Документирование конфиденциальных сведений

 

Учитывая, что объем конфиденциальных сведений фирмы обычно не велик и сосредоточивается, как правило, на уровне руководства фирмы, организация документирования конфиденциальной информации (составление конфиденциальных документов руководителями фирмы) входит в обязанности секретаря-референта или контролируется им, если этот процесс возложен на сотрудников фирмы. Составление конфиденциальных документов является более сложным процессом по сравнению с аналогичной работой по составлению открытого документа. Усложнение процесса определяется объективной необходимостью создать условия для обеспечения сохранения в тайне сведений, включаемых в документ.

В ходе составления конфиденциальные документы подвергаются максимально возможному спектру угроз, которые реализуются за счет:

- документирования конфиденциальной информации на случайном носителе, не входящем в сферу контроля секретаря-референта;

- подготовки к изданию документа, не обоснованного деловой необходимостью или не разрешенного для издания, т. е. документирования определенной информации;

- включения в документ избыточных конфиденциальных сведений, что равносильно разглашению секретов фирмы;

- случайного или умышленного занижения грифа конфиденциальности сведений, включенных в документ;

- изготовления документа в условиях, которые не гарантируют сохранность носителя, конфиденциальность информации;

- утери оригинала, черновика, варианта или редакции документа, его части, приложения к документу, умолчания этого факта и попытки подмены утраченных материалов;

- сообщения содержания проекта конфиденциального или открытого документа постороннему лицу, несанкционированного копирования документа или его части (в том числе на неучтенной дискете);

- утечки информации по техническим каналам;

- ошибочных действий секретаря-референта, особенно в части нарушения разрешительной системы доступа к документам.

В основе санкционированной работы персонала с конфиденциальными документами, а также правомерности документирования сотрудниками конфиденциальных сведений лежит разрешительная система доступа к секретам фирмы. Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых собственником информации с целью обеспечения регламентированного использования сотрудниками доверенных им ценных сведений, необходимых для выполнения служебных обязанностей (см. приложение 59).

Важно, что в отличие от открытых документов процесс документирования конфиденциальной информации насыщен специфическими технологическими этапами и процедурами. Выделяются следующие основные этапы:

- получение разрешения полномочного руководителя на документирование конфиденциальной информации;

- установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ;

- оформление и учет носителя для документирования выделенного комплекса конфиденциальной информации;

- составление вариантов и черновика текста документа;

- получение разрешения полномочного руководителя на изготовление документа;

- учет подготовленного черновика конфиденциального документа;

- изготовление проекта конфиденциального документа;

- издание конфиденциального документа.

Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы с конфиденциальной информацией. Сам факт запечатления ценной информации на носителе предполагает наличие защитных мер в отношении информации и носителя от различных рисков.

Передача конфиденциальной информации по деловой необходимости партнерам, посредникам, работникам государственных учреждений допускается только в случаях, установленных законодательством или соответствующим пунктом в контракте, и только по их письменному запросу с указанием конкретного состава и назначения требуемых сведений. Информация передается им всегда в письменном виде за подписью первого руководителя фирмы и с информированием об этом руководителя службы безопасности. Передача конфиденциальных сведений в устной форме не разрешается.

Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе. Угрозы ценной информации появляются немедленно при возникновении мысли о необходимости ее документирования. В связи с этим система защиты конфиденциальной информации должна начинать функционировать не после издания (подписания, утверждения) конфиденциального документа, а заблаговременно, т.е. до момента нанесения на чистый лист бумаги первых письменных знаков будущего документа.

Перед решением вопроса о присвоении будущему документу грифа конфиденциальности должно быть получено разрешение полномочного (обычно первого) руководителя фирмы на составление этого документа. Как правило, для типовых категорий документов такое разрешение определяется наличием данного типа документа в утвержденном первым руководителем фирмы перечне ценных и конфиденциальных документов фирмы. При отсутствии предполагаемого документа в этом перечне вопрос издания решается индивидуально, а решение первого руководителя фиксируется им на носителе, предназначенном для составления черновика данного документа.

