2014-02-09
3748
Целью занятия является рассмотрение вопросов, которые связаны с организационными аспектами защиты информации в том случае, если фирма, предприятие или учреждение проводит какое-то совещание.
Планирование мероприятий при подготовке к проведению совещаний:
В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы, которые содержат сведения ограниченного распространения(Перечень сведений конфиденциального характера сформулирован в россии (указ президента от 6го марта)). Предметом обсуждения могут быть вопросы конфиденциального характера, которые касаются проводимых предприятием научно-исследовательских, опытно-конструкторских и других работ, предусмотренных его уставом, а также коммерческой стороны деятельности юридического лица. Такие мероприятия могут быть внешними или внутренними, в этом случае на совещание приглашаются только сотрудники данного юридического лица. Во всех случаях решения о проведении совещания принимает непосредственно руководитель предприятия, или его заместитель. Как правило, такое решение принимается на основании мотивированного ходатайства руководителя структурного подразделения, который планирует проведение данного совещания, меры по защите конфиденциальной информации в ходе подготовки и проведения совещания, которые предпринимаются руководством предприятия и руководителями структурных подразделений, организующих совещание должны иметь комплексный характер и включать в себя правовые, организационные, организационно-технические и другие составляющие.
Характерной особенностью обеспечения информационной безопасности при этом является то, что мероприятие по защите информации проводятся как при подготовке, так и в ходе проведения совещания, а также по окончании совещания. Первостепенные значения в работе руководства и должностных лиц предприятия по защите информации занимает этап планирования конкретных мероприятий, направленных на предупреждение утечки конфиденциальной информации и на её защиту. В целях наиболее эффективного решения задач защиты во всех без исключения разрабатываемых организационно-планирующих документов, которые касаются совещания, комплексно учитываются все мероприятия независимо от их содержания и их направленности. Планируемые правовые, организационные, технические, физические и прочие мероприятия должны быть взаимоувязанными:
· По времени;
· По месту проведения;
· По исполнителям;
· По привлекаемым ресурсам.
С точки зрения организационного обеспечения все перечисленные мероприятия рассматриваются как единое целое. Планирование мероприятий по защите информации проводятся заблаговременно до начала совещания. Процесс планирования включает:
· Выработка конкретных мер
· Определение ответственных за их реализацию должностных лиц
· Определение сроков осуществления мероприятия (примечание: при планировании совещания следует предусмотреть такую очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, которые не имеют к этому прямого отношения.)
С точки зрения эффективного обеспечения ИБ организации наибольшее внимание следует уделять внешним совещаниям. Это объясняется тем, что вероятность утечки конфиденциальной информации при проведении внешних совещаний значительно выше, чем при проведении внутренних совещаний, на котором присутствуют только работники данного предприятия. Организационно совещание, которое проводится с представителями внешних субъектов, а также планирование таких совещаний организует и возглавляет руководитель предприятия. Непосредственное участие в планировании и разработке плана принимает заместитель руководителя, должностные обязанности которого включают вопросы защиты информации на всем предприятии. На данного заместителя возлагается также общая координация выполнения спланированных мероприятии при подготовке к совещанию.
Если в структуре предприятия отсутствует такая должность, то координирующую роль выполняет начальник службы безопасности предприятия или начальник режимного отдела. Разработанный план подписывается лицом, которое исполняло данный документ и утверждается:
При внешнем совещании: Руководителем организации
При внутреннем: Заместителем руководителя, который отвечает за безопасность.
Характеристика плана мероприятий по защите информации при проведении совещаний.
План мероприятий по ЗИ с участием представителей посторонней организации включает в себя следующие разделы:
· Определение состава участников, и их оповещений
· Подготовка служебных помещений, в которых планируется проведение совещаний
· Определение объема обсуждаемой информации
· Организация пропускного режима на территории и в служебные помещения, в которых будут проводиться совещания
· Организация допуска участников совещания к рассматриваемым вопросам
· Осуществление фиксации совещания(записи, фото, кино-съемка, стенограммы)
· Меры по защите информации непосредственно при проведении совещания
· Организация учета, хранения материалов совещания
· Оформление документов лиц, принимавших участие в совещании
· Проверка и обследование места проведения совещания после его окончания
· Организация контроля за выполнение требований по защите информации
Определение состава участников, и их оповещений:
В этом разделе устанавливается порядок формирования списка лиц, привлекаемых к участию в совещании, а также перечня предприятий, организаций, которым необходимо направить запросы с приглашением, а также порядок подготовки направления таких запросов. И формирование их содержания.
Подготовка служебных помещений, в которых планируется проведение совещаний:
В этом разделе указывается содержание работы по выбору служебных помещений, и проверке их соответствия требованиям о безопасности, также в этом разделе обосновывается необходимость и целесообразность принятия дополнительных организационно-технических мер, направленных на исключение утечки информации. Кроме того в этом разделе описывается работа по оборудованию рабочих мест участников совещания, в том числе и средствами организации, на которых разрешена обработка конфиденциальной информации. Отдельным параграфом в данном разделе указывается порядок использования средств звукоусиления, кино и видеоаппаратуры.
