Информационная безопасность. Курс лекций Артемов А. В.

Работа персонала с конфиденциальным документом – комплекс требований по соблюдению руководителями всех рангов и сотрудниками фирмы специальных ограничительных и технологических норм, предупреждающих утрату документа, носителя, дела или утрату конфиденциальности информации и в определенной степени гарантирующих информационную безопасность фирмы. Требования предусматривают: наличие у сотрудника оборудованного необходимым образом рабочего места, строгое соблюдение им разрешительной системы доступа к конфиденциальным документам, носителям и делам, учет во внутренней описи всех конфиденциальных материалов, находящихся у руководителя или исполнителя, правильное хранение документов на рабочем месте, своевременную, ежедневную сдачу документов в службу конфиденциальной документации, строгое исполнение запретительных пунктов соответствующей инструкции, немедленное информирование руководства фирмы об утрате документа или разглашении информации. На рабочем столе любого сотрудника фирмы всегда должен быть только тот документ и материалы к нему, с которыми он работает. Другие документы должны находиться в запертом сейфе (металлическом шкафу).

Работа с персоналом, обладающим конфиденциальной информацией – комплекс мер предупредительного, профилактического, текущего характера, предназначенных для приобретения персоналом устойчивых знаний и навыков выполнения действующих правил защиты информации, а также для контроля за соблюдение персоналом требований обеспечения информационной безопасности фирмы. Включает в себя: обучение и систематическое инструктирование сотрудников, проведение регулярной индивидуальной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами, постоянный контроль за работой этих сотрудников, аналитическую работу по изучению и учету степени осведомленности персонала в области конфиденциальных работ фирмы, проведение служебных расследований по фактам утраты конфиденциальных документов, нарушения персоналом требований по защите информации, совершенствование методики текущей работы с персоналом.

Работа службы конфиденциальной документации с исполнителями – ежедневная выдача и прием от исполнителя конфиденциального документа (комплекта документов или опечатанного кейса с документами), контроль за работой исполнителя с конфиденциальными документами. При выдаче документа проверяется в присутствии исполнителя: наличие разрешения на доступ данного сотрудника к конкретному документу (в резолюции, схеме доступа и др.), комплектность документа и физическая сохранность всех его частей. После проверки исполнитель расписывается в учетной карточке или карточке учета выдачи документа и вносит сведения о документе во внутреннюю опись документов, находящихся у исполнителя. Работник, службы конфиденциальной документации вносит отметку в контрольный журнал о местонахождении документа (см. Учет местонахождения документа). При приеме документа от исполнителя проверяется: соответствие реквизитов документа данным, указанным в его учетной форме, комплектность документа, количество листов (перелистыванием), отсутствие подмены или порчи листов и других частей документа. Роспись сотрудника службы конфиденциальной документации в приеме документа ставится только после проведения указанной проверки.

Проставляется роспись в учетной форме или карточке учета выдачи документа. Сотрудник делает также отметку о возврате документа во внутренней описи документов, находящихся у исполнителя. Одновременно в контрольный журнал вносится запись о новом местонахождении документа. Электронные документы передаются исполнителю в копии после получения от него росписи в бумажном экземпляре электронной учетной карточки документа или электронной подписи непосредственно в самой электронной учетной карточке, находящейся в компьютере службы конфиденциальной документации. При выдаче и приеме документа должна быть исключена возможность ознакомления с документом или его учетной формой посторонних лиц. Контроль правильности работы исполнителя с конфиденциальными документами на рабочем месте проверяется службой конфиденциальной документации не реже одного раза в квартал.

Разведка в бизнесе – аналитическая работа с использованием методов легального получения конфиденциальной информации, изучения устремлений и направленности интересов конкурентов и партнеров фирмы в рамках добросовестной конкуренции.

Разглашение конфиденциальной информации – несанкционированный выход конфиденциальных сведений и документов за пределы круга лиц, которым они были доверены или стали известны по службе. Разглашение (огласка, оглашение) информации происходит по вине персонала – случайно, ошибочно или умышленно, добровольно (инициативно) или под воздействием угроз, шантажа, применения наркотических средств, психотропных препаратов. Информацию разглашает всегда человек – устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников, с использованием средств связи и многими другими способами.

Раздробление тайны – классифицированное (иерархическое) дробление предметной совокупности конфиденциальной информации на тематические группы, отдельные элементы, части, известные разным сотрудникам фирмы. Разглашение остальной части сведений в этом случае не имеет большого практического смысла.

Разрешительная (разграничительная) система доступа к информации - совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и конфиденциальных сведений. Составная часть системы защиты информации. Система решает следующие задачи: ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с конфиденциальными документами, строгого избирательного и обоснованного распределения документов и информации между сотрудниками; обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных); беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (рабочую зону), к выделенному ему офисному рабочему оборудованию и компьютеру; исключения возможности несанкционированного ознакомления посторонних лиц с конфиденциальной информацией; рационального размещения рабочих мест сотрудников, исключающего бесконтрольное использование ими защищаемой информации. Система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям.

Расследование служебное – установление причин и лиц, виновных в разглашении или утечке информации, утрате документа, носителя или конфиденциальности информации, утраты продукции, содержащей ценные новшества, и других грубых нарушениях правил защиты информации. Проводится сотрудниками службы безопасности фирмы и предназначено для выяснения всех обстоятельств и их последствий, связанных с конкретным фактом. В ходе расследования устанавливаются причины случившегося и виновные лица. По результатам расследования делаются выводы о мере ответственности виновных лиц, даются рекомендации по устранению причин случившегося и исключению подобных фактов в будущем. При необходимости к расследованию привлекаются частные детективные агентства.

Режим – совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ и пребывание на определенной территории, в здании, помещениях, регулирующих порядок ознакомления с защищаемой информацией и документами, предпринимаемых в целях информационной безопасности фирмы. Базируется на разрешительной системе доступа.

Режим конфиденциальности – комплекс мер, входящих в состав действующей в фирме системы защиты информации и обеспечивающих особый правовой статус организации работы сотрудников фирмы. Осуществляется и контролируется службой безопасности фирмы. Включает в себя: разрешительную систему доступа, пропускной режим, особые правила приема на работу сотрудников и текущей работы с персоналом, учет осведомленности каждого сотрудника в тайне фирмы, контроль соблюдения сотрудниками инструкций по защите информации, выполнение охранных мероприятий, в том числе в рабочее время, функционирование специальных технологических систем обработки и хранения конфиденциальных документов и электронной информации, ведение аналитической работы.

Режим пропускной – ограничение на право входа на территорию, в здание или помещения фирмы и регламентация порядка выхода из них. Распространяется на въезд и выезд транспортных средств. Предусматривает также ограничение на право вносить (выносить) или ввозить (вывозить) определяемые руководством фирмы предметы, оборудование и т. п. без специального разрешения полномочных должностных лиц. Ограничивается право сотрудников вносить на территорию фирмы личные вещи, которые могут стать каналом утраты конфиденциальной информации (фотоаппараты, видео– и аудиотехнику, средства связи, дискеты, объемные сумки, кейсы и др.). Пропускной режим реализуется системой пропусков – постоянных, временных, разовых, материальных, транспортных, которые предъявляются на контрольно-пропускном пункте. Наличие пропуска дает право находиться в здании и определенных помещениях фирмы, получать необходимые для работы документы, дела, дискеты, выносить (вывозить) с территории фирмы указанные в пропуске предметы. Пропуска в зависимости от их категории могут быть различной формы, цвета, иметь полосы, снабжаться фотокарточкой владельца и иными идентифицирующими признаками, содержать указание на ограничения в перемещении по зданию. Для контроля за выполнением порядка доступа в помещения фирмы наиболее удобны пропуска-идентификаторы, носимые сотрудниками и посетителями на одежде.

Реквизит документа – обязательный элемент оформления официального документа (вид документа, его автор, дата, подпись и др.).

3.1. Разрешительная система доступа к конфиденциальным документам

Организация конфиденциального документооборота должна строиться на основе следующих принципов:

Разрешительной системы доступа к конфиденциальным документам;

Обеспечения пользователей всеми необходимыми им в силу служебных обязанностей конфиденциальными документами, но только теми, которые действительно необходимы для выполнения конкретных видов работы;

Исключения несанкционированного доступа к конфиденциальным документам;

Целенаправленного регулирования процессов движения конфиденциальных документов;

Исключения инстанций прохождения конфиденциальных документов и действий с ними, не обусловленных характером и порядком исполнения документов;

Фиксированной передачи конфиденциальных документов;

Персональной и обязательной ответственности за выдачу неправомерных разрешений на ознакомление с конфиденциальными документами и нарушение правил обращения с ними.

В организации должна быть разрешительная система.

Разрешительная система доступа к конфиденциальным документам представляет собой совокупность установленных руководством предприятия нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальных документов. Системой должно быть определено, кто из руководителей предприятия и структурных подразделений, кому из пользователей и с какими категориями конфиденциальных документов может давать разрешение на ознакомление, а также порядок оформления таких разрешений в зависимости от вида учета или категорий документов. При этом право давать разрешение на ознакомление и право работать с конфиденциальными документами может быть предоставлено только лицам, имеющим допуск к конфиденциальной информации в целом, оформленный приказом руководителя предприятия или контрактом, а в отдельных случаях, по усмотрению руководителя предприятия, и через органы Федеральной службы безопасности. При установлении разрешительной системы доступа к конфиденциальным документам необходимо учитывать следующие требования:

Соответствующий руководитель может давать разрешение на ознакомление с конфиденциальными документами, входящими в сферу его деятельности, только подчиненным лицам и только по служебной необходимости;

Разрешение на ознакомление оформляется письменно;

При необходимости ознакомления пользователя только с частью конфиденциального документа в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя;

Исполнители конфиденциальных документов, лица, визирующие, согласовывающие, подписывающие, утверждающие документ, а также лица, указанные в тексте распорядительных документов, могут допускаться к ознакомлению с соответствующими документами без оформления дополнительных разрешений.

Разрешительная система должна предусматривать и порядок доступа к конфиденциальным документам лиц, не работающих на данном предприятии (при выполнении совместных работ и др.).

Разрешительная система доступа к конфиденциальным документам является составной частью системы доступа к конфиденциальной информации в целом, включающей в себя порядок доступа и к другим носителям конфиденциальной информации, и должна находить свое отражение в общем Положении о разрешительной системе доступа к конфиденциальной информации. Положение разрабатывается комиссией, в состав которой включаются руководители и ведущие специалисты подразделений, работающих с конфиденциальной информацией, служб безопасности и конфиденциального делопроизводства.

Положение может включать в себя следующие разделы:

1. Общие положения.

2. Круг лиц, имеющих право давать разрешение на доступ к конфиденциальной информации.

