Порядок роботи персоналу з конфіденційними документами

При заповненні на конфіденційних документ одного примірника облікової картки виникає необхідність ведення контрольного журналу. Журнал призначеній для забезпечення послідовності присвоєння документам порядкових облікових номерів, контролю за наявністю документів і карток, прискорення пошуку документів. Напроти облікового номеру документу в журналі зазначається прізвище особи, яка розписалася в картці за отримання документу, тобто фіксується місцезнаходження документу.

При заповненні на документ двох або більше примірників, картки функцію контрольного журналу виконує валова картотека. Традиційний обліковий та довідково-інформаційний банк даних по конфіденційним документам звичайно включає в себе: довідкову картотеку на невиконані документи, в якій перші примірники карток розташовуються по виконавцям; валову картотеку з розділами невиконаних (для других примірників карток) і виконаних (дня перших примірників карток) документів, в якій картки розташовуються в послідовності облікових номерів документів; контрольну картотеку, в якій додаткові примірники карток розташовуються по термінам виконання документів; довідкову картотеку на виконані документи, в якій другі примірники карток розташовуються по кореспондентам. Якщо на конфіденційні документи ведеться довідкова картотека, аналогічна картотеці на відкриті документи, то частина картотеки на невиконані документи формується по виконавцям, а в частині на виконані документи картки розташовуються по рубрикам номенклатури справ (якщо нумерація документів ведеться по кожній справі окремо) або у валовій послідовності номерів документів. В обох варіантах примірники картки розміщуються одночасно в обидві частини картотеки.

По закінченні робочого дня другий співробітник служби конфіденційної документації перевіряє правильність реєстрації документів та їх наявність. В облікових формах не дозволяється робити які-небудь виправлення за допомогою коректуючої речовини або підчистки бритвою. Виправлення акуратно вписуються працівником служби конфіденційної документації біля або вище помилкового запису і завіряються його розписом. Помилковий запис закреслюється однією рискою. Облікові форми не повинні містити конфіденційні відомості. Разом з тим журнали і картотеки містять в сукупності дані обмеженого розповсюдження, у зв'язку з чим їх належить зберігати в умовах, що виключають доступ до них сторонніх осіб. Переміщення конфіденційних документів між співробітниками служби конфіденційної документації фіксується е передаточному журналі. Автоматизований обпік конфіденційних документів включає в себе наступні процедури: ввід в систему вихідних відомостей про документи і формування машинного (електронного) журналу (картотеки); контроль правильності внесених записів та їх відповідність «рахованим документам; роздруківка на паперовому носії введених записів (окремо по кожному документу або по всім документам за робочий, день) для формування традиційного журналу (картотеки); роздруківка при необхідності облікової форми (листа журналу, картки) видачі документа. В електронний журнал конфіденційні документи вносяться в хронологічній послідовності їх надходження в службу конфіденційної документації. Паперові роздруківки записів вихідних відомостей про документ внесеш в електронний журнал, забезпечують облікову функцію посвідчення факту надходження або видання документа, його місцезнаходження і місця зберігати. Роздруківки в комплексі формують традиційній обліковий журнал (картотеку), в якому записи про документи розташовуються у валовому порядку. Журнал є одночасно: описом конфіденційних документів; страховим масивом облікових даних, про документи на випадок пошкодження або знищення електронного журналу.

Автоматизований довідково-інформаційний банк даних по конфіденційних документах має допоміжне значення і ведеться разом з банком даних на паперових носіях. Автоматизований бланк даних реалізує функцію довідкового та пошукового обслуговування користувачів, контролю виконання документів і інколи роботи персоналу з електронними аналогами паперових документів. Облікова функція зберігається за традиційним банком даних. Відомості про зміну місцезнаходження документа вносяться в електронний журнал, який виконує в даному випадку роль контрольного журналу. Після виконання робиться нова роздруківка повних відомостей про документ, яка розміщується в традиційну картотеку замість роздруківки вихідних відомостей про документ, яка там знаходилась.

Видача документів виконавцям здійснюється по роздруківкам облікового журналу (карток обліку) документів, в яких фіксується розпис за отримання і повернення документів. Документи (наприклад, інвентарного обліку) можуть також видаватися під розпис в роздруківці картки обліку видачі документа. У великих підприємницьких структурах інколи використовується метод "електронного підпису" за отримання і повернення електронного документу. Подібна автоматизовані системи повинні базуватися на чітких принципах і методах розмежування доступу до інформації, мати комплексний захист від зловмисника.

Облік виданих конфіденційних документів додатково вирішує наступні завдання: попередження втрати чорновиків і варіантів документу; підтвердження фактів знищення всіх чорнових матеріалів, які виникли у процесі виконання документа; підтвердження факту передачі документу на відправку або виконання, передачі його іншим співробітникам служби конфіденційної документації. Для обліку виданих конфіденційних документів виконавець здає співробітнику служби конфіденційної документації: всі примірники підписаного керівником документу, додатки до документу (при наявності), чорновики основного документу і додатків, редакції і варіанти документу, робочі записи, документ, який став основою для складання даного документу. Про здачу та знищення вказаних матеріалів співробітник служби конфіденційної документації робить відмітку в облікових картках документів і у внутрішніх описах документів, що знаходяться у виконавця. Відмітка в обліковій картці завіряється розписами вказаного співробітника і виконавця. Факт знищення чорновика і інших матеріалів підтверджується також відміткою на копії документу, що залишається у справі служби конфіденційної документації. Наприклад: "Чорновик знищено. Дата. Підпис співробітника служби документації". Чорновики та інші матеріали знищуються у присутності виконавця шляхом спалення або подрібнення, що виключає можливість відновлення тексту. Спроби виконавців залишити у своєму розпорядженні які-небудь невраховані матеріали по виконаному конфіденційному документу повинні розглядатися керівництвом фірми як грубе порушення трудової дисципліни. Додатки до виданих конфіденційних документів є самостійними документами і мають свої облікові номера по відповідним видам обліку. Виданим конфіденціальним розпорядчим документам і протоколам присвоюється не тільки загальний валовий обліковий номер, але й порядковий номер в даній групі документів.

