· пользоваться неучтенными магнитными носителями, создавать неучтенные

копии до­кументов.

После изготовления бумажного варианта документа его электронная копия

стирается, если она не прилагается к документу или не сохраняется в

справочных целях. Отметки об уничтожении электронной копии вносятся в учетные

карточки документа и носителя и заверяются двумя росписями.

Хранение магнитных носителей и элект­ронных документов должно осуществляться

в условиях, исключающих возможность их хищения, приведения в негодность или

унич­тожения содержащейся в них информации, а также в соответствии с

техническими усло­виями завода-изготовителя. Носители хра­нятся в

вертикальном положении в специаль­ных ячейках металлического шкафа или сейфа.

Номера на ячейках должны соответ­ствовать учетным номерам носителей.

Недо­пустимо воздействие на носители теплового, ультрафиолетового и

магнитного излучений.

Магнитные носители, содержащие конфи­денциальную информацию, утратившую свое

практическое значение, уничтожаются по акту с последующей отметкой в учетных

фор­мах.

С целью контроля и поддержания режима при обработке информации на ЭВМ

необхо­димо:

· периодически проводить проверки нали­чия электронных документов и

состава баз данных,

· проверять порядок ведения учета, хране­ния и обращения с магнитными

носителями и электронными документами,

· систематически проводить воспитатель­ную работу с персоналом,

осуществляющим обработку конфиденциальной информации на ЭВМ,

· реально поддерживать персональную от­ветственность руководителей и

сотрудников за соблюдение требований работы с конфи­денциальной информацией

на ЭВМ,

· осуществлять действия по максимальному ограничению круга

сотрудников, допускае­мых к обрабатываемой на ЭВМ конфиденци­альной

информации и праву входа в помеще­ния, в которых располагаются компьютеры,

для обработки этой информации.

Контроль защиты информации

Взаимопонимание между руководством фирмы и работниками не означает полной

свободы в организации рабочих процессов и желании выполнять или не выполнять

требования по защите конфиденциальной информации. С этой целью руководите­лям

всех рангов и службе безопасности следует организовать регулярное наблюдение

за работой персонала в части соблюдения ими требований по защите информации.

Основными формами контроля могут быть:

· аттестация работников;

· отчеты руководителей подразделений о работе подразделений и

состоянии си­стемы защиты информации;

· регулярные проверки руководством фирмы и службой безопасности

соблю­дения работниками требований по защи­те информации;

· самоконтроль.

Аттестация работников представляет­ся одной из наиболее действенных форм

контроля их деятельности как в профес­сиональной сфере (исполнительность,

ответственность, качество и эффектив­ность выполняемой работы,

профессио­нальный кругозор, организаторские спо­собности, преданность делу

организации и т. д.), так и в сфере соблюдения инфор­мационной безопасности

фирмы.

В части соблюдения требований по защите информации проверяется зна­ние

работником соответствующих нормативных и инструктивных доку­ментов, умение

применять требова­ния этих документов в практической деятельности, отсутствие

нарушений в работе с конфиденциальными доку­ментами, умение общаться с

посторон­ними лицами, не раскрывая секретов фирмы и т.д.

По результатам аттестации издается приказ (распоряжение), в котором

отражаются решения аттестационной комис­сии о поощрении, переаттестации,

повы­шении в должности или увольнении со­трудников. Аттестационная комиссия

может также выносить определение об от­странении сотрудника от работы с

информацией и документами, составляющи­ми секреты фирмы.

Другой формой контроля является заслушивание руководителей структур­ных

подразделений и руководителя службы безопасности на совещании у первого

руководителя фирмы о состоя­нии системы защиты информации и вы­полнении ее

требований работниками подразделений. Одновременно на сове­щании принимаются

решения по фактам нарушения работниками установленных правил защиты секретов

фирмы.

Формой контроля являются также ре­гулярные проверки выполнения сотруд­никами

(в том числе хорошо работающи­ми) правил работы с конфиденциальной

информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направле­ний,

заместителями первого руководите­ля и работниками службы безопасности.

Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки

проводятся при возникновении малейшего подозрения о разглашении или утечке

информации.

Самоконтроль состоит в проверке са­мими руководителями и исполнителями

полноты и правильности выполнения ими действующих инструктивных поло­жений, а

также в немедленном информи­ровании службы безопасности и непос­редственного

руководителя о фактах утери документов, утрате по какой-либо причине ценной

информации, разглаше­нии лично или другими сотрудниками сведений,

составляющих секреты фирмы, нарушении работниками порядка защи­ты информации.

