Принципы выбора персонала для работы с конфиденциальной информацией предприятия

Размещено на http://allbest.ru

Введение

Персонал является первостепенным и наиболее сложным элементом управления государственными и негосударственными структурами. В концепции экономической безопасности кадровая политика играет профилактическую роль по отношению к множеству видов угроз, исходящих от персонала, в том числе такой угрозы как неблагонадежность отдельных сотрудников. Если отдельный сотрудник обманет доверие, то никакая эффективная, технически оснащенная система защиты конфиденциальной информации не сможет гарантировать безопасность информации и предотвратить ее разглашение.

Каждый работодатель знает, что правильный подбор персонала - основа стратегии процветания фирмы.

В соответствии с вышеизложенным, изучение порядка подбора персонала для работы с конфиденциальной информацией в новых требуемых условиях информационной безопасности носит своевременный и актуальный характер, в связи с чем в работе к решению ставятся следующие задачи:

- дать характеристику и понятие конфиденциальной информации;

- изучить процесс приема/увольнения сотрудника на/ с работу(ы). связанную(ой) с конфиденциальной информацией;

- выявить основные характеристики личности, которыми должен область сотрудник, работающий или имеющий доступ к конфиденциальной информации;

- сделать выводы о проделанной работе.

конфиденциальный информация персонал управление



1. Понятие информации, которая считается конфиденциальной

В соответствии с пунктом 1 статьи 139 Гражданского кодекса РФ, информация считается конфиденциальной и составляет служебную или коммерческую тайну, когда имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

К конфиденциальной информации зачастую относят сведения, связанные с технологией производства, стилем управления, финансовой, торговой и другой деятельностью предприятия.

Примеры информации, которую можно (и иногда нужно) отнести к сфере конфиденциальной:

- сведения о фактах, событиях и обстоятельствах частной жизни участников, акционеров и работников компании, позволяющие идентифицировать их личность, за исключением сведений, разрешенных законом к распространению;

- научно-технические разработки: открытия, изобретения, полезные модели, конструкции, промышленные образцы, не запатентованные по каким-либо, как правило экономическим, мотивам; базы данных; секреты производства (ноу-хау);

- состав поставщиков и потребителей продукции, товаров, услуг и сырья;

- номенклатура выпускаемой продукции (по тем или иным причинам не перечисленная в прайс-листе);

- содержание конкретных предпринимательских договоров;

- себестоимость выпускаемой продукции, структура цены и условия конкретных сделок;

- сведения о предполагаемом спросе и предложении на продукцию, товары и услуги;

- текущие данные о размерах имущества компании и ее денежных средствах, сведения о запасах на складе сырья, материалов;

- сведения о товарно-денежных оборотах компании, банковских операциях, кредитах конкретных банков;

- состояние счетов в банках и расчетов компании с другими организациями;

- данные о вложении средств в доходные активы (ценные бумаги) других коммерческих организаций, в процентные облигации и займы;

- содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности;

- материалы анализа финансово-хозяйственной деятельности;

- рабочие документы органов управления;

- сведения о расчетах с персоналом по всем основаниям (заработная плата, получение ссуд, пособий, материальной помощи и т.п.);

- любые специальные знания, включая практический опыт специалистов, применяемые не только в производстве, но и в других областях предпринимательской деятельности: торговле, маркетинге, менеджменте, имеющие коммерческую ценность и разглашение которых может повлечь за собой причинение ущерба компании.

Отвечая на вопрос, какая информация является конфиденциальной, необходимо также отметить, что в перечень скрытой информации не могут быть включены данные, являющиеся общеизвестными или доступными на общих и законных основаниях, сведения о деятельности предприятия, способные нанести ущерб обществу, экологии окружающей среды, здоровью людей, а также информация, относящаяся к государственной тайне.

? Таким образом, отнести к конфиденциальной можно практически любую информацию, которая удовлетворяет признакам, перечисленным в статье 139 ГК РФ и которая не предполагает социальной и государственной опасности.



