Особенности работы с персоналом, владеющим конфиденциальной информацией (Система доступа к конфиденциальным документам)

Содержание:

ВВЕДЕНИЕ

Актуальность темы курсовой работы обусловлена тем, что проблема защиты конфиденциальной документации в наше время стоит достаточно остро в связи с тем, что угрозы нарушения информационной безопасности носят масштабный характер.

Стоит отметить, что важной проблемой защиты конфиденциальной информации, является состояние информационной безопасности в России. Это касается как технических средств, так и системно-программного обеспечения, которое поставляется в основном зарубежными компаниями. Такая зависимость может создать угрозу национальной безопасности. Обозначенные проблемы требуют изучения в рамках курсовой работы.

Понятие информационной безопасности, основные ее составляющие, изложены в трудах В. А. Галатенко и В. Н. Ярочкина.

Наиболее важные по своей значимости вопросы безопасности информации при электронном документообороте в своих работах рассматривают Д. А. Романов, Т. Н. Ильина, А. Ю. Логинова, Е. А. Степанов, А. А. Малюк.

Целью курсовой работы является описание процесса работы с персоналом, владеющим конфиденциальной информацией.

Для достижения поставленной цели определен следующий круг задач курсовой работы:

• рассмотреть понятие конфиденциального документа, его признаки и структуру;
• изучить особенности обработки, хранения и последующего использования конфиденциальных документов;
• проанализировать нормативно-правовые основы защиты конфиденциальной информации;
• рассмотреть методы и средства защиты конфиденциальной информации.

Объектом работы являются конфиденциальные документы.

Предмет исследования – организация работ по защите конфиденциальной документации.

В работе использованы следующие методы научного исследования: анализ и синтез, метод аналогии и обобщения, сравнительно-правовой.

Анализ позволил рассмотреть часто встречающиеся угрозы конфиденциальным сведениям в документопотоках.

С помощью метода аналогии установлены сходства таких терминов как «конфиденциальная информация» и «государственная тайна». А также

«конфиденциальная информация», «тайна» и «секрет».

Метод обобщения был применен для проведения процесса установления общих свойств и признаков угроз безопасности конфиденциальной информации.

Метод синтеза позволил объединить различные способы организационной защиты конфиденциальной информации с целью их изучения как единого целого.

Для достижения по поставленной цели потребовалось привлечь достаточно обширный круг источников. Источниковая база работы в первую очередь состоит из опубликованных источников нормативно-правовой документации по защите. Главным источником работы является Конституция, как основной закон Российской Федерации. Статья 23 Конституции РФ гарантирует право на личную, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщении. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Нормы регулирования отношений, возникающих при обращении с конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам (ст.150).

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ.

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ.

27 июля 2006 года были приняты два важнейших для сферы защиты информации конфиденциального характера федеральных закона: № 149-ФЗ

«Об информации, информационных технологиях и о защите информации» и

№ 152-ФЗ «О персональных данных». В них даны базовые понятия информации и ее защиты. Такие как «информация», «конфиденциальность информации», «персональные данные» и т.д.

10 января 2002 года Президентом РФ был подписан очень важный закон «Об электронной цифровой подписи», развивающий и конкретизирующий положения приведенного выше закона «Об информации, информационных технологиях и защите информации».

Основными в области безопасности конфиденциальной информации также являются законы РФ:

• «О государственной тайне» от 22 июля 2004 г. ;
• «О коммерческой тайне» от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну);
• «Об утверждении Перечня сведений конфиденциального характера»;
• «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну» .

Стандарт, закрепляющий основные термины и определения в области защиты информации - ГОСТ Р 50922-96 (29).

Но в нашей стране не имеется нормативного правового акта, который бы устанавливал единый порядок учета, хранения, использования документов, содержащих конфиденциальные сведения.

Из локальных актов стоит выделить:

• Приказ об утверждении и введении в действие нормативных актов по защите информации;
• Положение о персональных данных СФУ;
• Перечень сведений составляющих конфиденциальную информацию СФУ.

В целом, можно сказать, что проблема информационной безопасности обеспечена источниками, источниковая база позволяет осветить поставленные задачи.

Глава 1. Организационная деятельность по ведению конфиденциальных документов

1.1 Общая характеристика конфиденциальной информации

С точки зрения этимологии, слово “конфиденциальный” происходит от латинского confidentia – доверие и в современном русском языке означает

«доверительный, не подлежащий огласке, секретный». Слово «секрет», которое также необходимо рассмотреть, заимствовано из французского secret – «тайна». Интересно, что в знаменитом словаре В. Даля также названы аналогичные значения: «конфиденциальная» – «откровенная, по особой доверенности, неоглашаемая, задушевная»; «тайна» – «кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое».[26] Таким образом, можно сделать вывод о равнозначности понятий конфиденциальная информация, тайна и секрет.

Однако стоит заметить, что в правовой науке определения тайны и конфиденциальной информации не совсем похожи, так как тайна означает еще и правовой режим информации. [29] В соответствии со ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Раннее в Федеральном законе «Об информации, информационных технологиях и о защите информации» указывалось, что конфиденциальная информация – это документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ.[7] На мой взгляд, данное определение следует считать правильным, не считая того, что не всегда информация с ограниченным доступом может быть документированной.

Чтобы разобраться в том, чем же является «информация ограниченного доступа и распространения», стоит рассмотреть разновидности, связанные с терминами «тайна», «сведения, составляющие тайну» и «конфиденциальная информация». В мировой практической деятельности управления конфиденциальными сведениями употреблялись разного рода определения, обозначавшие суть данного понятия и употреблявшие основное слово «тайна».

Институт тайны имеет в российском законодательстве гораздо более глубокие корни. Правовые нормы, предусматривавшие ответственность за разглашение ценной конфиденциальной информации, содержались еще в Уложении о наказаниях 1845 г. Так, разд. VIII Уложения, который именовался «О преступлениях и проступках против общественного устройства и благочиния», включал в себя три статьи, посвященные ответственности за разглашение секретной информации.

Когда гражданин, учреждение, государство придает какой-либо информации конфиденциальное значение на предусмотренном законом основании, они преследуют определенные цели, находят способы для того, чтобы данная информация оставалась в тайне. Противозаконное получение такой информации, ее использование в ущерб обладателю, а также распространение лицами, которые знали о ней по роду своей деятельности, причиняют материальный урон, а также моральный вред владельцу этой информации. Государство берет на себя обязательство по предоставлению защищенности и охране прав гражданина, учреждений, государства на информацию, которая является тайной, или другую информацию ограниченного доступа, а именно конфиденциальную. Осуществление охраны данных прав проводится с помощью принятия соответствующих законов и других нормативных правовых актов, которые предполагают ответственность нарушителей за незаконное получение, использование такого рода информации, а также ее разглашения.

В 1993 году в Законе Российской Федерации «О государственной тайне» впервые было официально определено понятие «государственной тайны».[5] Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно – розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.[20]

Определения такого термина как служебная тайна, в действующем законодательстве отсутствует, но есть частичные упоминания, к примеру в Федеральном законе «Об информации, информационных технологиях и защите информации». Если проводить анализ нормативных правовых актов, то можно выделить основные признаки, которые позволяют отнести информацию к служебной тайне. «Гражданский кодекс Российской Федерации (часть четвертая)» от 18.12.2006 N 230-ФЗ (принят ГД ФС РФ 24.11.2006) (ред. от 08.11.2008)

В Четвертой части Гражданского кодекса Российской Федерации даются определения новых понятий: «секрет производства (ноу – хау)» и «служебный секрет производства».[2] В Федеральном законе «Об информации, информационных технологиях и защите информации» определено понятие «профессиональная тайна».[7] Принятый в 2004 г. Федеральный закон «О коммерческой тайне»[4] определил понятие «коммерческая тайна». Новая редакция закона 2007 г. вводит взаимосвязь коммерческой тайны и секрета производства.

В философском смысле тайна определяет два вида глобальной информации:

Во-первых, скрытую от нашего понимания или восприятия, в настоящее время не осознанную человеческим интеллектом, – объективные тайны (Вселенной, земли, океана, природы, человека, его рождения, смерти и т.д.), исследованием (или, применяя терминологию в области защиты информации, открытием доступа к информации) которых занимаются ученые и исследовательские центы;

Во – вторых, известную, но с определенной целью скрытую от других людей, – субъективные тайны (личности, государства, общества, конкретной организации), т.е. защищаемую и охраняемую информацию, несанкционированный доступ к которой, а также санкционированный доступ, влекущий за собой несанкционированное разглашение или распространение информации, может нанести различного рода ущерб субъекту – обладателю информации, влекущий за собой экономические, финансовые, политические, моральные и другие потери.

Понятие «тайна» имеет по смыслу два значения: нечто абсолютно неизвестное всем и нечто относительно неизвестное для каких–либо лиц.[43] Иными словами, информация должна быть известна или доверена узкому кругу лиц. При этом основанием известности информации тому или иному лицу могут быть профессиональная или служебная деятельность, семейно-брачные отношения и др.

На данный момент в российском законодательстве нет общего понятия

«тайна». В русской правовой литературе при попытке выяснения значений отдельных видов тайн есть спорные, иногда противоречивые мнения. Во многих определениях нет ясно видимых признаков тайны, что, без сомнений, доставляет затруднения при правильной оценки ее классификации в случае покушения на охраняемые законом тайны.[49]

Правовое понятие тайны выделяет следующие признаки:

• тайна есть, прежде всего, сведения, информация;
• сведения должны быть известны или доверены узкому кругу лиц;
• сведения могут быть известны или доверены определенным субъектам в силу их профессиональной или служебной деятельности, осуществления определенных поручений;
• сведения не подлежат разглашению (огласке);
• разглашение сведений (информации) может повлечь наступление негативных последствий (материальный и моральный ущерб ее собственнику, владельцу, пользователю или иному лицу);
• на лицах, которым доверена информация, не подлежащая оглашению, лежит правовая обязанность ее хранить;
• за разглашение этих сведений устанавливается законом юридическая ответственность.