На інвентарний облік беруться наступні конфіденційні документи: ті, які не належать підшивці в справи, наприклад, зброшуровані документи, документи великого формату, креслярсько-графічні, науково-технічні документи, в тому числі ті, які є додатками до основних документів, фотокартки, рисунки; вилучені по якій-небудь причині із справи і переведені на виділене зберігання (створивши самостійну справу), наприклад, особливо цінні документи, документи більш широкого доступу, ніж інші документи, і т.д.; технічні носії інформації (чисті або з записаною інформацією), наприклад дискети, відео- і аудіокасети, касети з фотоплівкою і т.д.; паперові носії інформації особливо цінних документів для складення чорновиків, оригіналів документів, наприклад робочі зошити, окремі листи паперу, зошити з відривними листами і т.п.; журнали обліку документів і облікові картотеки, картотеки обліку видачі справ і документів, закінчені виробництвом справи. На інвентарний облік після заповнення довідкових карток можуть братися всі конфіденційні документи фірми, якщо об'єм таких документів невеликий. Картотека (журнал:) інвентарного обліку конфіденційних документів ведеться безперервно. Номери кожного року продовжують номери попередніх років. Інвентарний номер вказується на документі в верхньому лівому кутку першого листа, наприклад: "Інв. №__ і дата". Одночасно може формуватися електронний довідний масив по документах. Поставлені на інвентарний облік технічні носії інформації маркіруються. Маркіровка передбачає нанесення на них таких даних: інвентарного номера, або назви структурного підрозділу, прізвища виконавця. Написи роблять фарбованого речовиною, яка має добру механічну стійкість. Цією ж речовиною фарбуються гвинти або інші деталі, що скріплюють корпус касети, дискети або футляра з метою сигналізації про їх несанкціоноване відкриття. Облік конфіденційних документів дозволяє не тільки забезпечити збереження документів і організувати по ним довідково-інформаційну і контрольну роботу, але й проводити періодичні і неперіодичні перевірки наявності документів. Метою перевірки наявності конфіденційних документів є встановлення фактичної відповідності наявних документів записам в облікових формах, їх збереженню, цілісності і комплектності. Такі перевірки спонукають виконавців до ретельного дотримання правил роботи з документами і піклування про їх фізичне збереження.

Перевірка проводиться від облікових даних до документів, примірникам документів і складовим частинам кожного примірника. Регламентовані, обов'язкові перевірки наявності конфіденційних документів проводяться щоквартально і по закінченні календарного року. Не регламентовані перевірки здійснюються при зміні керівництва підрозділів, звільненні виконавця, після закінчення екстремальної ситуації, виявлення фактів загрози інформації і в інших випадках. Якщо регламентовані перевірки наявності охоплюють всі конфіденційні документи фірми, то при нерегламентованій перевірці обмежуються конкретною частішою документації. Перевірки наявності документів проводяться спеціально призначеною комісією, в яку звичайно входять: заступник керівника фірми, керівник служби безпеки та інші особи. По результатам перевірки складається акт. Щоденні перевірки наявності документів (самоперевірки) проводяться по закінченні робочого дня всіма співробітниками, що працюють з конфіденційними документами. Отже, головною метою обліку конфіденційних документів є, насамперед, формування інформаційної бази, що забезпечує постійне пильнування за збереженням кожного документу і своєчасне фіксування його місцезнаходження.

Висновки до розділу 1

Власна інформація підприємця з метою її захисту може бути віднесена до комерційної таємниці та є конфіденційною при дотриманні таких умов:

- інформація не повинна відображати негативні сторони діяльності фірми, порушення законодавства та інші подібні факти;

- інформація не повинна бути загальнодоступною чи загальновідомою;

- виникнення чи отримання інформації повинно бути законним і пов'язано з витрачанням матеріального, фінансового чи інтелектуального потенціалу фірми;

- персонал фірми повинен знати про цінність такої інформації та навчений правилам роботи з нею;

- підприємцем повинні бути виконані дії по захисту цієї інформації.

Власна цінна інформація підприємця не обов'язково є конфіденційною. Часто звичайний правовий документ важливо зберегти в цілісності та безпеці від викрадача чи стихійного лиха.

Будь-яка підприємницька діяльність завжди пов'язана із створенням, використання та зберіганням значних об'ємів інформації та документів, що представляють певну цінність для фірми які належать обов'язковому захисту від різного виду погроз. З цією метою на носії інформації позначається гриф обмеження доступу, який відносить цей носій до категорії захищених конфіденційних документів і ініціює включення по відношенню до нього системи захисних мір.

Система захисту конфіденційної інформації, яка використовується фірмою, є індивідуалізованою сукупністю необхідних елементів захисту, кожний з яких окремо вирішує свої специфічні для даної фірми задачі і володіє конкретизованим відносно цих задач змістом. В комплексі ці елементи формують багатограничний захист секретів фірми і дають відносну гарантію безпеки підприємницької діяльності фірми.

Обробка конфіденційних документів, що надійшли і відправляються, пов'язана з виконанням ряду додаткових процедур і відрізняється ускладненою технологією, що дозволяє вирішити не тільки чисто експедиційні завдання, але й завдання захисту інформації і носія від можливого несанкціонованого доступу. Облік конфіденційних документів і формування довідково-інформаційного банку даних по документам. Облік конфіденційних документів передбачає не тільки реєстрацію факсу створення (видання) або отримання документа, але й обов'язково фіксацію зсік переміщень документа по інстанціях, керівникам і виконавцям у процесі розгляду, виконання і використання документів. Облік цих документів та їх зберігання завжди централізовані в підрозділі конфіденційної документації фірми або у референта першого керівника. Голосною метою обліку конфіденційних документів є забезпечення їх фізичного збереження.