2. Организационные мероприятия при подборе и работе с персоналом, получающим доступ к конфиденциальной информации

Процессу приема сотрудника на работу, связанную с конфиденциальной информацией, предшествует ряд подготовительных аналитических этапов, которые позволяют составить точное представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми, личными и моральными качествами он должен обладать. Особенно это касается вновь вводимых должностей и новых направлений работы.

В результате выполнения указанных подготовительных мероприятий составляется описание должности - вспомогательный документ, близкий по структуре должностной инструкции, который определяет всесторонние требования к кандидату на должность.

Наличие описания должности облегчает процедуру подбора кандидатов и делает их отбор более обоснованным и объективным. Кандидаты, предварительно ознакомившись с этим документом, могут сделать достоверный вывод о соответствии своих желаний тем требованиям, которые указаны в описании должности, и в результате согласиться или отказаться от предложенной работы.

Поиск кандидата на вновь создаваемую или вакантную должность в фирме не должен носить бессистемный характер. Случайный, неизвестный фирме человек в определенной степени таит опасность как с точки зрения его профессиональной пригодности, так и - личных качеств. Особенно большие сомнения вызывает подобный метод при подборе кандидатов на должности, связанных с владением конфиденциальной информацией. Случайные кандидаты на должность обычно рассылают или разносят по учреждениям и фирмам свое резюме. Им не важно, где работать, их просто интересует работа по данной специальности.

С другой стороны, не следует отказываться от подобного метода, потому что случайный человек может оказаться идеальной кандидатурой по всем критериям. Но дело в том, что этот метод не должен быть единственным. К числу других методов можно отнести следующие:

1. Поиск кандидата внутри фирмы, особенно, если речь идет о руководителе, специалисте высокого уровня или сотруднике, работа которого будет связана с владением тайной фирмы. Этот метод дает возможность продвигать способных сотрудников по служебной лестнице и заинтересовывать подобной перспективой всех сотрудников фирмы. Перераспределение персонала в соответствии с его склонностями, профессиональной грамотностью и преданностью делам фирмы всегда дает большой положительный рост эффективности работы фирмы и с достаточной степенью гарантии обеспечивает ее информационную безопасность.

Большим преимуществом этого метода является то, что о кандидате достаточно много известно всему коллективу фирмы и судить о его профессиональных и личных качествах, соответствии предлагаемой должности можно на основании достаточного широкого круга мнений.

2. Поиск кандидатов среди студентов и выпускников учебных заведений, установление связей с подразделениями вузов, занятыми трудоустройством выпускников. Можно иметь достаточно полную информацию о профессиональных, личных и моральных качествах студентов. Очень эффективно вести поиск (даже на средних курсах) наиболее способных студентов, привлекать их в процессе учебы к работе в фирме, отплачивать их труд и, может быть, оплачивать обучение в учебном заведении, на специальных курсах, посылать на стажировку в другие страны за счет фирмы. Коллектив фирмы должен регулярно омолаживаться. Это лекарство от застоя в идеях, путь к перспективному успеху.

3. Обращение в государственные и частные бюро, агентства по найму рабочей силы, биржи труда, службы занятости, организации по трудоустройству лиц, уволенных по сокращению штатов, трудоустройству молодежи, бывших военнослужащих и т.п. Подобные агентства, помимо целенаправленного поиска необходимых специалистов высокой квалификации, организуют переподготовку специалистов по заказу фирмы, в том числе одновременно в области обеспечения информационной безопасности фирмы.

4. Рекомендации работающих в фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, т.к. с рекомендуемыми людьми сотрудникам придется работать вместе.

При подборе сотрудников для работы с конфиденциальной информацией важно не только определить пути поиска кандидатов, но и установить правовое обоснование тех ограничений во владении и использовании информации, которые неминуемо касаются данных сотрудников.

Правовой основой введения на фирме определенных ограничений на работу персонала с конфиденциальной информацией является наличие основополагающего пункта об информационной безопасности в уставе фирмы и пункта в коллективном договоре о согласии трудового коллектива соблюдать требования по защите информации и нести ответственность за невыполнение этих требований, а также соответствующего пункта в Правилах внутреннего трудового распорядка для рабочих и служащих фирмы.

