При выходе документов за пределы службы конфиденциальной документации их безопасность резко снижается за счет санкционированного ознакомления с ними значительного числа сотрудников фирмы. В связи с этим правильная организация работы персонала с этими документами представляется крайне важной.
Особенно велика угроза электронным документам в результате потенциальной доступности информации большому количеству сотрудников и трудности определения часто самого факта кражи информации.
Руководители и исполнители фирмы при работе с конфиденциальными документами обязаны:
знакомиться только с теми конфиденциальными документами, к которым они получили разрешение на доступ в силу должностных обязанностей;
предъявлять работнику службы конфиденциальной документации числящиеся за ними документы для проверки их наличия и комплектности;
вести учет находящихся у них конфиденциальных документов;
ежедневно по окончании рабочего дня проверять наличие документов, сдавать их на хранение в службу конфиденциальной документации;
|
|
немедленно сообщать непосредственному руководителю и в службу конфиденциальной документации об утрате или недостаче документов, обнаружении лишних или неучтенных документов, отдельных листов;
сдавать по описи в службу конфиденциальной документации все числящиеся за ними документы при увольнении, уходе в отпуск, отъезде в командировку.
Все передачи конфиденциальных документов руководителям и исполнителям должны регистрироваться в карточках учета документов. Прием и выдача документов осуществляются под роспись, что необходимо для установления факта возложения персональной ответственности за документ на конкретных сотрудников.
Руководители, выполняя процедуру рассмотрения документов, решают следующие задачи защиты информации:
принятие правильного решения по составу исполнителей, допускаемых к документу;
исключение возможности ознакомления с документом посторонних лиц;
предотвращение возможности хищения или копирования документов посетителями, секретарем и другими лицами;
исключение возможности утечки информации по техническим каналам.
При этом необходимо помнить, что посторонним лицом является любое лицо, не имеющее права доступа к данному конкретному документу, в том числе другие руководители и специалисты фирмы.
Сотрудник служба конфиденциальной документации, выдавая документы исполнителям для работы, обязан:
предотвратить выдачу документа лицу, не имеющему права доступа к нему;
зафиксировать факт передачи документа исполнителю;
|
|
обеспечить физическую сохранность документа, приложений, листов и других частей документа;
ознакомить исполнителя только с той частью документа, которая ему адресована;
предотвратить возможность ознакомления с документом постороннего лица при выдаче документа исполнителю и возврате им
документа;
обеспечить учет документов, находящихся у исполнителей. Ответственность за сохранность конфиденциальных документов и предотвращение утечки информации в подразделениях фирмы несут их руководители.
Печатание конфиденциальных документов на бумажном носителе производится сотрудником службы конфиденциальной документации на пишущей машине или с помощью ПЭВМ. Изготовлять документы может и сам исполнитель на своем рабочем месте при условии обеспечения сохранности тайны фирмы.
На последнем листе каждого экземпляра документа проставляется количество отпечатанных экземпляров, их адрес или местонахождение, фамилия и номер телефона исполнителя, фамилия оператора, печатавшего документ, и дата. При изготовлении документов не должна использоваться новая красящая лента и копировальная бумага, не должны подкладываться под валик пишущего устройства дополнительные листы бумаги. Документы не следует диктовать, наговаривать на диктофон. Окна в помещении целесообразно тонировать или зашторивать. Экран дисплея необходимо разворачивать в сторону от окна и входной двери.
Размножение конфиденциальных документов и снятие с них копий производится по письменному разрешению руководителя подразделения, в котором работает исполнитель. Дополнительно размноженные экземпляры учитываются в службе конфиденциальной документации за номером подлинника и в той же учетной форме. Выписки из конфиденциальных документов делаются также с разрешения руководителя подразделения и учитываются за новыми номерами на карточках учета подготовленных (изданных) документов.
Целевое использование сотрудниками фирмы копировальной техники следует строго контролировать. Копировальные аппараты могут размещаться в специальном помещении службы конфиденциальной документации и при необходимости в кабинетах руководителей. По окончании рабочего дня эти помещения должны запираться, опечатываться и сдаваться под охрану.
Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов сопровождается дополнительными требованиями к системе их безопасности. Для персонала централизованно разрабатывается иерархическая система идентифицирующих паролей, кодов и ключей для обеспечения разграничения доступа к информации,.
Система утверждается приказом первого руководителя и доводится выборочно в строго индивидуальном порядке до каждого сотрудника фирмы под роспись. Обновление системы должно быть постоянным, что особенно важно при частой смене персонала.
Любое санкционированное или несанкционированное обращение к информации должно регистрироваться (протоколироваться). Рекомендуется систематически проверять используемое пользователями программное обеспечение с целью обнаружения неутвержденных или необычных программ. Применение персоналом собственных (не зарегистрированных) защитных мер при работе с компьютером не допускается. При несанкционированном входе в конфиденциальный файл информация должна немедленно автоматически стираться.
Закончив работу на ПЭВМ сотрудник обязан:
перенести конфиденциальную информацию на гибкие носители информации (дискеты, диски);
стереть конфиденциальную информацию с носителей в ПЭВМ и записать шумовую информацию для предотвращения считывания остаточных сигналов;
проверить наличие гибких магнитных носителей информации по внутренней описи и сдать их в службу конфиденциальной документации;
|
|
блокировать ПЭВМ персональным ключом и отключить электропитание в помещении;
запереть и опечатать помещение, сдать его под охрану.