РОЗДІЛ 2. ОРГАНІЗАЦІ РОБОТИ З ДОКУМЕНТАМИ, ЩО МІСТЯТЬ КОНФІДЕНЦІЙНІ ВІДОМОСТІ

2.1 Порядок роботи персоналу з конфіденційними документами

При виході документів за межі служби конфіденційної документації їх безпека різко знижується за рахунок санкціонованого ознайомлення з ними значної кількості співробітників фірми. У зв'язку з цим правильна організація роботи персоналу з цими документами є дуже важливою. Особливо велика загроза електронним документам в результаті потенційної доступності інформації великій кількості співробітників і важкості визначення часто самого факту крадіжки інформації.

Керівники і виконавці фірми під час роботе з конфіденційними документами зобов'язані:

- знайомитися тільки з тими конфіденційними документами, до яких вони отримали дозвіл на доступ в силу посадових обов'язків;

- пред'являти працівнику служби конфіденційної документації документи, які за ним числяться, для перевірки їх наявності і комплектності;

- вести облік документів, які у них знаходяться;

- щодня по закінченні робочого дій перевіряти наявність документів, здавати їх на зберігання в службу конфіденційної документації;

- негайно повідомляти безпосередньому керівнику і в службу конфіденційної документації про втрату або недостачу документів, виявлення лишніх або неврахованих документів, окремих листів;

- здавати по опису в службу конфіденційної документації всі документи, які за ними числяться, при звільненні, перед виходом у відпустку, від'їзді у відрядження.

Всі передачі конфіденційних документів керівникам і виконавцям повинні реєструватися в картках обліку документів. Прийом та видача документів здійснюються під розпис, що необхідно для встановлення факту покладення персональної відповідальності за документ на конкретних співробітників.

Керівники, виконуючи процедуру розгляду документів, вирішують наступні завдання захисту інформації:

- прийняття правильного рішення по складу виконавців, допущених до документу;

- виключення можливості ознайомлення з документом сторонніх осіб;

- попередження можливості крадіжки або копіювання документів відвідувачами, секретарем та іншими особами;

- виключення можливості витоку інформації по технічним каналам.

При цьому необхідно пам'ятати, про сторонньою особою є люба особа, яка не має права доступу до даного конкретного документу, в тому числі інші керівники і спеціалісти фірми.

Співробітник служби конфіденційної документації, видаючи документи виконавцям для роботи, зобов'язаний:

- попередити видачу документа особі, яка не має права доступу до нього;

- зафіксувати факт передачі документу виконавцю;

- забезпечити фізичне зберігання документа, додатків, листів і інших частин документа;

- ознайомити виконавця тільки з тією частиною документа, яка йому адресована;

- попередити можливість ознайомлення з документом сторонньої особи при видачі документа виконавцю і поверненні документа;

- забезпечити облік документів, що знаходяться у виконавців.

Відповідальність за збереження конфіденційних документів і попередження витоку інформації в підрозділах фірми несуть їх керівники. Друкування конфіденційних документів на паперовому носії проводиться співробітником служби конфіденційної документації на друкарській машинці або за допомогою ПЕОМ. Виготовляти документи може й сам виконавець на своєму робочому місці при умові забезпечення збереження таємниці фірми. На останньому листі кожного примірника документу проставляється кількість надрукованих примірників, їх адреса або місцезнаходження, прізвище та номер телефону виконавця, прізвище оператора, що друкував документ, і дата. При виготовленні документів не повинна використовуватися нова фарбувальна стрічка і копіювальний папір, не повинні підкладатися від валик пишучого пристрою додаткові листи паперу. Документи не варто диктувати на диктофон. Вікна в приміщенні доцільно тонувати або зашторювати. Екран дисплея необхідно розвертати в сторону від вікна і вхідних дверей. Розмноження конфіденційних документів і зняття з них копій проводиться за письмовим дозволом керівника підрозділу, в якому працює виконавець.

Додатково розмножені примірники враховуються в службі конфіденційної документації за номером оригінала і в тій самій обліковій системі. Виписки з конфіденційних документів робляться також з дозволу керівника підрозділу і враховуються за новими номерами на картках обліку підготовлених (виданих) документів.

Цільове використання співробітниками фірми копіювальної техніки необхідно строго контролювати. Копіювальні апарати можуть розміщатися в спеціальному приміщенні служби конфіденційної документації і при необхідності в кабінетах керівників. По закінченні робочого дня ці приміщення повинні зачинятися, опечатуватися і здаватися під охорону. Розгляд та виконання електронних конфіденційних документів і електронних аналогів паперових документів супроводжується додатковими вимогами до системи їх безпеки.

Для персоналу централізовано розробляється ієрархічна система ідентифікуючих паролей, кодів і ключів для забезпечення розмежування доступу до інформації. Система затверджується наказом першого керівника і доводиться вибірково в строго індивідуальному порядку до кожного співробітника фірми під розпис. Оновлення системи повинно бути постійним, що особливо важливо при частій зміні персоналу. Любе санкціоноване або несанкціоноване звернення до інформації повинно реєструватися (протоколюватися). Рекомендується систематично перевіряти програмне забезпечення, яке використовується користувачами, з метою виявлення не затверджених або незвичайних програм.

Застосування персоналом власних (не зареєстрованих) захисних мір при роботі з комп'ютером не допускається. При несанкціонованому вході в конфіденційний файл інформація повинна негайно автоматично стиратися.