Далее стоит дать определение конфиденциальным документам. Конфиденциальными называются документы, содержащие сведения, известные только определенному кругу лиц, не подлежащие огласке, доступ к которым строго ограничен.

Стоит рассмотреть и дать характеристику таким понятиям как «ограничение доступа к информации» и «ограничение распространения информации». Ведь именно их характеристика состоит в раскрытии системы признаков, использование которых необходимо для решения задач защиты информации, а также определения понятий «тайна» и «конфиденциальная информация», которые используются повсеместно при работе с конфиденциальными документами.

В Федеральном законе «Об информации, информационных технологиях и защите информации» в качестве основных принципов правового регулирования в информационной сфере названы:

• свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
• установление ограничений доступа к информации только федеральными законами;
• открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
• обеспечение безопасности Российской Федерации при создании и эксплуатации информационных систем и защите содержащейся в них информации;
• достоверность информации и своевременность ее предоставления;
• неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без согласия;
• недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.[7]

В соответствии с Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Обязательными являются соблюдение конфиденциальности информации ограниченного доступа, или «конфиденциальной информации», за исключением информации, составляющей государственную тайну.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Лицо, самостоятельно создавшее информацию или получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким – либо признаком, является обладателем информации. Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким- либо признакам. Обладателями информации могут быть гражданин (физическое лицо) , юридическое лицо, государственные органы и органы местного самоуправления (далее – государственные и негосударственные структуры) в пределах их полномочий. Обладатель информации вправе:

• разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
• использовать информацию, в том числе распространять ее по своему усмотрению;
• передавать информацию другим лицам по договору или на ином установленном законом основании.

При осуществлении своих прав обладатель информации обязан:

• принимать меры по защите информации;
• ограничивать доступ к информации, если такая обязанность установлена федеральными законами.[7]

Информация ограниченного доступа, относящаяся к конфиденциальной и составляющая какую–либо тайну, за исключением государственной, не существует сама по себе. Она отображается на различных носителях, которые могут ее сохранить, накапливать, передавать. Использование такой ин формации осуществляется с помощью носителей.

Документированная информация – это зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством Российской Федерации случаях ее материальный носитель.[7] В ГОСТ 50922-96 содержится определение носителя информации как физического лица или материального объекта, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов. Данное определение аналогично определению носителя государственной тайны в соответствии с Законом «О государственной тайне».

Из сказанного следует, что:

• материальные объекты – это не только то, что можно увидеть, но и физические поля;
• информация на носителях изображается не только символами, то есть буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем.

Типы материальных объектов как носителей информации различны. Ими могут быть бумажные носители , магнитные ленты, фото–, кино–,

видео– и аудио пленки, автоматизированные информационные системы и др.

Государственная тайна – самостоятельная правовая категория, и ее правовой режим является предметом регулирования отдельной отрасли законодательства. Если рассматривать более детально имеющую общий доступ нормативную базу о государственной тайне, то можно выделить следующие моменты:

• сведения, которые составляют государственную тайну или отнесенные к государственной информации, – это информация ограниченного доступа, тонкости которой очень важно знать при исследовании особенностей конфиденциальной информации, которая также относится к категории ограниченного доступа.
• технологии конфиденциального делопроизводства и документооборота очень похожи с технологиями организации работы с документирован- ной информацией, составляющей государственную тайну, и стоит отметить самое важное – по своей сути они не являются секретными и определены в общедоступной нормативной базе о государственной тайне.

Перечень сведений конфиденциального характера утвержден Указом Президента Российской Федерации от 6 марта 1997 г.[10] К ним относятся следующие сведения.

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20.08.2004 №119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений.
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Законодательством Российской Федерации могут быть установлены виды информации ограниченного доступа, или конфиденциальной информации, в зависимости от ее содержания или решения обладателя информации.

Федеральный закон «Об информации..»[7] подразделил информацию в зависимости от категорий доступа к ней на общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа), а также в зависимости от порядка ее предоставления или распространения на следующие виды:

• свободно распространяемую;
• предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
• предоставляемую или распространяемую в соответствии с федеральными законами;
• распространение которой в Российской Федерации ограничивается или запрещается.

Постановлением Правительства Российской Федерации утверждено Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.

Законодательство установили два ограничения на отнесение информации к конфиденциальной: во–первых, к ней не может быть информация, которая составляет государственную тайну, и, во–вторых, информация, которая должна иметь общий доступ в целях предупреждения сокрытия правонарушений и предотвращения нанесения ущерба законным интересам государства, физических и юридических лиц. Перечни такой информации содержатся в Законе Российской Федерации «О государственной тайне», федеральных законах «Об информации, информационных технологиях и защите информации», «О коммерческой тайне», «О персональных данных», в Положении о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и др.

Содержащиеся в нормативных актах, перечни информации, в большей степени похожи друг на друга, имеют различную правовую основу и могут использоваться для составления перечней конфиденциальной документированной информации (КДИ) организаций – государственных и негосударственных структур.

Перечни конфиденциальной документированной информации являются основой конфиденциального делопроизводства и служат предпосылкой для формирования классификаторов автоматизированной информационной системы (АИС), или системы электронного документооборота.

На мой взгляд, имеет место быть третье ограничение. Оно не предусмотрено законодательством и нормативно–правовыми актами. Ограничение состоит в том, что когда происходит перевод информации в положение конфиденциальной, то есть ограниченного доступа, то стоит учитывать сопровождающие этому денежные затраты на ее защиту. Должен быть соблюден некий баланс безопасности учреждения и положительной экономической динамики от защиты информации и придания ей статуса конфиденциальности. В случае, если эти затраты превышают достигаемые в результате защиты экономические, финансовые и другие количественные и качественные показатели, то придание информации статуса конфиденциальной теряет какой- либо смысл.

Информация может свободно использоваться любым лицами передаваться одним лицом другому лицу, если законодательно не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц. Распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц. Следовательно, ограничение распространения информации – действия, направленные на получение информации определенным кругом лиц или передачу ее определенному кругу лиц.[7]

Таким образом, на основе выше изложенной информации, держать в тайне, в секрете – значит охранять информацию от чего–либо, определять степень секретности и конфиденциальности информации. Понятие «тайна» можно определить так: тайна, или секретность и конфиденциальность информации, – это состояние информации в определенный период времени, которое определяется ограничением на ее распространение и доступ к ней в связи с ее защитой и охраной государством или иным обладателем документированной информации. Конфиденциальная информация (документы), составляющая тайну, за исключением государственной, – информация ограниченного доступа и распространения.

Стоит отметить, что правовые категории «тайна» и «конфиденциальная информация» не совпадают по своему содержанию. Так как не любая конфиденциальная информация может быть тайной, в тоже время последняя не состоит только из разного рода тайн. При этом обе указанные категории являются разновидностями информации в целом.[30]

Ограничение доступа к информации, составляющей государственную тайну, определяет режим секретности информации, ее защиту органами, уполномоченными государством, применяемыми ими мероприятиями и средствами.

Ограничение доступа к информации и ограничение ее распространения определяет режим конфиденциальности информации, которые предполагает ее охрану обладателем информации мерами и средствами, не противоречащими законодательству.

1.2 Особенности обработки, хранения и последующего использования конфиденциальных документов

Одним из важнейших условий включения информации и документов в информационные ресурсы любого учреждения, государственной или негосударственной структуры это – документирование информации.

Документирование информации ограниченного доступа является одной из первостепенных составных частей конфиденциального делопроизводства, так как от количества, состава и надлежащего оформления документов зависят качество и продуктивность управленческой и производственной деятельности, достоверность и юридическая сила документов, трудоемкость их обработки и качество организации делопроизводства и документооборота, включая защищенный электронный документооборот, обмен электронными сообщениями.

Электронное сообщение – это информация, переданная или полученная пользователем информационно – телекоммуникационной сети. Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливаются или не подразумеваются требования о составлении такого документа на бумажном носителе.[7]

Объем и содержание создаваемых конфиденциальных документов, в том числе и электронных, в значительной степени влияют на организацию работ по их защите, защите электронного документооборота и в общем по информационной безопасности организации.

В силу своих особенностей технологии документирования конфиденциальной информации предполагают оформление реквизитов документов при их создании, которое имеет свою специфику и включает в себя:

• определение и использование реквизита конфиденциального документа

– отметки о конфиденциальности документа или степени ограничения доступа и распространения;

• определение состава конфиденциальных документов – разработку Перечня конфиденциальной документированной информации, необходимого для определения степени ограничения доступа к документам;
• учет бумажных носителей, включая бланки документов;
• учет проектов конфиденциальных документов и черновиков документов;
• учет носителей создаваемых электронных документов (сообщений).

Стоит отметить, что в ГОСТ Р 6.30–2003 требования к оформлению реквизита «отметка об ограничении к доступу» отсутствует, несмотря на то, что в практике оформления конфиденциальных документов данный реквизит применялся и применяется, например, в соответствии с Положением о по- рядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти,[11] утвержденным Постановлением Правительства Российской Федерации или Федеральным законом «О коммерческой тайне».[4] В Правилах делопроизводства одним из обязательных реквизитов создаваемых документов является «отметка о конфиденциальности».[16]

Порядок отнесения сведений к информации ограниченного доступа аналогичен порядку отнесения сведений о государственной тайне.

Технологии производства, которые являются общедоступными и относятся к государственной тайне, можно использовать при организации работы с конфиденциальными.

Степень конфиденциальности может быть присвоена документу:

• исполнителем на стадии подготовки документа;
• руководителем структурного подразделения или руководителем организации на стадии согласования или подписания документа;
• адресатом (получателем) документа на стадии его первичной обработки в Службе делопроизводства или Службе конфиденциального делопроизводства, если в организации существует такая отдельно выделенная служба (далее – служба делопроизводства).

