Планирование
мероприятий по защите конфиденциальной
информации проводится одновременно
с планированием основной производственной
и иной деятельности предприятия.
Планирование может осуществляться
на календарный год, календарный
месяц, неделю, а также на иной
определенный срок, обусловленный
проведением важных мероприятий
(работ) по видам деятельности
предприятия, если они связаны
с вопросами конфиденциального
характера. Планы мероприятий, разрабатываемые
на срок более одного календарного
года, относятся, как правило, к стратегическому
планированию, остальные планы решают
тактические задачи.
В целях
эффективного решения задач по
защите конфиденциальной информации
в рамках наиболее важных и
масштабных работ, а также в
ходе реализации на предприятии
федеральных целевых, государственных,
ведомственных и других программ
могут разрабатываться отдельные
планы, носящие характер программно-целевого
планирования. Такими программами
могут быть реконструкция предприятия,
внедрение новых технологий, в
том числе информационных, и т.п.
Планы мероприятий
по защите информации относятся
к документам с ограниченным
доступом, учитываются и хранятся
в службе безопасности (режимно-секретном
подразделении) предприятия в порядке,
установленном для документов соответствующей
степени конфиденциальности (секретности).
Разработка
планирующих документов по защите
информации на предприятии осуществляется
службой безопасности (режимно-секретным
подразделением) в тесном взаимодействии
с подразделениями (отдельными должностными
лицами), в ведении которых находятся задачи,
непосредственно касающиеся вопросов
защиты информации (подразделение противодействия
иностранным техническим разведкам, служба
охраны, кадровый орган и др.). Кроме того,
при подготовке планов учитываются предложения
структурных подразделений предприятия,
занимающихся производственной (финансово-хозяйственной)
деятельностью или ее обеспечением.
От полноты
и качества разработки организационно-планирующих
документов в полной мере зависит эффективность
проведения мероприятий, направленных
на исключение утечки конфиденциальной
информации, утрат ее носителей, а также
возникновения предпосылок подобных происшествий.
4. Нормативно-методическая
база.
Нормативно-методическая база
– это совокупность законов, нормативно
правовых актов и методических документов,
регламентирующих технологию создания,
обработки, хранения и использования документов
в текущей деятельности учреждения, а
также регламентирующих работу службы
делопроизводства, ее структуру, функции,
штаты, техническое обеспечение и др.
Нормативно-методическая база
включает в себя:
- Законодательные акты РФ в сфере
информации и документации.
- Указы и распоряжения Президента
РФ, постановления и распоряжения Правительства
РФ, регламентирующие вопросы документационного
обеспечения на федеральном уровне.
- Правовые акты федеральных
органов исполнительной власти (министерств,
комитетов, служб, агентств и др.), как общеотраслевого,
так и ведомственного характера.
- Правовые акты органов представительной
и исполнительной власти субъектов РФ
и их территориальных образований, регламентирующих
вопросы делопроизводства.
- Правовые акты нормативного
и инструктивного характера, методические
документы по делопроизводству учреждений,
организаций и предприятий.
- Гос. Стандарты на документацию.
- Унифицированные системы документации.
- Общероссийские классификаторы
технико-экономической информации.
- Гос. система документационного
обеспечения управления. Основные требования
к документам и службам документационного
обеспечения. Этот документ ГСДОУ.
- Нормативные документы по организации
управленческого труда и охране труда.
- Нормативные документы по организации
архивного хранения документов.
4.1. Нормативно-методическое
обеспечение защиты конфиденциальной
информации.
Нормативно-методическое обеспечение
защиты конфиденциальной информации предназначено
для регламентации процессов обеспечения
информационной безопасности предприятия,
в том числе при работе персонала с конфиденциальной
информацией, документами, делами и базами
данных. Оно включает в себя ряд обязательных
организационных, инструктивных и информационных
документов, устанавливающих принципы,
требования и способы предотвращения
пассивных и активных угроз ценной информации,
которые могут возникнуть по вине персонала,
конкурентов, злоумышленников и других
лиц.