Закінчивши роботу на ПЕОМ співробітник зобов'язаний:

- перенести конфіденційну інформацію на гнучкі носії інформації (дискети, диски);

- стерти конфіденційну інформацію з носіїв в ПЕОМ і записати шумову інформацію для попередження зчитування залишкових сигналів;

- перевірити наявність гнучких магнітних носив інформації по внутрішньому опису і здати їх в службу конфіденційної документації;

- блокувати ПЕОМ персональним ключем і відключити електропостачання в приміщенні;

- закрити і опечатувати приміщення, здати його під охорону.

Після виготовлення конфіденційного документа на принтері і при необхідності переносу тексту на дискету інформація в ПЕОМ також повинна бути стерта з магнітного носія. Факт знищення інформації підтверджується підписами виконавця і співробітника служби конфіденційної документації в картці обліку виданого документа. В службі конфіденційної документації повинні зберігатися регулярно оновлюванні копії використаних виконавцями магнітних носіїв конфіденційної інформації. Робота з електронними конфіденційними документами дозволяється тільки при наявності у фірмі сертифікованої системи захисту комп'ютера і локальної мережі.

При роботі з конфіденційними документами керівники і виконавці повинні бути забезпечені постійним робочим місцем; особистим сейфом (металічним шкафом) і кейсом для зберігання документів; номерною особистою металічною печаткою. Ключі від сейфу та кейса, металічна печатка постійно зберігаються у керівника або виконавця. Дублікати ключів повинні знаходитись в службі конфіденційної документації. Робоче місце співробітника фірми необхідно розмістити таким чином, щоб виключити можливість огляду конфіденційних документів, які знаходяться на столі, особами, які не мають до них відношення. Робочий стіл не повинен проглядатися через вікно з сусідніх будинків, Приміщення, в яких конфіденційна інформація обробляється на ПЕОМ, повинні мати захист від технічних засобів промислового шпіонажу. На робочому столі завжди повинен знаходитися тільки той конфіденційний документ і матеріали до нього, з якими в даний момент працює співробітник. Інші документи необхідно зберігати в закритому сейфі.

Керівники і виконавці не повинні вести які-небудь картотеки для організації роботи з конфіденційними документами і контролю за їх виконанням. Черговість виконання визначається розкладкою документів по робочим папкам: "Ознайомлення", "Для погодження", "Терміново", "Завдання на таке-то число" і т.п. Не дозволяється зберігання конфіденційних документів в ящиках робочого столу, в шафах та інших широко доступних місцях, навіть якщо вони мають засуви. Якщо на робочому місці керівника або виконавця відсутні необхідні умови для роботи з конфіденційними документами, то ознайомлення з документами і їх виконання здійснюється у спеціальному приміщенні служби конфіденційної документації. Тут же ведеться й робота з документами особливої цінності.

Всі конфіденційні документи, паперові, магнітні носії інформації, справи та інші матеріали, отримані керівником або виконавцем на термін більше одного дня, вносяться службою конфіденційної документації в опис (перелік) документів, що знаходяться у виконавця. Електронний примірник опису знаходиться в службі документації, а його роздруківка на паперовому носії передається виконавцю. Документи, отримані на час робочого дня, в опис не вносяться. За отриманий документ виконавець розписується в картці обліку. При поверненні документу співробітник служби документації розписується і в картці, і в опису.

Персоналу, що працює з паперовими і електронними конфіденційними документами, забороняється:

- використовувати конфіденційні відомості в публікаціях, відкритих документах, доповідях і переписні, рекламних матеріалах, виставочних проспектах і інформаційних оголошеннях;

- передавати кому-небудь (в тому числі співробітникам фірми) усно або письмово конфіденційну інформацію, документи, якщо це не пов'язано зі службовою необхідністю і не санкціоновано безпосереднім керівником;

- вести переговори, які містять конфіденційні дані, по не захищеним лініям зв'язку, в не пристосованих приміщеннях, в присутності сторонніх осіб;

- знімати копії з конфіденційних документів і робити з них виписки без письмового дозволу безпосереднього керівника;

- знайомитися з документами, справами і базами даних інших співробітників, працювати за їх комп'ютерами;

- переписувати відомості з документів в особові записні книжки, щоденники, календарі, картки обліку роботи; вносити і користуватися в приміщеннях фірми особистими фото-, відеоапаратами, комп'ютерами, аудіотехнікою, магнітофонами, плеєрами, переговорними пристроями, технічними носіями інформації (дискетами і т.п.), радіотелефонами, копіювальними апаратами;

- виносити конфіденційні документи з приміщення фірми без дозволу першого керівника, працювати з конфіденційними документами в не призначених для цього приміщеннях;

- залишати конфіденційні документи на робочому столі без контролю, зберігати ці документи разом з відкритими документами і матеріалами, залишати без контролю ПЕОМ з загруженою конфіденційною інформацією; розголошувати відомості про характер автоматизованої обробки конфіденційної інформації на ПЕОМ і про особисті ідентифікуючі паролі;

- розголошувати відомості про склад конфіденційних документів і матеріалів, що знаходяться у нього, систему їх захисту і місце зберігання, а також відомих йому елементах забезпечення безпеки фірми.

По закінченні робочого дня керівники і виконавці повинні перевірити наявність конфіденційних документів (в тому числі на магнітних носіях), переконатися в їх комплектності і здати їх в службу конфіденційної документації. Залишати конфіденційні документи на робочому місці не дозволяється. Здається, як правило, кожний документ окремо. При наявності у співробітника декількох конфіденційних документів, необхідних йому для щоденної роботи, вони можуть поміщатися разом з описом в спеціальний кейс, який зачиняється, опечатується особистою печаткою цього співробітника і здається в службу конфіденційної документації.

Отже, робота керівників і виконавців з конфіденційними документами регламентується досить жорсткими вимогами до дотримання діючого у фірмі порядку забезпечення збереження фірменних секретів. Однак, обмеження в оперуванні інформацією, що виникають не молена розглядати як наслідок недовіри до персоналу. Дотримання цих вимог дозволяє правильно організувати досить складу роботу з конфіденційними документами і, що дуже важливо, дає впевненість співробітникам в правильності своїх, дій.