Определение необходимости проставления грифа (отметки) конфиденциальности на документах, в соответствии с утвержденным Перечнем конфиденциальной документированной информации организации, осуществляется исполнителем или должностным лицом, подписывающим документ, а на издании – автором (составителем) и руководителем, утверждающим издание к печати.

Изменение отметки конфиденциальности документа производится при изменении степени конфиденциальности содержащихся в нем сведений. Основанием для изменения или снятия отметки являются:

• соответствующая корректировка Перечня конфиденциальной документированной информации;
• истечение установленного срока действия конфиденциальности информации в соответствии с Перечнем конфиденциальной документированной информации;

— наличие события, при котором отметка конфиденциальности должна быть изменена или снята, например, окончание действия договора между организациями.[5]

В зависимости от возможной степени ущерба, наносимого организации в случае разглашения информации, применяются две степени конфиденциальности информации: «конфиденциально» и «строго конфиденциально».

Использование перечисленных отметок для ограничения доступа и распространения информации, не относящейся к конфиденциальной, не допускается. Также не допускается, в соответствии со ст. 8 Закона Российской Федерации «О государственной тайне», использование грифов ограничения доступа относящихся к государственной тайне: «Особой важности», «Совершенно секретно», «Секретно».[52]

На документы, дела, издания, а также другие носители информации наносится отметка конфиденциальности, включающая следующие реквизиты: степень конфиденциальности информации со ссылкой на соответствующий пункт действующего в организации Перечня конфиденциальной документированной информации; название организации, осуществившей ограничение доступа к конфиденциальной документированной информации; регистрационной номер; дату или условие снятия степени конфиденциальности или ограничение доступа.

Отметка о конфиденциальности наносится без кавычек в правом верхнем углу первого листа документа (при необходимости дополняется номером экземпляра документа, дела, издания), на обложке и титульном листе издания, а также на первой странице сопроводительного письма к этим материалам.

Для нанесения регистрационного номера, который должен включать в обязательном порядке данные о конфиденциальности документа, на регистрационно – контрольных карточках, а также в электронных картотеках допускается сокращение написания отметки: «Строго конфиденциально» – СКФД, «Конфиденциально» – КФД, «Для служебного пользования» – ДСП.[27]

Руководители структурных подразделений, должностные лица имеют право снимать отметку конфиденциальности информации с документов и изданий, подготовленных в данном структурном подразделении, руководствуясь при этом Перечнем конфиденциальной документированной информации структурного подразделения организации.

После снятия отметки конфиденциальности документа передается в Службу делопроизводства. Об изменении или снятии конфиденциальности делается отметка на самом документе, удостоверяемая визой руководителя, подписавшего этот документ. О внесении в документ такой отметки сообщается заинтересованным лицам, учреждениям, предприятиям и организациям.

Для того, чтобы вовремя изменить или снять отметку конфиденциальности с документов нужно систематически просматривать учетные картотеки (перечни, журналы, списки и т.д.), в том числе электронные, и выявлять те документы, которые могут быть удалены из этих картотек.

В ситуации, если созданный конфиденциальный документ подлежит отправлению с сопроводительным письмом, то оно регистрируется за самостоятельным номером, на нем проставляется отметка конфиденциальности, соответствующая отметке конфиденциальности приложения, независимо от того, содержит или нет сопроводительное письмо конфиденциальные данные.

При наличии нескольких приложений с разными степенями конфиденциальности отметка конфиденциальности сопроводительного письма устанавливается по наивысшей степени конфиденциальности приложений. Необходимость проставления на сопроводительном письме отметки конфиденциальности вызвана также тем обстоятельством, что без соблюдения этого требования подавляющее большинство сопроводительных писем будут не конфиденциальными, а открытыми. Однако поскольку документы отправляются за номерами сопроводительных писем, то формально и конфиденциальные приложения окажутся открытыми.[17]

Далее стоит упомянуть об особенностях учета и регистрации конфиденциальной документированной информации.

Документооборот – движение документов с момента их создания или получения до завершения исполнения, помещения в дело и отправки.[49] В документообороте организации выделяются следующие документопотоки:

• поступающая документация (входящая);
• отправляемая документация (исходящая);
• внутренняя документация (создаваемая / издаваемая).

Основой организации конфиденциального документооборота является учет конфиденциальной документированной информации на каждом этапе ее прохождения, а также регистрация документов.

Регистрация документа – присвоение документу регистрационного номера и запись в установленном порядке сведений о документе. Регистрацией документа является также запись учетных данных о документе по установленной форме, фиксирующая факт его получения, создания или отправления.[49]

Основной целью организации конфиденциального документооборота является учет и регистрация конфиденциальных документов с целью формирования контрольной и справочной информационной базы для оперативного нахождения, контроля исполнения, представления необходимых справок о конфиденциальных документах, а также для проверки их наличия, обеспечивающей постоянный мониторинг сохранности и защиты каждого документа и своевременное фиксирование его местонахождения.

Учет и регистрация конфиденциальных документов включает следующие этапы:

• фиксирование факта поступления документа;
• фиксирование создания\издания документа;
• фиксирование отправления документа;
• фиксирование местонахождения документа;
• обеспечение поиска документов при проверке их наличия или необходимости обращения к документу;
• обеспечение справочно-информационной и контрольной работы по документам;
• предупреждение утраты копий и экземпляров документа, черновиков и редакций, приложений и отдельных листов;
• предотвращение утери черновиков и вариантов документа;
• подтверждение факта передачи документа на отправку или исполнение сотрудникам Службы делопроизводства;[46]

Для решения этих задач целесообразно вести следующие виды учета конфиденциальной документированной информации:

• поступивших пакетов с документированной информацией;
• поступивших документов с их регистрацией;
• созданных/изданных (внутренних) документов с их регистрацией;
• отправляемых документов;
• распределения внутренних (созданных/изданных) документов;
• отправляемых пакетов с документированной информацией;
• документов и дел инвентарного (выделенного) хранения;
• информации и ее носителей при ее автоматизированной обработке с помощью Реестра конфиденциальной информации и АИС.

Данные о конфиденциальном документе заносятся в журнал или карточку учета поступивших документов.

Учету подлежат все без исключения внутренние, а также полученные от других организаций, предприятий и отправляемые в другие организации конфиденциальные документы.

Регистрация конфиденциальных документов включает присвоение и проставление в учетных, а также регистрационно-контрольных формах и на самом документе регистрационных номеров и запись учетных и поисковых данных о конфиденциальных документах (учетном и регистрационном номе- ре, дате, авторе, заголовке, количестве листов, степени конфиденциальности, местонахождении и др.).

Учет конфиденциальных документов предусматриваем не только учет факта их создания, издания или получения и отправления, но и обязательную фиксацию всех перемещений по структурным подразделениям организации, руководителям и исполнителям в процессе рассмотрения, использования и исполнения этих документов.

Учет, регистрация и хранение конфиденциальных документов, как правило, осуществляются централизованно в Службе делопроизводства.

Внутренние конфиденциальные документы должны учитываться и регистрироваться независимо от того, направляются они в другие организации или являются внутренними. Учет внутренних конфиденциальных документов ведется отдельно от их регистрации.

Далее, нужно затронуть тему режима сохранности конфиденциальных документов и дел.

Чтобы обеспечить физическую сохранность конфиденциальных документов и дел, предотвращения утечки содержащейся в них информации дол- жен быть установлен специальных режим их хранения.

Помещения Службы делопроизводства, предназначенные для круглосуточного хранения конфиденциальных документов и дел, в целях обеспечения дополнительных гарантий от постороннего проникновения в них должны, как правило, находиться не на первом и последнем этажах. Кроме того, они должны соответствовать нормам, установленным для хранения документов и дел: быть удалены от помещений с пищевыми продуктами и химическими веществами, не иметь с ними общих вентиляционных каналов, отвечать требованиям пожарной безопасности, санитарным нормам, а также иметь гарантию от затопления.

Вход в такие помещения необходимо строго регламентировать. Кроме руководителя организации и сотрудников, имеющих прямое отношение к обработке и хранению конфиденциальных документов и дел, в помещения могут допускаться лица, обеспечивающие их обслуживание. Уборка помещений, ремонт находящихся в них оборудования и технических средств, выполнение других работ, связанных с привлечением лиц, не имеющих доступа к хранящимся в помещениях документам, должны проходить только в присутствии сотрудников Службы делопроизводства.

Окна помещений должны иметь надежные средства защиты, исключающие возможность проникновения в помещения посторонних лиц. Кроме того, на них должны быть защитная секта или жалюзи, предотвращающие возможность выпадения документов, а также визуального просмотра документов и экранов видеомониторов с улицы.

Входные двери помещений должны быть обиты металлом и оборудованы замками, гарантирующими их надежное закрытие. По окончании рабочего дня двери необходимо не только запирать, но и опечатывать печатью Службы делопроизводства. Перед отпиранием двери проверяются сохранность оттиска печати и целостность запоров. При обнаружении попыток проникновения в помещения нужно немедленно поставить в известность Службу безопасности и доложить руководству организации. До принятия решения руководством организации помещения не открываются и обеспечиваются физической охраной.

Конфиденциальные документы и дела в помещениях должны храниться в сейфах, металлических шкафах или на металлических стеллажах, которые по окончании рабочего дня запираются и опечатываются сотрудниками, ответственными за учет и хранение документов и дел.

Входные двери, окна помещений, а также сейфы, шкафы и стеллажи следует оснастить охранной сигнализацией, связанной со Службой безопасности организации или Службой охраны.

Рабочие экземпляры ключей от сейфов, шкафов, стеллажей, решеток в нерабочее время могут храниться в опечатанном пенале (конверте) либо в службе охраны, либо в сейфе сотрудника Службы делопроизводства, ответственного за хранение документов.

Ежегодно должна проводиться проверка фактического наличия ключей от хранилищ и номерных печатей исполнителей.

