- •Тема 11: организация работы с документами, содержащими конфиденциальные сведения
- •1. Законодательная база определения конфиденциальной информации. Состав конфиденциальной информации.
- •2. Источники и каналы разглашения конфиденциальной информации
- •3. Система и технологии защиты конфиденциальной документации
- •4. Нормативно-методическое обеспечение закрытого документооборота организации
- •Нормативные документы
2. Источники и каналы разглашения конфиденциальной информации
Для разработки концепции защиты конфиденциальных документов организации необходимо решить две основные задачи. Первая – «что и почему защищать?», т.е. предмет защиты и вторая – «как защищать?». Решая первую задачу, организация должна, опираясь на законодательную и нормативную базу, а также, исходя из своих интересов, выделить те документы, которые подлежат защите.
Решение второй задачи предполагает, прежде всего, выявление возможных источников и каналов разглашения такой информации.
Основные виды источников (или обладателей) информации – это персонал организации, документация, информационные ресурсы, публикации об организации, выставочные и рекламные материалы, физические поля и волны (излучаемые вычислительной и другой офисной техникой), личная переписка и личные архивы сотрудников.
Каналы распространения информации - пути санкционированного перемещения информации от одного источника к другому:
деловые, управленческие, научные, торговые и т.п. коммуникации;
информационные телекоммуникационные сети и естественные технические каналы (электронная почта, телефон, факс).
Потеря защищаемой информации, как правило, происходит из-за невнимательности, непрофессионализма или безответственности персонала. Но может возникнуть и реальная угроза несанкционированного доступа к такой информации, ее кража, копирование, уничтожение. Электронный документооборот увеличивает опасность несанкционированных действий с защищаемой информацией и порождает новые виды этих действий – фальсификация и модификация информации, копирование электронных массивов или тайное оперирование ими без ведома обладателя.
Опираясь на знание всех этих возможных источников и каналов разглашения закрытой информации, организация должна выстраивать систему её защиты, выбирая соответствующие технологии.
Рассмотрим понятие системы защиты конфиденциальных документов и основные её элементы в следующем вопросе.
3. Система и технологии защиты конфиденциальной документации
Система защиты информации представляет собой комплекс средств, методов и мер, препятствующих несанкционированному доступу к закрытой информации.
Рассмотрим основные элементы системы защиты информации.
Правовая защита предполагает внесение в контракты с сотрудниками и их должностные инструкции соответствующих положений; доведение до их сведения механизма правовой ответственности (под расписку); страхование ценной информации от различных рисков.
Организационная защита предполагает тщательную проработку формирования разграничительной системы доступа персонала к защищаемой информации, которая предполагает, с одной стороны, обеспечение сотрудников всеми необходимыми для работы документами, а с другой – разграничение круга лиц, допускаемых к информации в соответствии со степенью ее конфиденциальности. Должна быть также исключена возможность несанкционированного знакомства с документами.
Для осуществления организационной защиты формируется служба безопасности; разрабатываются конкретные способы защиты закрытой информации при ее создании, использовании, обработке, хранении – выстраивается защищенный документооборот; устанавливаются порядок работы персонала с защищаемыми данными и контроль за соблюдением этого порядка; производится отбор, обучение и инструктирование персонала, работающего с такой информацией; разрабатывается порядок защиты информации на переговорах, заседаниях коллегиальных органов, а также порядок действий в форс-мажорных обстоятельствах и т.п.
Техническая защита включает в себя защиту технических и информационных телекоммуникационных каналов; защиту помещений от визуальных, акустических способов разведки; защиту от проникновения посторонних лиц; внедрение средств противопожарной охраны; применение средств обнаружения устройств технической разведки.
Разрабатывается программно-математическая система защиты электронных массивов закрытой информации.
К элементарным технологиям защиты информации относится присвоение грифов ограничения доступа, указание номера экземпляра, срока действия грифа и применение цветовых идентификаторов, облегчающих визуальной выделение носителей конфиденциальной информации и облегчающие тем самым контроль доступа к этим носителям.
Грифы могут формулироваться каждой организацией (кроме органов власти) самостоятельно – они не регламентированы. На основе практического опыта их применения, рекомендуются следующие виды грифов
для конфиденциальной информации: 1-й уровень - «коммерческая (или иная) тайна, «конфиденциально», «конфиденциальная информация»; 2-й уровень - «строго конфиденциально», «строго конфиденциальная информация», «конфиденциально. Строгий контроль»; 3-й уровень – «коммерческая (или иная) тайна особой важности»;
для ценной информации – «собственная информация фирмы», «информация особого внимания», «копии не снимать», «хранить в сейфе».
Более подробно с технологиями всех видов защиты, в том числе с технологиями защищаемого документооборота организации можно познакомиться в соответствующих разделах рекомендуемой литературы.
Особенности защиты конфиденциальной информации в органах власти необходимо изучить по «Положению о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».