Что необходимо предпринять в случае обнаружения документа содержащего конфиденциальные сведения
Защита и обработка конфиденциальных документов
Автор статьи:
Гончаров Андрей Михайлович
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством (Указ президента РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188 с изм. и доп.), в том числе, — персональные данные; сведения, составляющие тайну следствия и судопроизводства; служебная тайна; профессиональная тайна; коммерческая тайна; интеллектуальная собственность.
Конфиденциальные документы
Конфиденциальные документы – документированная конфиденциальная информация. Может быть представлена в виде документов на бумажном носителе и/или в электронном виде (электронный документ, электронные образы документов).
Система внутреннего документооборота, как объект защиты документированной конфиденциальной информации, представляет собой совокупность каналов санкционированного распространения конфиденциальной документированной информации в процессе деятельности организации пользователями этой информации.
Основной характеристикой движения информации является технологическая комплексность, а также защищенность.
Порядок и маршруты потоков конфиденциальных документов на бумажном носителе и электронных документов в инфраструктуре организации, включая информационную инфраструктуру организации, должны быть документированы и регламентированы для того, чтобы процесс восстановления работоспособности системы документооборота, включая электронный, производился максимально быстро.
Комплекс мер, необходимый для защиты информации
Для организации работы по охране документированной конфиденциальной информации необходимо осуществление комплекса мер, включающих в себя:
Защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер юридического, режимного, технологического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры его обработки и/или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.
Технологический процесс учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.
Глава 2. Порядок обращения с документами, содержащими информацию конфиденциального характера
Глава 2. Порядок обращения с документами, содержащими информацию
конфиденциального характера
2.2. Учет носителей должен предшествовать началу их эксплуатации. Регистрация должна осуществляться в журнале учета документов и изданий с пометкой «Для служебного пользования» в структурных подразделениях, где производится обработка конфиденциальной информации. При этом сотрудником, ответственным за регистрацию и контроль служебной переписки в структурном подразделении, на этих носителях информации проставляются любым доступным способом следующие учетные реквизиты: наименование структурного подразделения, наименование носителя, учетный номер по журналу регистрации и дата регистрации, пометка «ДСП», а также другие возможные реквизиты, идентифицирующие этот носитель.
2.3. Съемные магнитные носители и документы с пометкой «Для служебного пользования» хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).
2.4. Системные блоки компьютеров должны быть опечатаны. Их вскрытие может осуществляться только лицом, уполномоченным для производства ремонтно-профилактических работ с последующим отпечатыванием.
2.5. Документы с пометкой «Для служебного пользования» во время работы располагаются так, чтобы исключить возможность ознакомления с ними других лиц, не имеющих к ним прямого отношения.
2.6. Подготовка проектов документов, содержащих сведения конфиденциального характера, может, осуществляется на магнитных носителях, зарегистрированных с пометкой «Для служебного пользования», на объектах информатизации, аттестованных по требованиям безопасности информации.
2.7. Документы, содержащие сведения конфиденциального характера, разрешается печатать (распечатывать) на объектах информатизации, аттестованных по требованиям безопасности информации.
2.8. Программа аттестационных испытаний таких объектов информатизации определяется аттестационной комиссией в соответствии с приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 г. N 282 «Об утверждении специальных требований и рекомендаций по технической защите конфиденциальной информации».
2.9. Отпечатанный документ, содержащий сведения конфиденциального характера, должен отвечать следующим требованиям:
1) первая страница основного документа (сопроводительного письма) и первая страница каждого из его приложений, содержащих сведения конфиденциального характера, должна иметь в правом верхнем углу пометку «Для служебного пользования», а под ним номер экземпляра;
2) при наличии приложений к основному документу (сопроводительному письму) после собственно текста основного документа должны быть указаны: номера приложений, их наименования, номера прилагаемых экземпляров и количество листов в них;
3) на обороте последнего листа каждого экземпляра основного документа (сопроводительного письма) и на обороте последнего листа каждого экземпляра каждого из его приложений (в левой нижней части листа) указывается по порядку в каждой отдельной строке фамилия исполнителя документа, фамилия сотрудника, отпечатавшего документ, и номер телефона исполнителя.
4) на документе, который остается в деле исполнителя, кроме того, указывается количество отпечатанных документов, рассылка каждого экземпляра, дата печатания, ссылка на черновик (копию).