После изготовления конфиденциального документа на принтере и при необходимости переноса текста на дискету информация в ПЭВМ также должна быть стерта с магнитного носителя. Факт уничтожения информации подтверждается росписями исполнителя и сотрудника службы конфиденциальной документации в карточке учета изданного документа.
В службе конфиденциальной документации должны храниться регулярно обновляемые копии используемых исполнителями магнитных носителей конфиденциальной информации. Работа с электронными конфиденциальными документами разрешается только при наличии в фирме сертифицированной системы защиты компьютеров и локальной сети.
При работе с конфиденциальными документами руководители и исполнители должны быть обеспечены:
постоянным рабочим местом;
личным сейфом (металлическим шкафом) и кейсом для хранения документов;
номерной личной металлической печатью.
Ключи от сейфа и кейса, металлическая печать постоянно хранятся у руководителя или исполнителя. Дубликаты ключей должны находиться в службе конфиденциальной документации.
Рабочее место сотрудника фирмы следует разместить таким образом, чтобы исключить возможность обозрения находящихся на столе конфиденциальных документов лицами, не имеющими к ним отношения. Рабочий стол не должен просматриваться через окно из соседних домов. Помещения, в которых конфиденциальная информация обрабатывается на ПЭВМ, должны иметь защиту от технических средств промышленного шпионажа.
На рабочем столе всегда должен находиться только тот конфиденциальный документ и материалы к нему, с которыми в данный момент работает сотрудник. Другие документы следует хранить в запертом сейфе. Руководители и исполнители не должны вести какие-либо картотеки для организации работы с конфиденциальными документами и контроля за их исполнением. Очередность исполнения определяется раскладкой документов по рабочим папкам: «Ознакомление», «Согласование», «Срочно», «Задания на такое-то число» и т.п. Не разрешается хранение конфиденциальных документов в ящиках рабочего стола, в шкафах и других широко доступных местах, даже если они имеют запоры.
|
|
Если на рабочем месте руководителя или исполнителя отсутствуют необходимые условия для работы с конфиденциальными документами, то ознакомление с документами и их исполнение осуществляются в специальном помещении службы конфиденциальной документации. Здесь же ведется работа с документами особой ценности.
Все конфиденциальные документы, бумажные, магнитные носители информации, дела и другие материалы, полученные руководителем или исполнителем на срок более одного дня, вносятся службой конфиденциальной документации в опись (перечень) документов, находящихся у исполнителя. Электронный экземпляр описи находится в службе документации, а его распечатка на бумажном носителе передается исполнителю. Документы, полученные на время рабочего дня, в опись не вносятся. За полученный документ исполнитель расписывается в карточке учета. При возврате документа сотрудник службы документации расписывается и в карточке, и в описи.
Персоналу, работающему с бумажными и электронными конфиденциальными документами, запрещается:
использовать конфиденциальные сведения в публикациях, открытых документах, докладах и переписке, рекламных материалах, выставочных проспектах и информационных сообщениях;
передавать кому-либо (в том числе сотрудникам фирмы) устно или письменно конфиденциальную информацию, документы, если это не связано со служебной необходимостью и не санкционировано непосредственным руководителем;
вести переговоры, содержащие конфиденциальные данные, по незащищенным линиям связи, в неприспособленных помещениях, в присутствии посторонних лиц;
снимать копии с конфиденциальных документов и делать из них выписки без письменного разрешения непосредственного руководителя;
знакомиться с документами, делами и базами данных других сотрудников, работать за их компьютерами;
переписывать сведения из документов в личные записные книжки, дневники, календари, карточки учета работы;
вносить и пользоваться в помещениях фирмы личными фото-, видеоаппаратами, компьютерами, аудиотехникой, магнитофонами, плеерами, переговорными устройствами, техническими носителями информации (дискетами и т.п.), радиотелефонами, копировальными аппаратами;
выносить конфиденциальные документы из здания фирмы без разрешения первого руководителя, работать с конфиденциальными документами в не предназначенных для этого помещениях;
оставлять конфиденциальные документы на рабочем столе без контроля, хранить эти документы вместе с открытыми документами и материалами, оставлять без контроля ПЭВМ с загруженной конфиденциальной информацией;
разглашать сведения о характере автоматизированной обработки конфиденциальной информации на ПЭВМ и о личных идентифицирующих паролях;
разглашать сведения о составе находящихся у него конфиденциальных документов и материалов, системе их защиты и месте хранения, а также известных ему элементах обеспечения безопасности фирмы.
По окончании рабочего дня руководители и исполнители должны проверить наличие конфиденциальных документов (в том числе на магнитных носителях), убедиться в их комплектности и сдать их в службу конфиденциальной документации. Оставлять конфиденциальные документы на рабочем месте не разрешается. Сдается, как правило, каждый документ в отдельности. При наличии у сотрудника нескольких конфиденциальных документов, необходимых ему для ежедневной работы, они могут помещаться вместе с описью в специальный кейс, который запирается, опечатывается личной печатью этого сотрудника и сдается в службу конфиденциальной документации.
Следовательно, работа руководителей и исполнителей с конфиденциальными документами регламентируется достаточно жесткими требованиями к соблюдению действующего в фирме порядка обеспечения сохранности фирменных секретов. Однако возникающие ограничения в оперировании информацией нельзя рассматривать как следствие недоверия к персоналу. Соблюдение этих требований позволяет правильно организовать достаточно сложную работу с конфиденциальными документами и, что очень важно, дает уверенность сотрудникам в правильности своих действий.