические проблемы обеспечения информационной безопасности
- 45. Новые приборы виброакустической защиты информации
- 46. Персонал как основная опасность утраты конфиденциальной информации
- 47. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией
- 48. Доступ персонала к конфиденциальным сведениям, документам и базам данных
- 49. Текущая работа с персоналом, владеющим конфиденциальной информацией
- 50. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- 51. Защищенный документооборот
- 52. Технологические системы защиты и обработки конфиденциальных документов
- 53. Принципы учета конфиденциальных документов
- 54. Этапы подготовки конфиденциальных документов
- 55. Защита информации при проведении совещаний и переговоров
- 56. Защита информации при работе с посетителями
- 57. Защита информации в работе кадровой службы
- 58. Нормативно-методические документы по обеспечению безопасности информации