"Безопасность для всех"

Главная  Словари  Каталог   О проекте   Карта сайта   Контакты    Старая версия сайта

       
Поиск   
Главное меню

AdSense

Реклама mainlink


31.3.11 19:51 | Специальной документооборот на предприятии и защита информации на электронных носителях
Раздел: Организационные вопросы ЗИ | Автор: admin | Рейтинг: 0.00 (0) Оценить | Хитов 14413
Специальной документооборот на предприятии и защита информации на электронных носителях

Одним из наиболее распространенных материальных носителей информации современного предприятия является документ, который может быть представлен, как в хорошо известной нам, бумажной форме, так и в современной, электронной.  Под термином «Документ» обычно понимают  материальный объект (носитель) с информацией, закрепленной созданным человеком способом для ее передачи во времени и пространстве. (Большой юридический словарь. 3-е изд., доп. и перераб. / Под ред. проф. А. Я. Сухарева. — М.: ИНФРА-М,2007. — VI, 858 с. — (Б-ка словарей "ИНФРА-М").)


Вся документация предприятия и процедура оборота  документов объединяется в общую систему делопроизводства предприятия или документооборот. Документооборот -  это движение документов в организации с момента их создания или получения до завершения их исполнения и передачи в архив, либо уничтожения.

Надо сказать, что документация предприятия – это довольно объемное понятие, и в данный оборот могут быть вовлечены документы, содержащие различную информацию, в том числе информацию, составляющую коммерческую тайну. Напомним, что согласно части 1, статьи 1 Закона Республики Молдова «О коммерческой тайне» (N 171-XIII от 6 июля 1994 г. Monitorul Oficial от 10.11.94 г., N 13) под коммерческой тайной понимаются «не являющиеся государственной тайной сведения, связанные с производством, технологией, управлением, финансовой и другой деятельностью хозяйствующего субъекта, разглашение (передача, утечка) которых может нанести ущерб его интересам.»

Несмотря на то, что не всякий документ содержит коммерческую тайну, необходимость в их учете и контроле, тем не менее, существует. Не может быть важных и второстепенных документов. Любой, даже самый малозначительный документ, при определенном стечении обстоятельств, может оказаться чрезвычайно важным. Следовательно, организация контроля за документацией предприятия, позволит избежать путаницы и неразберихи в дальнейшем, ведь работа любого предприятия связана с огромным объемом рабочих документов. Кроме того, надлежащая система учета и контроля предотвратит многие проблемы,  не только из области безопасности. Так, например, хищение, или уничтожение некоторых документов может привести к правовой уязвимости компании. В случае, если речь идет о утере документов, содержащих коммерческую тайну возможно как нанесение прямого материального ущерба предприятию, так и снижения его уровня безопасности.

Что же представляет собой система контроля и учета документов?
Обобщенно ее можно представить в следующем виде:
1.    Учет всей документации предприятия с классификацией по сфере применения, дате, содержанию, требованиям, предъявляемым к конфиденциальности, целостности, доступности  и тому подобное.
2.     Закрепление индивидуальной ответственности за каждый документ за конкретным сотрудником. Назначение лицо ответственных за контроль документооборота и конфиденциального делопроизводства.
2. Регистрация и учет всех входящих/исходящих документов предприятия с фиксацией в специальном журнале информации о дате получения/отправления документа, откуда поступил, или куда отправлен, классификация документа (письмо, счет, договор, приглашение и т.п.).Организация архива документов. Необходимые меры защиты архива от уничтожения или повреждения в результате чрезвычайных происшествий или злонамеренных действий. Реализации процедуры контроля доступа к документации предприятия.
3. Организация архива документов. Систематизация неиспользуемых документов в целях облегчения его нахождения в случае необходимости. А также меры защиты архива от уничтожения или повреждения в результате чрезвычайных происшествий или злонамеренных действий. Кроме того ограничение и контроль доступа к документации предприятия хранящейся в архиве.
4. Регистрация документов, с которых делаются копии с фиксацией в специальном журнале (дата копирования, количество копий, кем для кого или с какой целью производятся копии и тому подобное).
5. Особый режим уничтожения документов. Перед уничтожением документов необходимо проконтролировать их содержание во избежание случайного уничтожения необходимых документов и определить его статус. Важно, чтобы документы не просто выбрасывались в корзину, а предварительно измельчались при помощи «шредера» (уничтожителя бумаги), или иным способом, таким образом, чтобы их невозможно было бы восстановить по остаткам.
Тоже самое касается уничтожения использованной копировальной бумаги и черновиков документов.
Документы, имеющую особую ценность, после измельчения целесообразно сжечь. Об уничтожении документов в обязательном порядке составляется акт, который подписывается ответственным лицом, а также лицами, присутствующими при уничтожении.