2.10. Отпечатанные и подписанные (утвержденные) документы, оформленные в соответствии с пунктом 2.9 настоящего Положения, вместе с черновиками (если таковые имеются) передаются для регистрации работнику, осуществляющему их учет.
2.11. Документы с пометкой «Для служебного пользования» копируются (размножаются) только с письменного разрешения руководителя структурного подразделения. При этом на оригинале основного документа делается соответствующая запись с указанием количества сделанных копий и их рассылка. На каждом размноженном документе проставляется слово «Копия» с указанием ее номера. Учет размноженных документов осуществляется поэкземплярно с отражением в учетных формах делопроизводства.
2.12. Носители и документы, зарегистрированные с пометкой «Для служебного пользования», передаются между руководителями органов местного самоуправления и структурными подразделениями Администрации муниципального образования «Город Первоуральск» в установленном порядке через сотрудника, ответственного за регистрацию и контроль служебной переписки;
Запрещается без записи в учетных формах передавать носители и документы с пометкой «Для служебного пользования» другому лицу.
2.14. При необходимости направления документов с пометкой «Для служебного пользования» в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправленных документов. Указатель рассылки подписывается исполнителем и руководителем структурного подразделения, готовившего документ.
2.15. Исполненные документы с пометкой «Для служебного пользования» группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. Документы группируются в дела отдельно или вместе с другими открытыми документами по одному и тому же вопросу. На обложке дела, в которое помещены такие документы, проставляется пометка «Для служебного пользования».
2.16. При снятии с документа пометки «Для служебного пользования» в стандартных учетных формах делаются соответствующие отметки и информируются все адресаты, которым этот документ направлялся.
2.17. Уничтожение дел или документов с пометкой «Для служебного пользования», утративших свое практическое значение, производится по акту стандартных учетных форм делопроизводства. В учетных формах об уничтожении делается пометка со ссылкой на соответствующий акт.
2.18. Уничтожение ГМД, зарегистрированных с пометкой «Для служебного пользования», производится в подразделении, в котором они зарегистрированы. Уничтожение производится комиссией, с составлением соответствующего акта и последующей записью в учетных формах.
2.19. Пришедшие в негодность ЖМД должны быть сданы в подразделения, ответственные за эксплуатацию СВТ и ЛВС структурных подразделений. Уничтожение ЖМД, зарегистрированных с пометкой «Для служебного пользования», производится в подразделениях, ответственных за эксплуатацию СВТ и ЛВС структурных подразделений, комиссией с составлением соответствующего акта и последующей записью в учетных формах.
2.20. При передаче компьютеров в другие структурные подразделения или в случае привлечения для ремонта СВТ специалистов сторонних организаций носители, зарегистрированные с пометкой «Для служебного пользования», должны быть изъяты из конфигурации СВТ на время ремонта.
Запрещается передавать магнитные носители, зарегистрированные с пометкой «Для служебного пользования», в сторонние организации.
2.21. Запрещается производить хранение, обработку конфиденциальной информации на портативных компьютерах.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Контроль исполнения конфиденциальных документов
ИБ-аутсорсинг
на базе DLP-системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
В государственной организации или компании циркулируют документы с различной степенью конфиденциальности. Это могут быть документы, содержащие государственную или коммерческую тайну. Когда на основании поручения руководителя эти документы поступают на исполнение в подразделение, возникает риск, что к их содержанию получат доступ лица, не имеющие на это право, например, сотрудники отдела делопроизводства, обеспечивающие контроль за исполнением поручений, или специалисты IТ-подразделений, налаживающие программу электронного документооборота (ЭДО). Существуют организационные и технические решения, благодаря которым рисков утечки сведений из конфиденциальных документов можно избежать.
Как организовать контроль исполнения документов
Документы, которые поступают на исполнение в подразделение юридического лица, бывают двух видов. Первая группа – это входящая корреспонденция, к которой относятся поручения вышестоящих организаций, запросы правоохранительных органов, письма от граждан, деловая переписка с контрагентами, претензии, договоры. Во вторую группу входят документы организации – поручения или приказы руководства, инструкции, проекты соглашений. Когда на основании какого-то документа сотрудники организации должны совершить ответные шаги (подготовить письмо – ответ на обращение, подобрать первичную документацию, произвести визирование), руководством назначается исполнитель. В поручении определяется срок исполнения. По его истечении соответствующие подразделения обязаны обеспечить контроль исполнения конфиденциальных документов с точки зрения своевременности и правильности.