Для эвакуации конфиденциальных документов и дел при возникновении стихийных бедствий, пожара, аварии, грозящих затоплением, или других формах чрезвычайных ситуаций, грозящих уничтожением документов и дел, в помещениях, предназначенных для хранения конфиденциальных документов, должно находиться необходимое количество тары (мешков, чемоданов, контейнеров и т.д.), в которой можно транспортировать документы.[17]

В итоге, систематизация конфиденциальных документов, их учет и регистрация предназначены для решения не только обеспечения поиска и последующего использования архивных документов, но и задач разграничения доступа персонала к архивным документам организации, контроля за сохранностью и наличием конфиденциальных документов и дел.

1.3 Система доступа к конфиденциальным документам

Конфиденциальные документы являются документами ограниченного доступа. Это означает, что знакомиться и работать с ними могут только лица, получившие на то соответствующие разрешения. Порядок получения и оформления таких разрешений устанавливается на каждом предприятии системой доступа к конфиденциальным документам, которая представляет со- бой совокупность норм и правил, определяющих, кто из руководителей предприятия и структурных подразделений, кому из пользователей и с какими категориями конфиденциальных документов может давать разрешение на ознакомление, а также каким образом оформляются такие разрешения в зависимости от вида учета документов.

При разработке системы доступа к конфиденциальным документам необходимо руководствоваться следующими подходами.

1. Доступ к конфиденциальным документам может предоставляться только лицам, имеющим оформленный в установленном порядке (контрактом, приказом) допуск к соответствующему виду тайны и давшим письменное обязательство (в контракте или специальной подписке) о неразглашении ставших им известными конфиденциальных сведений. Допуск к соответствующему виду тайны является основанием для доступа к конкретным документам в пределах этого вида тайны.
2. Доступ к конфиденциальным документам должен быть обоснованным и правомерным, т.е. базироваться на служебной необходимости ознакомления с конкретным документом именно данного лица.
3. Система доступа должна давать возможность обеспечивать пользователей всеми необходимыми им в силу служебных обязанностей конфиденциальными документами, но только теми, которые действительно необходимы для выполнения конкретных видов работ. К сожалению, этот подход не всегда четко соблюдается. С одной стороны, стремясь максимально сократить количество лиц, допускаемых к конфиденциальным документам, на некоторых предприятиях не знакомят часть пользователей с необходимой им для служебной деятельности информацией и тем самым снижают качество этой деятельности, с другой стороны – знакомят пользователей с конфиденциальными документами, не связанными напрямую с их функциональными обязанностями, но, как выражаются, необходимыми им «для общего развития» или «расширения кругозора», что приводит к разглашению информации, т.е. неправомерному доведению информации до лиц, которые не должны ее знать.
4. Доступ к конфиденциальным документам должен быть санкционированным, т.е. осуществляться только по соответствующему разрешению.
5. Доступ к конфиденциальным документам могут предоставлять только уполномоченные на то должностные лица, при этом соответствующее должностное лицо может давать разрешение на ознакомление с входящими в сферу его деятельности конфиденциальными документами только установленному кругу лиц и только по служебной необходимости.
6. Доступ должен оформляться письменно по каждому конкретному конфиденциальному документу. При необходимости ознакомления пользователя только с частью документа в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя. Составители (исполнители) документов и лица, которые визировали, согласовывали, подписывали, утверждали документы, а также лица, указанные в тексте распорядительных документов, допускаются к таким документам без оформления дополнительных разрешений, если они продолжают выполнять те же функциональные обязанности. В первом случае это обусловлено тем, что перечисленные лица как бы автоматически в силу своего служебного положения уже получили доступ к документам на стадии подготовки, во втором – тем, что с поручением, содержащимся в распорядительном документе, исполнитель должен быть ознакомлен обязательно, чтобы знать, что ему поручено, поэтому оформление дополнительного доступа теряет всякий смысл.[37]

Поскольку система доступа к конфиденциальным документам содержит в себе значительное количество правовых положений, а нарушение ее требований, приводящее, как правило, к разглашению конфиденциальной информации, влечет за собой дисциплинарную, гражданско – правовую и в некоторых случаях уголовную ответственность виновных лиц, то ее следует закреплять в специальном нормативном документе, который обычно называется «Положение о системе доступа к конфиденциальным документам».

Положение должно основываться на вышеизложенных подходах и может включать в себя следующие разделы:

• общие положения;
• полномочия должностных лиц по разрешению доступа к конфиденциальным документам;
• порядок оформления разрешений на доступ к конфиденциальным документам.

Положение может разрабатываться подразделением конфиденциального делопроизводства или постоянно действующей экзаменационной комиссией ПДЭК. Оно подписывается разработчиками, визируется всеми лицами, имеющими право давать разрешение на доступ к конфиденциальным документам, и утверждается приказом руководителя предприятия. В приказе определяются и мероприятия по введению Положения в действие (порядок изучения Положения пользователями, технология осуществления контроля за его выполнением и др.). С утвержденным Положением должны быть ознакомлены под расписку все сотрудники предприятия, работающие с конфиденциальными документами.[17]

Обязательно нужен учет персонала, получившего доступ к конфиденциальной документированной информации, и лиц, которым она была передана и предоставлена.

Особенность информационного обслуживания пользователей, потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются должностным лицом, дающим разрешение на доступ к информации в зависимости от Перечня конфиденциальной документированной информации организации, а не самими пользователями.

Структурами технологии разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по следующим принципам:

• чем выше уровень доступа, тем уже круг допущенных лиц;
• чем выше ценность информации, тем меньшее число персонала может ее знать.

Выдача допуска или санкций (разрешений) на доступ к конфиденциальной информации осуществляется с учетом двух аспектов: во – первых, выдачи разращений в зависимости от категории конфиденциальной информации, в соответствии с Перечнем конфиденциальной документированной информации и Реестром конфиденциальной информации и автоматизированной информационной системы организации; во – вторых, выдачи разрешений в зависимости от занимаемой должности лица, выдающего разрешение.

Задачей технологии разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальной информации. Это дает возможность разделить знание персонала о конфиденциальной информации на элементы знания информации в целом.

В соответствии с иерархической последовательность доступа определяется структура границ защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали, возрастание степени конфиденциальности информации. Этим обеспечивается недоступность информации для случайных людей или злоумышленников и определяется необходимая степень защищенности информации. Поэтому технологии ограничения доступа предполагают создание в организации номенклатуры должностей работников, подлежащих оформлению на допуск к конфиденциальной документированной информации.[48]

Номенклатура составляется Службой безопасности совместно со Службой кадров, согласовывается с Экспертной комиссией по защите конфиденциальной информации и подписывается руководителем организации.

Номенклатура хранится в Службе безопасности, второй экземпляр – в Службе делопроизводства. В номенклатуру включаются должности, по которым допуск персонала к этой информации действительно необходим для выполнения ими должностных обязанностей, а также могут включаться должности работников, допуск которых к информации соответствующей степени конфиденциальности необходим для выполнения ими заданий в других организациях при их командировании.

Изменения и дополнения в номенклатуру вносятся по мере необходимости, согласовываются и утверждаются в установленном порядке. Номенклатура должностей пересматривается не реже одного раза в 5 лет.

Технология доступа к конфиденциальной информации также включает учет должностных лиц других организаций, получивших доступ, и (или) лиц, которым такая информация была предоставлена или передана.

Журнал (картотека) может вестись в автоматизированном режиме. При обнаружении факта утраты конфиденциальной документированной информации или факта разглашения информации должно водиться ограничение на доступ или прекращение доступа к любой информации до окончания служебного расследования, которое оформляется актом.

Таким образом, работа руководителей и исполнителей с конфиденциальными документами должна регламентироваться достаточно жесткими требованиями к соблюдению порядка обеспечения сохранности секретов в организации. Возникающие ограничения в оперировании информацией нельзя рассматривать как следствие недоверия к персоналу. Соблюдение этих требований позволяет правильно организовать достаточно сложную работу с конфиденциальными документами и, что очень важно, дает уверенность сотрудникам в правильности своих действий.

Глава 2 Информационная безопасность и защита конфиденциальной документации

2.1 Угрозы и меры по предупреждению несанкционированного доступа к конфиденциальной информации

Любая угроза безопасности информации предполагает несанкционированный доступ нежелательных лиц к конфиденциальной информации и в результате этого – кражу, уничтожение, подмену документов. Если заинтересованность конкурента к конфиденциальной информации отсутствует, то угроза информации не возникает даже при ситуации, когда создались предпосылки для ознакомления с ней посторонних лиц. Важная информация, которая не интересует конкурента, может не включаться в состав защищаемой, а документы, которые ее содержат, находятся под контролем только с целью обеспечения сохранности носителя.

Как правило, угроза предполагает намерение злоумышленника совершить противоправные действия в отношении к информации для достижения своей цели. Наибольшая угроза сохранности информации и документов может возникнуть, при выходе за пределы конфиденциальной документации, например когда происходит передача документов персоналу на рассмотрение и исполнение, при пересылке или передаче документов адресатам. Но все же, чаще всего потеря конфиденциальной информации происходит не в результате преднамеренных действий конкурента, а из-за невнимательности и непрофессионализма персонала.

Если информация потеряна из за ошибки персонала, используется термин «разглашение информации». При разглашении, информация может перейти или к злоумышленнику и затем, не исключено, что она может перейти к конкуренту, или к третьему лицу. Третье лицо в данном случае это любые лица, получившие информацию в силу сложившихся обстоятельств.

Обычно, переход информации к третьему лицу называют непреднамеренным, стихийным.

Конфиденциальная информация должна защищаться и от утраты, и от утечки.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления, к тому же он давно уже закрепился в научной литературе и нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации лицами, не имеющими к ней санкционированного доступа, независимо от того, работают или не работают такие лица на данном предприятии обусловлены уязвимостью информации.