Для облечения системы контроля все документы следует разделить на три условные категории по степени конфиденциальности, содержания и уровню доступа:
1) документы общего пользования;
2) документы для служебного пользования;
3) документы содержащие информацию конфиденциального характера.

Разделение на категории – это не разовое мероприятие. Все новые документы обязательно проходят соответствующую оценку, после чего относятся к одной из трех категорий. Кроме того, необходима также регулярная система пересмотра документов, так как с течением времени, или наступлением определенных событий, те, или иные документы, могут приобретать, или утрачивать, свое значение, следовательно, переходить из одной категории в другую.

Различные категории документов отличаются друг от друга не только назначением, но и кругом лиц, имеющих к ним доступ. Документы для служебного пользования и документы конфиденциального характера обычно маркируются соответствующими знаками (грифами) в верхнем углу или на обложке документа. Это можно сделать при помощи штампов, специальных отметок, а в отдельных случаях, целесообразно применять специальную бумагу, или чернила различного цвета (например, заголовки документов конфиденциального характера печатаются красным цветом).

Важно, чтобы эта система была реализована и успешно применялась. Для этого весь персонал, в первую очередь те работники, которые в ходе выполняемых функций активно работают с документацией (например, секретарь или офис-менеджер), должен обязательно пройти необходимый инструктаж о особенностях делопроизводства на предприятии. После чего они расписываются в соответствующем журнале о прохождении инструктажа и дают  письменное обязательство о соблюдении вышеуказанных мер.

Лучше, если работа по контролю за документами будет поручена отдельному сотруднику (сотрудникам) например, инспектору по режиму работы с документами, в идеале этим должна заниматься группа режима службы безопасности предприятия. Помимо общего контроля, в каждом отделе назначается ответственное лицо, которое следит за соблюдение соответствующих процедур. 

Кроме того, целесообразно также принятие соответствующего положения регламентирующего режим документооборота предприятия. В данном положении необходимо отразить правила работы с документами, а также особенности работы с документацией, носящей конфиденциальный характер.
Данное положение доводиться до сведений работников предприятия, после чего работник расписывается  в соответствующем журнале о том, что он ознакомлен с особенностями данной процедуры и обязуется соблюдать соответствующие положения.  

Давайте теперь подробнее рассмотрим, каким образом осуществляется работа с каждой из категорий документов.

1.    Документы общего пользования. До передачи в свободный доступ подлежат обязательному предварительному контролю содержания. Далее могут свободно участвовать в обороте (копирование, передача пересылка и тому подобное). При этом процесс распространения данных документов должен находиться под организационным контролем в целях целесообразного их использования.  Уничтожается в обычном порядке (в том числе путем сдачи в переработку). 
2.    Документы для служебного пользования. Подлежат обязательному предварительному контролю содержания, после чего им присваивается гриф «Для служебного пользования». К ознакомлению допускается, только персонал, прошедший соответствующий инструктаж и имеющий доступ к информации для служебного пользования. Необходимо обязательное систематизирование – учет в соответствующем реестре. Копирование только в необходимых случаях, количество копий ограничено, при необходимости учитывается количество копий, цель копирования и для кого делается копия. Передача за пределы предприятия только в случаях необходимости, с обязательным уведомлением ответственных лиц.
Уничтожение по специальному режиму, путем формирования комиссии из числа ответственных сотрудников и создания акта об уничтожении документов в котором указан их перечень. При уничтожении важно следить, чтобы документы, предназначенные к уничтожению, не были случайно утеряны или похищены.
3.     Документы конфиденциального характера. Обязательный контроль содержания, присвоение грифа «Коммерческая тайна» или «Конфиденциально». Ознакомление только отдельных лиц, имеющих соответствующий допуск. Обязательное составление списка лиц, ознакомленных с информацией. Лица, получающие допуск к конфиденциальным документам дают письменное обязательство о неразглашении конфиденциальной информации, как в период работы, так и в течение оговоренного срока после увольнения.
Копирование таких документов осуществляется только с разрешения ответственного сотрудника, с обязательным фиксированием количества копий, цели копирования, кем и для кого делается копия. Передача документа за пределы предприятия осуществляется только с разрешения службы безопасности, с соблюдением специальных мер защиты (в запечатанном виде, под личным контролем ответственного лица, с целью недопущения их утери, хищения или ознакомления с ними неавторизированных лиц )
Уничтожение в особом режиме – комиссия из числа сотрудников службы безопасности, либо лиц имеющих допуск к коммерческой тайне, которая осуществляет предварительный контроль содержания документов, составляет акт об уничтожении, в котором указываются какие документы подлежат уничтожению, причины уничтожения документов и перечисляются члены ликвидационной комиссии. Документы, содержащие коммерческую тайну, должны быть полностью уничтожены, в том числе путем уничтожения остатков этих документов посредством сжигания, или иным способом, исключающим их восстановление. 