Организационные мероприятия при подборе и работе с персоналом, получающим доступ к конфиденциальной информации делятся на несколько групп:

- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;

- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;

- инструктирование и обучение сотрудников практическим действиям по защите информации;

- контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений и другие группы мероприятий.

Подобные сложности в работе с персоналом определяются, прежде всего, большой ценой решения о допуске лица к тайне фирмы, а также наличием на фирме небольшого контингента сотрудников, служебные обязанности которых связаны с тайной фирмы (руководители, ответственные исполнители, секретарь-референт).

3. Порядок приема/увольнения сотрудников, работа которых связана с конфиденциальной информацией

Технологическая цепочка приема сотрудников, работа которых будет связана с владением ценной и (или) конфиденциальной информацией, включает следующие процедуры:

- подбор предполагаемой кандидатуры (кандидатур) для приема на работу или перевода, получение резюме;

- изучение резюме руководством фирмы, структурного подразделения и секретарем-референтом (при отсутствии на фирме службы персонала или менеджера по персоналу);

- знакомство (предварительное собеседование) руководства фирмы, структурного подразделения и секретаря-референта с отобранными кандидатами, беседа с ними, уточнение отдельных положений резюме; ответы на вопросы о будущей работе (без сообщения конфиденциальных сведений); изучение полученных от кандидата рекомендательных писем;

- по итогам предварительного собеседования заполнение отобранными кандидатами, не работающими на фирме, и представление секретарю-референту заявления о приеме, автобиографии, личного листка по учету кадров, копий документов об образовании, наличии ученых степеней, ученых и почетных званий, передача секретарю-референту рекомендательных писем и при наличии характеристик;

- обновление материалов личного дела работающего на фирме сотрудника; получение представления о переводе на новую должность от руководителя структурного подразделения;

- изучение секретарем-референтом достоверности представленных кандидатами документов, собеседование по документам, при необходимости подтверждение тех или иных сведений представлением дополнительных документов;

- опрос секретарем-референтом авторитетных для фирмы лиц, лично знающих кандидата на должность, протоколирование опроса;

- собеседование экспертов-психологов с кандидатами на должность с целью определения их личных и моральных качеств, собеседование с

кандидатами руководителя структурного подразделения с целью определения их профессиональных способностей; рассмотрение медицинской справки;

- при необходимости - тестирование или анкетирование кандидатов;

- по совокупности собранных материалов и их анализа принятие решения руководством фирмы об отборе единственного претендента и возможности предложить ему работу, связанную с владением тайной фирмы;

- заключительное собеседование с претендентом на должность, получение от него принципиального согласия на работу с конфиденциальной информацией;

- в случае согласия работника - подписание претендентом обязательства о неразглашении тайны фирмы, в частности, сообщенных ему конфиденциальных сведений о характере информации, с которой он будет работать, о наличии системы защиты этой информации и тех ограничениях, которые придется учитывать работнику в служебной и неслужебной обстановке;

- беседа-инструктаж руководителя структурного подразделения, руководителя службы безопасности и секретаря-референта с претендентом на должность; ознакомление претендента с должностной инструкцией, рабочими технологическими инструкциями, инструкцией по обеспечению информационной безопасности фирмы и другими аналогичными материалами;

- составление проекта контракта (трудового соглашения), содержащего пункт об обязанности работника не разглашать конфиденциальные и ценные сведения фирмы и ответственности за разглашение;

- оформление и подписание контракта (трудового соглашения);

- составление и подписание приказа о приеме на работу (или переводе на другую работу) с испытательным сроком;

- заведение личного дела на вновь принятого работника и заполнение на него необходимых учетных форм, в том числе личной карточки формы Т-2;

- внесение необходимых сведений в первичные учетные бухгалтерские документы;

- внесение соответствующей записи в трудовую книжку работника;

- изучение личных, моральных и профессиональных качеств работника в течение испытательного срока;

- обучение работника правилам работы с конфиденциальной информацией и документами, инструктажи, проверка знаний;

- анализ результатов работы сотрудника в течение испытательного срока, принятие решения о прекращении или продлении контракта и издание соответствующего приказа;

- оформление допуска сотрудника к конфиденциальной информации и документам фирмы в соответствии с его должностными обязанностями.

