Защита конфиденциальной информации на предприятии

Работа сотрудников  службы конфиденциального делопроизводства и фирмы в целом с машинными  носителями информации вне ЭВМ должна быть организована по аналогии с бумажными  конфиденциальным документооборотом.

Доступ к конфиденциальным базам данных и файлам является завершающим  этапом доступа сотрудника фирмы  к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что  самые серьезные рубежи защиты охраняемой электронной информации он успешно  прошел. В конечном счете, он может  просто унести компьютер или вынуть из него и унести жесткий диск, не "взламывая" базу данных (53; 50).

Обычно доступ к  базам данных и файлам подразумевает:

1.  определение  и регламентацию первым руководителем  состава сотрудников, допускаемых  к работе с определенными базами  данных и файлами; контроль  системы доступа администратором  базы данных;

2.  наименование  баз данных и файлов, фиксирование  в машинной памяти имен пользователей  и операторов, имеющих право доступа  к ним;

3.  учет состава  базы данных и файлов, регулярную  проверку наличия, целостности  и комплектности электронных  документов;

4.  регистрацию  входа в базу данных, автоматическую  регистрацию имени пользователя  и времени работы; сохранение  первоначальной информации;

5.  регистрацию  попытки несанкционированного входа  в базу данных, регистрацию ошибочных  действий пользователя, автоматическую  передачу сигнала тревоги охране  и автоматическое отключение  компьютера;

6.  установление  и нерегулярное по сроку изменение  имен пользователей, массивов  и файлов (паролей, кодов, классификаторов,  ключевых слов и т.п.), особенно  при частой смене персонала;

7.  отключение  ЭВМ при нарушениях в системе  регулирования доступа или сбое  системы защиты информации, механическое (ключом или иным приспособлением)  блокирование отключенной, но  загруженной ЭВМ при недлительных  перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи,  шифры, специальные программные  продукты, аппаратные средства и  т.п. атрибуты системы защиты  информации в ЭВМ разрабатываются,  меняются специализированной организацией  и индивидуально доводятся до  сведения каждого пользователя  работником этой организации  или системным администратором  Применение пользователем собственных  кодов не допускается (65. c.64).

Таким образом, процедуры  допуска и доступа сотрудников  к конфиденциальной информации завершают  процесс включения данного сотрудника в состав лиц, реально владеющих  тайной фирмы. С этого времени  большое значение приобретает текущая  работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих  условий:

¾  наличие подписанного приказа первого руководителя о  приеме на работу (переводе, временном  замещении, изменении должностных  обязанностей и т.п.) или назначении на должность, в функциональную структуру  которой входит работа с данной, конкретной информацией;

¾  наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны  фирмы и подписанного обязательства  о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их зашиты,

¾  соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

¾  знание сотрудником  требований нормативно-методических документов по защите информации и сохранении тайны фирмы,

¾  наличие необходимых  условий в офисе для работы с конфиденциальными документами  и базами данных;

¾  наличие систем контроля за работой сотрудника.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, те руководители несут  персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными  документами, несут персональную ответственность  за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

2.3 Технологические  основы обработки конфиденциальных  документов

Совокупность технологических  стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной  совокупности, свойственной потокам  открытых документов. Так, входной документопоток включает в себя следующие стадии обработки конфиденциальных сведений:

1.  Прием, учет  и первичная обработка поступивших  пакетов, конвертов, незаконвертованных  документов;

2.  Учет поступивших  документов и формирование справочно-информационного  банка данных по документам;

3.  Предварительное  рассмотрение и распределение  поступивших документов;

4.  Рассмотрение  документов руководителям! и передача  документов на исполнение;

5.  Ознакомление  с документами исполните лей,  использование или исполнение  документов. (47, с.120).

Выходной и внутренний документопотоки включают в себя следующие стадии обработки конфиденциальных документов:

1.  Исполнение  документов (этапы: определение уровня  грифа конфиденциальности предполагаемого  документа, учет носителя будущего  документа, составление текста, учет  подготовленного документа, его  изготовление и издание);

2.  Контроль исполнения  документов;

3.  Обработка изданных  документов (экспедиционная обработка  документов и отправка их адресатам;  передача изданных внутренних  документов на исполнение);

4.  Систематизация  исполненных документов в соответствии  с номенклатурой дел, оформление, формирование и закрытие дел;

5.  Подготовка  и передача дел в ведомственный  архив (архив фирмы).

В состав всех документопотоков включается также ряд дополнительных стадий обработки конфиденциальных документов:

1.  Инвентарный  учет документов, дел и носителей  информации, не включаемых в номенклатуру  дел;

2.  Проверка наличия  документов, дел и носителей информации;

3.  Копирование  и тиражирование документов;

4.  Уничтожение  документов, дел и носителей информации. (47, с.120).