Нормативно-методическое обеспечение
базируется на тех обязательных положениях,
которые должны содержаться в учредительных
и иных основополагающих документах предприятия
и определять правовой статус информационной
безопасности предприятия. Указанные
положения позволяют на законных основаниях
вести речь о сохранении предпринимательской
тайны, выделять ценную информацию, составляющую
собственность и тайну предприятия, и
выполнять действия по ее защите. Предмет
и направления защиты должны найти отражение,
например, в уставе предприятия, типовых
формах контрактов различного рода и назначениях,
положениях о структурных подразделениях
фирмы, должностных инструкциях сотрудников
и других документах.
Важнейшими организационными
документами, фиксирующими задачи, функции
и ответственность служб, осуществляющих
защиту ценной документированной информации
фирмы, являются: положение о службе безопасности,
положение о службе конфиденциальной
документации, должностные инструкции
сотрудников этих служб, должностная инструкция
менеджера (референта) по безопасности
небольшой предпринимательской фирмы
и другие документы.
Технологические инструктивные
документы отличаются большим разнообразием
и по своему назначению, составу и содержанию
отражают избранную фирмой систему защиты
документированной информации. Можно
выделить основные, на наш взгляд, регламентирующие
документы, имеющие значение для любой
фирмы и необходимые при использовании
любой системы защиты информации или отдельных
элементов такой системы.
Прежде всего, следует назвать
Перечень сведений предпринимательской
фирмы, составляющих ее тайну или являющихся
особо ценными. Перечень предназначен
для определения состава конфиденциальных
документов и баз данных, установления
грифов ограничения доступа к бумажным
и электронным документам, определения
необходимой структуры системы защиты
информации. Содержание перечня обычно
делится на несколько частей: общую методическую
часть по способам составления перечня
и правилам работы с ним, списки конфиденциальных
сведений по структурным подразделениям
или управленческим функциям фирмы, список
видов конфиденциальных документов и
баз данных с указанием места их хранения,
срока конфиденциальности и т.п.
Другим важным регламентирующим
документом является Инструкция по обеспечению
безопасности собственной информации
предпринимательской фирмы. Она необходима
для организации работы по защите конфиденциальной
и ценной документированной информации
и включает в себя:
- Обязанности сотрудников предприятия при работе с конфиденциальной информацией»;
- Порядок доступа сотрудников
к конфиденциальным документам и базам
данных, оформление доступа»;
- Обеспечение сохранности документов
на бумажных и магнитных носителях при
работе с ними руководителей, исполнителей
(специалистов) и технического персонала»;
- Порядок сохранения тайны предприятия при проведении совещаний, заседаний и переговоров»;
- Требования к помещениям для
работы с конфиденциальной информацией»;
- Порядок охраны территории,
здания, помещений, транспортных средств и персонала
предприятия»;
- Пропускной режим помещений
фирмы, учет и порядок выдачи удостоверений,
пропусков и визуальных идентификаторов»;
- Порядок приема, учета и контроля
деятельности посетителей»;
- Требования к защите информации
в рекламной и выставочной работе, публикациях,
при интервьюировании и собеседованиях»;
- Организационное обеспечение
защиты информации в ПЭВМ и линиях связи,
при использовании в обработке документов
средств организационной техники»;
- Ответственность сотрудников
предприятия за разглашение конфиденциальной информации и утрату ценных документов».
Инструкция по обработке, хранению
и движению конфиденциальных документов
предприятия предназначена для организации
работы сотрудников службы конфиденциальной
документации, менеджера (референта) по
безопасности, управляющего делами предприятия.
Основные разделы этой инструкции:
- Структура защищенного документооборота
предприятия;
- Установление, изменение и снятие
грифа конфиденциальности документов;
- Порядок составления, изготовления
и издания конфиденциальных документов;
- Копирование и размножение документов;
- Прием и распределение поступивших документов;
- Учет (регистрация) документов;
- Отправка и рассылка документов;
- Порядок передачи документов
в процессе их рассмотрения и исполнения;
- Контроль исполнения документов;
- Порядок систематизации документов и формирования
дел;
- Порядок передачи документов и дел в архив предприятия, уничтожения документов и дел с истекшим сроком хранения;
- Оперативное (текущее) и архивное хранение
дел;
- Проверка наличия документов,
дел, баз данных и носителей конфиденциальной информации;
- Правила хранения и использования
бланков документов, печатей и штампов.
В приложении к инструкции даются
учетные и иные технологические формы,
необходимые для организации обработки,
хранения и движения документов.