3. Порядок оформления разрешений на доступ к конфиденциальной информации.

В первом разделе указываются: цель разработки положения; основные задачи и принципы системы доступа; нормативные документы, на которых она базируется; на кого возлагается ответственность за невыполнение требований положения; кем осуществляется контроль за соблюдением норм положения. При этом следует отразить, что ответственность за невыполнение требований положения несут все должностные лица, имеющие право давать разрешение на доступ к конфиденциальной информации, а также все пользователи конфиденциальной информации. Контроль за выполнением норм положения должен возлагаться на руководителей служб безопасности, конфиденциального делопроизводства и управленческопроизводственных подразделений в пределах их компетенции.

Во втором разделе должны быть перечислены все должностные лица, которые могут давать разрешение на доступ к конфиденциальной информации, с указанием, какой категории пользователей, к какому составу информации и ее носителей. Основополагающими подходами при этом должны быть следующие:

Руководитель предприятия имеет право давать разрешение на доступ к соответствующей конфиденциальной информации всем категориям пользователей;

Заместители руководителя по отдельным направлениям имеют право давать разрешение на доступ к соответствующей конфиденциальной информации всем пользователям, но в пределах своей сферы деятельности;

Руководителям подразделений дается право разрешать доступ к конфиденциальной информации всем работникам своих подразделений по тематике работы подразделений; для осуществления доступа к конфиденциальной информации данного подразделения работников других подразделений необходимо разрешение соответствующего заместителя руководителя предприятия;

Первые заместители руководителей, а также должностные лица, временно исполняющие ту или иную должность, могут, как правило, разрешать доступ к конфиденциальной информации в объеме всех прав, предусмотренных для замещаемого ими лица.

В третьем разделе определяется порядок оформления разрешений на доступ к различным носителям конфиденциальной информации и выдачи их пользователям. Разрешение на ознакомление с конфиденциальными документами должно оформляться: по поступившим и изданным документам в форме резолюции на документе, по документам, зарегистрированным по учету документов выделенного хранения, в форме резолюции на документе или подписанного соответствующими руководителем списка пользователей на обложке документа либо в карточке учета выдачи документа.

Положение подписывается членами комиссии, визируется всеми лицами, имеющими право давать разрешение на доступ к конфиденциальной информации, и вводится в действие приказом руководителя предприятия. В приказе определяются и мероприятия по введению положения в действие (порядок изучения положения пользователями, технология осуществления контроля за его выполнением и др.). После утверждения с положением должны быть ознакомлены под расписку все сотрудники предприятия, работающие с конфиденциальной информацией.

3.2. Документооборот конфиденциальных документов

Организация работы с документами это есть документооборот, то есть этапы движения документов в организации. Под конфиденциальным документооборотом понимается движение конфиденциальных документов после их учета до завершения исполнения или отправления.

Таким образом, конфиденциальный документооборот включает в себя организацию работы с конфиденциальными документами в процессе их рассмотрения, исполнения, использования и подготовки к отправке.

В соответствии с утвержденным «Положением о разрешительной системе доступа к конфиденциальной информации» обеспечивается рассмотрение конфиденциальных документов и передача их для исполнения.

Документы, подлежащие рассмотрению руководством предприятия, передаются ему под подпись в журнале передачи конфиденциальных документов руководству, если они не рассматриваются в присутствии работника службы конфиденциального делопроизводства, ответственного за их учет. Журнал имеет следующие графы:

Номер документа Количество листов Подпись за получение и дата Подпись за возврат и дата

За одновременное получение и возврат нескольких документов может проставляться одна подпись на все документы.

После возвращения от руководства документы в соответствии с резолюцией передаются на исполнение.

При получении документов исполнители должны проверить соответствие учетных номеров и количества листов (с просчетом) каждого документа записям в учетных формах.

В процессе исполнения конфиденциальных документов в целях предотвращения их утраты и утечки содержащейся в них информации исполнители должны:

Иметь на столе в служебной комнате только те документы, с которыми осуществляется работа, все остальные хранить в запираемом металлическом шкафу (сейфе);

Держать документы в положении, исключающем возможность ознакомления с ними лиц, не имеющих к ним санкционированного доступа;

При выходе в течение рабочего дня из служебной комнаты убирать документы в металлический шкаф; при выходе из комнаты всех исполнителей она должна запираться;

При необходимости передачи документа другим допущенным к нему лицам передачу осуществлять через службу конфиденциального делопроизводства или (при возврате в течение рабочего дня) по разовой расписке;

В конце рабочего дня передавать все документы в службу конфиденциального делопроизводства; хранение документов в нерабочее время в металлических шкафах служебных комнат допускается по разрешению руководителя предприятия и службы безопасности при условии подключения шкафов к охранной сигнализации;

Об утрате документа или отдельных листов из него немедленно сообщать в службу конфиденциального делопроизводства и своему непосредственному руководителю.

По документам, находящимся на исполнении, служба конфиденциального делопроизводства должна:

Контролировать наличие, порядок хранения документов и обращения с ними на рабочих местах исполнителей, о всех нарушениях докладывать руководителю предприятия и службе безопасности;

Контролировать сроки исполнения документов, поставленных на контроль при нарушении сроков докладывать соответствующему руководителю.

Исполненный документ вместе с документом - ответом (на наличии) сдается исполнителем в службу конфиденциального делопроизводства. Работник службы должен проверить наличие и правильность отметки об исполнении документа, просчитать количество листов документа и проверить соответствие их учетным данным, расписаться за получение документа в соответствующих графах учетных журналов (карточек).

Если конфиденциальный документ не требует исполнения, а адресован лишь для ознакомления, то он может не выдаваться на рабочее место исполнителя, а ознакомление с ним производится в службе конфиденциального делопроизводства (комнате для исполнителей). При этом если ознакомление производится в присутствии работника службы конфиденциального делопроизводства, ответственного за учет документа, подпись в учетной форме о получении документа может не проставляться. Подписи об ознакомлении с документами с проставлением даты производятся на самих документах, а об ознакомлении с распорядительными документами могут проставляться на специальном листе ознакомления.

Отправление конфиденциальных документов на другие предприятия производится в законвертованном виде. Конверты (пакеты) должны быть светонепроницаемыми. Если они светопроницаемы, то вложения обертываются светонепроницаемой бумагой. Направляемые одному адресату документы помещаются в один пакет. В правом верхнем углу пакета проставляются: гриф конфиденциальности, соответствующий грифу конфиденциальности документов, подлежащих вложению в пакет, ниже, при необходимости, пометка "Лично". На пакете пишутся адрес и наименование предприятия получателя, под которым перечисляются учетные номера документов, которые будут вложены в пакет (если документ отправляется с сопроводительным письмом, на пакете проставляется только номер сопроводительного письма без указания номеров приложений). При направлении документов в двух и более экземплярах на пакете рядом с номером документа в скобках указываются номера экземпляров. Ниже проставляются адрес и наименование предприятия отправителя. Для постоянных корреспондентов при большом объеме переписки целесообразно иметь пакеты с заранее воспроизведенными на них типографском способом адресами и наименованиями предприятий получателей и отправителя. При необходимости на пакете в центре верхнего поля может проставляться пометка «Срочно».

Перед помещением конфиденциальных документов в подготовленные пакеты проверяется соответствие данных на документах и пакетах, просчитывается количество листов и соответствие их учетным данным.

При наличии сопроводительного письма проверяется, кроме того, соответствие названия, учетного номера, грифа конфиденциальности, номера экземпляра, количества листов приложения (с просчетом) записям в сопроводительном письме. Со стороны клапана в пакет помещается прокладка.

Пакет заклеивается силикатным клеем и прошивается крестнакрест через середину нитками или металлическими скрепками с захватом всех клапанов, либо, если вложения нельзя прокалывать, через четыре края с тугим охватом краев вложений. Нитки завязываются в центре оборотной стороны пакета, на узел прошивки накладывается бумажная наклейка из папиросной или другой тонкой, но не расслаивающейся бумаги с оттиском каучуковой печати предприятия. Наклейка должна быть на 4 мм больше размера оттиска печати. Наклейка накладывается так, чтобы захватывала все клапаны пакета в середине, концы ниток не находились под наклейкой, а узел прошивки был ею закрыт. При прошивке металлическими скрепками бумажная наклейка накладывается на загнутые концы скрепок. Наклейка сверху покрывается тонким слоем силикатного клея, чтобы образовалась прозрачная стекловидная пленка. Размер пленки должен быть на 2 мм больше бумажной наклейки.

Пакеты с конфиденциальными документами могут доставляться через спец. связь или почтовое отделение связи Министерства связи, либо, минуя их, непосредственно адресату. Возможно отправление пакетов и фельдъегерской связью. Пересылка пакетов фельдъегерской и специальной связью осуществляется на договорной основе.

Через почтовое отделение связи пакеты пересылаются ценными или заказными отправлениями в соответствии с почтовыми правилами. При этом виде отправления гриф конфиденциальности может проставляться на пакете не в правом верхнем углу, а рядом с номером документа аббревиатурой: ДСП (для документов, содержащих служебную тайну) или КТ (для документов, содержащих коммерческую тайну). Часть реквизитов на пакет допускается наносить маркировальной машиной. При пересылке корреспонденции фельдъегерской или специальной связью составляется в необходимом количестве экземпляров реестр. Передача пакетов осуществляется в соответствии с правилами этих служб связи. Доставка конфиденциальных пакетов на другие предприятия, минуя органы связи, может осуществляться с разрешения руководителя предприятия работником службы конфиденциального делопроизводства либо другим работником предприятия, допущенным к конфиденциальной информации, на служебном транспорте. Пакеты передаются по реестру или расписке.

Об отправленных документах производятся соответствующие отметки в учетных формах: в журнале (карточке) учета изданных конфиденциальных документов. При этом, если документ отправлен без сопроводительного письма, в графе «Наименование, номер и дата сопроводительного документа» пишется «реестр», «расписка», «квитанция», если с сопроводительным письмом «сопроводительное письмо» с проставлением номеров и дат этих документов.

Все документы, содержащие конфиденциальные сведения, подлежат учету и специальному обозначению. На документе проставляют гриф ограничения доступа в правом верхнем углу первого листа с указанием номера экземпляра.

Такие грифы показывают, что право собственности на информацию, содержащуюся в документе, принадлежит предприятию и охраняется законодательно.

В тексте документа также может быть оговорена конфиденциальность сведений, права предприятия на них, порядок их использования и т. п. Например, если коммерческая тайна является результатом совместной деятельности с другим предприятием, то необходимость ее сохранения должна быть отражена в контракте. В случае отсутствия грифа «КТ» и указаний на конфиденциальность в тексте предполагается, что автор и лица, подписавшие или утвердившие документ, предусмотрели все возможные последствия от свободной (без ограничения доступа) работы с документом.