2.2 Облік і зберігання справ з конфіденційними документами

Основною формою обліку справ, що містять конфіденційні документи, є номенклатура справ поточного року, у відповідності з якою організуються формування, зберігання і перевірка наявності справ. Крім цього номенклатура входить складовою частішою в комплекс нормативних матеріалів, що забезпечують функціонування дозвільної системи доступу персоналу до конфіденційних документів. Вона складається з таким розрахунком, щоб кожний виконавець працював тільки з тими справами, які необхідні йому для виконання службових обов'язків і до яких не мають доступу інші виконавці.

Номенклатура справ, призначена для систематизації конфіденційних документів, може бути складовою частиною загальної номенклатури справ фірми або існувати в якості самостійного документа. По формі вона не відрізняється від номенклатури справ для відкритих документів. Однак додатково в ній вказуються: прізвище виконавця (виконавців), якому надано право користуватися справою, прізвище особи, відповідальної за формування та зберігання справи, інвентарний архівний номер справи, номер і дата акту про знищення, відмітка про зняття грифа конфіденційності і передачі справи на відкрите зберігання та інші відомості. Номенклатура справ враховується по картотеці підготовлених (виданих) конфіденційних документів. Після закінчення року вона підшивається у справу, що містить номенклатури за минулі роки. Справа знаходиться на інвентарному обліку. Справи формуються централізовано у службі конфіденційної документації, яка здійснює їх поточне і архівне зберігання. Зберігання справ з конфіденційними документами на робочих місцях керівників і виконавців не дозволяється. Гриф конфіденційності справи вказується на обгортці. На внутрішню сторону обгортки переноситься з номенклатури прізвище виконавця, якому справа видається для роботи. Одночасно з заведенням справи заповнюється картка обліку видачі справи. У справу входять тільки конфіденційні документи. Зберігати в одній справі конфіденційні і відкриті документи не дозволяється.

Також окремо з відмінностями по доступу зберігаються конфіденційна і відкрита інформація в пам'яті ПЕОМ. При необхідності під одним заголовком можуть заводитись конфіденційні і не конфіденційні справи. При знятті з документів грифу конфіденційності вони переміщаються в аналогічну справу без грифу, яке зберігається в канцелярії або управлінні справами фірми. Це дає можливість обмежити число конфіденційних справ і зробити їх захист більш ефективним. На початку справи розмішується внутрішній опис справи, всі виправлення, які були в неї внесені, завіряються розписами виконавця (або контролюючої особи) і співробітника служби конфіденційної документації. Нумерація листів здійснюється у процесі ведення справи, при підшивці в нього документів. Одночасно відомості про підшитий документ і номери листів вносяться в опис справи.

При вилученні документа з справи нумерація листів зберігається, але відсутні листи згадуються в опису з вказанням причини вилучення документа або його частини і їх нового місцезнаходження. Замість вилучених документів у справу може поміщатися довідка-заступник, в якій вказуються підстави вилучення документа або дані про знищення. Справа може бути закрита тільки після виконання і підшивки в неї всіх документів за минулий рік. Справи, закріплені за конкретними виконавцями, можуть мати індивідуальні кольорові відмітки для контролю за їх місцезнаходженням на робочому місці. В невеликих фірмах конфіденційні документи при надходженні або виданні можуть зразу ж включатися у справу. В подальшому виконавець працює з конфіденційною справою, а не з окремим документом. В цьому випадку в опис документів, що знаходяться у виконавця, включається справа в цілому. Виконавцям не дозволяється зберігати в себе на робочому місці копії готових конфіденційних документів, виконавцями яких вони не були.

Отже, систематизація виконаних конфіденційних документів у справи призначена не тільки для вирішення завдань забезпечення пошуку і наступного використання архівних документів, але й завдати обмеження доступу персоналу до архівних документів фірми, контролю за збереженням і наявністю конфіденційних документів і справ. Захист конфіденційної інформації під час проведення нарад чи переговорів. Наради і переговори, у процесі проведення яких можуть згадуватися відомості, що складають таємницю фірми або її партнерів, мають назву конфіденційних. Дозвіл на проведення таких нарад та переговорів (далі по тексту - нарада) із запрошенням представників інших організацій і фірм дає виключно перши керівник фірми. Рішення першого керівника про конфіденційну нараду, яка має відбутися, доводиться до відома керівника служби конфіденційної документації та начальника служби безпеки. Інформація про це рішення фіксується спеціальним співробітником служби конфіденційної документації на картці обліку з метою подальшого контролю за підготовкою і проведенням такої наради.

Планові і непланові конфіденційні наради, що проходять без запрошення сторонніх осіб, проводяться першим керівником, його заступниками, відповідальними виконавцями (головними спеціалістами по напрямкам роботи) з обов'язковим попереднім інформуванням керівника служби конфіденційної документації. По факту проведення таких нарад в службі конфіденційної документації заводиться облікова картка конфіденційної документації, в якій фіксується склад розглянутих питань, прийняті рішення і склад присутніх на кожному питанні співробітників фірми.

Доступ співробітників фірми на любі конфіденційні наради здійснюється на основі діючої в фірмі дозвільної системи. Запрошення на такі наради осіб, які не є співробітниками фірми, можливо тільки у випадку крайньої необхідності їхньої участі в обговоренні конкретного питання, їх присутність при обговоренні інших питань не дозволяється.

