- •Безпека підприємницької діяльності (Нормативно-правові документи комерційного підприємства, банку)
- •Вступ……………………………………………………………..……...5
- •Основи методики розробки нормативно-правових документів комерційних підприємства, банків з питань безпеки їх діяльності
- •Варіанти нормативно-правових документів загального характеру
- •Положення Статуту підприємства з питань безпеки його діяльності
- •Концепція безпеки діяльності підприємства
- •Умови конкуренції
- •Загрози підприємству
- •Вимоги до безпеки діяльності підприємства, її принципи та задачі
- •Система безпеки підприємства
- •Заходи загального забезпечення безпеки діяльності підприємства
- •Спеціальні заходи
- •Заходи загальнодержавної безпеки
- •Види безпеки
- •Форми реалізації заходів безпеки
- •Об’єкти безпеки
- •Сили безпеки
- •Структура сил безпеки підприємства
- •Організація безпеки діяльності підприємства
- •Функції сил безпеки
- •Функції підрозділів підприємства з безпеки його діяльності
- •Управління системою безпеки та планування її заходів
- •Відповідальність за порушення (невиконання) правил і заходів безпеки
- •Забезпечення заходів безпеки
- •Фінансове і матеріально-технічне забезпечення
- •Інформаційне забезпечення
- •Наукове забезпечення
- •Положення про службу безпеки підприємства
- •Загальні положення
- •Основні завдання Служби
- •Об’єкти діяльності Служби
- •Сили та засоби Служби
- •Права Служби
- •Керівник Служби
- •Організація роботи Служби
- •Правила внутрішнього трудового розпорядку роботи на підприємстві
- •Загальні положення
- •Робочий час
- •Робота підрозділів підприємства
- •Порядок надання відпусток
- •Матеріальна відповідальність працівників
- •Правила користування обладнанням, приладами та приміщеннями
- •Охорона праці
- •Документи з питань охорони
- •Положення про службу (підрозділ) охорони підприємства
- •Загальні положення
- •Організаційна структура служби (підрозділу) охорони
- •Завдання служби (підрозділу) охорони
- •Функції служб (підрозділу) охорони
- •Взаємодія служби (підрозділу) охорони з підрозділами і установами підприємства
- •Права, обов’язки та відповідальність керівника служби (підрозділу) охорони
- •Права та обов’язки працівників служби (підрозділу) охорони
- •Інструкція з пропускного і внутрішньооб’єктового режиму підприємства
- •Загальні положення
- •Пропускний режим
- •Порядок входу на територію підприємства
- •Порядок вивезення (винесення) матеріальних цінностей
- •Порядок допуску автотранспорту на територію підприємства
- •Внутрішньооб’єктовий режим
- •Порядок допуску працівників підприємства до режимних приміщень
- •Порядок видачі, використання і зберігання металевих печаток
- •Порядок видачі і зберігання ключів
- •Порядок здачі під охорону і відчинення службових приміщень
- •Дії працівників підприємства у позаштатних ситуаціях
- •У випадку виявлення порушення відбитку печатки
- •Дії працівників підприємства при виклику підрозділом охорони в неробочий час
- •Порядок допуску працівників на територію підприємства у неробочий час, вихідні та святкові дні
- •Обов’язки працівників підприємства по додержанню та здійсненню пропускного режиму
- •Допуск на територію підприємства делегацій
- •Відповідальність за порушення вимог інструкції і контроль за додержанням її положень
- •Додаток 1 Перелік режимних приміщень в центральному офісі і установах підприємства
- •План охорони головного офісу підприємства
- •Розташування технічних засобів в охороні головного офісу підприємства
- •План оборони зони розташування складських приміщень підприємства
- •Склад сил та засобів, залучених до забезпечення оборони об’єкта
- •Бойовий розрахунок сил та засобів
- •Позивні кореспондентів
- •Інструкція про порядок зберігання та використання газової і пневматичної зброї, спеціальних засобів при виконанні завдань з охорони об’єктів та офісів підприємства
- •Загальні положення
- •Порядок зберігання та видачі персоналу охорони газової (пневматичної) зброї і спеціальних засобів
- •Застосування газової та пневматичної зброї
- •Застосування гумового кийка та наручників
- •Застосування заходів фізичного впливу
- •Огляд осіб та їх особистих речей під час здійснення заходів охорони
- •Дії сил охорони при виявленні крадіжки на об’єкті
- •Інструкція про використання службових собак при здійсненні заходів охорони об’єктів підприємства
- •Загальні положення
- •Умови використання службових собак
- •Порядок використання службових собак
- •Обов’язки провідника службових собак
- •Інструкція з охорони праці при здійсненні заходів охорони об’єктів на підприємстві
- •Загальні положення
- •Вимоги безпеки праці перед початком виконання завдань охорони
- •Вимоги з охорони праці під час виконання заходів охорони
- •Вимоги безпеки при виникненні аварійних ситуацій
- •Вимоги безпеки після закінчення виконання заходів охорони
- •Розслідування та облік нещасних випадків, що виникли під час виконання завдань охорони
- •Права та обов’язки посадових осіб варт та контрольно-пропускних пунктів
- •Права та обов’язки осіб варти
- •Права та обов’язки осіб, які забезпечують пропускний режим на підприємстві
- •Посадові обов’язки коменданта офісу (офіс-менеджера) підприємства
- •Загальні обов’язки працівників служби (підрозділу) охорони
- •Обов’язки персоналу підприємства по дотриманню режиму охорони:
- •Програма підготовки працівників служби (підрозділу) охорони підприємства
- •Зміст підготовки за дисциплінами
- •Документи з інформаційної безпеки
- •Положення про комерційну таємницю та конфіденційну інформацію підприємства і правила їх зберігання
- •Загальні положення
- •Визначення відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства
- •Доступ до відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства
- •Захист комерційної таємниці і конфіденційної інформації підприємства
- •Контроль за дотриманням встановленого на підприємстві порядку захисту його комерційної таємниці і конфіденційної інформації
- •Відповідальність за порушення встановлених режимів захисту комерційної таємниці і конфіденційної інформації
- •Забезпечення заходів захисту комерційної таємниці і конфіденційної інформації підприємства
- •Інструкція про порядок виконання документів, що надходять до підприємства від правоохоронних органів, судів та інших державних установ
- •Загальні положення
- •Прийняття і реєстрація документів
- •Порядок виконання документів
- •Додаток № 1 Книга обліку документів, що надійшли до підприємства від правоохоронних органів, судів та інших державних установ
- •Інструкція про порядок підготовки, обліку, зберігання та знищення документів, справ, видань і матеріалів, що містять комерційну таємницю підприємства
- •Загальні положення
- •Обов’язки працівників підприємства, які працюють з таємними документами і матеріалами
- •Розробка документів і матеріалів, що містять комерційну таємницю
- •Реєстрація документів і матеріалів, що містять комерційну таємницю
- •Приймання та передача документів і матеріалів, що містять комерційну таємницю
- •Оформлення, адресування, пересилка та доставка таємної кореспонденції
- •Складання номенклатури справ і журналів обліку, групування виконаних таємних документів у справи
- •Використання документів і матеріалів, що містять комерційну таємницю
- •Знищення документів і матеріалів, що містять комерційну таємницю
- •Режим зберігання документів і матеріалів, що містять комерційну таємницю
- •Особливості захисту інформації, що містить комерційну таємницю, при використанні електронних засобів її обробки, передачі і зберігання та інших матеріальних носіїв інформації
- •Особливості захисту інформації, що містить комерційну таємницю, в процесі фінансово-економічної діяльності
- •Відповідальність за втрату документів і матеріалів, що містять комерційну таємницю та за розголошення таємних відомостей підприємства
- •Положення про архів і архівну діяльність на підприємстві
- •Загальні положення
- •Складання номенклатури справ
- •Формування справ
- •Доархівне зберігання документів
- •Підготовка справ до подальшого зберігання та використання
- •Організація проведення експертизи цінності документів
- •Передавання справ до архіву підприємства
- •Приймання-передавання справ під час зміни керівника архіву (особи, відповідальної за архів)
- •Інструкція про проведення службових розслідувань на підприємстві та у його установах
- •Загальні положення
- •Організація проведення службових розслідувань
- •Положення про захист електронної інформації на підприємстві
- •Загальні положення
- •Загрози електронній інформації
- •Захист робочих комп’ютерів
- •Захист локальної та Internet мережі
- •Захист електронних повідомлень та електронних документів
- •Обов’язки адміністратора мережі
- •Обов’язки персоналу підприємства щодо захисту електронної інформації
- •Захист електронної інформації підприємства від нападу з глобальної інформаційної мережі
- •Захист від комп’ютерних вірусів
- •Відповідальність працівників за порушення правил захисту електронної інформації
- •Пам’ятка працівнику підприємства про збереження інформації з обмеженим доступом
- •Зобов’язання про дотримання в таємниці відомостей підприємства, що мають обмежений доступ
- •Заява-зобов’язання при звільненні працівника підприємства з роботи
- •Попередження-зобов’язання про дотримання комерційної таємниці і конфіденційної інформації підприємства при звільненні працівника з роботи
- •Документи з інформаційно-аналітичного забезпечення діяльності підприємства
- •Положення про засади формування інформаційних ресурсів підприємства
- •Загальні положення
- •Інформаційні ресурси підприємства
- •Організація інформаційно-аналітичної роботи на підприємстві
- •Отримання (збір) інформації
- •Спеціальні інформаційні операції
- •Аналітична робота з інформацією
- •Зберігання та використання інформації
- •Висновки
- •Література:
Захист комерційної таємниці і конфіденційної інформації підприємства
Захист комерційної таємниці і конфіденційної інформації підприємства передбачає виконання двох груп заходів: активної спрямованості, направлених на виявлення загроз та суб’єктів, які можуть здійснювати або здійснюють посягання на інформацію підприємства з обмеженим доступом, запобігання та протидію таким намірам і посяганням; пасивної спрямованості, направлених на встановлення відповідного порядку та правил доступу і використання інформації підприємства з обмеженим доступом, контролю несанкціонованого доступу до такої інформації, локалізацію випадків несанкціонованого доступу до об’єктів і джерел інформації, ліквідацію наслідків такого доступу.