Особенностью технологической цепочки является то, что по итогам выполнения любой из процедур (до издания приказа о приеме или переводе) руководство фирмы или сам кандидат могут отказаться от дальнейшего продолжения процесса приема на работу.

Обычно отобранным для работы считается кандидат, у которого результаты анализа документов, собеседований, проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые препятствовали бы приему на работу с конфиденциальной информацией.

Следует учитывать, что материалы проверок и анализа кандидатов на должность (в том числе, вопросники и протоколы собеседований, заполненные тесты, анкеты, а также используемые виды тестов и "ключи" к тестам, тестовые нормы, инструкции по проведению и интерпретации и другие подобные материалы) являются строго конфиденциальной информацией. Кандидаты не должны заранее знать содержание вопросников, анкет и тестов.

Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему секретарем-референтом будут сообщены состав ценных сведений, с которыми он будет работать и порядок защиты этих сведений.

Обязательство (договорное обязательство) или подписка о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент добровольно и письменно дает согласие на ограничение его прав в отношении использования конфиденциальной информации, дает обещание не

разглашать те сведения, которые ему будут доверены или станут известны по службе.

Подобные обязательства подписывают не только претенденты на работу в данной фирме, но и все лица, тем или иным образом участвующие в работе фирмы и потенциально имеющие возможность узнать элементы тайны фирмы (например, акционеры, поставщики, работники сотрудничающих с фирмой рекламных и торговых структур, эксперты, а также служащие фирмы, которые не имеют непосредственного отношения к закрытым сведениям, однако, обладают возможностью ознакомиться с ними при исполнении служебных обязанностей.

Обязательства подписки или соглашения о неразглашении тайны фирмы не дают полной гарантии сохранения этих сведений, однако, как показывает практика, существенно снижают риск разглашения персоналом или иными лицами этих сведений, риск незаконного их использования, а также число попыток конкурентов внедрить на фирму свою агентуру.

После подписания обязательства и проведения беседы-инструктажа с претендентом заключается трудовой договор (контракт).

В контракте должен быть пункт об обязанности работника не разглашать сведения, составляющие тайну фирмы, а также конфиденциальные сведения партнеров и клиентов, обязательстве соблюдать правила защиты конфиденциальных сведений и т.п. Обязательно указывается степень ответственности за разглашение тайны фирмы или несоблюдение правил защиты информации. Обычно - расторжение трудового договора и, при необходимости, последующее судебное разбирательство.

Материалы, связанные с профессиональным и психологическим анализом данного работника (протоколы собеседований, тесты, протоколы бесед и опросов и т.п.), подшиваются в дело "Материалы по приему сотрудников на работу", но не в личное дело сотрудника. Дело с материалами имеет гриф конфиденциальности "Строго конфиденциально".

После получения допуска к конфиденциальной информации сотрудник должен быть первоначально индивидуально обучен правилам работы с документами, базами данных, с которыми ему предстоит работать. Результат обучения фиксируется в обязательстве. Отметка заверяется подписями секретаря-референта и сотрудника.

Секретарю-референту важно также помнить, что определенные особенности имеются и в процессе увольнения сотрудников, владеющих конфиденциальной информацией фирмы. Эти особенности состоят в следующем.

Технологическая цепочка увольнения сотрудника включает в себя:

- написание сотрудником заявления об увольнении с подробным раскрытием причины увольнения и желательно указанием места предполагаемой работы;

- передача заявления руководителю структурного подразделения для оформления и передачи секретарю-референту;

- прием секретарем-референтом от увольняющегося сотрудника всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, с которыми он работал, проверка их комплектности, полноты и оформление приема в описи исполнителя или актом;

- сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входить в рабочее помещение с использованием знания шифра кодового замка;

- проведение секретарем-референтом беседы с сотрудником с целью напоминания ему об обязательстве сохранения в тайне тех сведений, которые ему были доверены по службе в фирме, предупреждение сотрудника о запрещении использования этих сведений в интересах конкурента или в личных целях, выяснение причины увольнения и места новой работы;

- подписание сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;

- документальное оформление увольнения в соответствии с общими правилами; прием от сотрудника пропуска для входа в здание фирмы, выдача ему трудовой книжки и расчета по заработной плате. Стабильность кадрового состава является важнейшим направлением защиты конфиденциальной информации. Миграция специалистов - наиболее опасный и трудно контролируемый канал утраты информации. Необходим тщательный анализ причин увольнения сотрудников.



