- •1. Информационная безопасность
- •2. Информационная безопасность – дело межгосударственное
- •3. Информационная безопасность и геоинформационные системы
- •4. Информационная безопасность и интересы бизнеса
- •5. Информационная безопасность корпоративных (ведомственных) сетей связи
- •6. Каналы утечки информации
- •7. Классификация угроз безопасности информации
- •8. Угрозы, не связанные с деятельностью человека
- •9. Угрозы, связанные с деятельностью человека
- •10. Утечка акустической информации из-за применения подслушивающих устройств
- •11. Прослушивание и запись переговоров по телефонным линиям
- •12. Утечка информации за счет скрытного и дистанционного видеонаблюдения
- •13. Лазерный съем речевой информации
- •14. Основные понятия компьютерной безопасности
- •15. Лицензирование
- •16. Особенности безопасности компьютерных сетей
- •17. Нарушения безопасности сети
- •18. Взлом программного модуля
- •19. Меры защиты информационной безопасности
- •20. Меры защиты: четыре уровня защиты
- •21. Метод авторизации через интернет
- •22. Побитовое копирование cd
- •23. Признаки наличия язвимых мест в информационной безопасности
- •24. Пути утечки информации в вычислительных системах
- •25. Устойчивость к взлому
- •26. Устойчивость к прямому копированию
- •27. Законы ук рф, связанные с «Преступлениями в сфере компьютерной информации»
- •28. Утечка информации при использовании средств связи и различных проводных коммуникаций
- •29. Перехват разговоров по радиотелефонам и сотовой связи
- •30. Использование сети 220 в для передачи акустической информации из помещений.
- •31. Комплексный подход к обеспечению информационной безопасности
- •32. Организованные меры обеспечения защиты информации
- •33. Подбор персонала для обеспечения безопасности
- •34. Краткая характеристика источников информации
- •35. Безопасность оптоволоконных кабельных систем
- •36. Защита информации в оптическом диапазоне частот
- •37. Классификация современных биометрических средств защиты информации
- •38. Принципы построения системы информационной безопасности объекта
- •39. Определение границ управления информационной безопасностью объекта
- •40. Выбор контрмер, обеспечивающих информационную безопасность
- •41. Проверка системы защиты информации
- •42. Составление плана защиты информации
- •43. Реализация плана защиты информации (управление системой защиты информации)
- •44. Практические проблемы обеспечения информационной безопасности
- •45. Новые приборы виброакустической защиты информации
- •46. Персонал как основная опасность утраты конфиденциальной информации
- •47. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией
- •48. Доступ персонала к конфиденциальным сведениям, документам и базам данных
- •49. Текущая работа с персоналом, владеющим конфиденциальной информацией
- •50. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •51. Защищенный документооборот
- •52. Технологические системы защиты и обработки конфиденциальных документов
- •53. Принципы учета конфиденциальных документов
- •54. Этапы подготовки конфиденциальных документов
- •55. Защита информации при проведении совещаний и переговоров
- •56. Защита информации при работе с посетителями
- •57. Защита информации в работе кадровой службы
- •58. Нормативно-методические документы по обеспечению безопасности информации
51. Защищенный документооборот
Процесс управления и документооборот жестко связаны единой технологией реализации функций управления. Целью документооборота является обеспечение управленческой деятельности, процесса принятия решении ценной, полезной, своевременной, полной и достоверной информацией. Движение документированной информации (на бумажных, магнитных или иных носителях) по линиям связи объективно сопровождает управленческую деятельность.
Управлению экономическими, социальными, политическими, производственными структурами свойственна устойчивая стабильность построения и единообразие документооборота. Принципы и направления движения традиционных и электронных документов в аппарате управления едины при любых системах обработки и хранения документированной информации. Меняются методы работы с документами, но технологическая взаимосвязь документооборота с процессом управления сохраняется.
Эта предпосылка создает объективную возможность для научного решения документоведческих и архивоведческих проблем безбумажного документооборота. Как технологический процесс документооборот представляет собой схему (совокупность маршрутов) движения человекочитаемых (традиционных), машиночитаемых и электронных документов по установленным пунктам их учета, рассмотрения, исполнения и хранения для выполнения творческих, формально-логических и технических процедур и операций. При этом основной характеристикой движения документированной информации является его технологическая комплексность, т.е. соединение в единую совокупность управленческих, делопроизводственных и почтовых задач. Документооборот отражает весь «жизненный цикл» документа — период его активной жизни в управленческом процессе и период его достаточно пассивной архивной жизни.