На документе с грифом «КТ» указывается количество экземпляров документа и место нахождения каждого из них (ниже реквизитов «подпись» и «отметка об исполнителе»), например:

Составлен в двух экз.

экз. № 1 в адрес;

экз. № 2 в дело № 1-7.

Отметка о количестве составленных экземпляров проставляется на экземпляре, который подшивается в дело.

На обороте листа документа, имеющего гриф, руководитель пишет фамилии тех должностных лиц, которым разрешено пользоваться этим документом, например.

Разрешительная система доступа лежит в основе организаци­онно-правового регулирования вопросов допуска и непосредствен­ного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциаль­ности. Понятие, сущность и основные положения разрешитель­ной системы доступа персонала предприятия к информации, под­лежащей защите, представлены на примере информации, в уста­новленном порядке отнесенной к коммерческой тайне.

В соответствии с Федеральным законом «О коммерческой тай­не» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой ин­формацией с согласия ее обладателя или на ином законном осно­вании при условии сохранения конфиденциальности этой инфор­мации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным за­коном, устанавливает режим коммерческой тайны. Режим ком­мерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, состав­ляющей коммерческую тайну, принимаемые ее обладателем.

К обязательным мерам по защите охраняемой информации в со­ответствии с положениями ст. 10 Федерального закона «О ком­мерческой тайне» относятся:

Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.

Перечисленные меры реализуются в рамках разрешительной системы доступа персонала предприятия к информации, состав­ляющей коммерческую тайну.

Разрешительная система доступа персонала предприятия предуcматривает установление на предприятии единого порядка обра­щения с носителями сведений, составляющих коммерческую тай­ну, определение ограничений на доступ к ним различных катего­рий персонала (управленческого, административного и испол­нительского уровней) и степени ответственности за сохранность указанных носителей сведений.

Создание и реализация разрешительной системы доступа пер­сонала к информации, составляющей коммерческую тайну, - важ­ная часть общей системы организационных мер по защите инфор­мации на предприятии. Актуальность использования разрешитель­ной системы доступа к информации обусловлена особым значени­ем информационной составляющей любого производственного процесса на современном предприятии, включающего создание новых документов (материалов), товаров и услуг, неправомерный доступ к которым может привести к утечке конфиденциальной информации и, тем самым, нанесению ущерба предприятию.

Создание и функционирование разрешительной системы до­ступа персонала предприятия к информации направлены, в пер­вую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.

Основополагающим принципом нормативно-правового регу­лирования процесса ознакомления конкретного работника пред­приятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям.

Основные условия правомерного доступа персонала к коммер­ческой информации включают:

Подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства;

Наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну;

Наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации;

Оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями.

Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различ­ной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения пол­номочных должностных лиц.

Основная цель разрешительной системы доступа персонала к коммерческой тайне - исключение нанесения ущерба предприя­тию посредством несанкционированного распространения сведе­ний, составляющих коммерческую тайну.

Чтобы понять роль разрешительной системы доступа к инфор­мации всех категорий сотрудников, в том числе командирован­ных лиц, в совокупности с другими организационными, право­выми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реаги­ровать на изменения, происходящие в хозяйственной, производ­ственной и других сферах деятельности предприятия.

В структуре управления процессом доступа особое место зани­мают руководитель предприятия и его заместители. Однако наи­более важная роль в этой структуре отводится руководителям струк­турных подразделений предприятия, сотрудники которых непо­средственно допускаются к коммерческой тайне (работают с но­сителями сведений, составляющих коммерческую тайну). Эти ру­ководители наделяются правом определять степень доступа непо­средственно подчиненных им сотрудников к конкретным сведе­ниям (носителям). В зависимости от категорий сотрудников пред­приятия или командированных лиц, необходимости ознакомле­ния их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.

Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных долж­ностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структур­ных подразделений в отношении непосредственно подчиненных им сотрудников. На практике наиболее распространены следую­щие способы документального оформления разрешений (формы раз­решительных документов):

Составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей ком­мерческую тайну предприятия, в обязательном порядке содержа­щих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются;

Оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику;

Указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к определенной информации, составляющей коммерческую тайну предприятия.

Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, являет­ся положение о разрешительной системе доступа к информации, со­ставляющей коммерческую тайну.

Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляю­щих производственную, хозяйственную и иные виды деятельно­сти. Члены комиссии должны знать специфику работы предприя­тия, порядок организации и обеспечения защиты конфиденци­альной информации. В состав комиссии в обязательном порядке входят сотрудники службы безопасности предприятия. В целях бо­лее точного определения ограничений для конкретных лиц на доступ к различным категориям информации (с учетом ее тема­тики) комиссия может включать несколько подкомиссий. Мето­дическое руководство деятельностью комиссии (подкомиссий) осуществляет служба безопасности предприятия.

Разработке положения предшествует всесторонний анализ раз­личных документов (материалов), проводимый в целях выявле­ния и классификации всех информационных потоков, существу­ющих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодей­ствие с организациями-соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура по­ложения (готовится его проект). Основными разделами положения являются:

Общие требования по доступу работников к коммерческой тайне;

Порядок доступа к носителям информации, имеющим раз­личные категории (степени) конфиденциальности;

Порядок доступа к делам и документам архивного хранения;

Порядок копирования (размножения) документов и рассыл­ки их нескольким адресатам;

Порядок доступа к носителям информации командирован­ных лиц, представителей органов местного самоуправления, раз­личных территориальных и надзорных органов;

Порядок доступа к информации (ее носителям) в ходе прове­дения совещаний, конференций, семинаров и других мероприя­тий.

После разработки положение утверждается руководителем пред­приятия и доводится до сведения непосредственных исполните­лей указанных в нем мероприятий (работ), а также до сведения каждого сотрудника предприятия в части, касающейся данного сотрудника (в необходимых случаях - под расписку).

В вопросах разработки положения, реализации его требований и контроля за выполнением предусмотренных мероприятий осо­бая роль отводится службе безопасности, в задачи которой вхо­дит:

Проведение мероприятий, направленных на ограничение круга лиц, допускаемых к конкретной информации (ее носителям);

Выявление фактов неправомерного доступа лиц к коммер­ческой тайне;

Оценка эффективности принимаемых руководителями струк­турных подразделений предприятия мер по исключению утечки информации;

Подготовка предложений о внесении изменений в должност­ные инструкции и иные документы, определяющие задачи и фун­кции подразделений (отдельных должностных лиц) предприятия;

Разработка и представление на утверждение руководителю предприятия проектов внутренних организационно-распорядитель­ных документов по вопросам защиты коммерческой тайны, в том числе определяющих порядок функционирования разрешитель­ной системы доступа;

Методическое руководство деятельностью должностных лиц и структурных подразделений по реализации положения о разре­шительной системе доступа к коммерческой тайне предприятия.

Наиболее важная функция службы безопасности предприя­тия - контроль за соблюдением его сотрудниками положений организационно-плановых и распорядительных документов, рег­ламентирующих вопросы создания и функционирования разре­шительной системы доступа, в целях исключения случаев непра­вомерного доступа сотрудников предприятия, а также команди рованных лиц к коммерческой тайне. Порядок организации и про­ведения контроля изложен в соответствующих главах учебника. Служба безопасности контролирует:

- наличие оформленного в установленном порядке допуска сотрудников к коммерческой тайне;

Соответствие выданного руководителем структурного подраз­деления предприятия разрешения требованиям разрешительной
системы;

Правомерность передачи носителей сведений, содержащих
коммерческую тайну, на другие предприятия;

Соблюдение работниками предприятия установленных тре­бований по работе с носителями сведений, составляющих ком­мерческую тайну, на рабочих местах;

Правомочность и целесообразность использования материа­лов, содержащих коммерческую тайну, на конференциях, сове­щаниях и других мероприятиях, проводимых с привлечением пред­ставителей других организаций.

Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений орга­низационно-распорядительных документов, регулирующих во­просы функционирования разрешительной системы на предприя­тии.

6.3. Основные положения допуска должностных лиц и граждан к государственной тайне

Допуск и непосредственный доступ должностных лиц и граж­дан к сведениям, составляющим государственную тайну, и их носителям осуществляется руководителями органов государствен­ной власти (предприятий) в соответствии с положениями Закона РФ «О государственной тайне» на основании Инструкции о по­рядке допуска должностных лиц и граждан Российской Федера­ции к государственной тайне 1 .

Допуск граждан к государственной тайне осуществляется в доб­ровольном порядке и предусматривает:

Принятие на себя допущенными к государственной тайне ли­цами обязательств перед государством по нераспространению до­веренных им сведений, составляющих государственную тайну;

Согласие на частичные временные ограничения их прав в соответствии с Законом РФ «О государственной тайне»;

Письменное согласие на проведение в отношении их полно­мочными органами проверочных мероприятий;

Определение видов, размеров и порядка предоставления льгот, предусмотренных законодательством Российской Федерации;

Ознакомление с нормами законодательства РФ о государствен­ной тайне, предусматривающими ответственность за их наруше­ние;

Принятие руководителем предприятия решения о допуске гражданина к государственной тайне.

Должностные лица или гражданине, допущенные (ранее до­пускавшиеся) к государственной тайне, могут быть временно огра­ничены в правах на выезд за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражда­нина к государственной тайне; распространение сведений, состав­ляющих государственную тайну, и использование открытий и изоб­ретений, содержащих такие сведения; неприкосновенность част­ной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне.

Ограничение гражданина в праве на выезд за границу осуще­ствляется в соответствии с Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федера­цию» 1 .

В целях частичной компенсации ограничений в правах для дол­жностных лиц и граждан, допущенных к государственной тайне на постоянной основе, в соответствии со ст. 21 Закона РФ «О государственной тайне» устанавливаются следующие льготы: процентные надбавки к заработной плате в зависимости от степе­ни секретности сведений, к которым они имеют доступ 2 ; преиму­щественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти (пред­приятиями) организационных и (или) штатных мероприятий.

Для сотрудников структурных подразделений по защите госу­дарственной тайны предприятий 3 , независимо от организацион­но-правовой формы и ведомственной принадлежности, дополни­тельно к перечисленным льготам устанавливается процентная надбавка к заработной плате за стаж работы в указанных струк­турных подразделениях.

Граждане, которым по характеру занимаемой ими должности необходим доступ к государственной тайне, могут быть назначены на эти должности (приняты на работу) только после оформ­ления в установленном порядке допуска по соответствующей форме (см. подразд. 6.4).