Как определяется конфиденциальность документов
Уровень конфиденциальности зависит от статуса организации и ее отношения к сохранению режима коммерческой тайны. Для государственных компаний или фирм, работающих с государственным заказом, нередко сталкиваются с государственной тайной, охрана которой обеспечивается отдельными правилами, например, проставлением грифа конфиденциальности «секретно» и разрешением работать с такими данными только лицам, имеющим официальный допуск.
Для частной фирмы конфиденциальность определяется фактом внесения соответствующих данных в список информации, относящейся к коммерческой тайне. Ее режим регулируется нормами ГК РФ, а преднамеренное разглашение может караться в рамках административного и уголовного кодекса. Чтобы коммерческая информация получила такой статус, в организации необходимо издать приказ о том, что вводится в действие режим коммерческой тайны, и ознакомить с ним под роспись сотрудников. Приложением к такому приказу является перечень сведений, составляющих коммерческую тайну.
Поскольку речь идет о контроле исполнения конфиденциальных документов, в перечень должно попасть положение, что к коммерческой тайне относятся все сведения, связанные с таким контролем. В некоторых компаниях в режиме коммерческой тайны обрабатываются все поручения и документы, стоящие на контроле исполнения.
Такую же оговорку необходимо сделать по отношению к документам, содержащим персональные данные, так как их правовой статус относит их к конфиденциальным сведениям.
Все процедуры, относящиеся к обработке конфиденциальных документов, должны быть отражены во внутренних положениях компании. Сотрудники должны быть проинформированы о том, что сведения о порядке исполнения, сроках, назначенных для обработки и подготовки ответов, не должны доверяться третьим лицам. В компании должна формироваться корпоративная культура, в которой единственный намек на то, что документ имеет статус конфиденциального, должен повышать внимательность по отношению к нему.
Контроль исполнения конфиденциальных документов
Обычно в организации создается два внутренних положения, определяющих порядок контроля за исполнением. Первое касается исполнения документов любого уровня, второе – только конфиденциальных.
Этапы контроля выглядят следующим образом:
На всех стадиях допуск к секретным данным, содержащимся в конфиденциальных документах, могут получить неуполномоченные лица.
Решением вопроса исполнения конфиденциальных документов с точки зрения распределения их по зонам ответственности становится создание ступенчатой системы обработки, в которой документы с высокой степенью секретности могут быть переданы только уполномоченным лицам:
При реализации такой структуры обработки на уровне ручного режима утечка данных из-за действий неуполномоченного лица маловероятна. В некоторых компаниях и государственных организациях создается подразделение конфиденциального делопроизводства, через которое проходят секретные документы. Сотрудник, которому поручена обработка документов, должен сверить количество листов, а также проконтролировать, совпадает ли учетный номер документа с тем, который зафиксирован в журналах учета.
Также передача документов от исполнителя к исполнителю происходит непосредственно, без привлечения сотрудников подразделения. Передача оформляется распиской, позволяющей установить сроки, в которые передан документ. Существует ситуация, в которой конфиденциальный документ адресован только для информирования и не требует исполнения. Обычно его доставляют специальной почтой, хранят в отдельных помещениях с ограниченным доступом.
В этой ситуации ознакомление с ними сотрудников происходит под роспись в подразделении, отвечающем за конфиденциальный документооборот. В современном мире эта процедура иногда оказывается архаичной, но для высокой степени конфиденциальности необходимо исключить любые возможности скопировать информацию и передать ее третьим лицам. Подписи, говорящие о том, что ознакомление произведено, могут ставиться как на самих документах, так и на специально созданных листах или в учетных книгах. Это отдельные журналы регистрации, с которыми могут работать только сотрудники, имеющие доступ к данным, содержащим государственную тайну. Такие документы, равно как и процесс их исполнения, никогда не попадут в системы электронного документооборота.
При организации контроля исполнения конфиденциальных документов в системах ЭДО возникают свои сложности. В любой компании в них попадают сведения, носящие характер коммерческой тайны, персональные данные сотрудников. В них же обрабатываются и поручения, в результате контроль исполнения документов конфиденциального характера становится непростой задачей. Системный администратор, в случае если отдельные документы в этой системе отмечаются значком «важно» или «секретно», понимает, что именно представляет интерес для конкурентов. Так же легко, в случае проникновения в систему ЭДО, наиболее важные сведения найдет и хакер. Внимание злоумышленника особенно привлекут документы, которые поставлены на контроль исполнения. Эта процедура говорит об их важности для компании, а значит, и для конкурентов. Задача защиты таких документов решается определенными требованиями к информационным системам, определяющим уровень безопасности.