Определение объема обсуждаемой информации:
В этом разделе указывается порядок обсуждения перечня вопросов, выносимых на совещание, их очередности рассмотрения, оценка степени их конфиденциальности, а также выделение вопросов, к которым допускается узкий круг лиц, учавствующих в совещании.
Организация пропускного режима на территории и в служебные помещения, в которых будут проводиться совещания:
В этом вопросе дается характеристика и название видов пропусков, и проставляемых на них условных знаков или шифров для прохода в конкретные служебные помещения, также в этом разделе указываются вопросы учета, порядок учета хранения и выведения из действия, сроки уничтожения. В отдельном параграфе следует зафиксировать режим прохода, посещения и пребывания в помещениях участников.
Определяется количество и регламент работы основных и дополнительных КПП.
Организация допуска участников совещания к рассматриваемым вопросам:
В пятом разделе указываются мероприятия, касающиеся непосредственного допуска участников к вопросам, которые выносятся на совещании. При этом следует учитывать порядок обсуждения вопросов, и степень конфиденциальности информации, к которой допущен каждый участник совещания.
Осуществление фиксации совещания (записи, фото, видеосъемка, стенограммы):
Определяется порядок и возможные функции записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности. Необходимо указать должностные лица или подразделения, отвечающие за техническое обеспечение данных процессов.
Меры по защите информации непосредственно при проведении совещания:
Указываются порядок и способы охраны служебных помещений, меры по исключению проникновения в них посторонных лиц, а также тех участников совещания, которые не участвуют в рассмотрении некоторых вопросов. Также данный раздел содержит перечень мероприятий по предотвращению утечки информации по техническим каналам. Силы и средства, задействованные при проведении этих мероприятий, также конкретные меры исключающие визуальный просмотр и подслушивание ведущихся переговоров, и обсуждение участников совещания конфиденциальных вопросов.
Организация учета, хранения материалов совещания:
Указывается порядок учета, хранения, размножения, выдачи и уничтожения материалов совещания. Отдельным параграфом указывается порядок учета тетрадей или блокнотов, также порядок обращения с рабочими тетрадями или блокнотами, предназначенными для записи обсуждаемых вопросов. В этом разделе регламентирован порядок обращения с носителями информации в ходе совещания. Порядок учета, хранения и использования материала совещания, зафиксированных на магнитных носителях.
Оформление документов лиц, принимавших участие в совещании:
Порядок и сроки, оформления документов, подтверждающих право доступа участников совещания к информации ограниченного распространения. Предписаний для выполнения работ например, а также доверенностей на участие в совещании, командировочных предписаний и других документов.
Проверка и обследование места проведения совещания после его окончания:
В данном разделе приводятся мероприятия по организации и проведению. Отдельным параграфом данного раздела оформляются проверки с использованием специальных технических средств. Помещений, совещаний. Цель такой проверки - выявление забытых участниками совещаний технических устройств, носителей конфиденциальной информации и личных вещей.
Организация контроля за выполнение требований по защите информации:
В этом разделе указываются порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации, утрат и хищений носителей информации. Отдельным параграфом данного раздела перечисляются структурные подразделения и все должностные лица, отвечающие за осуществление контроля. Порядок и сроки предоставления ответственными должностными лицами о наличии носителей конфиденциальной информации и выявленных нарушениях в работе по защите информации. Примечание, в плане также указываются время и место проведения совещания, состав участников, перечень мероприятий, предприятий участвующих в совещании. Также для каждого мероприятия, которое включено в план определяется срок или время его проведения а также ответственные за его выполнение должностное лицо.
Внутренние совещания без приглашения сторонних организаций могут проводится без непосредственного участия службы безопасности. В этом случае ответственным за соблюдение правового режима защиты информации возлагается на руководителя подразделения, организующего совещание. С этой целью руководитель подразделения разрабатывает план подготовки проведения внутреннего совещания. При этом в подразделении назначается ответственное лицо, отвечающее за разработку плана, его согласование с другими заинтересованными подразделениями на мероприятии, службой безопасности и представление в установленном порядке на утверждение руководителю предприятия.
В план наряду с мероприятиями, направленными на реализацию основных целей совещания включаются и самостоятельные мероприятия по защите информации, их объем и количество зависят от степени конфиденциальности рассматриваемых вопросов, круга привлекаемых сотрудников, необходимости использования технических средств. После данный документ под расписку доводится до сведения всех заинтересованных лиц, в первую очередь это руководители подразделений. Контроль за выполнением мероприятий плана, направленных на ЗИ осуществляется режимным подразделением.
