Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

Глава 13 Безопасность информации при

осуществлении документооборота

13.1 Документооборот как один из каналов утечки

корпоративной информ ации

Информационная безопасность на предприятии не может быть

достаточной, пока наряду с другими мерами не будет организована

надежная защита информации в процессе документооборота.

Прежде всего, необходимо знать, сколько и каких доку -ментов

обращается в организации, а главное, по каким маршрутам они

перемещаются от создания до момента уничто жения (или момента,

кажущегося таковым!).

Начинается жизнь документа с его создания, и сразу же он

проходит сложный путь размножения и распространения в виде

версий и резервных копий, располагающихся в разных папках на

локальной машине и серверах, и это только те места, о которых

создатель документа изначально знает.

Но ведь есть еще временные файлы и папки для их хранения,

о которых создатель документа даже и не подозревает, а за

корректность работы с ними, в частности, за их своевременное

удаление, отвечает лишь операционная система или прикладная

программа, в которой создается документ.

Далее пути движения документа становятся еще разнооб-

разнее - это и электронная почта, по которой пересылается как сам

документ, так и ссылки на него, это и печать документа на

принтере, часто в нескольких копиях, причем пути некоторых копий

становятся неисповедимыми, так как они уходят из организации во

внешний мир, а часть их подшивается в различные папки.

Заканчивается жизненный путь документа его уничтоже нием:

бумажные копии отправляются в шредер, электронные подлежат

стиранию. Но после этого документ, скорее всего, существовать не

перестанет, так как о некоторых его электронных копиях мог забыть

сам его создатель, а некоторые могли сохраниться при резервном

копировании информации на серверах. А ведь есть еще и

бумажные копии, про некоторые из них просто могли забыть, а

некоторые являются недоступными (копии, ушедшие в другие

организации).

Какие это могут быть документы? Скорее всего, это будут

такие важные документы, как договоры, деловая переписка по

ведущимся проектам, а также соглашения об эксклюзивном

партнерстве, бухгалтерские балансы, проектная докумен тация и

т.п.

Точек, где к документу могут получить доступ посторонние, на

его жизненном пути довольно много. Электронные копии документа

можно получить с персонального компью тера или сервера.

Бумажные копии можно просмотреть еще у принтера или на столах

сотрудников. Методов, которыми посторонние получают доступ к

документам, тоже немало.

Соответственно, и методов обеспечения ИБ несколько - они

бывают и технические, и административные, и социальные.

Технические дополнительно подразделяются на методы фи-

зического контроля и контроля информационных систем.

13.2 Организация конфиденциального делопроизводства

Правильная организация конфиденциального делопроиз -

водства на предприятии является составной частью комплек сного

обеспечения безопасности информации и имеет важное значение в

достижении цели ее защиты. Как известно, специалисты,

занимающиеся в области информационной безопас ности,

утверждают, что порядка 80% конфиденциальной информации

находится в документах делопроизводства [71]. Поэтому вопросы

конфиденциального документооборота на предприятии несомненно

играют важную роль в достижении его экономических успехов.

Всю информацию в организации можно разделить на две

большие группы [71]:

- открытую;

- с ограниченным доступом.

В свою очередь информация с ограниченным доступом (рис.

13.1) может быть:

- государственной тайной;

- конфиденциальной информацией.

Рис. 13.1 Виды информации и документов

Следовательно, и документы, содержащие ту или иную

информацию подразделяются на секретные и конфиденциаль ные.

Причем, секретные документы могут быть с грифом «Секретно»,

«Совершенно секретно», «Особой важности». Конфиденциальные

документы соответственно с грифами «Коммерческая тайна»,

«Банковская тайна» и т.д. В настоящее время видов

конфиденциальной информации (а, следовательно, и возможных

грифованных документов) насчитывается более 30. Что в целом не

создает благоприятной атмосферы в смысле обеспечения их

безопасности. По этой причине количество видов

конфиденциальной информации в перспективе надо полагать

уменьшится.

Каждый вид конфиденциальных документов имеет реквизиты.

По своей природе (рис. 13.2) конфиденциальные доку менты

бывают:

- нормативно-методические (НМД);

- руководящие (РД);

- распорядительные (РПД);

- информационно-справочные (ИСД);

- организационные (ОД);

- финансово-бухгалтерские (ФБД);

- кадровые (по личному составу) КД.