Перечень должностей, при назначении на которые граждане обязаны оформлять допуск к сведениям, составляющим государ­ственную тайну, в связи с возложением на них соответствующих должностных (функциональных) обязанностей, определяется но­менклатурой должностей. Номенклатура должностей разрабатыва­ется предприятием, согласовывается с соответствующим органом Федеральной службы безопасности РФ 1 , и после этого согласова­ния утверждается руководителем предприятия (его заместителем, возглавляющим работу по защите государственной тайны).

Изменения и дополнения в номенклатуру должностей вносят­ся в установленном порядке по мере необходимости. Полная пе­реработка номенклатуры должностей осуществляется не реже од­ного раза в 5 лет. Порядок разработки, согласования, утвержде­ния номенклатуры, а также внесения в нее изменений и дополне­ний определяется Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне.

Для подтверждения фактической работы (ознакомления) со­трудников предприятия со сведениями, составляющими государ­ственную тайну, подразделение по защите государственной тай­ны ведет учет их осведомленности в этих сведениях.

6.4. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

Допуск к государственной тайне - процедура оформления пра­ва граждан на доступ к сведениям, составляющим государствен­ную тайну.

В соответствии со степенями секретности сведений, составля­ющих государственную тайну, и грифами секретности их носите­лей, установлены следующие формы допуска:

первая форма - для граждан, допускаемых к сведениям особой важности;

вторая форма - для граждан, допускаемых к совершенно сек­ретным сведениям;

третья форма - для граждан, допускаемых к секретным сведе­ниям.

Уровень необходимого допуска личного состава определяется степенью секретности сведений (грифом секретности их носите­лей), с которыми они знакомятся (работают) в рамках исполнения должностных (функциональных) обязанностей. Уровень до­пуска для каждого должностного лица, работающего на предприя­тии, отражается в номенклатуре должностей.

При непосредственном оформлении допуска к государствен­ной тайне для лиц, принимаемых на работу на должности, вклю­ченные в номенклатуру должностей, кадровый орган предприя­тия (лицо, ведущее кадровую работу) готовит необходимые мате­риалы. Перечень таких материалов и соответствующие формы до­кументов приведены в Инструкции о порядке допуска должност­ных лиц и граждан Российской Федерации к государственной тайне. Основным документом, отражающим анкетные, автобиографи­ческие и другие данные оформляемого лица, является анкета, собственноручно им заполняемая.

Карточка о допуске - документ, подтверждающий наличие до­пуска к государственной тайне, содержащий отметки о согласо­вании допуска лица с органом безопасности и решении руково­дителя предприятия о допуске лица к носителям сведений, со­ставляющих государственную тайну, а также отражающий трудо­вую деятельность оформляемого лица, его семейное положение и другую информацию. Форма карточки определяется формой до­пуска к государственной тайне для данного лица.

Перечисленные, а также другие необходимые документы на­правляют в орган безопасности с мотивированным письмом, со­держащим обоснование необходимости допуска лица к сведени­ям соответствующей степени секретности.

Карточка о допуске после внесения в нее отметки о согласова­нии допуска лица к государственной тайне с органом безопасно­сти возвращается на предприятие.

Правовую основу взаимоотношений руководителя предприя­тия и допущенного к государственной тайне лица составляет до­говор (контракт) об оформлении допуска к государственной тай­не, являющийся приложением к трудовому договору, заключае­мому в соответствии с Трудовым кодексом РФ. Данный договор (контракт) оформляется с учетом ограничений, предусмотрен­ных ст. 24 Закона РФ «О государственной тайне» для лиц, допу­щенных к государственной тайне; в нем отражаются взаимные обязательства руководителя предприятия и работника. Договоры (контракты) о допуске к государственной тайне и карточки о до­пуске хранятся в соответствии с установленным порядком в струк­турном подразделении по защите государственной тайны пред­приятия.

Переоформление допуска лиц по первой и второй формам про­изводится соответственно через 10 или 15 лет только в случае пе­рехода указанных граждан на другое место работы. Переоформле­ние допуска лиц, постоянно работающих на предприятии, офор­мившем им допуск, не производится. Независимо от сроков действия переоформление допуска по первой или второй форме произ­водится в случаях:

Перевода или приема гражданина на работу (назначения на должность) в подразделения по защите государственной тайны;

Вступления гражданина в брак за исключением особо огово­ренных в нормативных документах случаев;

Возвращения из длительных (сроком свыше 6 месяцев) за­граничных командировок;

Выезда близких родственников допущенного к государствен­ной тайне лица за границу на постоянное место жительства;

Возникновения обстоятельств, являющихся в соответствии с Законом РФ «О государственной тайне» основаниями для отказа гражданину в допуске к государственной тайне.

Перечень направляемых в орган безопасности документов опре­делен в Инструкции о порядке допуска должностных лиц и граж­дан Российской Федерации к государственной тайне. При несоот­ветствии формы допуска лица степени секретности сведений, к которым оно фактически имеет доступ, форма допуска должна быть изменена. Снижение формы допуска с первой на вторую (тре­тью) или со второй на третью оформляется распоряжением руко­водителя предприятия с соответствующей отметкой в карточке о допуске к государственной тайне. В случае производственной не­обходимости руководитель, ранее снизивший форму допуска ра­ботнику, может принять решение о ее восстановлении.

Предприятие в установленном порядке обязано письменно информировать орган безопасности о состоянии работы по до­пуску лиц к государственной тайне (изменение формы допуска, прекращение допуска и т.д.) и предоставлять отчетные докумен­ты и материалы.

6.5. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

При оформлении допуска к государственной тайне в отноше­нии оформляемого лица и его близких родственников в порядке, установленном законодательством Российской Федерации, упол­номоченные органы проводят проверочные мероприятия. Объем проверочных мероприятий зависит от степени секретности сведе­ний, к которым будет допускаться оформляемое лицо. Провероч­ные мероприятия, связанные с допуском граждан к государствен­ной тайне, проводятся органами безопасности во взаимодействии с органами, осуществляющими оперативно-розыскную деятель­ность.

Цель проведения проверочных мероприятий - выявление осно­ваний для отказа гражданину в допуске к государственной тайне.

В соответствии со ст. 22 Закона РФ «О государственной тайне» такими основаниями могут быть:

Признание гражданина судом недееспособным, ограниченно дееспособным или особо опасным рецидивистом, нахождение его под судом или следствием за государственные или иные тяжкие преступления, наличие у него неснятой судимости за эти пре­ступления;

Наличие у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государствен­ную тайну, согласно перечню, утверждаемому в установленном порядке 1 ;

Постоянное проживание его самого и (или) его близких род­ственников за границей и (или) оформление указанными лицами документов для выезда на постоянное место жительства в другие государства;

Выявление в результате проведения проверочных мероприя­тий действий оформляемого лица, создающих угрозу безопасно­сти Российской Федерации;

Уклонение от проверочных мероприятий и (или) сообщение заведомо ложных анкетных данных.

Решение об отказе гражданину в допуске к государственной тайне принимается руководителем предприятия в индивидуаль­ном порядке с учетом результатов проверочных мероприятий.

После оформления в установленном порядке должностному лицу или гражданину допуска к государственной тайне в процес­се исполнения им своих должностных (функциональных) обя­занностей в зависимости от сложившихся личных или иных об­стоятельств могут возникнуть условия, препятствующие наличию у него такого допуска. В соответствии со ст. 23 Закона РФ «О госу­дарственной тайне» допуск гражданина к государственной тайне может быть прекращен в случае:

Расторжения с ним трудового договора (контракта) в связи с проведением организационных и (или) штатных мероприятий;

Однократного нарушения им предусмотренных трудовым до­говором (контрактом) обязательств, связанных с сохранением го­сударственной тайны;

Возникновения обстоятельств, являющихся в соответствии с Законом РФ «О государственной тайне» основанием для отказа гражданину в допуске к государственной тайне.

Прекращение допуска гражданина к государственной тайне производится по решению руководителя предприятия, на кото­ром он работает. Это решение оформляется в виде письменного мотивированного заключения. В случае, когда заключение о неце­лесообразности дальнейшего допуска гражданина к сведениям, составляющим государственную тайну, вынесено органом безо­пасности, оно является обязательным основанием для отстране­ния этого гражданина от работы со сведениями, составляющими государственную тайну.

Решения руководителя предприятия об отказе гражданину в допуске к государственной тайне, о прекращении допуска и рас­торжении на основании этого трудового договора (контракта) с ним могут быть обжалованы в вышестоящий орган государствен­ной власти (организацию) или в суд. Прекращение допуска граж­данина к государственной тайне не освобождает его от взятых обязательств по неразглашению сведений, составляющих государ­ственную тайну.

К сведениям, составляющим государственную тайну, без про­ведения проверочных мероприятий допускаются члены Совета Федерации, депутаты Государственной Думы, судьи на период исполнения ими своих полномочий, а также адвокаты, участвую­щие в качестве защитников в уголовном судопроизводстве по де­лам, связанным со сведениями, составляющими государственную тайну.

Указанные лица предупреждаются о неразглашении государ­ственной тайны, ставшей им известной в связи с исполнением ими своих полномочий, и о привлечении их к ответственности в случае ее разглашения, о чем они дают расписку.

6.6. Организация доступа персонала предприятия

к сведениям, составляющим государственную тайну,

и их носителям

Доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознаком­ление конкретного лица со сведениями, составляющими государ­ственную тайну.

Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну, возлагается на руководителя соответствующего органа государственной власти (предприятия), а также на их структурные подразделения по за­щите государственной тайны. Руководитель предприятия обязан осуществлять постоянный контроль за соответствием формы до­пуска граждан степени секретности сведений, к которым они фактически имеют доступ. Руководитель несет персональную от­ветственность за создание таких условий, при которых должност­ное лицо или гражданин знакомятся только с теми сведениями, составляющими государственную тайну, и в таких объемах, которые необходимы ему для выполнения его должностных (функци­ональных) обязанностей.

Основанием для непосредственного доступа лица к сведени­ям, составляющим государственную тайну, и их носителям яв­ляется решение руководителя предприятия, оформляемое в кар­точке о допуске. После принятия такого решения под контролем непосредственного руководителя (руководителя предприятия) гражданин изучает положения нормативно-методических доку­ментов, определяющих вопросы защиты государственной тай­ны, внутренние организационно-распорядительные документы предприятия, задачи и функции структурных подразделений в этой области. Особое внимание должно быть уделено специфике деятельности предприятия, а также особенностям проведения работ с использованием сведений, составляющих государствен­ную тайну. В случае необходимости планируются занятия с лица­ми, допущенными к государственной тайне, эти занятия прово­дятся с привлечением структурных подразделений по защите го­сударственной тайны.