4. Качества личности, работающей с конфиденциальной информацией

При подборе персонала для работы с ценной или конфиденциальной информацией следует в первую очередь обращать внимание на личные и моральные качества кандидатов на должность, их порядочность и лишь затем - на их профессиональные знания, умения и навыки.

Важно уже на первых этапах отбора отсечь те кандидатуры, которые по формальным признакам явно не соответствуют требованиям, предъявляемым к будущему сотруднику. Особое внимание секретарь-референт должен обращать на анализ достоверности и правильности оформления персональных документов: соответствие фамилий, имен и отчеств, других персональных данных, наличие в документах необходимых отметок и записей, идентичность фотокарточек и личности гражданина (на фотографии очки, борода, парик - только при постоянном ношении), соответствие формы бланка документа годам их использования, отсутствие подчисток, незаверенных исправлений, попыток замены листов, фотографий и т.п. Все печати должны соответствовать названиям тех организаций, которые выдали документ. Например: трудовая книжка должна соответствовать форме, установленной для того периода времени, когда она была выдана, или иметь надпись "дубликат", содержать запись об увольнении с последнего места работы, заверенную печатью и т.п.

При каких-то сомнениях гражданина просят представить дубликаты испорченных документов, заверить исправления. Документы, вызвавшие явное сомнение, возвращаются гражданину и одновременно ему отказывается в рассмотрении вопроса о приеме на работу. Только после тщательного анализа представленных документов с кандидатами на должность проводится собеседование.

По мнению многих специалистов в области защиты информации при беседах и собеседованиях с кандидатами на должность преследуются следующие цели:

выявить реальную причину желания кандидата работать на данной фирме;

- выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут способствовать шпионажу;

- убедиться, что кандидат не принес с собой конфиденциальную информацию другой фирмы, которую хочет тайно использовать;

- убедиться в добровольном согласии кандидата соблюдать правила защиты информации и иметь определенные ограничения в профессиональной и личной жизни.

Ответы кандидата фиксируются и отдельные из ответов, вызывающие сомнения, уточняются путем опроса знающих кандидата лиц, путем тестирования и другими приемами (если это необходимо - с помощью частных детективных агентств).

Особое внимание обращается на правильность составления вопросников для собеседования с кандидатами на должность, логическую последовательность вопросов. Например, заготовки вопросников, должны касаться всех сторон изучаемой человеческой личности - отношение к работе, отношение к профессиональному росту, отношение к коллегам по работе, отношения в семье, поведение в конфликтных ситуациях, отношение к употреблению алкоголя и наркотиков, отношение к случайным интимным связям и т.д.

Одной из главных задач собеседования и тестирования является выявление несоответствия мотивации в различных логических группах вопросов. Например: несоответствие - хочет получать большую зарплату, но раньше ее уже получал, работал близко от дома, а хочет работать на предприятии, находящемся на значительном отдалении и т.п.

С точки зрения безопасности психологический отбор способствует:

- выявлению преступных связей, сомнительных знакомств, криминальных действий;

- определению характера преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;

- установлению факторов, свидетельствующих о морально-психологической ненадежности, неустойчивости, уязвимости психики кандидата и т.д.

К основным личным качествам, которыми должен обладать потенциальный работник, связанных с конфиденциальной информацией относятся следующие:

- порядочность, честность, принципиальность и добросовестность;

- исполнительность, дисциплинированность;

- эмоциональная устойчивость (самообладание);

- стремление к успеху и порядок в работе;

- самоконтроль в поступках и действиях;

- правильная самооценка собственных возможностей и способностей;

- умеренная склонность к риску;

- умение хранить секреты в любой обстановке и любом состоянии;

- тренированное внимание;

- хорошая память, умение вести сравнительную оценку фактов, предложений и т.д.