Відповідальність за забезпечення захисту конфіденційної інформації і збереження таємниці фірми в ході підготовки і проведення конфіденційної наради несе керівник, якій організує дану нараду. Співробітник служби конфіденційної документації надає допомогу керівникам і разом зі службою безпеки здійснює контроль за перекриттям можливих організаційних і технічних каналів витоку інформації. Підготовку конфіденційної наради здійснює керівник, який її організовує, з залученням співробітників фірми, допущених до роботи з конкретною конфіденційною інформацією, що складає таємницю фірми або її партнерів. З числа цих співробітників призначається відповідальний організатор, що планує і координує виконання підготовчих заходів і проведення самої наради. В процесі підготовки конфіденційної наради складаються програма проведення наради, порядок денний, інформаційні матеріали, проекти рішень і список учасників наради по кожному питанню порядку денною. Всі документи, що складені в процес: підготовки конфіденційної наради, повинні мати гриф "Конфіденційно", складатися і оброблятися у відповідності з вимогами інструкції по обробці і зберіганню конфіденційних документів. Документи (в тому числі договори, контракти та ін.), призначені для роздачі учасникам наради, не повинні містити конфіденційні відомості. Ця інформація оголошується учасникам наради усно при обговоренні конкретного гасання.

Цифрові значення найбільш цінної інформації (технічні і технологічні параметри, суми, відсотки, терміни, об'єми і т.п.) в проектах рішень та інших документів не вказуються або фіксуються в якості загальноприйнятого значення, характерного для угод подібного роду і які є стартовою величиною при обговоренні. В проектах не повинно бути розвернутих обгрунтувань наданих пільг, скидок або позбавлення пільг тих чи інших партнерів, клієнтів. Документи, що роздаються учасникам наради, не повинні мати грифу конфіденційності. Список учасників наради складається окремо по кожному обговореному питанню. До участі в обговоренні питання залучаються тільки ті співробітники фірми, які мають безпосереднє відношення до цього питання. Це правило стосується і керівників. В списку учасників вказуються прізвища, імена і по батькові осіб, що займають посади, представлені ними організації (фірми) та найменування документів, що підтверджують їх повноваження вести переговори і приймати рішення. Найменування представленої фірми може при необхідності замінятися її умовним позначенням. Документом, що підтверджує повноваження особи (якщо це не перший керівник) при веденні переговорів і прийнятті рішень по конкретному питанню може слугувати лише, довіреність представленої особою фірми, рекомендаційний лист авторитетної юридичної або фізичної особи, письмова відповідь фірми на запит про повноваження представника, в окремих випадках телефонне чи факсимільне підтвердження повноважень першим керівником представленої фірми. Найменування документа, що підтверджує повноваження особи, може вноситися в список безпосередньо перед початком наради. Ці документи передаються учасниками наради відповідальному організатору для зберігання в службі конфіденційної документації. Документи, що складаються під час підготовки конфіденційної наради, на якій передбачається присутність представників інших фірм і організацій, узгоджуються з керівниками служби конфіденційної документації і служби безпеки, їх пропозиції по поміченим недолікам в забезпеченні захисту конфіденційної інформації повинні бути виправлені відповідальним організатором наради. Після цього документи затверджуються керівником, який організовував нараду. Одночасно з візуванням підготовлених документів керівники вказаних служб і відповідальний організатор визначають місце проведення наради, порядок доступу учасників наради в це приміщення, порядок документування ходу обговорення питань і прийнятих рішень, а також порядок розсипки (передачі) учасникам наради оформлених рішень і підписаних документів.

Будь-яка конфіденційна нарада проводиться в приміщенні, яке має ліцензію на проведення в ньому подібного заходу і, отже, обладнаному засобами технічного захисту інформації. Доступ в такі приміщення співробітників фірми і представників інших фірм і організацій дозволяється і здійснюється тільки співробітником служби безпеки. Перед початком конфіденційної наради співробітник служби безпеки зобов'язаний переконатися у відсутності в приміщенні аудіо- та відеозаписувальних або передавальних пристроїв і якісній роботі засобів технічного захисту на всіх можливих каналах витоку інформації Приміщення повинно бути обладнано кондиціонером, так як відкриття вікон, дверей гад час наради не допускається. Вікна зачиняються шторами, вхідні двері обладнуються сигналом, що сповіщає про їх погане закриття. З метою звукоізоляції доцільно мати двійні двері (тамбур) або зашторювати двері звукопоглинаючою тканиною. Проведення наради в інших або не пристосованих приміщеннях фірми (крім кабінету першого керівника) не дозволяється.

В приміщенні для проведення конфіденційних нарад не повинні знаходитися пристрої, обладнання і технічні засоби, які безпосередньо не використовуються для забезпечення ходу наради (наприклад, телефони міської мережі, ПЕОМ телевізійні та радіоприймачі і ін.). При необхідності вони розташовуються в сусідній, ізольованій кімнаті. Аудіо- та відеозапис конфіденційних нарад, фотографування ведуться тільки за письмовою вказівкою першого керівника фірми і здійснюється одним із співробітників фірми, що готував нараду. Магнітний або фотографічний носій інформації для цієї мети видається службою конфіденційної документації під розпис в обліковій формі і повертається в службу по скінченні робочого дня.

Доступ учасників конфіденційної наради в приміщення, в якому воно буде проводитися, здійснює відповідальний організатор наради за участю служби безпеки у відповідності із затвердженим списком і пред'явленими учасниками персональними документами. Перед початком обговорення кожного питання склад присутніх коректується. Знаходження (очікування) в приміщенні осіб, в тому числі співробітників даної фірми, що не мають відношення до питання, яке обговорюється, не дозволяється. Доцільно щоб керівник, який організував нараду, перед її відкриттям нагадав учасникам про необхідність збереження комерційної таємниці і уточнив, які конкретні відомості є конфіденційними на даній нараді.