Завершающим этапом подготовки к непосредственному выпол­нению должностных обязанностей, связанных с использованием и защитой сведений, составляющих государственную тайну, яв­ляется сдача зачетов по знанию нормативно-методических доку­ментов и особенностей решения данных задач на предприятии. Прием зачетов проводит комиссия, состоящая, как правило, из сотрудников подразделений по защите государственной тайны, а также подразделения, на должность в котором назначен данный сотрудник. О результатах зачета составляется акт, который хра­нится в структурном подразделении по защите государственной тайны.

В дальнейшем основные положения нормативно-методических документов, определяющих вопросы защиты государственной тай­ны, обязанности и права лиц, допущенных к сведениям, состав­ляющим государственную тайну, ежегодно (с принятием заче­тов) доводятся до сведения всех сотрудников, имеющих допуск к государственной тайне.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

1. Основные требования к разрешительной системе доступа

1.1 Общие сведения

Ключевым звеном в защите конфиденциальной информации, в том числе информации, циркулирующей в АИС, или, иначе, системах конфиденциального электронного документооборота, является организация санкционированного (разрешенного) доступа к ней.

Разрешительная система допуска и доступа к конфиденциальной информации основана на выполнении установленных руководством организации нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальной информации. При этом под допуском к конфиденциальной информации понимается процедура оформления права граждан на доступ к такой информации, а для организаций, предприятий, учреждений - права на проведение работ с использованием такой информации. Доступ к информации - это возможность ее получения и использования. Под доступом к конфиденциальной информации понимается санкционированное полномочным должностным лицом ознакомление с данной информацией, ее получение и использование конкретным физическим или юридическим лицом.

При этом право давать разрешение на ознакомление и право работать может быть предоставлено только лицам, имеющим доступ к конфиденциальной информации.

При установлении разрешительной системы доступа к конфиденциальной информации должны быть обеспечены такие требования, как:

· надежность -- исключение возможности несанкционированного доступа (НСД) посторонних лиц к КДИ и конфиденциальной информации, циркулирующей в АИС. в обычных и экстремальных условиях (под экстремальными условиями понимаются чрезвычайные ситуации. пожары, наводнения и др.):

· полнота охвата всех категорий исполнителей и всех категорий конфиденциальной информации;

· конкретность и однозначность решения о доступе (да/нет);

· производственная и служебная необходимость - единственный критерий доступа к конфиденциальной информации;

· определенность состава должностных лиц. дающих санкцию на доступ к конфиденциальной информации, исключение возможности бесконтрольной и несанкционированной выдачи таких санкций;

· регламентация и организация работы всех категорий персонала с конфиденциальной информацией;

· соответствие функциональных обязанностей работника передаваемой ему конфиденциальной документированной информации;

· наличие нормативно-методических документов и положений по защите и охране конфиденциальной информации, режиму конфиденциальности информации и доступа к ней, в том числе утвержденного Перечня конфиденциальной документированной информации, Реестра конфиденциальной информации и АИС;

· наличие необходимых условий в зданиях, помещениях, кабинетах для работы с конфиденциальной документированной информацией:

· оформление разрешения на ознакомление с конфиденциальной информацией;

· ознакомление пользователя, при необходимости, только с частью конфиденциального документа, при этом в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя, если конфиденциальная документированная информация находится на бумажном носителе.

Разрешительная система должна предусматривать порядок доступа к конфиденциальной информации граждан, других должностных лиц и организаций, например при выполнении совместных работ и услуг.

Следует иметь в виду, что сотрудники уполномоченных органов государственной власти и органов местного самоуправления (далее - уполномоченные органы), например налоговая служба, служба судебных приставов, органы МВД и др., имеют право на доступ к различным видам конфиденциальной информации в пределах компетенции, определенной для таких органов законодательством Российской Федерации. Поэтому организации, обладающие конфиденциальной информацией, обязаны нс только знакомить должностных лиц уполномоченных органов с конфиденциальной документированной информацией, но и предоставлять им в распоряжение конфиденциальные документы в случаях, установленных законодательством Российской Федерации.

Уполномоченные органы обязаны обеспечить защиту полученной информации от разглашения и неправомерного использования должностными лицами и иными служащими этих органов, которые ознакомились с конфиденциальной информацией в связи с выполнением служебных обязанностей. Это положение относится к служебной, налоговой и коммерческой, банковской тайнам. За разглашение или неправомерное использование содержащейся в документах конфиденциальной информации данные органы несут перед обладателем этой информации правовую ответственность.

1.2 Регламент доступа к конфиденциальной информации

Разрешительная система доступа не только обеспечивает доступ к конфиденциальным документам, но и определяет порядок доступа к другим носителям конфиденциальной информации, например к циркулирующей в АИС. Эти функции системы должны находить свое снижение н Регламенте доступа к конфиденциальной информации (далее - Регламент) или Положении о режиме конфиденциальности информации.

Регламент разрабатывается Экспертной комиссией по защите конфиденциальной информации и содержит следующие разделы:

1. Общие положения. В этом разделе указываются:

· цель разработки Регламента:

· основные задачи и принципы системы допуска и доступа;

· нормативные документы, на которых базируется Регламент организации, а также лица, на которых возлагается ответственность за невыполнение его требований:

· руководство организации, руководители Службы безопасности. Службы делопроизводства, структурных подразделений, осуществляющих контроль за соблюдением норм Регламента в пределах их компетенции.

При этом указывается, что ответственность за невыполнение требований Регламента несут все должностные лица, имеющие право давать разрешение на доступ, а также все пользователи конфиденциальной информацией.

2. Круг лиц, имеющих право давать разрешение на допуск и доступ к конфиденциальной информации. В данном разделе должны быть перечислены все должности лиц, которые могут давать разрешение на доступ к конфиденциальной информации, с указанием категории пользователей, состав информации и ее носителей. Право давать разрешение на доступ к соответствующей конфиденциальной информации имеют:

· заместители руководителя по отдельным направлениям - всем пользователям, но в пределах своей сферы деятельности:

· руководители структурных подразделений всем сотрудникам подразделений.

Для возможности доступа к конфиденциальной информации какого-либо подразделения сотрудников и работников других подразделений необходимо разрешение соответствующего заместителя руководителя организации. Первые заместители руководителей, а также должностные лица, временно исполняющие ту или иную должность, могут, как правило, разрешать доступ в объеме всех прав, предусмотренных для замещаемого ими лица.

3. Порядок оформления разрешений на доступ к конфиденциальной информации и предоставление ее пользователям. В данном разделе определяется порядок оформления разрешений на доступ к различным носителям конфиденциальной информации и выдачи носителей пользователям. Разрешение на ознакомление должно оформляться: по поступившим и созданным/изданным документам - в форме резолюции на конфиденциальном документе: по документам, зарегистрированным по учету инвентарного (выделенного) хранения, в форме резолюции на документе или подписанного соответствующими руководителями списка пользователей на внутренней стороне обложки документа, титульном листе либо в карточке учета выдачи конфиденциального документа. При этом следует оговорить, что исполнители и лица, которые визировали, согласовывали. подписывали и утверждали конфиденциальные документы, допускаются к соответствующей конфиденциальной информации, в том числе циркулирующей в АИС, без оформления дополнительных разрешений, если они продолжают выполнять те же функциональные обязанности. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов организации (приказов, распоряжений).

4. Порядок учета работников и должностных лиц организации, а также работников должностных лиц других организаций, получивших доступ к конфиденциальной информации .

5. Порядок учета выдачи конфиденциальной документированной информации.

Регламент подписывается членами Экспертной комиссии по защите конфиденциальной информации, визируется всеми лицами, имеющими право давать разрешение на доступ, и вводится в действие приказом руководителя организации. В приказе определяются также и мероприятия по введению Регламента в действие (порядок изучения Регламента пользователями, технология осуществления контроля за его выполнением и др.). После утверждения с Регламентом должны быть ознакомлены под расписку все сотрудники и работники организации, работающие с конфиденциальной информацией.

Технологии допуска и доступа к конфиденциальной документированной информации являются основой при постановке задач и разработке технических заданий для создания соответствующей АИС допуска и доступа к конфиденциальной информации, которая является одним из главных модулей интегрированной системы электронною конфиденциального документооборота.

1.3 Экспертная комиссия по защите конфиденциальной информации

Экспертная комиссия по защите конфиденциальной информации коллегиальный орган, который занимает ключевое положение в системе структурных подразделений организации, отвечающих за допуск и доступ к КДИ с защиту и охрану.

В Экспертную комиссию по защите конфиденциальной информации входят следующие подразделения: Служба безопасности. Служба делопроизводства. Служба кадров и подразделение информационных технологий и АИС (информационно-технологический центр, главный вычислительный центр и др.).

Основными функциями Экспертной комиссии являются:

· координация деятельности указанных структурных подразделений, обеспечивающих в интересах разработки и выполнения программ и планов, нормативных и методических документов, в том числе Регламента по защите конфиденциальной информации, Реестра конфиденциальной информации и АИС реализацию нормативно-правовых документов и системы стандартов Российской Федерации в области защиты информации;

· организация разрешительной системы доступа.

Экспертная комиссия создастся в соответствии с приказом руководителя организации. Функции комиссии и полномочия реализуются в соответствии с Положением, утверждаемым руководителем организации. В состав комиссии должны входить руководители организации, курирующие вопросы защиты конфиденциальной информации, руководители перечисленных выше структурных подразделений организации или их заместители. Состав данной комиссии по должностям, а также персональный состав утверждаются руководителем организации.

Решения Экспертной комиссии, принятые в соответствии с ее полномочиями, обязательны для исполнения всеми структурными подразделениями организации, всем персоналом организации, включая руководство, а также другими организациями и предприятиями при выполнении совместных работ, связанных с доступом к конфиденциальной информации и се защитой.