Рис. 13.2 Виды конфиденциальных документов

Правила оформления реквизитов регламентированы ГОСТом

«Унифицированная система организационно-распорядительной

документации. Требования к оформлению докумен тов» (ГОСТ Р

6.30-97). Конфиденциальные документы, содержащие

коммерческую тайну, должны иметь гриф ограниче ния доступа к

документу. Он располагается в правом верхнем углу, например:

коммерческая тайна (или сокращенно КТ). Дополняется гриф

номером экземпляра, например, экз. №1.

Конфиденциальные документы должны обрабатываться в

конфиденциальном делопроизводстве фирмы, либо в общем

делопроизводстве специально назначенным должностным лицом,

ответственным за конфиденциальные документы.

Конфиденциальные документы должны храниться в отдельном

помещении в запираемых и опечатываемых шкафах. Допускается

хранение конфиденциальных документов в общем

делопроизводстве. Но обязательно они должны находить ся

отдельно от других дел делопроизводства.

В зависимости от назначения конфиденциальные документы

подразделяются на:

- входящие;

- исходящие;

- внутренние.

Прием входящих конфиденциальных документов (рис.13.3)

осуществляется сотрудником конфиденциального делопроиз-

водства.

При этом проверяется:

-количество листов;

-количество экземпляров;

-наличие приложений (если они указаны в сопроводительном

письме).

В случае отсутствия в пакете (конверте) некоторых пере-

численных документов - составляется акт в 2-х экземплярах. Один

экземпляр акта отправляется в адрес отправителя.

Регистрация конфиденциальных документов производится в

журналах регистрации (рис. 13.4), либо на карточках.

Рис. 13.3 Порядок работы с входящими конфиденциальными

документами

№

п/п

Дата

регист-

рации

доку-

мента

Дата и

номер

доку-

мента

Откуда

посту-

пил

Краткое

содер-

жание

(наиме-

нование)

Кол-во листов

Кол-

во

экз

Испол

нител

Примеч

ание

Доку-

мента

При-

ло-

жения

Рис. 13.4 Журнал регистрации входящих конфиденциальных

документов

На каждом зарегистрированном документе должен про-

ставляться штамп, в котором указывается:

- наименование;

- регистрационный номер;

- дата поступления.

После регистрации документы передаются руководству фирмы

для принятия решения.

Руководитель после рассмотрения документа определя ет

исполнителя и дает указания по исполнению документа.

Эти указания оформляются на самом документе в виде ре-

золюции.

С резолюцией руководителя конфиденциальный документ

передается исполнителю под расписку в журнале регистра ции

входящих конфиденциальных документов (рис. 13.4).

По завершении работы над документом на нем проставляется

отметка о его исполнении и направлении в дело. После чего

документ сотрудником конфиденциального делопроиз водства

подшивается в дело.

Решение о дальнейшем использовании конфиденциального

документа определяется его значением и практической ценностью.

В зависимости от этого конфиденциальные документы могут:

- использоваться в дальнейшем;

- передаваться в архив на хранение;

- уничтожаться.

Все эти действия должны выполняться с соблюдением тре -

бований к конфиденциальным документам»

Работа с конфиденциальными исходящими документами

включает следующие этапы (рис. 13.5): разработка проекта

документа; согласование документа; подписание документа;

регистрация документа; отправка документа.

Рис. 13.5 Порядок работы с конфиденциальными исходящими

документами

Проект исходящего конфиденциального документа разра-

батывается исполнителем документа в 2-х экземплярах и по

необходимости согласовывается с другими специалистами фирмы.

Далее проект документа предоставляется на подпись

руководителю фирмы. После подписания документа, он реги-

стрируется сотрудником конфиденциального делопроизводства в

журнале (карточке) регистрации исходящих конфиденци альных

документов. Рассылка конфиденциальных докумен тов

осуществляется согласно подписанных руководителем списков с

обязательным указанием учетных номеров отправ ленных

документов.

Порядок работы с конфиденциальными внутренними до -

кументами показан на рис. 13.6.