Методические рекомендации по разработке разрешительной системы доступа к конфиденциальным информации, документам и базам данных фирмы

Общие положения

 

1.1. Регламентация доступа персонала фирмы к конфиденциальным сведениям, документам и базам данных является одной из главных составных частей технологии защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

1.2. Разрешительная система решает следующие задачи:

- ограничения и регламентации состава руководителей, сотрудников, функциональные обязанности которых требуют знания секретов фирмы и работы с ценными документами;

- обеспечения правомерного доступа персонала фирмы к необходимому им объему сведений, содержащихся в документах;

- строгого избирательного и обоснованного распределения документов и информации между руководителями и сотрудниками; исключения возможности ознакомления сотрудников с излишним объемом сведений, не требующихся им для выполнения должностных обязанностей;

- обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

- беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

- исключения возможности несанкционированного ознакомления с конфиденциальной информацией посторонних лиц в процессе работы сотрудника с документами, делами и базами данных;

- рационального размещения рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации (коллективный контроль за работой сотрудников).

1.3. При разработке разрешительной системы доступа к конфиденциальной информации в полной мере учитываются характер направлений деятельности и структура фирмы, сложившаяся система управления, производственные связи внутри фирмы, распределение обязанностей между заместителями первого руководителя и другие факторы. Чрезмерные ограничения в выдаче разрешений на доступ к защищаемой информации приводят к снижению оперативности в решении производственных вопросов, а излишняя либерализация создаст условия для утраты конфиденциальной информации.

Количество сотрудников фирмы, допускаемых к конфиденциальным сведениям, должно быть строго ограничено кругом лиц, которым указанные сведения действительно необходимы для выполнения возложенных на них служебных обязанностей.

Система разрабатывается службой безопасности, а в некрупных фирмах - непосредственно первым руководителем фирмы.

1.4. Разрешительная система включает в себя две составные части:

а) допуск сотрудника к конфиденциальной информации;

б) непосредственный доступ этого сотрудника к конкретным сведениям.

Оформление допуска к конфиденциальным сведениям

2.1. Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.

2.2. Оформление допуска, т. е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

К ценной и конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

2.3. В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в трудовом договоре (см. приложение 60). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников.

2.4. Оформление допуска обязательно сопровождается подписанием работником обязательства о неразглашении доверяемых ему конфиденциальных сведений - при поступлении на работу и при увольнении с работы (см. приложения 61 и 62).

Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Оформление и организация доступа к конфиденциальным сведениям

3.1. Доступ - практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных.

3.2. Разрешение на доступ к конфиденциальным сведениям является всегда персонифицированным - индивидуальным как с точки зрения того, кто дает разрешение, так и с точки зрения того, кому дается такое разрешение. Руководители, имеющие право давать разрешение на доступ, несут персональную ответственность за принятое решение. Неправильное решение трактуется как разглашение конфиденциальных сведений.

3.3. Сотрудники, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне содержания документов, сохранность носителя и соблюдение установленных правил работы с документами. Сотрудники могут получать разрешение на доступ к конфиденциальным сведениям только в пределах своих должностных (функциональных) обязанностей и в объемах, действительно необходимых им для выполнения служебных обязанностей.

3.4. Доступ санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.

3.5. Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

- наличия подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в состав функциональных обязанностей которой входит работа с данной, конкретной информацией;

- наличия подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении секретов фирмы и подписанного обязательства о неразглашении ставших известными лицу конфиденциальных сведений и соблюдении правил их защиты;

- прямого отношения функциональных обязанностей сотрудника к передаваемым ему документам и информации;

- знание сотрудником требований нормативно-методических документов по защите информации и сохранении секретов;

- наличии необходимых условий в офисе для работы с конфиденциальными документами и базами данных.

3.6. Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что потребитель, как правило, не сам определяет, какая информация ему нужна и какой информацией он может пользоваться. Решает эти вопросы его руководитель.

Сотрудники, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

3.7. Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу "чем выше уровень доступа, тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее число сотрудников могут их знать".