Уязвимость информации следует понимать как ее доступность для дестабилизирующих воздействий, т.е. таких воздействий, которые нарушают установленный статус информации. Нарушение статуса любой документированной информации включается в нарушении ее физической сохранности, логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности.

Уязвимость документированной информации – понятие собирательное. Она не существует вообще, а проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся:

• хищение носителя информации или отображенной в нем информации (кража);
• потеря носителя информации;
• несанкционированное уничтожение носителя информации или отображенной в нем информации;
• искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);
• блокирование информации;
• разглашение информации.

Термин «разрушение» употребляется главным образом применительно к информации на машинных носителях.

Существующие варианты названий: модификация, подделка, фальсификация – не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же – несанкционированное частичное и полное изменение состава первоначальной информации.

Блокирование информации в данном контексте означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализовываться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источника воздействия. Такими источниками могут быть люди, технические средства обработки передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию является копирование, записывание, передача, съем, заражение программ обработки и хранения информации вирусом, на- рушение технологии обработки и хранения информации, вывод из строя и нарушение режима работы технических средств обработки и передачи ин- формации, физическое воздействие на информацию и др.

Реализация форм проявления уязвимости документированной информации приводит или может привести к двум видам уязвимости:

• утрате информации;
• утечке информации.

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной, но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. В литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами: «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход не является правомерным.

Разглашение или распространение конфиденциальной информации означает несанкционированное доведение ее до потребителей, которые не имеют права доступа к ней. При этом такое доведение должно осуществляться кем – то, исходить от кого – то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника.

Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Имелось немало случаев, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью «подсидки», причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их.

Но в любом случае потеря и хищение конфиденциальной информации если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение, и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно определить, во – первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника, во – вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.

Суммируя соотношения форм и видов уязвимости защищаемой информации, можно констатировать следующее.

1. Формы проявления уязвимости информации выражают результаты дестабилизирующего, воздействия на информацию, а виды уязвимости – конченый суммарный итог реализации форм проявления уязвимости.
2. Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, так как не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате.
3. Наиболее опасными формами проявления уязвимости конфиденциальной документированной информации являются потеря, хищение и разглашение – первые две одновременно могут привести и к утрате, и к утечке информации, вторая (хищение информации при сохранности носителя) и третья могут не обнаружиться, со всеми вытекающими из этого последствиями.
4. Неправомерно отождествлять, как это нередко делается в научной литературе и нормативных документах, включая законы, виды и отдельные формы проявления уязвимости информации (утрата – потеря, утрата – хищение, утечка – разглашение), а также формы проявления уязвимости информации и способы дестабилизирующего воздействия на нее.
5. Необходимо уделять одинаковое внимание предотвращению как утраты защищаемой документированной информации, так и ее утечки, т.к. ущерб собственнику информации наносится в любом случае.

Таким образом, защита конфиденциальной документированной ин- формации от утраты и утечки осуществляется в определенной мере в рамках и первой, второй составляющих конфиденциального делопроизводства, т.к. она взаимоувязана, «переплетена» с ними: документирование конфиденциальной информации и организация работы с конфиденциальными документами должны производиться в условиях обеспечения их защиты, и вместе с тем многие вопросы защиты решаются в ходе и путем осуществления систематических операций по учету и обработке документов. Однако защитные мероприятия охватывают не только сами документы, но и другие объекты, так или иначе связанные с защищаемыми документами (помещения, технические средства обработки и передачи информации и др.)

Поэтому в определении конфиденциального делопроизводства защита документированной информации выделена в самостоятельную составляющую.

Организация систем защиты конфиденциальной информации

Система защиты информации – это комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному доступу к информации. При отсутствии такой системы защиты, предприятие может лишиться выгодных партнеров и клиентов.

Обеспечение защиты конфиденциальной информации включает в себя:

• установление правил отнесения информации к конфиденциальным сведениям;
• разработку инструкций по соблюдению режима конфиденциальности для лиц, допущенных к конфиденциальным сведениям;
• ограничение доступа к носителям информации, содержащим конфиденциальную информацию;
• ведение делопроизводства, обеспечивающего выделение, учет и сохранность документов, содержащих конфиденциальную информацию;
• использование организационных, технических и иных средств защиты конфиденциальной информации;
• осуществление контроля за соблюдением установленного режима охраны конфиденциальной информации.

Допуск работника к конфиденциальной информации осуществляется с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению коммерческой тайны.

Комплектность системы защиты достигается ее формированием из различных элементов: правовых, организационных, технических, программно - математических. Соотношение элементов и их содержание обеспечивает индивидуальность системы защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления. Элемент правовой защиты информации предполагает:

• наличие в учредительных документах фирмы, контрактах, в должностных инструкциях обязательств по защите сведений, составляющих тайну фирмы и ее партнеров;
• доведение до сведения всех сотрудников механизма правовой ответственности за разглашение конфиденциальных сведений.

Элемент организационной защиты информации содержит:

• формирование и регламентацию деятельности службы безопасности фирмы;
• регламентацию и регулярное обновление перечня ценной, конфиденциальной информации;
• регламентацию системы разграничения доступа персонала к конфиденциальной информации;
• регламентацию технологии защиты и обработки конфиденциальных документов фирмы;
• построение защищенного традиционного или безбумажного документооборота;
• построение технологической системы обработки и хранения конфиденциальных документов;
• организацию архивного хранения конфиденциальных документов;
• порядок и правила работы персонала с конфиденциальными документами;
• регламентацию аналитической работы по выявлению угроз ценной информации фирмы и каналов утечки информации;
• оборудование и аттестацию помещений и рабочих зон, выделенных для конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны.

В процессе обработки конфиденциальных документов применяются обычные приемы обработки поступивших документов, только выполняются они квалифицированными сотрудниками службы конфиденциальной документации фирмы при соблюдении норм и правил работы с конфиденциальными документами.

Стоит затронуть основные меры по защите конфиденциальной информации.

Защита информации АИС и самих систем различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности организации.

Обеспечение защиты, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию, должно предусматривать комплекс организационных, программных, технических средств и мер по защите информации ограниченного доступа и распространения.

К основным мерам защиты информации с ограниченным доступом относятся:

• выделение конфиденциальной информации, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней конфиденциальной документированной информации, разрабатываемых в организации и в ее структурных подразделениях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
• реализация разрешительной системы допуска исполнителей (пользователей , обслуживающего персонала, персонала других организаций) к работам, документам и информации с ограниченным доступом;
• ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальна информация, непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информации, программным средствам обработки (передачи) и защиты информации;
• учет документов, информационных массивов, регистрация действий пользователей АИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• использование сертификационных средств защиты информации при обработке конфиденциальной информации ограниченного доступа;
• использование технических средств, удостоверяющих требованиям стандартов по электромагнитной совместимости;
• проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации в целях определения достаточности мер защиты с учетом установленной категории;
• физическая защита помещений и собственно технических средств АИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи, определяемой особенностями функционирования конкретных автоматизированных систем;
• исключение возможности визуального(в том числе с использованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
• использование волоконно-оптических линий связи для передачи конфиденциальной информации;
• использование защищенных каналов связи.

Таким образом, защита информации представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и секретности (конфиденциальности) информационных ресурсов предприятия. Данный технологический процесс в конечном счете должен обеспечить надежную информационную безопасность организации в его управленческой и финансово-производственной деятельности.

Глава 3. Особенности работы с персоналом, владеющим конфиденциальной информацией

3.1 Персонал как основная опасность утраты конфиденциальной информации

В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение.

В решении проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно - технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыли и престиж фирмы.

Не взирая на это, сотрудники, к сожалению, является в то же время главным источником утраты ценной и конфиденциальной информации. Объясняется это тем, что с точки зрения психологических особенностей персонал - явление сложное, каждый из работников всегда индивидуален, сложно предсказуем и мотивации его поведения зачастую противоречивы и не отвечают условиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных. Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает каждая организация, которая применяет в работе достаточные объемы конфиденциальных сведений.

В современных бизнес структурах фактически каждый основной работник становится носителем ценной информации, которая представляет интерес для конкурентов и криминальных структур. В контексте безопасности кадровая политика имеет профилактическую роль по отношению к такому типу угрозы, как неблагонадежность отдельных работников. Вопросы управления персоналом, работа которого связана с обработкой, хранением и использованием конфиденциальных сведений, документов и баз данных, в настоящее время все в большей степени в концептуальном и практическом аспектах включаются в число главных, при решении проблем информационной безопасности.

Информационная безопасность подразумевается как защищенность информации на любых носителях от случайных и намеренных несанкционированных воздействий естественного и искусственного свойства, нацеленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений. Помимо профессиональных способностей работники, связанные с секретами фирмы, должны обладать высокими моральными качествами, порядочностью, исполнительностью и ответственностью. Они добровольно соглашаются на определенные ограничения в использовании информационных ресурсов и вырабатывают в себе самодисциплину, самоконтроль действий, поступков и высказываний.

Иностранные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от верного подбора, расстановки и воспитания персонала организации. Увеличение ответственности персонала за выполняемую работу, сохранность ценных сведений, активное участие в принятии управленческих решений требует нового содержания при оценке таких критериев, как образование, профессионализм, личная культура, моральные качества и этика сотрудников. Люди рассматриваются как самый ценный ресурс организации и решают, с одной стороны, производственные и коммерческие задачи, а с другой - получают во владение ценные и конфиденциальные сведения фирмы и гарантируют их правильное использование и сохранность.

Работа с коллективом предполагает целенаправленную деятельность руководства организации и трудового коллектива, нацеленную на наиболее полное использование трудовых и творческих способностей каждого сотрудника, воспитание в нем фирменной гордости, препятствующей появлению желания причинить вред организации, стать соучастником в недобросовестной конкуренции или криминальных действиях.

Человеческий фактор должен непрерывно учитываться в долговременной стратегии организации и ее текущей деятельности, быть главным элементом построения эффективной и успешной системы защиты информационных ресурсов.

Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:

проведение усложненных аналитических процедур при приеме и увольнении сотрудников;

документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;

инструктирование и обучение сотрудников практическим действиям по защите информации.

А контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:

большой ценой решения о допуске лица к тайне предприятия;

наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);

разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.

Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.

Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:

всех сотрудников данной фирмы, ее персонал;

сотрудников других фирм;

сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;

журналистов средств массовой информации, сотрудничающих с фирмой,

посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;

посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;

родственников, знакомых и друзей всех указанных выше лиц.

Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.

Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации. Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомленным и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причем овладение требуемой информацией происходит в значительном числе случается в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств.

3.2 Доступ персонала к конфиденциальным сведениям, документам и базам данных

В соответствии со ст. 6 Федерального закона «Об информации, информационных технологиях и защите информации» вопросы ограничения доступа к информации, определения порядка и условий такого доступа относятся к исключительной компетенции обладателя информации. Последний при осуществлении своих прав обязан ограничивать доступ к информации и принимать меры по ее защите, если такая обязанность установлена федеральными законами. Под допуском к конфиденциальной информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации.

Разрешительная система доступа лежит в основе организационно - правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности. Понятие, сущность и основные положения разрешительной системы доступа персонала предприятия к информации, подлежащей защите, представлены на примере информации, в установленном порядке отнесенной коммерческой тайне. В соответствии с Федеральным законом «О коммерческой тайне» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем.

К обязательным мерам по защите охраняемой информации в соответствии с положениями ст. 10 Федерального закона «О коммерческой тайне» относятся: ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.

Перечисленные меры реализуются в рамках разрешительной системы доступа персонала предприятия к информации, составляющей коммерческую тайну.

Порядок доступа сотрудников организации предусматривает установление в организации единого порядка обращения с носителями сведений, определение ограничений на доступ к ним различных категорий сотрудников и степени ответственности за сохранность указанных носителей сведений. Формирование и исполнение разрешительной системы доступа сотрудников к информации, составляющей коммерческую тайну, - важная часть общей системы организационных мер по защите информации в организации.

Важность использования разрешительной системы доступа к информации обусловлена специальным значением информационной составляющей любого производственного процесса в современной организации, включающего создание новых документов (материалов), товаров и услуг, неправомерный доступ к которым способен привести к утечке конфиденциальной информации и, тем самым, нанесению ущерба организации. Создание и функционирование разрешительной системы доступа персонала организации к информации обращены, в первую очередь, на решение стоящих перед организацией задач и достижение главных целей его работы.

Основополагающим принципом нормативно - правового регулирования процесса ознакомления конкретного работника предприятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям. Основные условия правомерного доступа персонала к коммерческой информации включают: подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства; наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну; наличие утвержденных руководителем предприятия должностных обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации; оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями. Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения полномочных должностных лиц.

Основная цель разрешительной системы доступа персонала к коммерческой тайне - исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну. Чтобы понять роль разрешительной системы доступа к информации всех категорий сотрудников, в том числе командированных лиц, в совокупности с другими организационными, правовыми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реагировать на изменения, происходящие в хозяйственной, производственной и других сферах деятельности предприятия. В структуре управления процессом доступа особое место занимают руководитель предприятия и его заместители.

Однако наиболее важная роль в этой структуре отводится руководителям структурных подразделений предприятия, сотрудники которых непосредственно допускаются к коммерческой тайне (работают с носителями сведений, составляющих коммерческую тайну). Эти руководители наделяются правом определять степень доступа непосредственно подчиненных им сотрудников к конкретным сведениям (носителям). В зависимости от категорий сотрудников предприятия или командированных лиц, необходимости ознакомления их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.

Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структурных подразделений в отношении непосредственно подчиненных им сотрудников.

Основным внутренним организационно - распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, является положение о разрешительной системе доступа к информации, составляющей коммерческую тайну.

Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляющих производственную, хозяйственную и иные виды деятельности. Члены комиссии должны знать специфику работы предприятия, порядок организации и обеспечения защиты конфиденциальной информации.

В состав комиссии в обязательном порядке входят сотрудники службы безопасности предприятия. В целях более точного определения ограничений для конкретных лиц на доступ к различным категориям информации (с учетом ее тематики) комиссия может включать несколько подкомиссий. Методическое руководство деятельностью комиссии (подкомиссий) осуществляет служба безопасности предприятия.

Разработке положения предшествует всесторонний анализ различных документов (материалов), проводимый в целях выявления и классификации всех информационных потоков, существующих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодействие с организациями - соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура положения (готовится его проект).

Основными разделами положения являются: общие требования по доступу работников к коммерческой тайне; порядок доступа к носителям информации, имеющим различные категории (степени) конфиденциальности; порядок доступа к делам и документам архивного хранения; порядок копирования (размножения) документов и рассылки их нескольким адресатам; порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов; порядок доступа к информации (ее носителям) в ходе проведения совещаний, конференций, семинаров и других мероприятий.

В вопросах разработки положения, реализации его требований и контроля за выполнением предусмотренных мероприятий особая роль отводится службе безопасности, в задачи которой входит: проведение мероприятий, направленных на ограничение круга лиц, допускаемых к конкретной информации (ее носителям); выявление фактов неправомерного доступа лиц к коммерческой тайне; оценка эффективности принимаемых руководителями структурных подразделений предприятия мер по исключению утечки информации; подготовка предложений о внесении изменений в должностные инструкции и иные документы, определяющие задачи и функции подразделений (отдельных должностных лиц) предприятия; разработка и представление на утверждение руководителю предприятия проектов внутренних организационно - распорядительных документов по вопросам защиты коммерческой тайны, в том числе определяющих порядок функционирования разрешительной системы доступа; методическое руководство деятельностью должностных лиц и структурных подразделений по реализации положения о разрешительной системе доступа к коммерческой тайне предприятия.

Наиболее важная функция службы безопасности предприятия - контроль над соблюдением его сотрудниками положений организационно - плановых, распорядительных документов, регламентирующих вопросы создания и функционирования разрешительной системы доступа, в целях исключения случаев неправомерного доступа сотрудников предприятия, а также командированных лиц к коммерческой тайне.

Служба безопасности контролирует: наличие оформленного в установленном порядке допуска сотрудников к коммерческой тайне; соответствие выданного руководителем структурного подразделения предприятия разрешения требованиям разрешительной системы; правомерность передачи носителей сведений, содержащих коммерческую тайну, на другие предприятия; соблюдение работниками предприятия установленных требований по работе с носителями сведений, составляющих коммерческую тайну, на рабочих местах; правомочность и целесообразность использования материалов, содержащих коммерческую тайну, на конференциях, совещаниях и других мероприятиях, проводимых с привлечением представителей других организаций.

Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений организационно - распорядительных документов, регулирующих вопросы функционирования разрешительной системы на предприятии.

3.3 Особенности увольнения сотрудников, владеющих конфиденциальной информацией

Практически каждый работник компании является носителем конфиденциальной или секретной информации. Правила работы с секретными документами, слабые места системы охраны, служебные проступки персонала или предприятия в целом, контакты с клиентами и т.д. вся эта информация является конфиденциальной, знают многие работники.

Уберечься от утечки такой информации нельзя: каждый работник является носителем каких-то секретов, какой-то служебной информации. Эта информация уйдет с работником. Вопрос только в том будет ли он ее использовать, и нанесет ли это компании вред.

Лояльность работника в отношении организации является в настоящее время довольно активной величиной: если предложение другой фирмы будет существенно превышать заработную плату и пакет социальных услуг данной организации, то работник в течении короткого промежутка времени может уволиться. К тому же сейчас больше ценятся специалисты, которые проработали в нескольких организациях, чем те, которые десять - двадцать лет проработали в одной.

Поэтому возможность увольнения любого сотрудника (в т.ч. ведущих сотрудников и заместителей начальника организации) необходимо учитывать при организации защиты информации.

Если сотрудник в письменной и устной форме сообщает о своем уходе, то необходимо выполнить следующий ряд действий:

- организовать защиту информации до увольнения сотрудника;

определить причины увольнения;

побеседовать с сотрудником, обсудить вопрос сохранения коммерческой тайны;

организовать защиту информации после увольнения сотрудника.

При увольнении сотрудника необходимо провести следующие мероприятия:

- проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему информацию, имеющую отношение к работе, если того не требует служебная необходимость;

сделать резервную копию файлов увольняемого;

по мере передачи дел, сокращать права доступа к информации;

запретить вынос и внос бумажных и электронных носителей.

Внос запрещается по причине возможной замены объекта выноса: стопки дискет или компакт - дисков, книг на полках.

Меры по контролю утечки информации не должны быть слишком настойчивы: может пострадать социально - психологический климат. К тому же от увольняемого сотрудника может понадобиться помощь или консультация после увольнения, поэтому процесс увольнения не должен оказывать сильное негативное воздействие.

Сотрудник может не сообщить истинную причину увольнения: не всегда удобно говорить, что ему очень тяжело работать с этим начальником или коллективом, но необходимо определить истинную причину:

если сотрудник переходит к конкурентам, например при окончании разработки новой технологии, то необходимо искусственно задержать данного сотрудника;

если не устраивает зарплата, то при необходимости данного работника можно ему зарплату повысить;

при наличии психологических причин (конфликты с коллегами, с начальником, плохая организация труда, неудовлетворенность профессией, отсутствие продвижения по службе, несоответствие оплаты труда по сравнению с другими), по возможности попытаться их устранить или просто откровенно поговорить: у сотрудника может просто накопиться обида, недовольство, непонимание, и простая беседа поможет ему сбросить тяжесть накопившейся обиды.

Иногда после беседы узнается, что причина скрывается в субъективном (неверном) понимании работником какой-либо ситуации. И потому как желание ухода в таких ситуациях является нередко субъективным фактором, то ликвидировав их, можно оставить человека на прежнем рабочем месте.