Информационные (методические,
советующие, обучающие) документы (правила,
требования, указания, методики, памятки
и т. п.), детализирующие процессы защиты
информации, носят вместе с тем обязательный
характер и устанавливают порядок работы
с конфиденциальной информацией и документами
различных категорий сотрудников фирмы
или всех сотрудников в конкретных типовых
ситуациях. При необходимости они могут
составляться по каждому отдельному сотруднику.
Целесообразно выделить следующие информационные
документы.
Правила работы руководителей
и исполнителей (специалистов) предприятия
с конфиденциальными документами и базами
данных включают в себя:
- Порядок распределения документов
между руководителями и исполнителями
в соответствии с действующей системой
доступа персонала к конфиденциальной информации;
- Рассмотрение документов руководителем и адресование их исполнителям;
- Порядок передачи и получения
документов исполнителями»;
- Ознакомление исполнителей
с содержанием документов и решением по ним руководителя;
- Составление и изготовление документов исполнителями;
- Работа руководителя с подготовленными документами;
- Порядок хранения документов,
дел, носителей информации, чистых бланков
документов и штампов на рабочем месте руководителя и исполнителя;
- Проверка наличия конфиденциальных
документов и баз данных на рабочем месте руководителя и исполнителя;
- Порядок ведения телефонных
переговоров, факсимильной переписки;
- Особенности работы с ПЭВМ при
обработке конфиденциальной информации,
правила работы с копировальной техникой;
- Правила работы с конфиденциальными документами за пределами
предприятия, в командировках, транспорте, порядок хранения документов;
- Обеспечение сохранности документов
и баз данных во внерабочее время.
Правила работы менеджера по
безопасности (управляющего делами, референта)
предприятия с конфиденциальными документами
и базами данных включают в себя:
- Порядок приема и отправки конфиденциальных документов;
- Порядок учета (регистрации) документов;
- Организация доступа исполнителей к конфиденциальным документам;
- Распределение документов по
руководителям и исполнителям, ознакомление
с документами исполнителей и передача документов на исполнение;
- Формирование и ведение справочно-информационного
банка данных по конфиденциальным документам;
- Контроль исполнения документов;
- Оформление и изготовление
документов на пишущих устройствах;
- Оформление и ведение номенклатуры дел
предприятия;
- Формирование и хранение (текущее и архивное) дел предприятия;
- Порядок организации приема
руководителем посетителей, методы обеспечения безопасности руководителя;
- Защита информации при ведении
телефонных переговоров и передаче информации по факсимильной связи;
- Защита информации при работе с
ПЭВМ;
- Построение систем охраны кабинета
руководителя, приемной, сейфов, шкафов
с документацией, вычислительной и организационной
техники в рабочее и нерабочее время;
- Ответственность за нарушение
правил работы с конфиденциальной документацией и базами данных.
Правила работы менеджера по
персоналу предприятия включают в себя:
- Обязанности менеджера в области
защиты информации и работы с сотрудниками,
обладающими секретами фирмы»;
- Организация и документирование
приема сотрудников на работу»;
- Обязательства сотрудников по сохранению тайны
предприятия»;
- Контроль соблюдения персоналом
правил работы с конфиденциальными документами
и информацией»;
- Организация и документирование
переводов сотрудников на другие должности
и изменения условий контрактов»;
- Порядок формирования и ведения
личных дел сотрудников»;
- Порядок оформления и ведения
трудовых книжек сотрудников»;
- Порядок ведения справочно-информационного
банка данных по персоналу предприятия»;
- Правила и методы защиты персональных
данных»; «Организация и документирование
увольнений сотрудников, обязательства по сохранению секретов
предприятия»;
- Порядок оформления доступа
сотрудников к конфиденциальным сведениям,
документам и базам данных»;
- Принципы и направления формирования
нормального психологического климата
в коллективе, воспитания гордости персонала за свое
предприятие»;
- Психологический анализ сотрудников,
тестирование, анкетирование, инструктирование
и обучение персонала»; «Правила хранения
документов и работы с ними»; «Организация
охраны помещения службы персонала в рабочее
и •нерабочее время»;
- Ответственность менеджера
по персоналу за разглашение персональных данных о сотрудниках
предприятия и другой конфиденциальной информации».