Забезпечення захисту комерційної таємниці і конфіденційної інформації підприємства здійснюється всіма його установами, підрозділами та працівниками шляхом дотримання норм і правил роботи з таємною (конфіденційною) інформацією, заходів її захисту та правильної поведінки при виявленні ознак посягань на інформацію.
Організація систем заходів захисту комерційної таємниці і конфіденційної інформації підприємства покладається на його службу безпеки.
Розробка заходів захисту, безпосереднє виконання їх в частині, яка носить спеціальний характер, покладається на службу безпеки підприємства та підрозділ автоматизації (інформатизації) виробничого процесу (останній в частині забезпечення захисту інформації, що знаходиться в автоматизованих інформаційних системах підприємства).
Заходи захисту реалізуються у формі відповідних режимів вироблення, руху, зберігання, використання, надання інформації з обмеженим доступом на підприємстві. Вказані режими встановлюються і регламентуються відповідними нормативними документами, в тому числі і цим Положенням.
Ефективний захист комерційної таємниці і конфіденційної інформації на підприємстві забезпечується за умов:
поєднання рішень щодо виробничих, комерційних, фінансових і режимних питань;
координації заходів захисту всіх підрозділів і установ підприємства з єдиного центру – службу безпеки;
оцінки інформації з точки зору її уразливості та наслідків втрати;
персональної відповідальності керівників усіх рівнів, користувачів інформації, що становить комерційну таємницю і конфіденційну інформацію, за забезпечення їх зберігання і підтримку на необхідному рівні режиму таємності (конфіденційності);
організації спеціального діловодства на підприємстві;
обмеження кола осіб, допущених до комерційної таємниці і конфіденційної інформації підприємства в повному обсязі;
встановлення ефективного пропускного і внутрішньооб’єктового режиму, єдиного порядку доступу до відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства;
спеціального обладнання місць зберігання носіїв інформації з обмеженим доступом та приміщень для проведення конфіденційних переговорів; обов’язкового використання спеціальних технічних та програмних засобів захисту інформації підприємства, яка знаходиться на електронних носіях;
створення системи навчання працівників підприємства щодо використання та захисту його інформації з обмеженим доступом, систематичного контролю за ефективністю заходів захисту.
Основними функціями служби безпеки з питань захисту комерційної таємниці і конфіденційної інформації є:
розробка критеріїв і ознак віднесення інформації до категорій комерційної таємниці і конфіденційної інформації;
визначення об’єктів зосередження такої інформації на підприємстві, відбір інформації, яка підлягає обов’язковому захисту;
вибір видів захисту інформації (патентування, авторське право, комерційна таємниця, конфіденційна інформація), форм і методів забезпечення безпеки її зберігання, вироблення, руху, використання, розподілу та надання;
розробка правил і порядку доступу до відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства, встановлення правил і процедур класифікації, маркування документів та інших носіїв інформації з обмеженим доступом, а також виводу їх із сфери обмеженого доступу;
розробка і впровадження в роботу підприємства єдиного порядку роботи з носіями інформації з обмеженим доступом (технологій створення, обліку, правил роботи, зберігання, пересилання, транспортування, розмноження, знищення);
атестація приміщень для зберігання носіїв комерційної таємниці і конфіденційної інформації підприємства та роботи з ними, проведення конфіденційних переговорів і засідань, встановлення єдиного порядку проходу до таких приміщень;
надання методичної допомоги працівникам підприємства по підготовці їх до роботи з носіями комерційної таємниці і конфіденційної інформації підприємства;
визначення видів та заходів режимів таємності та конфіденційності, організація їх виконання та контроль за їх дотриманням;
перевірка доцільності надання права доступу працівникам підприємства та іншим особам до відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства;
розробка нормативно-правових документів підприємства з питань захисту інформації з обмеженим доступом;
проведення службових розслідувань за фактами несанкціонованого доступу до інформації, що становить комерційну таємницю та є конфіденційною, порушення встановленого порядку роботи з її носіями та фактів витоку.