Основными функциями Экспертной комиссия являются:

· организация работы по формированию Перечня (номенклатуры) должностных лиц, имеющих полномочия в отношении отнесения информации к конфиденциальной. Перечень утверждается приказом организации;

· организация работы по формированию и созданию Перечня конфиденциальной документированной информации организации;

· организация работы по формированию и созданию Реестра конфиденциальной информации и автоматизированной информационной системы;

· подготовка предложений по организации разработки и выполнению программ, планов, нормативных и методических документов, обеспечивающих реализацию доступа к конфиденциальной информации, ее защиту и охрану, и представление их в установленном порядке руководству организации;

· рассмотрение и представление руководству организации предложений по нормативному регулированию вопросов режима конфиденциальности информации, доступа к ней и совершенствованию системы защиты и охраны конфиденциальной информации в организации;

· определение порядка снятия грифа ограничения доступа (отметки конфиденциальности) в случае ликвидации организации-фондообразователя и отсутствия ее правопреемника;

· рассмотрение запросов государственных и негосударственных структур (предприятий, учреждений, организаций), юридических лиц и граждан о снятии грифа ограничения доступа:

· подготовка экспертных заключений на КДИ в целях решения вопроса о возможности ее передачи и предоставления другим организациям и уполномоченным органам:

· принятие решения о передаче КДИ другой организации в случаях изменения функций, форм собственности, ликвидации или прекращения работе использованием этой информации;

· подготовка и предоставление руководству организации предложений по порядку определения размеров ущерба, который может быть нанесен организации вследствие несанкционированного распространения и доступа к конфиденциальной информации, а также ущерба, наносимого организации в связи с приданием конфиденциальности информации, находящейся в ее собственности;

· подготовка и предоставление руководству организации предложений по отнесению информации к конфиденциальной, к различным степеням конфиденциальности:

· рассмотрение по поручению руководства организации проектов договоров (государственных контрактов), в том числе международных, о совместном использовании конфиденциальной информации, доступе к ней и о ее защите: подготовка соответствующих предложений и экспертных заключений: участие в международном сотрудничестве по этим вопросам;

· выдача заключений на решения руководителей структурных подразделений. связанные с изменением действующих в подразделениях перечней конфиденциальной документированной информации (эти заключения могут привести к изменению Перечня конфиденциальной документированной информации, Реестра конфиденциальной информации и АИС организации);

· выдача заключений на защиту разрабатываемых и разработанных всевозможных АИС, включая интегрированные системы защищенного электронного документооборота организации;

· координация работ по организации сертификации технических средств защиты конфиденциальной информации, лицензированию деятельности организации, связанной с использованием конфиденциальной информации, созданию технических средств защиты информации, а также осуществление мероприятий и (или) оказание услуг по защите конфиденциальной информации, если организация оказывает такие услуги другим организациям;

· решение вопросов о продлении срока конфиденциальности документов и информации.

Экспертная комиссия имеет следующую структуру: председатель комиссии, его заместители, члены комиссии, ответственный секретарь комиссии, служба делопроизводства (организационно-техническое обеспечение деятельности комиссии), рабочие и экспертные группы по направлениям деятельности (по мере надобности).

2. Особенности доступа к конфиденциальной документированной информации, составляющей служебную, коммерческую, профессиональную тайны, секрет производства (ноу-хау) и служебный секрет производства

Федеральный закон «О коммерческой тайне» содержит определение: «Доступ к информации, составляющей коммерческую тайну, - это ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации». Можно сказать, что обладатель конфиденциальной информации, составляющей коммерческую или служебную тайну, - это лицо, которое владеет конфиденциальной информацией на законном основании, ограничивает доступ к этой информации и устанавливает в отношении нее режим коммерческой или служебной тайны.

Конфиденциальная информация, составляющая коммерческую, служебную, профессиональную тайны, секрет производства (ноу-хау) и служебный секрет производства, обладателем которой является другое лицо, считается полученной незаконно, если доступ к ней осуществлялся с умышленным преодолением принятых обладателем данной информации мер по охране конфиденциальности, в том числе по ограничению доступа к ней.

Существуют три вида договоров, регулирующих ограничение доступа к секрету производства и служебному секрету производства: 1) договор об отчуждении исключительного права на секрет производства: 2) лицензионный договор о предоставлении права использования секрета производства; 3) секрет производства, полученный при выполнении работ по договору подряда.

Передача конфиденциальной информации это передача обладателем информации, зафиксированной на материальном носителе, контрагенту на основании договора в объеме и на условиях, предусмотренных договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности. Контрагент - сторона гражданско-правового договора, которой обладатель конфиденциальной информации передал эту информацию.

В договорах должны быть определены условия зашиты и охраны конфиденциальности информации и доступа к ней. в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договорам, в соответствии со следующим типовым текстом пункта договора.

Пункт договора (государственного контракта) о неразглашении информацию.

Контрагент (лицензиат) обязан:

1) не разглашать конфиденциальную информацию Организации, которая будет доверена или станет известной по условиям договора;

2) не передавать третьим лицам и не раскрывать публично конфиденциальную информацию Организации без ее согласия:

3) выполнять по договору требования инструкций и положений но обеспечению сохранности конфиденциальной информации Организации идо- ступу к ней;

4) сохранять конфиденциальную информацию тех организаций, с которыми у Организации имеются служебные и деловые отношения;

5) не использовать знание конфиденциальной информации Организации для занятий любой деятельностью которая может нанести ей ущерб;

6) в случае расторжения договора все носители конфиденциальной информации Организации (рукописи, черновики, чертежи, малинные ленты, диски, дискеты, распечатки на принтерах, кино-, фото негативы и позитивы. модели, материалы, изделия и др.), которые находились в распоряжении в связи с выполнением договорных обязанностей, передать Организации;

7) незамедлительно сообщить Организации о допущенном контрагентом либо ставшем ему известным факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании конфиденциальной информации третьими лицами, об утрате или недостаче носителей конфиденциальной информации и о других фактах, которые могут привести к разглашению конфиденциальной информации Организации а также о причинах и условиях возможной утечки информации.

Нарушение указанных положений Договора может повлечь уголовную, административную, гражданско-правовую или иную ответственность, предусмотренную ст. 13.11, 13.14 КоАП РФ, ст. 183 УК РФ, иными нормативными правовыми актами Российской Федерации, в вице лишения свободы, возмещения ущерба Организации (убытков, упущенной выгоды и морального ущерба) и других наказаний.

Организация подтверждает, что данные обязательства не ограничивают прав контрагента на интеллектуальную собственность, полученную н результате работ по договору.

В случае, если иное не установлено договорами, контрагент в соответствии с законодательством Российской Федерации самостоятельно определяет способы защиты информации, переданной ему по указанным договорам, и доступ к ней в соответствии с нормативными правовыми актами.

Контрагент обязан незамедлительно сообщить обладателю конфиденциальной информации о допущенном контрагентом либо ставшем ему известным факте разглашения или угрозы разглашения. незаконном получении или незаконном использовании конфиденциальной информации третьими лицами.

Обладатель конфиденциальной информации, переданной нм контрагенту, до окончания срока действия договора не может разглашать эту информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности и доступа к ней, если иное не установлено

Гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства.

Исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя - это служебный секрет производства, который принадлежит работодателю (ст. 1470 ГK РФ).

В целях охраны конфиденциальности информации организации работодатель (обладатель конфиденциальной информации) должен:

· ознакомить под расписку работника, доступ которого к конфиденциальной информации необходим для выполнения им своих трудовых обязанностей, с Перечнем конфиденциальной документированной информации организации:

· ознакомить под расписку работника с установленным режимом конфиденциальности информации и с мерами ответственности за его нарушение в соответствии с Регламентом доступа к информации.

Основными требованиями к конфиденциальной информации являются:

· наличие приказа о приеме на работу, переводе, временном замещении, изменении должностных обязанностей и др. или назначении на должность, которая предусматривает работу с конфиденциальной информацией;

· наличие подписанного сторонами трудового договора (служебного контракта для госслужащих), имеющего пункт о неразглашении конфиденциальной информации, составляющей какую-либо тайну Организации, например секрет производства, кроме государственной тайны, или подписанного обязательства о неразглашении информации и обеспечении зашиты и охраны конфиденциальности информации, обладателем которой являются Организация и ее контрагенты.

3. Особенности доступа к конфиденциальной документированной информации при ее предоставлении уполномоченным органам государственной власти

Предоставление конфиденциальной информации - это передача информации, зафиксированной на материальном носителе, ее обладателем органам государственной власти в целях выполнения ими функций. Обладатель конфиденциальной информации по мотивированному требованию уполномоченных органов государственной власти должен предоставлять нм данную информацию на безвозмездной основе.

Руководство организации, Экспертная комиссия по защите конфиденциальной информации, Службы безопасности, делопроизводства, кадров и другие подразделения должны знать, что без мотивированного требования, которое должно быть подписано уполномоченным должностным лицом и содержать указание цели, а также без правового основания затребования конфиденциальной информации и определения срока ее предоставления конфиденциальная информация в соответствии с законодательством может не предоставляться

В случае отказа обладателя конфиденциальной информации предоставить ее уполномоченному органу государственной власти, последний вправе затребовать ее только в судебном порядке.

Особенность доступа к предоставляемой конфиденциальной информации заключается в том, что документы, которые содержат информацию, составляющую коммерческую тайну, должны иметь гриф ограничения доступа «Коммерческая тайна» с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем. и место жительства).

В случае предоставления организацией (юридическим лицом или индивидуальным предпринимателем) информации уполномоченные органы в соответствии с российским законодательством обязаны создать условия, обеспечивающие ее защиту и охрану, а также регламентированный доступ к ней. Информация, относящаяся к коммерческой тайне, секретам производства, профессиональной тайне и др.

Должностные лица уполномоченных органов (государственные или муниципальные служащие), которым в силу выполнения должностных (служебных) обязанностей стала известна конфиденциальная информация, без согласия обладателя этой информации не вправе разглашать или передавать ее другим лицам. органам государственной власти, другим государственным органам, органам местного самоуправления, а также не вправе использовать эту информацию в корыстных или иных личных целях.

Особенности доступа к конфиденциальной документированной информации, составляющей персональные данные.

1. Письменное согласие субъекта персональных данных на доступ к ним и их дальнейшую обработку.

Физическое лицо - субъект персональных данных - принимает решение о доступе к ним и их предоставлении, а также дает согласие на обработку этих данных своей волей и в своих интересах. Согласие на обработку персональных данных может быть отозвано физическим лицом.

В российском законодательстве предусматриваются случаи обязательного предоставления субъектом персональных данных (без всякого согласия) конфиденциальной информации в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Обработка конфиденциальной информации осуществляется только с согласия субъекта персональных данных в письменной форме, где указываются:

· фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

· наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

· цель обработки конфиденциальной информации - персональных данных;

· перечень персональных данных, на обработку которых дает согласие субъект этих данных;

· перечень действий с персональными данными, на совершение которых дастся согласие;

· общее описание используемых оператором способов обработки персональных данных;

· срок, в течение которого действует согласие, а также порядок его отзыва.