К любому исчезновению или уничтожению документов, особенно содержащих конфиденциальную информацию, необходимо отнестись со всей серьезностью. В этом случае в обязательном порядке должно быть проведено внутреннее расследование. Для этого назначается комиссия из числа сотрудников службы безопасности и ответственных лиц, которая должна выяснить судьбу документа, причины происшедшего и виновных лиц.

Важно, чтобы расследование не стало формальностью, а из его результатов были сделаны надлежащие выводы и допущенные ошибки исправлены в максимально короткое время.
Результаты расследования должны быть проанализированы, если необходимо, лица, виновные в утере документов, должны быть привлечены к дисциплинарной ответственности.  В  необходимых случаях виновные лишаются права доступа к конфиденциальным документам, а в отношении информации, которая могла быть разглашена, принимаются необходимые меры защиты (например, смена паролей доступа).

Кроме того, случаи утери или уничтожения документов в дальнейшем могут использоваться в качестве примера при инструктаже сотрудников и работе службы безопасности.

Так же не нужно забывать простые правила предосторожности при работе с документами:

•    Запрещено делать лишние копий документов;
•    Черновики и наброски конфиденциальных документов ведутся в  специальном блокноте (тетради) для ведения конфиденциальных документов. Тетрадь по окончании работы сдается в отдел режима или ответственному лицу;
•    Конфиденциальные документы должны храниться отдельно от остальных, желательно в изолированном помещении с ограниченным доступом. Эффективным является применение в таком помещении современных технических средств, таких как системы контроля доступа охранно-пожарная сигнализация и видеонаблюдение;
•    Запрещено держать копировальную технику в одном помещении с конфиденциальными документами, для того, чтобы исключить их несанкционированное копирование;
•    Запрещено оставлять служебные документы на рабочем месте без присмотра, либо под присмотром иных работников, даже на короткое время;
•    Запрещается, посторонним, и лицам, не имеющих соответствующего доступа, знакомиться с содержимым служебных документов, пусть даже и случайно. При появлении таких лиц - документы должны быть убраны в хранилище, шкаф, ящик стола. В крайнем случае, документ переворачивается тыльной стороной с целью недопущения ознакомления с его содержанием;
•    Необходимо установить строгий запрет на вынос работниками документов за пределы предприятия без предварительного разрешения ответственного лица. Документы, содержащие коммерческую тайну, выносятся за пределы предприятия только в особых случаях под специальным контролем ответственных лиц.

Особенности документооборота документов на цифровом (электроннном) носителе

В настоящее время все большую популярность начинают приобретать документы на цифровом (электронном) носителе. 
Активное внедрение цифровых технологий, их постоянное совершенствование, удобство в использовании и иные преимущества приводят к тому, что многие предприятия полностью или частично переходят на оборот электронных документов. А это, в свою очередь ведет к дополнительным рискам утечки информации.
Согласно данным исследования 2008 г., наиболее распространенным каналом утечки данных является сеть (кроме электронной почты) — 21,1% случаев. На втором месте — ноутбуки и мобильные компьютеры — 19,4%, на третьем и с большим отрывом — настольные ПК и серверы — 7,5%. При этом примерно в трети случаев (32,6%) путь остался не установленным. В прошлом году таких случаев было меньше в три раза — 12%. (Круглый стол "Информационная безопасность в бизнесе и госструктурах" 28 мая 2008 г.)

Какие же меры защиты необходимо предпринимать в отношении подобных документов? В большинстве случаев к ними применимы те же правила, которые мы используем в отношении бумажных документов. Вместе с тем, они обладают определенной спецификой. Так, их оборот возможен, как с помощью записи на материальный носитель (flash-drive, CD/DVD диски и иные носители)  так и помощью прямой передачи документа конечному адресату, посредством сетей Internet/Intranet
В связи с этим, система контроля и учета должна основываться на двух важных составляющих:

1) Программно-аппаратный контроль за документами на цифровом (электронном) носителе. 

