 |
Правовые методы защиты информации предприятия. Нормативно-методические документы по обеспечению безопасности информации.
|
|
|
|
Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
• наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
• формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Нормативное обеспечение системы защиты конфиденциальной информации предназначено для регламентации процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
|
|
|
Нормативно обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах фирмы и определять правовой статус информационной безопасности фирмы. Указанные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность и тайну фирмы, и выполнять действия по ее защите. Предмет и направления защиты должны найти отражение в уставе фирмы, типовых формах контрактов различного рода и назначения, положениях о структурных подразделениях фирмы, должностных инструкциях сотрудников и других документах.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
· предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
· предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
· создавать организационные структуры по защите конфиденциальной информации;
· издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
· включать требования по защите информации в договоры по всем видам хозяйственной деятельности;
· требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
· распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;
|
|
|
· разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора»
· Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации.
· Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации.
· Администрация обязана учесть требования защиты конфиденциальной информации в правилах внутреннего распорядка.
Раздел «Кадры. Обеспечение дисциплины труда»
· Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством.
· Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями.
Раздел «Порядок приема и увольнения рабочих и служащих»
· При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении.
· Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации.
Раздел «Основные обязанности рабочих и служащих»
· Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия.
Раздел «Основные обязанности администрации»
Администрация предприятия, руководители подразделений обязаны:
· обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия;
|
|
|
· включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации;
· неуклонно выполнять требования Устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с ТК при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора.
Требования по защите конфиденциальной информации могут быть оговорены в тексте договора. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.
Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфиденциальной, документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы.
Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации.
1. Перечень сведений предпринимательской фирмы, составляющих ее тайну или являющихся особо ценными. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т.п.
|
|
|
2. Инструкция по обеспечению безопасности конфиденциальной информации фирмы, которая регламентирует:
• обязанности сотрудников фирмы при работе с конфиденциальной информацией;
• порядок доступа сотрудников к конфиденциальным документам и базам данных, оформление доступа;
• обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;
• порядок сохранения тайны фирмы при проведении совещаний, заседаний и переговоров;
• требования к помещениям для работы с конфиденциальной информацией;
• порядок охраны территории, здания, помещений, транспортных средств и персонала фирмы;
• пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;
• порядок приема, учета и контроля деятельности посетителей;
• требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;
• организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники;
• ответственность сотрудников фирмы за разглашение конфиденциальной информации и утрату ценных документов.
3. Инструкция по обработке, хранению и движению конфиденциальных документов фирмы. Она регламентирует организацию работы сотрудников службы КД, менеджера (референта) по безопасности, управляющего делами фирмы, секретаря-референта первого руководителя.
Основные разделы Инструкции:
• структура защищенного документооборота фирмы;
• установление, изменение и снятие грифа конфиденциальности документов;
• порядок составления, учета, изготовления и издания конфиденциальных документов;
• копирование и размножение документов;
• прием и распределение поступивших документов;
• учет (регистрация) поступивших документов;
• отправка и рассылка документов;
• порядок передачи документов в процессе их рассмотрения и исполнения;
• контроль исполнения документов;
• порядок систематизации документов и формирования дел;
• порядок передачи документов и дел в архив фирмы, уничтожения документов и дел с истекшим сроком хранения;
• оперативное (текущее) и архивное хранение дел;
• проверка наличия документов, дел, баз данных и носителей конфиденциальной информации;
|
|
|
• правила хранения и использования бланков документов, печатей и штампов.
В приложении к инструкции даются учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов.
Информационные (методические, советующие, обучающие) документы (правила, требования, указания, методики, памятки и т.п.), детализирующие процессы защиты информации, носят, вместе с тем, обязательный характер и устанавливают порядок работы с конфиденциальной информацией и документами отдельных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику.
Прежде всего, следует выделить Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных. Правила регламентируют:
• порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации;
• рассмотрение документов руководителем и адресования их исполнителям;
• порядок передачи и получения документов исполнителями;
• ознакомление исполнителей с содержанием документов и решением по ним руководителя;
• составление и изготовление документов исполнителями;
• работу руководителя с подготовленными документами;
• порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя;
• проверку наличия конфиденциальных документов и баз данных на рабочем месте руководителя и исполнителя;
• порядок ведения телефонных переговоров, факсимильной переписки;
• особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой;
• порядок работы с конфиденциальными документами за пределами фирмы, в командировках, транспорте, порядок хранения документов;
• обеспечение сохранности документов и баз данных во внерабочее время.
Информационные документы регламентируют также требования по единообразному выполнению персоналом определенных видов типовых действий. Так, Правила обеспечения безопасности секретов фирмы и конфиденциальной информации в экстремальных ситуациях включают в себя классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов фирмы, информации и документов и регламентируют:
• порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;
• порядок (при необходимости — план) эвакуации и оказания помощи персоналу;
• порядок охраны имущества фирмы, оборудования и технических средств защиты информации;
• порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т.п.);
• порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций.
Рассмотренные нормативные документы отражают действующую в фирме систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись. Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкций сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация. Контроль за соблюдением сотрудниками фирмы изложенных в документах требований возлагается на службы: безопасности, конфиденциальной документации, персонала, а в некрупных фирмах — на менеджера по безопасности.
|
|
|