Личные качества, не способствующие сохранению секретов:

- эмоциональное расстройство;

- неуравновешенность поведения;

- разочарование в себе и своих способностях;

- отчуждение от коллег по работе;

- недовольство своим служебным положением;

- ущемленное личное самолюбие;

- крайне эгоистическое поведение;

- отсутствие достаточного благоразумия;

- нежелание и неспособность защищать информацию;

- нечестность;

- финансовая безответственность, желание получать деньги без особых затрат умственных и физических сил;

употребление наркотиков;

- отрицательное воздействие алкоголя, приводящее к болтливости, необдуманным поступкам, случайным знакомствам и связям и т.д.

Психологический отбор, как утверждают специалисты, не заменяет прежние, достаточно надежные кадровые процедуры (анализ документов, собеседование, опросы сослуживцев и лиц, знающих кандидата, оперативная проверка в правоохранительных органах и т.д.). Только при умелом сочетании традиционных и психологических кадровых методов анализа можно с высокой степенью достоверности прогнозировать поведение сотрудников в различных, в том числе экстремальных ситуациях.

При проведении любых экспертных мероприятий (собеседования, тестирования и т.п.) надо быть абсолютно уверенным в том, что перед вами именно тот человек, который выступает в роли кандидата на должность. Это подразумевает тщательную проверку паспортных данных, фотографий и самого претендента. Очки, парики, макияж и т.п. могут резко изменять внешность испытуемого. Целесообразны цветные фотографии, дающие возможность сравнить цвет глаз, волос, кожи лица. Ход собеседования может фиксироваться в аудио-, видеорежиме.

5. Грифы ограничения доступа к документам, содержащим конфиденциальную информацию

Порядок проставления грифов ограничения доступа на документах, содержащих конфиденциальную информацию, менее определен. Законодательством установлены грифы (отметки) ограничения доступа к документам, содержащим коммерческую тайну и служебную тайну. Для документов, содержащих другие виды конфиденциальной информации, гриф ограничения доступа определяется собственником или пользователем информации.

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (в ред. от 24.07.2007) устанавливает, что коммерческая тайна - это конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Закон устанавливает меры по охране конфиденциальности информации, относимой к коммерческой тайне, принимаемые ее обладателем. Они включают в себя:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Таким образом, закон четко определяет вид грифа - «Коммерческая тайна» и состав дополнительных сведений, также наносимых на документ.

Порядок работы со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и подведомственных им организациях установлен постановлением Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти». Требования данного Положения распространяются на порядок обращения не только с документами на бумажном носителе, но и со служебной информацией ограниченного распространения на иных материальных носителях (фото-, кино-, видео- и аудиопленка, машинные носители информации и др.).

Постановлением установлено, что на документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».

Необходимость проставления этой пометки на документах и изданиях, содержащих служебную информацию ограниченного распространения, определяется исполнителем и должностным лицом, подписывающим или утверждающим документ. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.

Порядок снятия пометки «Для служебного пользования» с носителей информации ограниченного распространения определяет руководитель федерального органа исполнительной власти.

Изготавливаются документы, содержащие информацию ограниченного распространения, в машинописном бюро федерального органа исполнительной власти или подведомственной ему организации. Наряду с пометкой «Для служебного пользования» на обороте последнего листа каждого экземпляра документа машинистка должна указать количество отпечатанных экземпляров, фамилию исполнителя, свою фамилию и дату печатания документа.

Обратите внимание

В случаях, когда законодательством не установлена форма грифа (пометки) ограничения доступа к документам, содержащим конфиденциальную информацию, собственник или пользователь информации может принимать решения о применении какого-либо грифа. При этом чаще всего используется гриф «Конфиденциально». Он удобен тем, что не раскрывает характера информации, содержащейся в документе, в отличие, например, от таких грифов, как «Банковская тайна», «Налоговая тайна» и др., применяемых для обозначения сведений, связанных с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами.