Функції підрозділів підприємства по забезпеченню захисту його комерційної таємниці та конфіденційної інформації:
участь у визначенні видів та обсягів інформації, яку необхідно віднести до категорій комерційної таємниці та такої, що є конфіденційною, термінів її перебування у таких категоріях;
забезпечення працівників підприємства необхідними засобами захисту інформації з обмеженим доступом та технічними засобами захисту від несанкціонованого проникнення до місць зберігання зазначеної інформації;
встановлення і підтримка у підрозділах відповідних режимів захисту інформації, виявлення ознак несанкціонованого доступу до неї та інформування про це службу безпеки;
проведення виховної роботи з працівниками підприємства щодо формування у них відповідального ставлення до виконання заходів захисту інформації з обмеженим доступом.
Повноваження керівника підприємства щодо організації захисту комерційної таємниці і конфіденційної інформації:
видає накази про створення та роботу комісії по визначенню переліку відомостей, які становлять комерційну таємницю і конфіденційну інформацію підприємства;
вносить пропозиції про включення відповідних відомостей до інформації з обмеженим доступом, у разі виявлення порушень доступу до такої інформації змінює порядок її зберігання, пересилання, користування та доступу;
усуває конкретних осіб від роботи з інформацією підприємства з обмеженим доступом у разі грубих порушень ними встановленого на підприємстві порядку роботи з такою інформацією;
через відповідні підрозділи здійснює контроль за станом і надійністю захисту комерційної таємниці і конфіденційної інформації підприємства;
надає право доступу до відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства державним органам, установам, іншим організаціям та їх представникам відповідно до чинного законодавства та цього Положення;
призначає службові розслідування за фактами порушень встановленого порядку зберігання, використання та захисту відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства.
Працівники підприємства щодо виконання режимів захисту комерційної таємниці і конфіденційної інформації підприємства зобов’язані:
суворо дотримуватись встановленого чинним законодавством та нормативно-правовими документами підприємства порядку роботи, зберігання і захисту відомостей, що становлять його комерційну таємницю і конфіденційну інформацію;
не надавати без відповідного дозволу третім особам інформацію, що є комерційною таємницею підприємства та носить характер конфіденційної;
при розробці документів, які носять таємний або конфіденційний характер, встановлювати категорію таємності (конфіденційності) та забезпечувати відповідний режим їх захисту;
вести облік документів таємного та конфіденційного характеру, які використовуються ними на робочому місці, забезпечувати надійне їх зберігання;
постійно підвищувати рівень своїх знань щодо захисту інформації підприємства з обмеженим доступом;
доповідати своїм безпосереднім керівникам та в підрозділ безпеки про втрату носіїв, відомі їм спроби та ознаки несанкціонованого доступу до відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства, факти звернень до них третіх осіб з необґрунтованими проханнями надати останнім інформацію підприємства з обмеженим доступом;
дотримуватись правил ведення службових переговорів, змістом яких є комерційна таємниця підприємства або його конфіденційна інформація, у тому числі і з використанням засобів зв’язку;
не використовувати на робочих місцях та в приміщеннях підприємства власні засоби кіно-, відеозйомки та фотоапаратуру, не знімати копії з паперових, електронних та магнітних носіїв інформації підприємства;
на вимогу представників служби безпеки надавати для перевірки всі матеріали, які обліковуються за працівниками і мають категорію таємності (конфіденційності), пояснення щодо нестачі таких матеріалів, щодо порушення встановленого порядку роботи з ними та зберігання їх;
не використовувати відомості, що становлять комерційну таємницю і конфіденційну інформацію підприємства, у власних інтересах або інтересах третіх осіб. При звільненні з роботи протягом терміну дії комерційної таємниці не публікувати, не розголошувати, не передавати її без дозволу адміністрації підприємства.