Организация допуска участников совещания к обсуждаемым вопросам
Главная цель допускной работы – исключение ознакомления с конфиденциальной информацией посторонних лиц, в том числе и сотрудников предприятия. Для этого реализуется комплекс мероприятий. Участники должны иметь допуск к этим сведениям по соответствующей форме. Если рассматриваются сведения конфиденциального характера, то участники совещания должны иметь оформленные в установленном порядке решения руководителя. При последовательном рассмотрении на совещании вопросов, имеющих различную степень конфиденциальности к участию в совещании по каждому из вопросов допускаются только те лица, которые имеют непосредственное отношение. С этой целью ответственное лицо, по указанию руководителя предприятия формирует список лиц, участвующих в совещании. Список составляется на основании письменных обращений руководителей предприятий. А также руководителей подразделений предприятия организатора о привлечении сотрудников этих подразделений. Список оформляется
1.Фамилия имя отчество
2.Место работы и должность
3.Номер допуска к сведениям составляющим тайну, или номер решения руководителя о допуске к конфиденциальной информации в определенной степени.
4.Номера вопросов совещания к обсуждениям которых допущен данный участник (Примечание: Подготовленный список согласовывается с режимным подразделением предприятия организатора и утверждается руководителем предприятия, то есть с тем кто проводит это совещание. Непосредственно в ходе совещания включенные в список участники проходят служебные предъявляют сотрудникам службы безопасности документ, удостоверяющий личность. А у сотрудников службы охраны должна быть выписка со списка участников совещания. В некоторых случаях участникам совещания выдают пропуска, только на период проведения совещаний. Эти пропуска отличаются от других пропусков. Участники совещания имеют право посещать только те служебные помещения, в которых будут обсуждаться вопросы, к которым эти участники имеют непосредственное отношение. Подтверждающих наличие у участников допуска к сведениям составляющим государственную тайну или разрешение на ознакомление с конфиденциальной информацией осуществляет служба безопасности предприятия организатора.
Подготовка места совещания
Подготовка места проведения совещания
Проводятся в служебных помещениях, в которых в установленном порядке разрешено обсуждение вопросов конфиденциального характера и выполнены предусмотренные нормативно-правовыми актами, и нормативно-правовыми документами. В ходе совещания разрешается использование фото-кино, видео и звукозаписывающей аппаратуры, защита которой обеспечивается в соответствии с требованиями по технической защите информации и пдтр. Проверка служебных помещений на предмет возможности обсуждения в них вопросов конфиденциального характера. С этой целью накануне совещания, эти слова накануне совещания подчеркните.
Комиссия, в состав которой входят специалисты по технической защите информации и специалисты по ПДТР, а также специалисты соответствующих подразделений, осуществляют проверку и составляют акт, под которым расписываются все члены комиссии.
Порядок проведения совещания, и использования его материалов.
Непосредственно перед началом совещания его руководитель или должностное лицо, ответственное за его проведение, обязаны проинформировать участников совещания о степени конфиденциальности обсуждаемых вопросов. В ходе совещания, в том числе и во время перерывов, сотрудник, ответственный за его проведение совместно со службой безопасности осуществляет необходимые организационные мероприятия, направленные на исключение утечки конфиденциальной информации. Во время перерывов совещаний, а также после завершения одного вопроса, и перехода к обслуживанию другого, сотрудники службы безопасности организуют контроль посещений служебных помещений, которое проводят совещание, его участниками в соответствии с утвержденным списком. На всё время проведения совещания запрещается:
· Пронос в служебное помещение индивидуальных видео и звукозаписывающих устройств, а также средств связи (В том числе мобильных телефонов). В целях обеспечения их сохранности организуется камера хранения личных вещей участников совещания.
· Звуко и видеозапись, а также кино и видеосъемка хода совещания, проводятся только с разрешения руководителя предприятия организатора на учтенных носителях, при этом должны соблюдаться требования по ЗИ.
Независимо от степени конфиденциальности рассматриваемых вопросов участникам совещания не разрешается: Информировать о факте, месте, времени проведения совещания, повестке дня, рассматриваемых вопросах, в ходе обсуждения любых лиц, не принимающих участие в совещании, и не имеющих к нему отношения; В ходе совещания проводить выписки из документов, и других носителей конфиденциальной информации, использовать при обсуждении на неучтенные в установленном порядке носители; Обсуждать вопросы, вынесенные на совещание в местах общего пользования, во время перерывов и после завершения; В ходе проведения совещания расширять объем конфиденциальной информаци, используемой в выступлениях, а также при обмене мнениями.
Носители конфиденциальной информации, которые содержат материалы совещания, как правило тетради или программы, выдаются режимным подразделением, участникам под расписку После окончания, возвращаются, контроль своевременного возврата осуществляют сотрудники, выдаются рабочие тетради или рабочие блокноты, учтенные в службе конфиденциального делооборота. Эти рабочие тетради или блокноты по окончании совещания возвращаются в службу конфиденциального делооборота. При отправке рабочие тетради или блокноты отправляются или секретной почтой или заказными письмами. Итоговые документы совещания, а также материал выступлений, в том числе и оформленные в электронном виде, высылается в те организации, которые направили на совещание своих представителей. Перечень организаций, которым необходимо направить материалы совещания определяет руководитель предприятия организатора.