Наряду с грифом «Конфиденциально» может использоваться гриф «Строго конфиденциально» для обозначения более высокого уровня конфиденциальности. Порядок установления этих грифов должен регламентироваться внутренними нормативными документами организации, работающей с документами конфиденциального характера.

6. Уничтожение документов

Документ, содержащий сведения конфиденциального характера, попавший в руки конкурентов, может нанести огромный ущерб предприятию. Определённые виды информации, например, финансовая, ноу-хау, данные о персонале или договорах нуждаются в особой защите. Причиной утечки информации могут стать копии и черновики документов, выброшенные в корзину для бумаг, небрежно разбросанные на рабочих столах, и даже неправильно утилизированные документы, предназначенные для уничтожения. Поэтому так важно уничтожать документацию без возможности её восстановления.

Для этой цели используют специальные устройства - уничтожители или шредеры (от англ., яз, - резать, рвать, уничтожать).

Основными характеристиками шредеров являются:

- способ резки;

- степень секретности;

- производительность;

- ширина приёмной части;

- уровень шума.

По способам резки уничтожители документов подразделяются на два типа: с параллельной резкой - резка на полосы различной ширины; с перекрёстной (продольно - поперечной) резкой на более мелкие фрагменты. Шредер выбирается в зависимости от уровня секретности используемых на предприятии документов. Чем выше степень измельчения уничтоженного документа, тем сложнее его восстановить.

Уничтожители подразделяются на следующие группы:

- персональные (для небольших офисов, для отдельных рабочих мест);

- офисные (для отделов, малых и больших офисов);

- архивные (для уничтожения больших объёмов документов).

7. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.

Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).

Не рекомендуется располагать ЗП на первых этажах зданий.

Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.

Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплутационной документацией на них.

Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.

Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

Для исключения возможности скрытного проключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).

В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.

Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.

При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).

В случае использования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфиденциальных мероприятий.

В случае размещения электрочасовой станции внутри КЗ использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации

При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.

Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.

В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.

Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.

Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.

При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.

Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.

Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.

Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.

Для этой цели должны применяться сертифицированные средства активной защиты.

При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:

· двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;

· выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

· установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).

8. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов

В качестве оборудования систем звукоусиления, предназначенных для обслуживания проводимых в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, содержащих конфиденциальные сведения, необходимо использовать оборудование, удовлетворяющее требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). В случае необходимости, для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошедшее специальные исследования и имеющее предписание на эксплуатацию.

Системы звукоусиления должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться в пределах КЗ.

С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, т.е. следует отдавать предпочтение системам с большим количеством оконечных устройств малой мощности перед системами с малым количеством оконечных устройств большой мощности.

В качестве оконечных устройств рекомендуется использовать звуковые колонки, выпускаемые в защищенном исполнении.

Можно использовать выпускаемые в обычном исполнении громкоговорители с экранированными магнитными цепями (например: 0,5ГДШ-5, 0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3, 2ГДШ-4, 3ГДШ-1) или укомплектованные ими звуковые колонки (например: 2КЗ-7, 6КЗ-8, 12КЗ-18).

В этом случае звуковые колонки (громкоговорители) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 1 мм2, заземляемой через экранирующую оплетку подводящего кабеля.

В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и выходными цепями. В случае использования аппаратуры с несимметричным выходом, линии оконечных устройств следует подключать к оконечным усилителям через симметрирующие трансформаторы, устанавливаемые в непосредственной близости от оконечных усилителей.

В качестве усилительного оборудования рекомендуется использовать усилители в металлических экранах с возможностью их заземления.

Коммутационное и распределительное оборудование (распределительные, входные и выходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособления для опечатывания.

Усилительное и оконечное оборудование СЗУ, СЗСК следует размещать на возможно большем расстоянии относительно границы контролируемой зоны.

Система электропитания и заземления должна соответствовать требованиям "Правил устройства электроустановок (ПУЭ)".

Рекомендуется электропитание и заземление аппаратуры СЗУ и СЗСК осуществлять от подстанции и на заземлитель, расположенные в пределах КЗ.