Стадии, составляющие тот или иной документопоток, реализуются  специализированной технологической  системой обработки и хранения конфиденциальных документов.

Под технологической  системой обработки и хранения конфиденциальных документов понимается упорядоченный  комплекс организационных и технологических  процедур и операций, предназначенных для практической реализации задач, стоящих перед функциональными элементами (стадиями) документопотока (53, с.42). Технология обработки и хранения конфиденциальных и открытых документов базируется на единой научной и методической основе, призванной решать задачи обеспечения документированной информацией управленческие и производственные процессы. Одновременно технологическая система обработки и хранения конфиденциальных документов решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В отличие от открытых документов к обработке конфиденциальных документов предъявляются следующие  серьезные требования, которые в  определенной степени гарантируют  решение указанных задач:

1.  Централизации  всех стадий, этапов, процедур и  операций по обработке и хранению  конфиденциальных документов;

2.  Учета всей  без исключения конфиденциальной  информации;

3.  Операционного  учета технологических действий, производимых с традиционным (бумажным) или электронным носителем (в  том числе чистым) и документом, учет каждого факта "жизненного  цикла" документа;

4.  Обязательного  контроля правильности выполнения  учетных операций;

5.  Учета и обеспечения  сохранности не только документов, но и учетных форм;

6.  Ознакомления  или работы с документом только  на основании письменной санкции  (разрешения) полномочного руководителя, письменного фиксирования всех  обращений персонала к документу;

7.  Обязательной  росписи руководителей, исполнителей  и технического персонала при  выполнении любых действий с  документом в целях обеспечения  персональной ответственности сотрудников  фирмы за сохранность носителя  и конфиденциальность информации;

8.  Выполнения  персоналом введенных в фирме  правил работы с конфиденциальными  документами, делами и базами  данных, обязательными для всех  категорий персонала;

9.  Систематических  (периодических и разовых) проверок  наличия документов у исполнителей, в делах, базах данных, на машинных  носителях и т.д., ежедневного  контроля сохранности, комплектности,  целостности и местонахождения  каждого конфиденциального документа;

10.  Коллегиальности  процедуры уничтожения документов, дел и баз данных;

11.  Письменного  санкционирования полномочным руководителем  процедур копирования и тиражирования  бумажных и электронных конфиденциальных  документов, контроль технологии  выполнения этих процедур. Технологическая  система обработки и хранения  конфиденциальных документов распространяется  не только на управленческую (деловую)  документацию, но и конструкторские,  технологические, научно-технические  и другие аналогичные документы,  публикации, нормативные материалы  и др., хранящиеся в специальных  библиотеках, информационных центрах,  ведомственных архивах, документированную  информацию, записанную на любом  типе носителя информации.

Технологические системы  обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными (104, с.32). Традиционная (делопроизводственная) система основывается на ручных методах  работы человека с документами и  является наиболее универсальной. Она  надежно, долговременно обеспечивает защиту документированной информации, как в обычных, так и экстремальных  ситуациях. В связи с этим стадии защищенного документооборота в  большинстве случаев технологически реализуются методами и средствами именно традиционной системы обработки  и хранения конфиденциальных документов, а не автоматизированной. Система  одинаково эффективно оперирует  как традиционными (бумажными), так  и документами машиночитаемыми, факсимильными и электронными. 

Традиционная технологическая  система обработки и хранения конфиденциальных документов лежит  в основе широко известного понятия "делопроизводство" или "документационное обеспечение управления" (в его  узком, но часто встречающемся в  научной литературе понимании как  синонима делопроизводства). С другой стороны, делопроизводство часто рассматривается  в качестве организационно-правового  и технологического инструмента  построения ДОУ. Автоматизированная технология (как и традиционная, делопроизводственная) является обеспечивающей и обслуживает  конкретные потребности персонала  в конфиденциальной информации. Автоматизированная система, обслуживающая работу с  конфиденциальными документами, должна в принципе обеспечивать:

1.  Сокращение  значительного объема рутинной  работы с документами и числа  технических операций, выполняемых  ручными методами;

2.  Реализацию  возможности для персонала организации  (фирмы) работать с электронными  документами в режиме безбумажного  документооборота;

3.  Достаточную  гарантию сохранности и целостности  информации, регулярного контроля  и противодействия попыткам несанкционированного  входа в банк данных;

4.  Аналитическую  работу по определению степени  защищенности информации и поиску  возможных каналов ее утраты;

5.  Единство технологического  процесса с режимными требованиями  к защите информации (допуск, доступ, регламентация коллегиальности  выполнения некоторых процедур, операций и т.п.);

6.  Персональную  ответственность за сохранность  конфиденциальных сведений в  машинных массивах и на магнитных  носителях вне ЭВМ;