Происходит передача документированной информации не только в пространстве, но и во времени. Конфиденциальные, как и открытые, документы находятся в постоянном движений. Перемещение конфиденциальных документов по множеству иерархических уровней управления создает серьезные предпосылки для утраты ценной информации, требует осуществления защитных мер в отношении документопотоков и документооборота в целом. Документооборот как объект защиты представляет собой упорядоченную совокупность (сеть) каналов объективного, санкционированного распространения конфиденциальной документированной информации в процессе управленческой и производственной деятельности пользователей (потребителей) этой информации.
При движении конфиденциальных документов по инстанциям увеличивается число источников (сотрудников, баз данных, рабочих материалов и т.п.), обладающих ценными сведениями, и расширяются потенциальные возможности утраты конфиденциальной информации, разглашения ее персоналом, утечки по техническим каналам, исчезновения носителя этой информации. Риск утраты конфиденциальной документированной информации существует на всех стадиях и этапах движения документов, при выполнении любых процедур и операций.
Наиболее часто встречающимися угрозами (опасностями) конфиденциальным документам в документопотоках могут быть:
• несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;
• утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;
• утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;
• подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
• случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;
• гибель документов в условиях экстремальных ситуаций, Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить.
В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:
• непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы КД, системных администраторов и других лиц, обслуживающих информационные системы;
• кражи и подлоги информации;
• стихийные ситуации внешней среды;
• заражение вирусами. В соответствии с характером указанных выше угроз формируются задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.
Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя. Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.
Помимо общих для документооборота принципов защищенный документооборот основывается на ряде дополнительных принципов:
• ограничения доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;
• персональной ответственности должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;
• персональной ответственности каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;
• жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей. Несколько иное содержание приобретает в защищенном документообороте принцип избирательности в доставке и использовании конфиденциальной информации.
В его основе лежит действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность в адресной доставке документированной информации потребителю, но и доставка ему только той информации, работа с которой разрешена ему в соответствии с его функциональными обязанностями.
Избирательность распространяется не только на поступившие документы, но и на документы, которые составляются персоналом на рабочих местах или с которыми сотрудники только знакомятся. З
ащищенность документопотоков достигается за счет:
• одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;
• нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;
• формирования самостоятельных, изолированных потоков конфиденциальных документов и часто дополнительного их разбиения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;
• использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов:
• регламентации движения документов как внутри фирмы, так и между фирмами, т.е. с момента возникновения мысли о необходимости создания документа и до окончания работы с документом и передачи его в архив;
• организации самостоятельного подразделения конфиденциальной документации или аналогичного подразделения, входящего (или не входящего) в состав службы безопасности или аналитической службы;
• перемещения документов между руководителями, исполнителями и иным персоналом только через службу КД. Любому движению (перемещению, передаче) документа должны обязательно предшествовать операции по проверке комплектности, целостности и учету нового местонахождения документа.
Вместе с тем дополнительные операции (защитные меры) не должны повышать трудоемкость работы с документами и увеличивать сроки их движения и исполнения. Совокупность технологических стадий (функциональных элементов), сопровождающих потоки конфиденциальных документов, несколько отличается от аналогичной совокупности, свойственной потокам открытых документов.
Так, входной документопоток включает в себя следующие стадии обработки конфиденциальных документов:
• прием, учет и первичная обработка поступивших пакетов, конвертов, незаконвертованных документов;
• учет поступивших документов и формирование справочно-информационного банка данных по документам;
• предварительное рассмотрение и распределение поступивших документов;
• рассмотрение документов руководителями и передача документов на исполнение и технологические участки службы КД;
• ознакомление с документами исполнителей, использование или исполнение документов. Выходной и внутренний документопотоки включают в себя следующие стадии обработки конфиденциальных документов:
• исполнение документов (этапы: определение уровня грифа конфиденциальности предполагаемого документа, учет носителя будущего документа, составление текста, учет подготовленного документа, ею изготовление и издание);
• контроль исполнения документов;
• обработка изданных документов (экспедиционная обработка документов и отправка их адресатам; передача изданных внутренних документов на исполнение);
• систематизация исполненных документов в соответствии с номенклатурой дел, оформление, формирование и закрытие дел;
• подготовка и передача дел в ведомственный архив (архив фирмы). В состав всех документопотоков включается также ряд дополнительных стадий обработки конфиденциальных документов:
• инвентарный учет документов, дел и носителей информации не включаемых в номенклатуру дел;
• проверка наличия документов, дел и носителей информации; • копирование и тиражирование документов;
• уничтожение документов, дел и носителей информации.
Стадии, составляющие тот или иной документопоток, практически реализуются специализированной технологической системой обработки и хранения конфиденциальных документов. Следовательно, защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера.
Перемещение документов в процессе выполнения каждой стадии, этапа, процедуры обработки или исполнения сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя конфиденциальной информации.