Хід конфіденційної наради документується одним зі співробітників, що її готував, або співробітником служби конфіденційної документації. На особливо закритих нарадах цю роботу виконує безпосередньо відповідальний організатор наради. Складений протокол (стенограма) повинен мати гриф конфіденційності необхідного рівня і оформлятися в стенографічному зошиті, зареєстрованому в службі конфіденційної документації Доцільність запису учасниками ходу наради визначається керівником, який організував нараду, виходячи із змісту тієї інформації, яка оголошується. Керівник має право не дозволяти учасникам наради вести які-небудь записи або санкціонувати ведення цих записів на листах паперу, зареєстрованих в службі конфіденційної документації, з послідуючою здачею їх в що службу і доставкою кур'єрами фірми по місцю роботи учасників наради. При необхідності виклику на нараду, яка проходить, додаткових осіб (експертів, консультантів, представників інших фірм і організацій) факт їх участі в нараді фіксується в протоколі з вказанням мотивів їх виклику. Присутність цих осіб на нараді обмежується часом розгляду тієї ситуації, через яку вони були викликані.

Учасникам конфіденційної наради незалежно від займаної посади і статусу на нараді не дозволяється:

- вносити в приміщення, в якому проводиться нарада, фото-, кіно-, відеоапаратуру, комп'ютери, магнітофони, в тому числі плеєри, радіоприймач, радіотелефонії та іншу апаратуру, користуватися нею;

- робити виписки з документів, що використовуються при вирішенні питань на нараді які мають гриф обмеження доступу;

- обговорювати питання, винесені на нараду, в місцях загального користування;

- інформувати про нараду (питання порядку денного, склад учасників, час і місце проведення, хід обговорення питань, зміст рішень і т.п.) яких-небудь осіб, не пов'язаних з проведенням даної наради, в тому числі співробітників фірми.

Учасники наради, помічені в несанкціонованому аудіо- або відеозапису або використання засобів зв'язку, фотографуванні, позбавляються права подальшої присутності на нараді. По факту складається акт, копія якого направляється фірмі, представником якої є дана особа, або передається першому керівнику фірми-організатора наради, якщо ця особа є співробітником цієї фірми. Одночасно носій несанкціоновано записаної інформації передається керівнику служби конфіденційної документації для обліку і зберігання. Пристрій запису повертається власнику. В процесі наради його учасники не можуть оголошувати більший об'єм конфіденційних відомостей, ніж це було встановлено під час підготовки наради, або повідомити відомості, які не відносяться до обговорюваного питання. Склад конфіденційних відомостей, що оголошується, регламентується керівником, що організував нараду. Під час проведення переговорів по заключенню, продовженню або припинення якого-небудь договору співробітникам фірми, що приймають участь у переговорах, не дозволяється -розкривати стратегію і бажані результати переговорів, підсумки аналогічних переговорів з іншими партнерами. В процесі неофіційної частини переговорів обговорення питань, пов'язаних з темою наради, не допускається.

Після закінчення конфіденційної наради приміщення, в якому воно проходило, оглядається співробітником служби безпеки, зачиняється, опечатується і здається під охорону. Документи, які були прийняті на нараді, оформлюються, підтісуються, при необхідності множаться і розсилаються (передаються) учасникам наради у відповідності з вимогами до роботи з конфіденційними документами фірми. Всі примірники цих документів повинні мати гриф обмеження доступу. Розсилати документи, які містять строго конфіденційну інформацію, не дозволяється.

Отже, підготовка і проведення нарад і переговорів по конфіденційним питанням, оформлення їх результатів пов'язані з виконанням ряду обов'язкових процедур, необхідних для правильної організації роботи організаторів і учасників цих заходів. При недотриманні викладених вимог виникає серйозна небезпека розголошення (витоку) цінних відомостей і секретів фірми, її партнерів і клієнта.

2.3 Нормативно-методичне забезпечення захисту документованої інформації

Нормативно-методичне забезпечення захисту конфіденційної інформації призначено для регламентації процесів забезпечення інформаційної безпеки фірми, в тому числі при роботі персоналу з конфіденційною інформацією, документами, справами і базами даних. Воно включає в себе ряд обов'язкових організаційних, інструктивних і інформаційних документів, що встановлюють принципи, вимоги і способи попередження пасивних і активних загроз цінній інформації, які можуть виникнути по вині персоналу, конкурентів, зловмисників та інших осіб.

Нормативно-методичне забезпечення базується на тих обов'язкових положеннях, які повинні міститися в засновницьких та інших основоположних документах фірми і визначати правовий статус інформаційної безпеки фірми. Вказані положення дозволяють на законних підставах вести мову про збереження підприємницької таємниці, виділяти цінну інформацію, яка складає власність і таємницю фірми, і виконувати дії по її захисту. Предмет і направлення захисту повинні знайти відображення, наприклад, в статуті фірми, типових формах контрактів різного роду й призначеннях, положеннях про структурні підрозділи фірми, посадових інструкціях та інших документах.

Самими важливими організаційними документами, що фіксують завдання, функції і відповідальність служб, які здійснюють захист цінної документованої інформації фірми, є: положення про службу безпеки, положення про службу конфіденційної документації, посадові інструкції співробітників цих служб, посадова інструкція менеджера (референта) по безпеці невеликої підприємницької фірми та інші документи. Технологічні інструктивні, документи відрізняються великою різноманітністю і по своєму призначенню, складу і змісту відображають вибрану фірмою систему захисту документованої інформації.

Можна виділити головні, на наш погляд, регламентуючі документи, які мають значення для будь-якої фірми і необхідні при використанні будь-якої системи захисту інформації або окремих елементів такої системи. Передусім варто назвати Перелік відомостей підприємницької фірми, які складають її таємницю або є особливо цінними. Перелік призначений для визначення складу конфіденційних документів і баз даних, встановлення грифів обмеження доступу до паперових і електронних документів, визначення необхідної структури системи захисту інформації. Зміст переліку звичайно поділяється на декілька частин: загальну методичну частину за способами складення переліку і правилами роботи з ним, списки конфіденційних відомостей по структурним підрозділам або управлінським функціям, список видів конфіденційних документів і баз даних з вказанням місця їх зберігання, терміну конфіденційності і т.п.