3.8. В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений. Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется уровень защищенности информации. Достигается также минимизация привилегий по доступу персонала к информации.

3.9. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к конфиденциальной информации.

3.10. Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях. Расчленение (дробление) информации практически реализуется в перечне конфиденциальной информации фирмы.

3.11. Для практической реализации системы разграничения доступа к информации в фирме составляется схема выдачи разрешений на доступ к массовой (типовой) конфиденциальной информации. Такая схема разрабатывается в двух ракурсах: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности.

Первая часть схемы имеет графы: разновидности документов, должностное лицо, дающее разрешение, категории сотрудников, кому дается разрешение на доступ. Наименования разновидностей документов берутся из перечня конфиденциальных документов фирмы, наименования должностей и категорий сотрудников - из штатного расписания фирмы.

Вторая часть схемы имеет графы: наименование должности лица, дающего разрешение, разновидности документов, категории сотрудников, которым дается разрешение на доступ. Схема утверждается первым руководителем фирмы.

3.12. Схема доступа к конфиденциальной информации может составляться в виде матрицы полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.

В схеме отражаются также функциональные (типовые) категории документов, с которыми знакомятся определенные категории сотрудников без специального разрешения. Кроме того, без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов.

 

3.13. Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.

3.14. Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям сотрудников, а также другим лицам.

3.15. Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и сотрудникам, но в пределах своей компетенции.

3.16. Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведениям всем сотрудникам своих подразделений по тематике их работы. Может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения сотрудника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

3.17. Ответственные исполнители работ (направлений деятельности) имеют право давать разрешение на доступ к конфиденциальной информации подчиненным им сотрудникам и в пределах их компетенции. В некрупных фирмах разрешение на доступ дает только первый руководитель.

3.18. Представителям государственных учреждений, имеющих в соответствии с законом право ознакомления с документацией фирмы, разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведениям представителей других организаций, предприятий и фирм руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.

3.19. Руководитель фирмы вне зависимости от формы ее собственности может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции. Он несет за это единоличную ответственность.

3.20. Сотрудники фирмы, не включенные в категорию лиц, допускаемых к секретам фирмы, могут быть единовременно допущены к отдельным необходимым им для работы документам с грифом "Конфиденциально" письменным распоряжением первого руководителя фирмы.

3.21. Секретарь-референт при распределении поступивших документов по руководителям и сотрудникам фирмы руководствуется указанной выше схемой, в соответствии с которой документы типового содержания передаются непосредственным сотрудникам без дополнительной резолюции-разрешения полномочного должностного лица.

3.22. При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному сотруднику или подразделению. Документ должен быть простым и посвященным одному вопросу.

3.23. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

К конфиденциальным сведениям особой важности и охраняемой интеллектуальной собственности фирмы сотрудники допускаются лично первым руководителем специальным приказом на период выполнения конкретной работы.

3.24. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Секретарь-референт обязан принять необходимые меры по исключению возможности ознакомления сотрудника с другими частями документа.

3.25. Разрешение на доступ к конфиденциальным сведениям представителя другой организации, фирмы или предприятия оформляется резолюцией первого руководителя фирмы на предписании (или письме, обязательстве), представленном данным лицом. В резолюции должны быть указаны конкретные документы или сведения, с которыми может быть ознакомлено это лицо. Одновременно указывается фамилия сотрудника фирмы, который знакомит его с этими сведениями.

Перед выдачей разрешения на доступ у заинтересованного лица проверяются документы, удостоверяющие его личность. При необходимости может быть получено телефонное или факсимильное подтверждение его полномочий от организации, которую он представляет.

3.26. В рамках разрешительной системы регламентируется также круг руководителей, имеющих право давать разрешение на отправку конфиденциальных документов, а также круг предприятий, фирм, в которые эти документы могут направляться.

3.27. Следует соблюдать правило, по которому в обязательном порядке регистрируются все лица, которые имели или имеют доступ к определенным документам, секретам фирмы. Это позволяет на высоком уровне вести аналитическую работу по выявлению каналов утраты информации.