9. Защита информации при проведении звукозаписи

Запись и воспроизведение конфиденциальной речевой информации аппаратурой звукозаписи разрешается производить только в ЗП.

Для записи (воспроизведения) конфиденциальной информации должны применяться магнитофоны (диктофоны), удовлетворяющие требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации или прошедшие специальные исследования и имеющие предписание на эксплуатацию.

Носители информации (магнитные ленты, кассеты) должны учитываться и храниться в подразделениях учреждения (предприятия) в порядке, установленном для конфиденциальной информации.

В учреждении (предприятии) должно быть назначено должностное лицо, ответственное за хранение и использование аппаратуры звукозаписи конфиденциальной информации, и обеспечено хранение и использование этой аппаратуры, исключающее несанкционированный доступ к ней.

10. Защита речевой информации при её передаче по каналам связи

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена.

При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты.

Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

11. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

Организация эксплуатации АС и СЗИ в ее составе осуществляется в соответствии с установленным в учреждении (на предприятии) порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы безопасности.

Для обеспечения защиты информации в процессе эксплуатации АС рекомендуется предусматривать соблюдение следующих основных положений и требований:

· допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком;

· на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя учреждения (предприятия) или руководителя службы безопасности;

· в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;

· по окончании обработки защищаемой информации или при передаче управления другому лицу пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ;

· изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС;

· при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

Все носители информации на бумажной, магнитной, оптической (магнито-оптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в том производственном, научном или функциональном подразделении, которое является владельцем АС, обрабатывающей эту информацию.

Учет съемных носителей информации на магнитной или оптической основе (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнито-оптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в том числе автоматизировано с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота.

Съемные носители информации на магнитной или оптической основе в зависимости от характера или длительности использования допускается учитывать совместно с другими документами по установленным для этого учетным формам.

При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка "Для служебного пользования", номер экземпляра, подпись этого сотрудника, а также другие возможные реквизиты, идентифицирующие этот носитель.

Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.

Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.

12. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

Автоматизированные рабочие места на базе автономных ПЭВМ являются автоматизированными системами, обладающими всеми основными признаками АС. Информационным каналом обмена между такими АС являются носители информации на магнитной (магнитно-оптической) и бумажной основе.

В связи с этим порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны полностью отвечать требованиям настоящего документа.

АС на базе автономных ПЭВМ в соответствии с требованиями РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" должны быть классифицированы и отнесены:

· к 3 группе АС, если в ней работает только один пользователь, допущенный ко всей информации АС;

· ко 2 и 1 группе АС, если в ней последовательно работают несколько пользователей с равными или разными правами доступа (полномочиями), соответственно.

Примечание: При использовании на автономной ПЭВМ технологии обработки информации на съемных накопителях большой емкости, классификация АС производится на основании анализа режима доступа пользователей АС к информации на используемом съемном накопителе (либо одновременно используемом их комплексе).

13. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

Данная информационная технология предусматривает запись на загружаемый съемный накопитель информации большой емкости одновременно общесистемного (ОС, СУБД) и прикладного программного обеспечения, а также обрабатываемой информации одного или группы пользователей.

В качестве устройств для работы по этой технологии могут быть использованы накопители на магнитном, магнито-оптическом или лазерном дисках различной конструкции, как встроенные (съемные), так и выносные. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.

Несъемные накопители должны быть исключены из конфигурации ПЭВМ.

Основной особенностью применения данной информационной технологии для АРМ на базе автономных ПЭВМ с точки зрения защиты информации является исключение этапа хранения на ПЭВМ в нерабочее время информации, подлежащей защите.

Эта особенность может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от НСД и использования средств физической защиты помещений этих АРМ.

На этапе предпроектного обследования необходимо провести детальный анализ технологического процесса обработки информации, обращая внимание, прежде всего, на технологию обмена информацией (при использовании съемных накопителей информации большой емкости или гибких магнитных дисков (ГМД или дискет) с другими АРМ, как использующими, так и не использующими эту информационную технологию, на создание условий, исключающих попадание конфиденциальной информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать.

...