В ряде компаний система ЭДО настраивается таким образом, что компьютеры ее пользователей не подключены к Сети, соответственно, данные о порядке исполнения конфиденциальных документов не могут быть переданы третьим лицам напрямую. Но такая настройка исключает возможность гибкой работы с мобильных устройств: пользователи привязаны к своим рабочим местам, не имеют возможности выполнять поручения удаленно.
Исполнение документов как процесс остается неотъемлемой частью работы большинства крупных компаний, вынужденных создавать отдельные подразделения и бизнес-процессы, посвященные этому вопросу. Несмотря на то, что это отвлекает значительные финансовые и человеческие ресурсы, часто только такое решение может уберечь ценные сведения от их распространения и передачи конкурентам, иным заинтересованным лицам.
Организация защиты конфиденциальной информации
Защита данных
на базе системы
З ащите важной информации, не подлежащей разглашению, приходится уделять большое внимание как частным лицам, так и многим фирмам. Утечка секретных сведений оборачивается потерей клиентов и снижением доходов. Злоумышленники могут овладеть ценной информацией, нанести урон репутации граждан, получить доступ к банковским счетам, частным и государственным секретным документам. Для защиты конфиденциальной информации, предотвращения ее использования в незаконных или преступных целях используют технические средства.
Информационная безопасность и ее особенности
Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.
Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов. Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.
Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.
К косвенным относят:
Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.
Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства.
Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.
Как обеспечивается безопасность
Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:
1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.
2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.
Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.
Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.
Элементы информационной безопасности
Для эффективной защиты информации проводится комплекс правовых, организационных, программно-аппаратных, инженерно-технических и криптографических мероприятий.
Правовые действия
Контролируется соблюдение юридических норм информационной безопасности, устанавливаются правовые отношения между фирмой, владеющей ценной информацией, и государством. С помощью служебных проверок выявляются факты разглашения информации персоналом.
Проверяется наличие документов, касающихся заключения трудовых соглашений, контрактов, инструкций по работе с секретной информацией.
Проводится работа с персоналом по поводу ответственности за несанкционированное уничтожение документов с важной информацией, передачу ложных сведений, разглашение служебных тайн.
Новым сотрудникам разъясняют особенности информационной безопасности и требования конфиденциальности. При подписании контракта берется письменное согласие на соблюдение ограничений и правил обращения со служебной информацией.
Организационные меры
Включают действия, направленные на обеспечение безопасного режима работы фирмы, пользующейся секретной информацией:
Инженерно-технические мероприятия
Охрана конфиденциальной информации осуществляется с помощью дорогостоящих технических средств и специальной аппаратуры. Это позволяет предотвратить незаконное похищение и рассекречивание сведений злоумышленниками. Организации, владеющие важной информацией, оснащаются приборами слежения и прослушивания.
К инженерно-техническим мерам безопасности относятся:
Криптографические приемы
Производится разработка секретных кодов и паролей доступа в информационную систему предприятий, имеющих дело с особо ценной информацией. При передаче сведений используется специальный криптографический ключ. Он представляет собой последовательность символов, которые используются для шифрования и расшифровки цифровых подписей, тайных сообщений и кодов.
Для сохранения в тайне конфиденциальной информации, передаваемой открытым способом (по почте, факсу, незащищенным интернет-каналам) вырабатываются условия взаимного доверия.
Пример
Лицо А по интернет-переписке общается с лицом Б. При этом Б должен быть уверен, что сообщения с интересующей его информацией приходят именно от А. Они договариваются о секретном пароле – слове, которое должно содержаться в тексте сообщения. Посторонний человек не знает о договоренности, поэтому его сообщениям Б не доверяет.
При обмене служебной информацией пароль для входа в информационную систему передается с помощью специальных криптографических методов и программ. Такая методика может быть использована также при сообщении сведений по телефону или радио.
К криптографическим мерам обеспечения информационной безопасности относятся также:
Выбор методик
Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет.
В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации. Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений.
В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.
В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ.
Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.
Порядок обеспечения информационной безопасности
При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:
Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств. Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать методику ее проведения.