При передаче имущества нужно передать все числящиеся документы, базы данных, носители информации, изделия, материалы, проверить их комплектность. Необходимо сдать пропуск (идентификатор) для входа на объект, все ключи и печати. В базе данных системы контроля доступа необходимо заблокировать все идентификаторы пользователя на тот случай, если он сделал себе копию, например магнитной карты.

После увольнения может быть целесообразным еще раз сменить пароли, к которым уволенный мог иметь доступ, проводить оперативную проверку его деятельности в случае работы с конкурентами на предмет использования знаний и технологий, программных комплексов в новой организации.

Увольнение сотрудника по инициативе организации может происходить при плановом сокращении персонала, при общем негативном фоне в отношении данного сотрудника, при его проступках. Однако даже при серьезных проступках рекомендуется не сразу увольнять сотрудника имеющего доступ к сведениям составляющих коммерческую тайну.

Особенно если эта тайна не защищена или ущерб от использования этой информации может принести значительный экономический ущерб в ближайшие полгода. Необходимо перевести сотрудника на другую должность желательно с сохранением зарплаты на это время. После обеспечения условий по защите информации или достаточного снижения ее значимости можно произвести увольнение сотрудника, однако причины увольнения должны быть объективными и проверяемыми, и не должны касаться личных и деловых качеств сотрудника (15).

ЗАКЛЮЧЕНИЕ

В наше время, когда современное общество стремительно развивается, наибольшую ценность приобретает не новый, но всегда ценный, ресурс, имеющий название информация. Информация на сегодняшний день становиться первенствующим ресурсом научно–технического и социально- экономического развития мирового сообщества.

Практически вся деятельность в современном обществе так или иначе связана с получением, хранением, использованием различных информационных потоков. Можно говорить, что за счет плотного информационного обмена, обеспечивается целостность современного мира как сообщества.

В связи с этим, в новых условиях происходит возникновение множества проблем, связанных прежде всего с обеспечением сохранности конфиденциальных документов.

В процессе работы над поставленными задачами были сделаны следующие выводы: под документами, отнесенными законом к категории конфиденциально подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной, или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация в законодательстве именуется конфиденциальной.

Эта информация отражает приоритетные достижения в сфере экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам ее собственнику (в том числе фирме, предприятию). Нормативно – методическое обеспечение системы защиты конфиденциальной информации должно обеспечивать регламентацию процессов организации безопасности информации учреждения, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных. Следовательно, система защиты ценной, конфиденциальной информации организации реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника организации. Знание работниками своих обязанностей.

Обобщая все вышесказанное, можно сделать вывод, что система защиты информации представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих незаконному доступу к информации.

Руководитель организации лично определяет не только состав ценной информации, но и соответствующие способы и средства защиты, а также меры ответственности персонала за разглашение коммерческой тайны организации и комплекс поощрений за соблюдение порядка защиты конфиденциальной информации. Система защиты должна быть многоуровневой с иерархическим доступом к информации, предельно конкретизированной и привязанной к специфике фирмы по структуре используемых методов и средств защиты, она не должна создавать сотрудникам фирмы неудобства в работе.

В работе исследованы и проанализированы современные методы и средства защиты конфиденциальной информации, нормативно- правовые основы защиты конфиденциальной информации. Рассмотрено понятие конфиденциального документа, его признаки и структура. Изучены особенности работы с персоналом, владеющим конфиденциальной информацией.

СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ)
2. Гражданский кодекс Российской Федерации: в 4 ч. : 30 ноября 1994 года N 51-ФЗ
3. Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (последняя редакция)
4. Федеральный закон Российской Федерации от 29 июля 2004 г. №98- ФЗ «О коммерческой тайне» // Собрание актов Президента и Правительства РФ. – 2004. – №7. – 5 с.
5. Федеральный закон Российской Федерации от 21.07.1993 N 5485-1 (ред. от 29.07.2018) «О государственной тайне»
6. Федеральный закон Российской Федерации от 01 октября 2004 г.№125-ФЗ «Об архивном деле в Российской Федерации» // Собрание актов Президента и Правительства РФ. – 2004. – №11. – Ст.25.
7. Федеральный закон Российской Федерации от 27 июля 2006 г. №149- ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. – 29 июля 2006. – 1–6 с.
8. Федеральный закон Российской Федерации от 27 июля 2006 г. №152- ФЗ «О персональных данных» // Бюллетень нормативных актов министерств и ведомств. – 2006. – №7. – 2– 4 с.
9. Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера»
10. Указ Президента РФ от 30.11.1995 N 1203 (ред. от 14.01.2019) «Об утверждении Перечня сведений, отнесенных к государственной тайне»
11. Постановление Правительства РФ от 03.11.1994 N 1233 (ред. от 18.03.2016) «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»
12. Постановление Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) «О лицензировании деятельности по технической защите конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации»)
13. Постановление Правительства Российской Федерации от 03 октября 2002 г. №731«От утверждении Перечня сведений, которые не могут составлять коммерческую тайну» // Собрание актов Президента и Правительства РФ. – 2003. – №11. – 1–2 с.
14. ГОСТ Р 50922 - 96. Защита информации. Основные термины и определения. – М.: Изд-во стандартов, 1996. – С. 2–4.
15. ГОСТ Р 51141 – 98. Делопроизводство и архивное дело. Термины и определения. – М.: Изд-во стандартов, 1998. – 2 с.
16. ГОСТ Р 6.30 – 2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов. – М.: Изд-во стандартов, 2003. – С.1–2.
17. Алексенцев, А. И. Конфиденциальное делопроизводство / А. И. Алексенцев // Управление персоналом. – 2003. – № 1. – С.256 с.
18. Алексенцев, А. И. Организация и технология размножения конфиденциальных документов / А. И. Алексенцев // Секретарь-референт . – 2003. – №4. – С. 12 – 14.
19. Алексенцев, А. И. Понятие и сфера действия конфиденциального де лопроизводства / А. И. Алексенцев // Секретарь-референт . – 2001. – № 1.

– С.15.

1. Бачило, И. Л. Информационное право / И. Л. Бачило, В. Н. Лопатин, М. А. Федотов, // Юридический центр Пресс. – 2001.– С. 349.
2. Богатыренко, З. С. Новейшие тенденции защиты персональных данных работника в трудовом праве / И.О Ф // Секретарское дело. – 2006. –

№11. – С. 12 –23.

1. Волженкин, Б. В. «Экономические преступления» / Б. В. Волженкин. – СПб.: Юридический центр Пресс, 1999. – 312 с.
2. Вус, М. А. Информатика: введение в информационную безопасность / М. А. Вус. – СПб.: Юридический центр Пресс, 2004. – 156 с.
3. Галатенко, В.А. «Основы информационной безопасности» / В. А. Галатенко. - М.: Интернет-университет информационных технологий – ИН- ТУИТ.ру , 2003. – 280 с.
4. Галахов, В. В. Делопроизводство: образцы, документы организации и технология работы с учетом нового ГОСТ Р 6.30-2003 «Унифицированные системы документации. Требования к оформлению документов» / В. В. Галахов. – М.: Проспект, Велби, 2005. – 455 с.
5. Гордеева, Е. В., Леонтьев, А. С., Седова, Н. В. Обеспечение безопасности конфиденциальной информации и коммерческой тайны// Гаудеамус. – 2010. – Т.2. – №16. – С.96
6. Данилов, Ю. М. Защита и обработка конфиденциальных документов// Делопроизводство. – 2008. – № 1. – С.55–57.
7. Демушкин, А. С. Организация по рассекречиванию документов// Делопроизводство. – 2002. – № 4. – С.56 – 60.
8. Ефремов, А. А. Информация как объект гражданских прав / А. А. Ефремов //Проблемы и перспективы современного российского права. – 1998. – №1. – С. 52 – 60.
9. Жигалов, А. Ф. Охрана коммерческой или банковской тайны в российском уголовном законодательстве: лекция / А. Ф. Жигалов. - М.: ЦОКП МВД России, 2001. – 29 с.
10. Зотова, Т. Г. Конфиденциальность, надежность, управляемость / Т. Г. Зотова // Сетевой журнал. – 2003. – № 7. – С. 18 – 21.
11. Ильин, Д. К. Вопросы информационной безопасности при электронном документообороте / Д. К. Ильин // Защита информации. INSIDE. - 2006. – №4. – С. 18 – 25.
12. Ищейнов, В. Я. К вопросу неформального воздействия на носителя конфиденциальной информации / В. Я. Ищейнов // Документоведение. - 2002. – № 3. – С. 80 – 81.
13. Ищейнов, В. Я. Интеллектуальная собственность и авторское право // Секретарское дело, 2005. – №3. – С. 50 – 52.
14. Ищейнов, В. Я.,Мецатунян, М. В. Защита конфиденциальной информации / В. Я. Ищейнов., М. В. Мецатунян. – М.: Форум. – 2009. – 75 с.
15. Ищейнов, В. Я. «Ответственность за разглашение документов, содержащих конфиденциальную информацию» / В. Я. Ищейнов. – М.: Делопроизводство, 2012. – №4. – С. 34 – 37.
16. Кришталюк, А. Н. Конфиденциальное делопроизводство и защита коммерческой тайны / А. Н. Кришталюк // Litres. – 2014. – С. 69 – 70.
17. Кузнецова, Т. В. Делопроизводство. Организация и технология документационного обеспечения управления: учеб. пособие / Т. В. Кузнецова. – М.: Юнити-Дана, 2003. – 359 с.
18. Лопатин, В. Н. Правовая охрана и защита права на тайну / В. Н. Лопатин. – М.: Юридический мир,2003. – №7. – С. 36 – 37.
19. Малюк, А. А. Информационная безопасность : концептуальные и методологические основы защиты информации / А. А. Малюк. – М.: Горячая линия – Телеком, 2004. – 280 с.
20. Мецатунян, М. В. «Защита конфиденциальной информации» / М. В. Мецатунян. – М.: Форум, 2009. – 56 – 57 с.
21. Моисеев, Р. Н. Некоторые особенности конфиденциального делопроизводства / Р. Н. Моисеев. – М.: Секретарское дело , 2005. – №10. – 31 – 35 с.
22. Ожегов, С. И., Скворцов, Л. И. Толковый словарь русского языка: около 100 000 слов, терминов и фразеологических выражений / С. И. Ожегов., Л. И. Скворцов. – М.: Оникс, 2012. – 629 с.
23. Плотников, Н. И. Конфиденциальность: мифы и реальность о тайнах и секретах / Н. И. Плотников // Управление персоналом. – 2006. – № 20. – 45-50 с.
24. Пшенко, А. В. Документационное обеспечение управления(делопроизводство): учебное пособие / А. В. Пшенко. – М.:ИНФРА, 2002. – 19 с.
25. Сабынин, В. Н. Организация конфиденциального делопроизводства -начало обеспечения безопасности информации в фирме / В. Н. Сабынин // Информост – радиоэлектроника и телекоммуникации. – 2001. – №. 4. – С. 17.
26. Садеринов, А. А., Трайнев, В. А., Федулов, А. А. Информационная безопасность / А. А. Седеринов., В. А. Трайнев., А. А. Федулов. – М.: Дашков и Ко, 2014. – 355 с.
27. Степанов, Е. А., Корнеева, И. К. Информационная безопасность и защита информации / Е. А. Степанов., И. К. Корнеева. – М.: ИНФРА–М, 2011. – 115 с.
28. Трофимова, О.Г., Купчик, Е. Е. Основы делового письма: учебное пособие / О. Г. Трофимова., Е. Е. Купчик. – М.: Наука, 2013. – 134 с.
29. Трофимова, В. Е. Понятие и содержание личной и семейной тайны / В. Е. Трофимова // Молодой ученый. – 2013. – №. 12. – С. 685.
30. Храмцовская, Н. А. Закон о персональных данных: последствия для делопроизводства / Н. А. Храмцовская // Делопроизводство и документооборот на предприятии. – 2017. – №2. – С. 12 – 30.
31. Ширко, Т. И. Конфиденциальное делопроизводство : учеб. пособие / Ширко. – Томск : Изд-во Том. гос. ун-та, 2013. – 278 с.
32. Ярочкин, В. Н. «Информационная безопасность»: Учебник для студентов / В. Н. Ярочкин. – М.: Академический Проект; Гаудеамус, 2-е изд, 2004. – 46 с.
33. Ярочкин, В. Н. Информационная безопасность / В. Н. Ярочкин. – М.: Трикста, Академ. проект, 2015. – 542 с.

