Информационная безопасность и её роль на предприятии

Совокупность способов обеспечения информационной безопасности может быть подразделена на общие и частные, применение которых обусловливается масштабностью защитных действий.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Организация подготовки и проведения совещаний  
и переговоров по конфиденциальным вопросам.  

 

1. Защита информации при проведении  совещаний и переговоров. 

 

Конфиденциальными именуются обычно совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну предприятия или его партнеров. Порядок проведения подобных совещаний и переговоров регламентируется специальными требованиями, обеспечивающими безопасность конфиденциальной информации, которая в процессе этих мероприятий распространяется в разрешенном режиме.

Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо.

Общеизвестны причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах, это:

- слабое знание сотрудниками  состава ценной информации и  требований по ее защите;

- умышленное невыполнение  этих требований;

- провоцированные и  неспровоцированные ошибки сотрудников;

- отсутствие контроля  рекламной и рекламно-выставочной деятельности и др.

Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов.

Выделяют следующие этапы проведения конфиденциальных совещаний и переговоров:

- подготовка к проведению;

- процесс их ведения  и документирования;

- анализ итогов и  выполнения достигнутых договоренностей (рис. 1).

Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает директор предприятия. Решение директора о предстоящем конфиденциальном совещании доводится до сведения руководителя секретариата, секретаря-референта, специалиста по защите конфиденциальной информации и начальника службы безопасности. В целях дальнейшего контроля подготовки и проведения такого совещания информация об этом решении фиксируется в учетной карточке, в которой указываются: наименование совещания, дата, время, состав участников по каждому вопросу и руководитель, ответственный за проведение. 

 

 

 

 

 

Рис. 1. Этапы проведения конфиденциальных совещаний и переговоров. 

 

Доступ сотрудников предприятия на любые конфиденциальные совещания осуществляется на основе действующей разрешительной системы доступа персонала к конфиденциальной информации.

Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками предприятия, разрешается только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса.

Ответственность за обеспечение защиты ценной информации и сохранение тайны предприятия в ходе совещания несет руководитель, организующий данное совещание. Сотрудники службы безопасности оказывают ему помощь и осуществляют перекрытие возможных организационных и технических каналов утраты информации.

Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников предприятия, допущенных к работе с конкретной ценной информацией, составляющей тайну предприятия или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания.

В процессе подготовки конфиденциального совещания составляются программа проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», изготовляться и издаваться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы, предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса.

Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники предприятия, которые имеют непосредственное отношение к этому вопросу. Это правило касается и руководителей.

Документы, составляемые при подготовке конфиденциального совещания, на котором предполагается присутствие представителей других фирм и организаций, согласовываются с руководителем службы безопасности. Отмеченные им недостатки в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание.

Одновременно с визированием подготовленных документов руководитель службы безопасности и ответственный организатор определяют место проведения совещания, порядок доступа участников в это помещение, порядок документирования хода совещания, а также порядок передачи участникам совещания оформленных решений и подписанных документов.

Конфиденциальное совещание проводится в специальном помещении и оборудованном средствами технической защиты информации. Доступ в такие помещения сотрудников предприятия и представителей других организаций разрешается только руководителем службы безопасности.

Перед началом конфиденциального совещания, сотрудник службы безопасности обязан убедиться в отсутствии в помещении несанкционированно установленных аудио- и видеозаписывающих или передающих устройств, а также в качественной работе средств технической защиты на всех возможных каналах утечки информации. Помещение должно быть оборудовано кондиционером, так как открытие окон, дверей в ходе совещания не допускается. Окна закрываются светопроницаемыми шторами, входная дверь оборудуется сигналом, оповещающим о ее неплотном закрытии. В целях звукоизоляции целесообразно иметь двойную дверь или зашторивать двери звукопоглощающей тканью.

В помещении для проведения конфиденциальных совещаний не должны находиться приборы, оборудование и технические средства, которые непосредственно не используются для обеспечения хода совещания. Документирование, аудио- и видеозапись конфиденциальных совещаний ведутся только по письменному указанию директором предприятия одним из сотрудников, готовивших совещание.

Доступ участников на конфиденциальное совещание осуществляет ответственный организатор под контролем сотрудника службы безопасности в соответствии с утвержденным списком и предъявляемыми участниками персональными документами. Перед началом обсуждения каждого вопроса состав присутствующих корректируется. Нахождение на совещании лиц, не имеющих отношения к обсуждаемому вопросу, не разрешается.

Обычно при открытии совещания организовавший его руководитель должен напомнить участникам о необходимости сохранения производственной и коммерческой тайны и уточнить, какие конкретные сведения являются конфиденциальными на данном совещании.

Участникам конфиденциального совещания, независимо от занимаемой должности и статуса на совещании, не разрешается:

- вносить на совещание  фото-, и видеоаппаратуру, компьютеры, магнитофоны, диктофоны и радиотелефоны (мобильные) и другую бытовую аппаратуру  и пользоваться ими;

- делать выписки из  документов, используемых при решении вопросов на совещании и имеющих гриф ограничения доступа;

- обсуждать вопросы, вынесенные  на совещание, в местах общего  пользования;

- информировать о совещании  любых лиц, не связанных с проведением  данного совещания, в том числе  сотрудников предприятия.