Доступ к специальным категориям персональных данных. Доступ к конфиденциальной информации и дальнейшая обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускаются. Не требуется согласия физического лица, если доступ к конфиденциальной информации и дальнейшая обработка персональных данных осуществляются и необходимы в определенных случаях, а именно: если субъект персональных данных, в том числе биометрических (конфиденциальная информация, которая характеризует физиологические особенности человека и на основе которой можно установить его личность), дал согласие в письменной форме на обработку этих данных;

· если персональные данные являются общедоступными;

· если персональные данные относятся к состоянию здоровья субъекта и их обработка необходима для зашиты его жизни, здоровья или реализации иных жизненно важных для него либо других лиц интересов, а получение согласия субъекта невозможно;

· если необходимо установить медицинский диагноз, оказать медицинские и медико-социальные услуги либо использовать эту информацию в медико-профилактических целях, при условии, что обработка персональных данных осуществляется лицом, которое профессионально занимается медицинской деятельностью и обязано в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

· если в учредительных документах общественного объединения или религиозной организации указано, что обработка персональных данных членов (участников) выполняется соответствующими общественным объединением или религиозной организацией и эта информация не будет распространяться без согласия в письменной форме физического лица;

· если доступ и дальнейшая обработка персональных данных, в том числе биометрических, осуществляются в соответствии с правосудием и законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации;

· если доступ и дальнейшее использование конфиденциальной информации о наличии судимости субъекта персональных данных осуществляются государственными или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации.

Вез согласия субъекта биометрических персональных данных доступ к ним и дальнейшая их обработка могут осуществляться в связи с отправлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из Российской Федерации и въезда на ее территорию.

2. Уведомление об обработке персональных данных

При намерении заняться обработкой персональных данных или ее выполнении оператор должен направить в уполномоченный орган по защите прав субъектов персональных данных установленное нормативными документами уведомление.

Федеральным законом «О персональных данных» указаны случаи, когда допускается обработка персональных данных без уведомления уполномоченного органа. Оператор вправе осуществлять без уведомления уполномоченного органа обработку персональных данных, если:

· субъектов персональных данных связывают с оператором трудовые отношения в соответствии с ТК Российской Федерации, законодательством о государственной службе и о муниципальной службе;

· полученные оператором персональные данные в связи с заключением договора, одной стороной которого является субъект персональных данных, не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора;

· конфиденциальная информация не будет распространяться без согласия в письменной форме субъектов персональных данных, относящихся к членам (участникам) общественного объединения или религиозной организации и будет обрабатываться указанными объединением или организацией для достижения ими законных целей, предусмотренных их учредительными документами;

· персональные данные являются общедоступными;

· персональные данные включают в себя только фамилию, имя и отчество физического лица:

· персональные данные необходимы в целях однократного пропуска физического лица на территорию, на которой находится оператор в иных аналогичных целях;

· персональные данные включены в АИС. имеющие в соответствии с федеральными законами статус федеральных, а также в государственные АИС, созданные в целях защиты безопасности государства и общественного порядка;

· персональные данные, обрабатываемые без средств автоматизации, или в соответствии с нормативными правовыми актами, устанавливающими требования к обеспечению безопасности при их обработке, отвечают соблюдению прав физических лиц.

О своем намерении осуществить обработку персональных данных оператор обязан уведомлять уполномоченный орган по защите прав физических лиц (таким органом является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи). Уведомление должно быть направлено в письменной или электронной форме и подписано уполномоченным лицом либо иметь электронную цифровую подпись.

Уведомление оформляется на бланке оператора, осуществляющего обработку персональных данных, и направляется в территориальный орган Россвязькомнадзора. Оно может быть направлено либо в письменной форме и подписано уполномоченным лицом, либо в электронной форме с электронной цифровой подписью (ЭЦП).

4. Особенности доступа к архивным конфиденциальным документам

Согласно ст. 24 и 25 Федерального закона «Об архивном деле в Российской Федерации», «доступ к архивным документам может быть ограничен в соответствии с международным договором Российской Федерации, законодательством Российской Федерации, а также в соответствии с распоряжением собственника или владельца архивных документов, находящихся в частной собственности. Условия доступа к архивным документам, находящимся в частной собственности, за исключением архивных документов, доступ к которым регламент регулируется законодательством Российской Федерации, устанавливаются собственником или владельцем архивных документов».

Ограничивается доступ к архивным документам независимо от их форм собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну, а также к подлинникам особо ценных документов, в том числе уникальных документов, и документам Архивного фонда Российской Федерации, признанным в порядке, установленном специально уполномоченным Правительством Российской Федерации федеральным органом исполни тельной власти и находящимся в неудовлетворительном физическом состоянии.

Отмена ограничения на доступ к архивным документам, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне и других видах тайн - конфиденциальной информации.

Право собственности на архивные документы независимо от их форм собственности охраняется законом. Изъятие архивных документов, не предусмотренное федеральными законами, запрещается. Архивные документы, находящиеся в незаконном владении, подлежат передаче собственникам или законным владельцам в соответствии с международным договором Российской Федерации и законодательством Российской Федерации.

К конфиденциальным архивным документам ограниченного доступа относятся документы государственной и негосударственной частей Архивного фонда Российской Федерации, содержащие информацию, отнесенную российским законодательством к конфиденциальной информации, составляющей какую-либо тайну, за исключением государственной тайны. Государственная часть Архивного фонда Российской Федерации архивные фонды и архивные документы, являющиеся государственной или муниципальной собственностью. Негосударственная часть Архивного фонда Российской Федерации, - архивные фонды и архивные документы, являющиеся собственностью негосударственных юридических лиц, собственностью физических лиц и включенные в состав Архивного фонда Российской Федерации на основании соглашения (договора) с собственником после экспертизы их ценности.

Пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы. Доступ к ним обеспечивается путем предоставления пользователю справочно-поисковых средств и информации об этих средствах, а также подлинников и (или) копий необходимых ему документов. Условия доступа к находящимся в частной собственности, за исключением тех документов, доступ к которым регламентируется законодательством Российской Федерации, устанавливаются собственником или владельцем архивных документов.

Следует отмстить, что действие Федерального закона «О персональных данных» не распространяется на отношения, возникающие при организации хранения, комплектования. учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации, а также других архивных документов, в соответствии с законодательством об архивном деле.

Государственные органы, органы местного самоуправления, организации и граждане, занимающиеся предпринимательской деятельностью без образования юридического лица, обязаны обеспечивать сохранность архивных документов, в том числе по личному составу, в течение сроков их хранения, установленных федеральными законами или иными нормативными правовыми актами Российской Федерации, а также перечнями типовых архивных документов с указанием сроков их хранения или отраслевыми перечнями.

В этом разделе определена работа архива (учреждения или структурного подразделения организации, осуществляющих хранение, комплектование, учет и использование архивных документов) в части доступа пользователей к архивной конфиденциальной документированной информации.

Государственный или муниципальный архив, в том числе архив как структурное подразделение организации (далее - Архив), не вправе ограничивать или устанавливать пользователям условия использования документированной информации, полученной ими в результате самостоятельного поиска, и обязан обеспечивать в установленном порядке доступ к конфиденциальным документам, базам и банкам данных с учетом ограничений, установленных законодательными и нормативными правовыми актами Российской Федерации или оговоренных в договоре Архива с пользователем по информационному обслуживанию.

Доступ пользователей к архивным документам определен Правилами организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в государственных и муниципальных архивах, музеях и библиотеках, организациях Российской академии наук (далее - Правилами).

В соответствии с этими Правилами Архив предоставляет пользователю открытые документы Архивного фонда Российской Федерации и другие документы, а также справочно-поисковые средства к ним и издания библиотечного (справочно-информационного) фонда.

Архив обеспечивает доступ пользователя к секретным делам, делам, содержащим конфиденциальную информацию, базам данных с учетом ограничений, определенных законодательством Российской Федерации, н условий, которые установили собственники или владельцы архивных документов при их передаче в Архив.

Доступ пользователя к подлинникам особо ценных документов, в том числе уникальных, и к документам Архивного фонда Российской Федерации, находящимся в неудовлетворительном физическом состоянии, осуществляется в исключительных случаях (в том числе для проведения работ по изучению палеографических особенностей текстов архивных документов) с письменного разрешения руководителя Архива. Пользователю предоставляются копии указанных документов (фонд пользования) или документальные публикации, содержащие эти документы.

Руководитель Архива организует проведение работы по контролю за сроками секретности и конфиденциальности архивных документов и информирует руководителей государственных органов, наделенных полномочиями по отнесению сведений к государственной тайне и конфиденциальной информации, а также руководителей организаций о наличии в Архиве секретных и конфиденциальных документов со сроками секретности содержащихся в них сведений свыше 30 лет, их составе и объемах.

Анализ и учет состояния системы научно-справочного аппарата Архива производятся либо на бумажном носителе (журнал по учету состояния научно-справочного аппарата, картотека), либо в автоматизированном режиме. Архив дает пользователю соответствующие разъяснения или выдает копии части дела, документа, не содержащих указанные сведения конфиденциального характера, а также предупреждает его об ответственности за сохранение конфиденциальных сведений, содержащихся в документах.

Доступ пользователей к документам с пометками «Для служебного пользования». «Коммерческая тайна», «Конфиденциально», «Строго конфиденциально», а также без пометок осуществляется в порядке, установленном для документов ограниченного доступа. Этот порядок сохраняется при передаче дел в государственный или муниципальный Архив, а также Архив другой организации, если фондообразователь, Экспертная комиссия по защите конфиденциальной информации или ликвидационная комиссия не оговорили особых требований доступа относительно данной категории документов.

Хранящимися на особых условиях доступа являются документы, собственники которых, передавая их в Архив на постоянное хранение. т.е. в собственность государства, или на временное, в том числе депозитарное, оговорили особые условия доступа к ним и их использования в соглашении (договоре).

Архив ограничивает доступ пользователей к документам, содержащим информацию о фактах, событиях и обстоятельствах частной жизни конкретного лица, если не истек срок в 75 лет с момента их создания. К таким документам и делам относятся: личные, персональные, следственные, судебные дела, документы служб кадров, персонифицированные материалы переписей, социологических и иных обследований, медицинская документация, личная переписка. Ограничения на доступ к документам, содержащим информацию о частой жизни граждан, устанавливаются при наборе персональных данных, позволяющих в совокупности идентифицировать личность. Ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов (с письменного разрешения гражданина, а после его смерти - с письменного разрешения наследников данного гражданина ограничение на доступ к указанным выше архивным документам может быть отменено ранее, чем через 75 лет со дня создания этих документов.

Ограничения на доступ к сведениям о частной жизни ранее 75-летнего срока снимаются в случае:

· наличия письменного, нотариально заверенного распоряжения физического лица - субъекта персональных данных или его наследника - на передачу этих сведений третьему лицу дня ознакомления с ними;

· обезличивания персональных данных путем изъятия при копировании той их части, которая позволяет отождествить их с конкретным человеком.

Субъект персональных данных для получения сведений оего частной жизни может установить режим общедоступной информации, проинформировав об этом руководство Архива. Документы, содержащие информацию о персональных данных. Архив может выдавать пользователям дня проведения статистических, социологических, демографических и других научных и практических исследований, составления биобиблиографических справочников, биографий, публикации документальных изданий при условии соблюдения пользователем прав личности на неприкосновенность частной жизни.