Система захисту комерційної таємниці і конфіденційної інформації на підприємстві передбачає комплекс заходів нормативного, організаційного, технічного, програмно-криптографічного та ідеологічного характеру.
Особливого захисту потребує інформація, виток якої може завдати підприємству суттєвої матеріальної шкоди або упущення ним вимоги, значно знизити його імідж та конкурентоспроможність на ринку.
Заходи захисту комерційної таємниці і конфіденційної інформації підприємства нормативного характеру передбачають використання норм чинного законодавства з інформаційної безпеки та створення власної нормативної бази щодо регулювання внутрішніх та зовнішніх інформаційних відносин підприємства.
Заходи організаційного характеру передбачають створення відповідних режимів таємності (конфіденційності) на підприємстві щодо порядку розробки, обліку, руху, надання та зберігання інформації, віднесеної до категорій комерційної таємниці та такої, що носить конфіденційний характер, контролю за дотриманням таких режимів.
До заходів організаційного характеру також відносяться: підбір та перевірка кандидатів на роботу на підприємстві, забезпечення відповідних умов доступу до носіїв інформації та засобів їх передачі, моделювання можливих каналів витоку та руйнування інформації, збір та аналіз статистики спроб порушень.
Заходи технічного характеру, спрямовуються на забезпечення контролю доступу на територію підприємства та в його установи, їх приміщення та до ЕОМ, створення дійової системи страхового копіювання та зберігання електронної інформації, виключення можливості “зняття” інформації з кінцевих пристроїв (екранів, принтерів тощо) системи інформатизації виробничих процесів, забезпечення безперервної роботи автоматизованої інформаційної системи підприємства при аварійних ситуаціях.
Заходи програмно-криптографічного характеру передбачають шифрування інформації, розмежування доступу до інформаційних ресурсів підприємства, ідентифікацію суб’єктів та об’єктів автоматизованої інформаційної системи, незалежну від користувачів реєстрацію дій у такій системі.
Заходами інтелектуального характеру є формування норм поведінки персоналу підприємства заснованих на засадах патріотичного ставлення до свого підприємства та обумовлених відчуттям особистої відповідальності працівників за виконання заходів захисту інформації з обмеженим доступом, розумінням їх необхідності та доцільності. До методів інтелектуального характеру, які використовуються під час проведення заходів захисту інформації підприємства з обмеженим доступом належать:
роз’яснення працівникам підприємства важливості виконання встановленого порядку захисту інформації підприємства з обмеженим доступом та можливих наслідків від нехтування ним;
формування чіткої мети захисту інформації та об’єднання колективів підрозділів підприємства для її досягнення, своєчасне виявлення конфліктних ситуацій в колективах та вжиття заходів щодо їх вирішення;
формування психологічної настанови працівників на почуття гордості за підприємство, відповідальності за захист його інтересів;
моральне заохочення працівників за якісне забезпечення захисту таємниць підприємства, недопущення їх витоку;
вироблення моральних правил поведінки працівників підприємства, створення умов ефективного виконання цих правил всім його персоналом.
Для забезпечення захисту відомостей, що становлять комерційну таємницю і конфіденційну інформацію підприємства, при проведенні представниками підприємства переговорів та укладанні договорів і угод передбачається:
дотримання принципу мінімального використання інформації з обмеженим доступом у договорах, угодах та при проведенні переговорів;
включення в договори та угоди зобов’язань сторін щодо дотримання в таємниці, відомостей, які стали їм відомі у зв’язку із змістом угоди, та встановлення відповідальності за порушення таких зобов’язань; у разі, коли при укладанні договорів і угод не тільки використовується інформація сторін з обмеженим доступом, а й зміст або факт таких договорів і угод не підлягають розголошенню, передбачається укладання окремих угод про конфіденційність, які є невід’ємною частиною основних договорів та угод;
обмеження кола учасників переговорів та осіб, які залучені до підготовки договорів та угод;
аудіоконтроль переговорів, під час яких використовується інформація з обмеженим доступом, проведення таких переговорів у спеціально обладнаних для цього приміщеннях;
обмеження доступу до текстів договорів і угод протягом усього терміну їх дії;
обов’язкова експертиза службою безпеки наданих партнерами варіантів договорів або угод на предмет наявності в них інформації з обмеженим доступом.
Відомості партнерів, клієнтів, контрагентів, які становлять їх комерційну таємницю є конфіденційною інформацією підприємства і захищаються відповідно до встановленого на підприємстві порядку щодо такої категорії інформації.