Іншим важливим регламентуючим документом є інструкція по забезпеченню безпеки власної інформації підприємницької фірми. Вона необхідна для організації роботи по захисту конфіденційної і цінної документованої інформації і включає в себе:

- "Обов'язки співробітників фірми при роботі з конфіденційною документацією";

- "Порядок доступу співробітників до конфіденційних документів і баз даних, оформлення доступу" ;

- "Забезпечення збереження документів на паперових і магнітних носія, під час роботи з ними керівників, виконавців (спеціаліст) і технічного персоналу";

- "Порядок збереження таємниці фірми під час проведення нарад, засідань і переговорів";

- "Вимоги до приміщень для роботи з конфіденційною інформацією";

- "Порядок охорони території, будівлі, приміщень, транспортних засобів і персоналу фірми";

- "Пропускний режим приміщень фірми, облік і порядок видачі посвідчень, пропусків і візуальних ідентифікаторів";

- "Порядок прийому, обліку і контролю діяльності відвідувачів";

- "Вимоги до захисту інформації в рекламній і виставочній роботі, публікаціях, пі, час інтерв'ю та співбесід";

- "Організаційні, забезпечення захисту інформації в ПЕОМ та лініях зв'язку, при використанні в обробці документів засобів організаційної техніки".

Відповідальність співробітників фірми за розголошення конфіденційної інформації і втрату цінних документів" Інструкція по обробці, зберіганню і руху конфіденційних документів підприємницької фірми призначена для організації роботи співробітників служби конфіденційної документації, менеджера (референта) по безпеці, що управляє справами фірми. Головні розділи цієї інструкції: "Структура захищеного документообігу фірми" "Встановлення, зміна і зняття грифу конфіденційності документів" "Порядок складення, виготовлення та видання конфіденційних документів" "Копіювання і розмноження документів" "Прийом і розподіл документів, що надійшли" "Облік (реєстрація) документів" "Відправлення і розсипка документів" "Порядок передачі документів у процесі їх розгляду і використання" ""Контроль виконання документів" "Порядок систематизації документів і формування справ" "Порядок передачі документів і справ в архів фірми, знищення документів і справ з минулим терміном зберігання" "Оперативне (поточне) і архівне зберігання справ" "Перевірка наявності документів, справ, баз даних і носіїв конфіденційної інформації" "Правила зберігання і використання бланків документів, печаток і штампів".

В додатку до інструкції наводяться облікові та інші технологічні форми, які необхідні для організації обробки, зберігання та руху документів. Інформаційні (методичні, з порадами, навчальні) документи (правила, вимога, вказівки, методики, пам'ятки і т.п.), деталізуючі процеси захисту інформації, носять разом з тим обов'язкових характер і встановлюють порядок роботи з конфіденційною інформацією і документами різних категорій співробітників фірми або всіх співробітників в конкретних типових ситуаціях. При необхідності вони можуть складатися по кожному окремому співробітнику.

Доцільно виділити наступні інформаційні документи. Правила роботи керівників і виконавців (спеціалістів) підприємницької фірми з конфіденційними документами і базами даних включають в себе: "Порядок розподілу документів між керівниками і виконавцями у відповідності з діючою системою доступу персоналу до конфіденційної інформації '', ''Розгляд документів керівником і адресування їх виконавцям", "Порядок передачі і отримання документів виконавцями", "Складення й виготовлення документів виконавцями '', "Робота керівника з підготовленими документами" "Порядок зберігання документів, справ, носіїв інформації, чистих бланків документів і штампів на робочому місці керівника і виконавця", "Перевірка наявності конфіденційних документів і баз даних на робочому місці керівника і виконавця", "Порядок ведення телефонних переговорів, факсимільної пересилки", "Особливості роботи з ПЕОМ при обробці конфіденційної інформації, правила роботи з копіювальною технікою", "Правила роботи з конфіденційними документами за межами фірми, у відрядженнях, транспорті, порядок зберігання документів", ''Забезпечення збереження документів і баз даних у неробочий час".

Правила роботи менеджера по безпеці (керуючого справами референта) підприємницької фірми з конфіденційними документами і базами даних включають в себе: "Порядок прийому і відправки конфіденційних документів", "Порядок обліку (реєстрації) документів '', "Організація доступу виконавців до конфіденційних документів","Розподіл документів по керівникам і виконавцям, ознайомлення з документами виконавців і передача документів на виконання", "Формування і ведення довідково-інформаційного банку даних по конфіденційним документам", "Контроль виконання документів", "Оформлення і виготовлення документів на друкарських пристроях" ,"Оформлення і ведення номенклатури справ фірми", "Формування і зберігання (поточне і архівне) справ фірми", "Порядок організації прийому керівником відвідувачів, методи забезпечення безпеки керівника" "Захист інформації при веденні телефонних переговорів і подачі інформації по факсимільному зв'язку", "Захист інформації під час роботи з ПЕОМ", "Побудова систем охорони кабінету керівника, приймальної, сейфів, шкафів з документацією, обчислювальною і організаційною технікою в робочий і неробочий час", "Відповідальність за порушення правил роботи з конфіденційною документацією і базами даних"

Правила роботи менеджера тю персоналу підприємницької фірми включають в себе:

- "Обов'язки менеджера в області захисту інформації і роботи із співробітниками, які володіють секретами фірми";

- "Організація і документування прийому співробітників на роботу" "Обов'язки співробітників по збереженню таємниці фірми";

- "Контроль дотримання персоналом правил робот з конфіденційними документами і інформацією";

- "Організація і документування переводів співробітників на інші посади та зміни умов контрактів";

- "Порядок формування і ведення особових справ співробітників";

- "Порядок оформлення і ведення трудових книжок співробітників";