Участники совещания, нарушившие перечисленные правила, лишаются права дальнейшего присутствия на совещании.

По окончании конфиденциального совещания сотрудник службы безопасности осматривает помещение, запирает, опечатывает и сдает под охрану. Документы, принятые на совещании, оформляются, подписываются, при необходимости размножаются и передаются участникам совещания в соответствии с требованиями по работе с конфиденциальными документами предприятия. Все экземпляры этих документов должны иметь гриф ограничения доступа. Рассылать документы, содержащие строго конфиденциальную информацию, не разрешается. 

 

Тема 16-17. Организация защиты информации при приеме в организации посетителей командированных лиц и иностранных представителей.  

 

1. Организация приема посетителей в организации.  

 

Организация приема посетителей предполагает сочетание умения организовать эффективную и полезную для предприятия работу с посетителями и одновременно выполнить ее таким образом, чтобы была сохранена целостность конфиденциальной информации, а также достигнута безопасность деятельности предприятия.

Под посетителем понимается, во-первых, лицо, которому необходимо решить определенный круг деловых или личных вопросов с руководителями и специалистами предприятия, и, во-вторых, лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности предприятия.

Процесс защиты информации при приеме посетителей предполагает проведение четкой их классификации, на базе которой формируется система ограничительных и аналитических мер.

На уровне руководителей предприятия посетителей можно разделить на три категории: сотрудники предприятия, посетители, не являющиеся ее сотрудниками и иностранные граждане.

К посетителям – сотрудникам предприятия относятся:

- сотрудники, имеющие право  свободного входа в кабинет  руководителя в любое время  рабочего дня;

- сотрудники, работающие с руководителем в режиме вызова;

- сотрудники, инициирующие  свой прием руководителем в  часы приема по личным вопросам.

Угрозы информационной безопасности, исходящие от посетителей-сотрудников, могут наступить в случае, если эти сотрудники являются злоумышленниками или их сообщниками. Состав угроз может быть самым разнообразным: от кражи документов со стола руководителя до выведывания нужной информации с помощью хорошо подготовленного перечня, на первый взгляд, безобидных вопросов.

Посетители, не являющиеся сотрудниками предприятия, в соответствии с характером их взаимоотношений с фирмой могут подразделяться на:

- лиц, не включенных  в штат сотрудников, но входящих  в качестве членов в коллективный  орган управления деятельностью  предприятия;

- представителей государственных учреждений и организаций;

- сотрудничающих с предприятием  физических лиц и представителей  предприятий и организаций;

- частных лиц;

- иностранных граждан.

Перечисленные представители и лица должны находиться под особо внимательным контролем сотрудников службы безопасности, так как если они относятся к категории злоумышленников, спектр исходящей от них опасности крайне велик и определяется теми целями, которые перед ними поставлены. Утрата информации может идти по организационным или техническим каналам или в сочетании того и другого.

Особое внимание следует уделять приему иностранных граждан, поскольку вред, в случае утечки информации, может быть причинен не только данному предприятию (организации), но и интересам государства. Организациям и предприятиям, имеющим доступ и работающим с информацией составляющей государственную тайну, категорически запрещено осуществлять прием иностранных граждан без соответствующего разрешения компетентных органов.

При приеме директором предприятия любой из указанных категорий посетителей следует соблюдать следующие правила.

1. Он не должен принимать  посетителей во время работы  с конфиденциальными документами.

2. При вызове кого-либо  из сотрудников, в связи с работой  над определенным документом, на  столе руководителя должен находиться только тот документ, с которым он работает, другие документы следует хранить в запертом сейфе.

3. С целью обеспечения  информационной безопасности и  организации упорядоченной работы, директор должен выделить определенное  время, в которое он работает с документами и время, когда он ведет переговоры и прием посетителей.

Распорядок работы руководителя должен включать:

- время для ежедневного  приема сотрудников предприятия  по служебным вопросам;

- время для ежедневного  приема посетителей, не являющихся сотрудниками предприятия, но представляющих ту или иную организационную структуру;

- часы приема в разные  дни для частных лиц, которым  необходимо решить вопрос, относящийся  к компетенции руководителя. 

В часы приема указанных категорий посетителей любые сотрудники предприятия могут посещать руководителя только по вызову и только по вопросу, связанному с визитом конкретного посетителя.

Периодически выделяются часы приема сотрудников предприятия по личным вопросам.

Прием иностранных граждан осуществляется по отдельной инструкции, разрабатываемой службой безопасности предприятия. Инструкция должна включать:

- перечень информации, к которой запрещен доступ  иностранных граждан;

- порядок прохода и  нахождения иностранных граждан  на территории объекта (обязательное сопровождение, контроль проноса запрещенных предметов, список помещений, где разрешено находиться, маршруты следования по территории объекта);

- перечень лиц, допущенных  к переговорам с иностранными  гражданами;

- правила проведения  совещаний с присутствием иностранных граждан;

- дополнительные меры  защиты информации в период  нахождения на объекте иностранных  граждан.  

Как иностранных, так и российских посетителей нее допускается оставлять одних при выходе руководителя из кабинета. Во время отсутствия руководителя никто из посетителей или персонала предприятия не должен входить в его кабинет.