Рис. 13.6 Порядок работы с конфиденциальными внутренними

документами

Выдача и возврат конфиденциальных документов должны

своевременно отражаться в журнале учета и выдачи кон-

фиденциальных документов (рис. 13.7).

№

п/п

Номер

доку-

мента

Дата

выдачи

Краткое

содер-

жание

(наиме-

нование)

Количество

Кому

выдан

(Ф.И.О.

)

Рос-

пись в

полу-

чении

Отметка

о воз-

врате

(подпись

и дата)

Прим

ечан

ие

Лис-

тов

Эк-

земп-

ляров

Рис. 13.7 Журнал учета выдачи конфиденциальных документов

При получении конфиденциального документа сотрудник

должен сверить номер полученного документа с его номером в

журнале, проверить количество листов и расписаться за

полученный документ. При возврате конфиденциального документа

сотрудник конфиденциального делопроизводства должен сверить

номер этого документа с номером в журнале, проверить количество

листов документа и в присутствии сотрудника, возвращающего

документ поставить в журнале (в соответствующей графе) свою

подпись и дату возврата доку мента.

Все дела с конфиденциальными документами и журналы их

учета вносятся в номенклатуру дел фирмы.

По окончании каждого года руководителем фирмы создается

комиссия, которая должна:

- проверить наличие конфиденциальных документов;

- определить конфиденциальные документы для архивно го

хранения;

- определить конфиденциальные документы, подлежащие

уничтожению.

Архивное хранение конфиденциальных документов про-

изводится в опечатанных коробках, в помещениях, исключа ющих

несанкционированный доступ посторонних лиц.

На конфиденциальные документы, отобранные к уничто жению

комиссией составляет акт. Акт утверждается руководителем

фирмы.

В случае утери конфиденциального документа руководи телем

фирмы создается комиссия, которая проводит рассле дование по

факту утраты данного документа. По результатам работы комиссии

руководителем фирмы принимается решение о привлечении к

ответственности лиц виновных в утрате конфиденциального

документа.

Таким образом, представленный материал в очень сокра -

щенном виде дает рекомендации по организации конфиден-

циального делопроизводства в организации, что, несомненно

поможет сотрудникам службы безопасности в обеспечении

безопасности конфиденциальной информации в целом в орга-

низации.

Раздел 4 Организационно-правовые меры

защиты информации на предприятии

Введение

Практика показывает, что построение комплексной систе мы

информационной безопасности невозможно без последовательной

реализации мер организационного и правового ха рактера. Ведь

возможности несанкционированного использования

конфиденциальных сведений в значительной мере обус -

лавливаются не техническими аспектами, а злоумышленными

действиями, нерадивостью, небрежностью и халатностью

пользователей или персонала,

В каждом конкретном случае организационные меропри ятия

носят специфическую для данной организации форму и

содержание, направленные на обеспечение безопасности ин-

формации в различных условиях. Практика показывает, что

обеспечение информационной безопасности осуществимо лишь

профессионалами, владеющими соответствующими знания ми и

навыками, и базируется на тщательно продуманной ре альной

программе действий по защите информации.

Правовые меры защиты информации обладают рядом при-

знаков, которые отличают их от прочих видов защиты дан ных:

организационных, физических, технических [111]. Юридические

средства защиты не могут физически схватить за руку

злоумышленника или преградить ему доступ к секретам фирмы.

Юридические средства выполняют особые функции, позволяющие

им занимать свое особое место в корпоратив ной системе защиты

информации. С одной стороны, юридические меры выполняют

охранительную функцию. Они формируют отношение субъектов

оборота информации к нормам и правилам такого оборота: «Не

нарушай! За нарушение накажут по всей строгости Закона». С

другой стороны - компенсационная функция: в случае нанесения

вреда законному владельцу информации Закон привлекает

нарушителя к ответственности и обязывает его возместить

причиненный ущерб.

Именно правовые меры лучше всего воздействуют на наи -

более «рисковые» группы субъектов информационного обо рота -

собственных сотрудников и контрагентов компании, доступ которых

к конфиденциальным сведениям предусмотрен выполняемыми

должностными обязанностями или договорными обязанностями.

Юридические средства защиты данных становятся в пос-