2) Организационно-технический контроль за лицами, допущенными к средствам хранения и обработки информации

В первом случае речь идет о программных продуктах позволяющих применять к документам криптографию (шифрование) и установление паролей и режимов доступа. Кроме того, существуют специализированные программные комплексы, специально созданные для осуществления контроля за такими документами, которым пользователь установил специальный доступ. Этот комплекс представляет из себя программную среду, осуществляющую доступ пользователя по индивидуальному идентификатору (логину) и паролю. Уровень доступа конкретного пользователя устанавливается в соответствии с его статусом и аналогичен уровню доступа сотрудника к секретной документации. В данном случае - преимуществом такой системы является то, что она позволяет устанавливать:
1) Общий доступ ко всем документам единой группы, согласно занимаемой должности (например, доступ начальника отдела, ко всем документам служебного пользования его отдела)
2) Выборочный доступ к отдельным документам отдельной категории сотрудников, исходя из служебной необходимости (например, доступ только к документам служебного пользования касающихся менеджеров отдела продаж)
3) Индивидуальный доступ для конкретного сотрудника (с учетом его личных качеств, уровня его доступа и служебной необходимости)

Помимо ограничения доступа система также обладает контролирующими функциями. В частности неавторизированная попытка пользователя получить доступ к документу, внести в него изменения, или попытаться скопировать, переслать или вывести на печать документ, к которому он не имеет соответствующего права доступа - будет пресечена.  Программный комплекс также ведет специальный учет лиц, осуществляющих доступ к документам и несанкционированных попыток действий.  Данные этого учета своевременно предоставляются сотрудникам службы безопасности с целью контроля данного процесса и принятия дальнейших мер к нарушителям.

Организационно-технический контроль служит для ограничения доступа посторонних лиц, а также лиц, не имеющих соответствующего права доступа к средствам хранения и обработки информации. В частности операторы ЭВМ проходят предварительную проверку и обязательный инструктаж о правилах специального документооборота и мерах защиты коммерческой тайны. Посторонние лица (посетители, клиенты, работники не имеющие соответствующего доступа) не допускаются в помещения, где находятся компьютеры с конфиденциальными документами. С этой целью в таких помещениях устанавливаются системы контроля и управления доступом.
Если это возможно на компьютерах служащих для обработки и хранения электронной документации секретного характера демонтируются записывающие устройства, блокируются все источники передачи информации, кроме того такие компьютеры изолируются от внешнего сетевого доступа (интернет, внутренняя сеть).
В помещениях, где находятся такие компьютеры, устанавливаются системы видеонаблюдения с целью контроля действия операторов, фиксации попыток доступа неавторизованных лиц.

В связи с активным распространением портативных, мобильных, носителей информации (flash-drive) необходимо также ввести специальную процедуру контроля их использования. Применение  личных носителей информации работников, в компьютерах содержащих документы для служебного пользования и конфиденциальную документацию, не рекомендуется. Запись конфиденциальных документов производиться только на служебные носители информации. Нежелательно размещение конфиденциальных документов на мобильных, портативных, носителях вместе с иными документами. Подобные носители не должны использоваться за пределами предприятия в целях случайного, или намеренного, неавторизированного доступа третьих лиц к конфиденциальным документам.

Немаловажным является также ограничение и контроль за выносом мобильных компьютеров, содержащих конфиденциальные документы за пределы предприятия. Нередко подобные действия приводят к существенным потерям. Согласно исследованию, проведенному Ponemon Institute, потери и кражи ноутбуков в аэропортах, такси и отелях во всем мире обходятся компаниям, которые ими владеют, в среднем в 49246 долларов! Это стоимость не самих компьютеров, а хранящихся в них данных.

Таким образом, внедрения мер программно-аппаратного и организационно-технического контроля позволяет минимизировать риски утечки коммерческой тайны содержащейся в электронных документах.

Подводя итог, хочется отметить, что применения вышеуказанных мер позволяет не только минимизировать риски от утечки конфиденциальной информации, но и активно способствует более эффективной и системной работе предприятия. 

Анатолий Брединский
www.sec4all.net

 
 

Родственные ссылки
» Другие статьи раздела Организационные вопросы ЗИ
» Эта статья от пользователя admin

5 cамых читаемых статей из раздела Организационные вопросы ЗИ:
» Разработка системы защиты конфиденциальной информации
» ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
» Специальной документооборот на предприятии и защита информации на электронных носителях
» Организация конфиденциального делопроизводства
» Проблема утечки информации при ротации кадров

5 последних статей раздела Организационные вопросы ЗИ:
» 5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR
» Причина большинства утечек информации – сбои системы и человеческий фактор
» Проблема утечки информации при ротации кадров
» «Грабли», на которые мы наступаем
» Жилищный кодекс и персональные данные.

¤ Перевести статью в страницу для печати
¤ Послать эту cтатью другу

MyArticles 0.6 Alpha 9 for RUNCMS: by RunCms.ru

С НАСТУПАЮЩИМ НОВЫМ ГОДОМ!!!

Социальные сети

PR-CY.ru Rambler's Top100
Яндекс.Метрика

RunCms Copyright © 2002 - 2018
- Free Opensource CMS System - 
- Click here to visit our mainsite! -
Design By Farsus
Hosted by ARAX COMMINICATIONS
Право, Нотариат
Пейнтбол в Молдове
- Генерация страницы: 0.044671 секунд -