Но запросам организаций разрешается выдавать справки, содержащие информацию о служебной и общественной деятельности граждан, для использования их в указанных выше целях.

Архив по заявкам пользователей на копирование документов осуществляет услугу по обезличиванию персональных данных, т.е. действия, в результате которых невозможно определить принадлежность персональных данных конкретному физическому лицу, придавая им при копировании форму анонимных сведений.

Запрещается без согласия усыновителей, а в случае их смерти без согласия органон опеки и попечительства выдавать гражданам документы, содержащие сведения об усыновлении.

Архив также имеет право отказать до истечения 75-летнего срока с момента создания документов в выдаче выписок из книг регистрации актов гражданского состояния, решений судов, органов исполнительной власти и образования, из которых было бы видно, что усыновители tic являются кровными родителями усыновленного. В исключительных случаях Архив знакомит заинтересованных лиц с записями актовых книге разрешения руководителя органа записи актов гражданского состояния или органа исполнительной власти субъекта Российской Федерации.

Архив может выслать по запросам органов записи актов гражданского состояния, опеки, попечительства, правоохранительных органов, нотариата, а также судов и органов юстиции копни записей актов гражданского состояния. Он имеет также право предоставлять для пользования документы, содержащие коммерческую и служебную тайны, за исключением государственной тайны (особый режим доступа), хранящиеся в фондах организаций, независимо от их организационно-правовой формы, но мотивированным запросам уполномоченных органов государственной власти - правоохранительных. антимонопольных органов, органов арбитража, судов, прокуратуры, налоговых служб (см. разд. 3). Конфиденциальные документы, содержащие коммерческую. служебную, профессиональную тайны, секреты производства и служебные секреты производства, могут быть выданы также иным пользователям на основании письменного разрешения фондообразователя или его правопреемника.

Доступ к научно-популярным, документальным фильмам и другим кинодокументам осуществляется по согласованию с правообладателями и с соблюдением авторских и смежных прав, в том числе на основании договоров (соглашений).

Выдача пользователям произведений, перешедших по истечении установленных законодательством Российской Федерации сроков в общественное достояние, не ограничивается.

5. Особенности доступа должностных лип при их командировании к конфиденциальной документированной информации

При командировании работников в другое организации- контрагенты для проведения совместных работ им выдаются справки, удостоверяющие наличие у них доступа к конфиденциальной информации другой организации (далее - справка).

Справка выдается Службой безопасности организации, в которой командированный, под расписку командированного в журнале (карточке) учета выдачи справок о доступе на срок разовой командировки или на срок выполнения задания, но не более чем на год. Справка подписывается руководителем Службы безопасности или Службы кадров и заверяется печатью организации. Делать в справке отметки, содержащие конфиденциальную информацию. Запрещается.

На обороте справки о допуске указываются степень конфиденциальности информации, с которой ознакомилось командированное лицо, и дата. Запись заверяется подписью руководителя Службы безопасности организации или Службы кадров, куда было командировано должностное лицо, и печатью организации.

Справка возвращается ее владельцу для сдачи в Службу безопасности или Службу кадров по месту его постоянной работы, после чего уничтожается, о чем делается отметка в журнале (карточке), которая заверяется подписями двух сотрудников Службы безопасности. При этом акт на уничтожение не оформляется.

Кроме справки, командировочному выдается предписание на выполнение задания. Предписание -- это документ на выполнение задания, связанного с информацией конфиденциального характера, который подписывается руководителем организации или структурного подразделения организации и заверяется печатью организации.

В предписании кратко излагается основание командирования (номер и дата приказа, договора, совместный план научно- исследовательских и опытно-конструкторских работ и т.д.), а также определяется, с какой информацией необходимо ознакомить командируемое лицо для выполнения им задания.

Предписание, в котором содержится информация всех степеней конфиденциальности («Конфиденциально», «Совершенно конфиденциально»), пересылается почтой в порядке, установленном для конфиденциальных документов. Предписание выдается для посещения только одной организации. Командированное лицо может иметь доступ только к той информации, которая ему необходима и рамках выполняемого задания, указанного в предписании. Доступ для ознакомления с данной информацией осуществляется с письменного разрешения руководителя принимающей организации или структурного подразделения.

Предписание на выполнение задания с разрешением руководителя принимающей организации ознакомить командированное лицо с конфиденциальной информацией вместе со справками о допуске регистрируется в журнале (картотеке) учета командированных.

Предписание с визой соответствующего руководителя подразделения и от мет кой о доступе командированного лица перелается принимающим его должностным лицам. Те в свою очередь, производят на обороте предписания отметки о степени конфиденциальности информации, с которой фактически ознакомилось командированное лицо. Отметки подтверждаются подписью командированного лица, после чего один экземпляр предписания передастся для хранения в Службу безопасности организации, а также другой организации, в которую прибыл командированный.

Предписание хранится в специальном деле в Службе безопасности или Службе кадров организации, а также в принимающей организации в течение не менее 5 лет.

Доступ к конфиденциальной информации командируемых работников и должностных лиц в принимающей организации осуществляется после предъявления ими документов, удостоверяющих личность (справок о доступе, предписаний на выполнение заданий).

6. Учет персонала, получившего доступ к конфиденциальной документированной информации, и (или) лиц, которым она была передана или предоставлена

конфиденциальный правовой архивный

Особенность информационного обслуживания пользователей - потребителей конфиденциальной информации заключается в том. что вопросы определения состава необходимой нм информации решаются должностным лицом, дающим разрешение на доступ к информации в зависимости от Перечня конфиденциальной документированной информации организации, а не самими пользователями.

Структура технологии разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по следующим принципам:

· чем выше уровень доступа, тем уже круг допущенных лиц;

· чем выше ценность информации, тем меньшее число персонала может ее знать.

Выдача допуска или санкций (разрешений) на доступ к конфиденциальной информации осуществляется с учетом двух аспектов:

1) выдачи разрешений в зависимости от категории конфиденциальной информации, в соответствии с Перечнем конфиденциальной документированной информации и Реестром конфиденциальной информации и автоматизированной информационной системы организации;

2) выдачи разрешений в зависимости от занимаемой должности липа, выдающего разрешение.

Задачей технологии разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальной информации, Это дает возможность разделить знание персонала о конфиденциальной информации на элементы знания информации в целом.

В соответствии с неиерархической последовательностью доступа определяется структура границ защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали, возрастание степени конфиденциальности информации. Этим обеспечивается недоступность информации для случайных людей или злоумышленников и определяется необходимая степень защищенности информации. Поэтому технологии ограничения доступа предполагают создание в организации номенклатуры должностей работников, подлежащих оформлению на допуск к конфиденциальной документированной информации по форме 1.

Номенклатура составляется Службой безопасности совместно со Службой кадров, согласовывается с Экспертной комиссией по защите конфиденциальной информации и подписывается руководителем организации.

Номенклатура хранится в Службе безопасности, второй экземпляр - в Службе кадров организации, третий - в Службе делопроизводства. В номенклатуру включаются должности, по которым допуск персонала к этой информации действительно необходим для выполнения ими должностных обязанностей, а также могут включаться должности работников, допуск которых к информации соответствующей степени конфиденциальности необходим для выполнения ими заданий в других организациях при их командировании.

...

Подобные документы

Порядок предоставления доступа к архивным документам, содержащим конфиденциальную информацию. Организация копирования архивных документов и справочно-поисковых средств по заказам пользователей. Выдача подлинных документов и дел во временное пользование.

контрольная работа , добавлен 29.03.2012


Основные положения Федерального закона "О коммерческой тайне". Организация допуска и доступа персонала к конфиденциальной информации. Организация внутриобъектового режима на предприятии. Требования к помещениям, в которых хранятся носители информации.

реферат , добавлен 20.05.2012


Определение конфиденциальной информации и её основные виды. Федеральный закон "Об информации, информатизации и защите информации". Понятие коммерческой и государственной тайны. Законодательное обеспечение и инструменты контроля за сохранением тайны.

эссе , добавлен 21.09.2012


Понятие конфиденциальности и виды информации. Основные источники правового регулирования конфиденциальной информации. Угрозы информационной безопасности в России, меры по предупреждению. Организация систем защиты информации. Служебная, коммерческая тайна.

курсовая работа , добавлен 19.01.2015


Сущность и юридическая природа конфиденциальной информации (коммерческой тайны) предприятия, порядок, методы, средства, законодательная база ее защиты. Субъекты права на коммерческую тайну и их правовое положение, защита прав по законодательству Украины.

контрольная работа , добавлен 06.10.2009


Принцип информационной открытости. Способы обеспечения доступности к информации о деятельности государственных органов и органов местного самоуправления. Ответственность за нарушение законодательства в информационной сфере. Виды доступа к информации.

реферат , добавлен 15.09.2011


Основные источники правового регулирования конфиденциальной информации. Угрозы и меры по предупреждению ее утечки. Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края.

курсовая работа , добавлен 09.10.2014


Автоматизированные системы защиты от несанкционированного доступа. Положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации. Защита информации в контрольно-кассовых машинах и кассовых системах.

реферат , добавлен 03.04.2017


Проблема информационной безопасности. Уголовно-правовая и криминалистическая характеристика неправомерного доступа к компьютерной информации. Особенности первоначального этапа расследования неправомерного доступа к информации.

курсовая работа , добавлен 25.11.2004


Теоретические, законодательные основы защиты конфиденциальной информации средствами вычислительной техники. Правовое обеспечение информационной безопасности современной организации. Разработка программных средств, обеспечение качества их функционирования.

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Принципы построения разрешительной системы доступа:

Надежность, т.е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;

Полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

Конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;

Производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

Строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

Ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;

Строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

Обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

Беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

Исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников). Разрешительная система включает в себя две составные части:

Допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.

Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.

Доступ — практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

Наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа

С данной, конкретной информацией;

Наличие подписанного сторонами трудового договора (контракта)» имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

Соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

Знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;

Наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

Наличие систем контроля за работой сотрудника.

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.

Может составляться матрица полномочий, в которой по горизонтали — наименования категорий документов, по вертикали — фамилии или должности сотрудников.

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.

Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.

Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника.

При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.

Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную ответственность.

Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере.

Можно выделить следующие главные составные части:

Доступ к персональному компьютеру, серверу или рабочей станции;

Доступ к машинным носителям информации, хранящимся вне ЭВМ;

Непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

Определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

Регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

Организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

Организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»).

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

Организацию учета и выдачи сотрудникам чистых машинных носителей информации;

Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных);

Определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

Организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамикиизменениясостава записанной информации;

Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

Организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

Определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

Именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

Регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

Регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

Установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

Механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.

Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.