ПРИЛОЖЕНИЕ

Перечень сведений, составляющих конфиденциальную информацию

Персональные данные граждан

• 1. Фамилия, имя, отчество (в том числе прежние фамилия, имя или отчество в случае их изменения, когда, где и по какой причине изменяли).
  2. Фотография.
  3. Число, месяц, год рождения.
  4. Место рождения.
  5. Информация о гражданстве (в том числе прежние гражданства, иные гражданства).
  6. Сведения об образовании, в том числе о послевузовском профессиональном

образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).

• 1. Сведения о зачислении, переводе и отчислении обучающихся.
  2. Сведения о профессиональной переподготовке и (или) повышении квалификации.
  3. Сведения об ученой степени, ученом звании.
  4. Информация о владении иностранными языками, степень владения.
  5. Сведения из заключения медицинского учреждения о наличии (отсутствии) заболевания.
  6. Сведения о прохождении службы (работы), в том числе: личный номер (при наличии), дата, основания поступления на службу (работу) и назначения на должность, дата, основания назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания, денежного довольствия, заработной платы, результатов аттестации на соответствие замещаемой должности, а также сведения о прежних местах службы (работы).
  7. Информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору.
  8. Сведения об участии в конференциях, фестивалях, конкурсах, соревнованиях и т.п., о достигнутых в их ходе результатах.
  9. Информация о государственных наградах, иных наградах и знаках отличия (кем и когда награжден).
  10. Информация об отпусках.
  11. Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.
  12. Сведения о социальных льготах, о назначении и получении стипендий, премий и других выплат.
  13. Серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.
  14. Место жительства (адрес регистрации, фактического проживания) и адреса прежних мест жительства.
  15. Номер телефона (либо иной вид связи).
  16. Реквизиты страхового свидетельства обязательного пенсионного страхования.
  17. Идентификационный номер налогоплательщика.
  18. Реквизиты полиса обязательного медицинского страхования.
  19. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших).
  20. Информация, содержащаяся в свидетельствах о государственной регистрации актов гражданского состояния.
  21. Сведения о воинском учете и информация, содержащаяся в документах воинского учета.
  22. Персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета.
  23. Сведения о пребывании за границей.
  24. Информация о наличии (отсутствии) судимости.
  25. Номер расчетного счета.
  26. Номер банковской карты.
  27. Иные персональные данные, необходимые для достижения целей их обработки.
  28. Номер визы, миграционной карты, КПП, дата пересечения границы РФ (для

иностранных граждан).

• 1. Сроки пребывания на территории РФ и в СФУ (для иностранных граждан). 2 Служебная информация ограниченного распространения
  2. Сведения о перспективных методах управления компанией.
  3. Сведения о ведении и содержании переговоров, целях и содержании совещаний органов управления.
  4. Сведения, содержащиеся в документах по организации воинского учета и мобилизационной работы.
  5. План гражданской обороны компании.
  6. Схемы размещения инфраструктуры жизнеобеспечения (энергоснабжения, водоснабжения, канализации, теплоснабжения, телефонной связи и др.).
  7. Содержание переписки, телефонных переговоров, почтовых отправлений, телеграфных, электронных и иных сообщений.
  8. Организация и состояние системы безопасности жизнедеятельности, в том числе системы защиты информации.
  9. Организация и состояние охраны и пропускного режима.
  10. Размещение защищаемых помещений (в которых хранится, циркулирует и обрабатывается конфиденциальная и другая ценная информация со средствами ее хранения, обработки и передачи), организация доступа в них.
  11. Организация, схемы размещения, возможности и состояние системы охраны техническими средствами, в том числе системы видеонаблюдения, номера электронных ключей.
  12. Организация, возможности и состояние оперативной связи обеспечения и безопасности жизнедеятельности.
  13. Организация взаимодействия с правоохранительными и другими государственными органами при проведении совместных мероприятий.
  14. Сведения, составляющие материалы служебных расследований, проверок, дознания, следствия, судопроизводства.
  15. Проектная, техническая, эксплуатационная документация на автоматизированные системы (АС), вычислительные сети (ВС), средств связи, в которых обрабатывается и циркулирует конфиденциальная информация.
  16. Схемы размещения технических средств обработки конфиденциальной информации, коммуникационных линий.
  17. Сведения о специфических и уникальных программных продуктах.
  18. Ключи шифрования и электронно-цифровые подписи средств криптографической защиты информации, места и порядок их хранения и вы- дачи.
  19. Порядок использования, возможности и состояние систем (средств) криптографической и технической защиты информации, документация на них.
  20. Организация и состояние систем администрирования, управления доступом в АС и ВС.
  21. Порядок и места размещения информационных ресурсов, содержащих конфиденциальную информацию компании.
  22. Организация и состояние системы парольной защиты (значение, порядок генерации, использования, смены и прекращения действия паролей) в АС, ВС и других средств вычислительной техники.
  23. Организация резервирования конфиденциальной информации, места хранения резервных копий конфиденциальной, ценной и другой важной информации.
  24. Программное обеспечение базового оборудования средств связи.
  25. База данных абонентских номеров телефонной связи. 3 Информация, составляющая коммерческую тайну
  26. Сведения о коммерческих замыслах и планах (расширении или свертывании работ в целом и по отдельным направлениям).
  27. Содержание и условия коммерческих контрактов, договоров, соглашений и платежей.
  28. Сведения о целях, задачах, тактике и результатах переговоров с деловыми партнерами.
  29. Сведения, составляющие секреты производства (ноу-хау).
  30. Сведения, составляющие коммерческую тайну партнеров, переданные на доверительной основе.
  31. Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности.
  32. Сведения об инвестициях.
  33. Сведения, содержащие выводы и рекомендации по рыночной стратегии и тактике.
  34. Сведения о фактическом состоянии расчетов по обязательствам.
  35. Сведения об отдельных финансовых операциях компании и о доходах по этим операциям.
  36. Сведения о внешнеэкономических, валютных и кредитных отношениях с конкретными иностранными и российскими предприятиями, фирмами и организациями.
  37. Сведения о встречах и переговорах с деловыми партнерами компании.
  38. Сведения об особых условиях отношений с иностранными научными и иными организациями.
  39. Сведения о времени выхода на рынок, выбор посредника для ведения коммерческих переговоров и тактике их ведения.
  40. Сведения о целях, задачах, программах, новейших по тематике и перспективных научно-технических работ и исследований.
  41. Научно-техническая, технологическая, конструкторская и проектная документация.
  42. Современные методы решения новых научных и научно- технических задач.
  43. Новые высокоэффективные технические решения, не защищенные патентным

правом, обеспечивающие значительное улучшение основных технико-экономических характеристик устройств и систем.

• 1. Современные методы проектирования и испытания современных и перспективных устройств и систем.
  2. Информация о новых разработках программного и компьютерного обеспечения.
  3. Экспериментальные и расчетные результаты, получение которых связано с

большими финансовыми, материальными или временными издержками.

• 1. Сведения о конъюнктуре рынка подготовки специалистов.
  2. Сведения о контрактах с иностранными гражданами.

4.Сведения, содержащиеся в документах государственных органов, органов местного самоуправления, других организаций и учреждений с грифом "Для служебного пользования", "Коммерческая тайна", "Конфиденциальная информация".