При работе с персоналом фирмы следует сосредоточивать внимание не только на

сотрудниках, работающих с конфиденциальной информацией. Под контролем должны

находиться также лица, не имеющие доступа к сек­ретам фирмы. Следует

учитывать, что эти работники могут быть посредни­ками в действиях

злоумышленника: в проведении электронного шпионажа, создании условий для

хищения доку­ментов, снятии с них копий и т.п.

Кроме того, необходимо помнить, что работники, владеющие конфиденциаль­ной

информацией, вынуждены действо­вать в рамках требований, регламентиро­ванных

инструкцией по обеспечению режима конфиденциальности. Ограниче­ние свободы

человека в использовании информации может приводить к стрессам, нервным

срывам. Сохранение чего-то в тайне противоречит потребности чело­века в

общении путем обмена информа­цией. В связи с этим особенно важно, что­бы

психологический настрой коллектива и отдельных работников всегда находил­ся в

центре внимания руководства фир­мы и службы безопасности.

В случае установления фактов невы­полнения любым из руководителей или

работников требований по защите ин­формации к ним в обязательном порядке

должны применяться меры порицания и наказания в соответствии с правилами

внутреннего трудового распорядка. Важ­но, чтобы наказание было неотвратимым и

своевременным, не взирая на должнос­тной уровень работника и его

взаимоот­ношения с руководством фирмы.

Одновременно с виновным лицом от­ветственность за разглашение сведений,

составляющих секреты фирмы, несут ру­ководители фирмы и ее структурных

под­разделений, направлений деятельности, филиалов, т.к. они полностью

отвечают за разработку и реализацию мер, обеспе­чивающих информационную

безопас­ность всех видов деятельности фирмы.

Информационная база для контроля работы персонала, владеющего

конфи­денциальной информацией, формирует­ся на основе анализа степени

осведом­ленности работников в секретах фирмы. Эта работа входит в состав

комплексного аналитического исследования по поиску и обнаружению каналов

утраты персона­лом конфиденциальной информации.

Объектами комплексного аналитичес­кого исследования являются: выявление,

классификация и постоянное изучение источников и объективных каналов

рас­пространения конфиденциальной инфор­мации, а также обнаружение и анализ

степени опасности источников угрозы информации. Важен превентивный кон­троль

безопасности ценной информации.

Одновременно подлежат специально­му (экстремальному) учету все замечен­ные

несанкционированные или ошибоч­ные действия персонала с документами и

информацией, нарушения системы до­ступа к информации и правил работы с

конфиденциальными документами и ба­зами электронных данных. Подобные факты

подлежат оперативному, тщатель­ному сравнительному анализу, а резуль­таты

анализа должны докладываться не­посредственно первому руководителю фирмы.

В целях превентивного контроля рекомендуются следующие учетные и

аналитические действия по отноше­нию к персоналу, который обладает или может

обладать конфиденциаль­ной информацией:

· анализ реального состава известной персоналу конфиденциальной

информа­ции и динамики ее распределения по структурным подразделениям фирмы;

· анализ степени владения конфиденци­альной информацией руководством

фир­мы, руководителями структурных под­разделений, направлений деятельности и

каждым работником, т.е. учет уровня и динамики их реальной осведомленности в

секретах фирмы;

· анализ выявленных потенциальных и реальных источников угрозы

персоналу в целом и каждому отдельному работни­ку с целью завладеть ценной

информаци­ей фирмы (конкурентов, соперников, криминальных структур и

отдельных преступных элементов);

· анализ эффективности защитных мер, предпринятых по отношению к

персона­лу, их действенности в обычных услови­ях и при активных действиях

злоумыш­ленника.

Своевременный учет состава конфи­денциальной информации, известной каждому из

работников фирмы, является наиболее информативной частью анали­тической

работы в целом. Учитываются любые контакты любого работника фир­мы с

конфиденциальными сведениями, как санкционированные, так и случайные

(ошибочные). Подлежит также учету вы­явленное несанкционированное

озна­комление с информацией, к которой ра­ботник не имел разрешения на

доступ, в том числе несанкционированное озна­комление с информацией

работника, во­обще не имеющего допуска для работы с конфиденциальной

информацией.

Для учета и последующего анализа степени осведомленности работников в

секретах фирмы ведется специальная учетная форма.

Традиционная (карточная) или элек­тронная учетная форма должна содер­жать ряд

предметных зон, позволяющих сопоставлять функциональные обязанно­сти

сотрудника и состав конфиденциаль­ной информации, полученной сотрудни­ком, и

который должен соответствовать выполняемым видам работы. Целесооб­разно

включить в учетную форму сле­дующие зоны:

· зона штатных функциональных обя­занностей работника, при реализации

которых используется конфиденциаль­ная информация (по утвержденной

дол­жностной инструкции);

· зона изменений и дополнений, внесен­ных в функциональные обязанности

ра­ботника, с указанием документа-основа­ния, его даты и фамилии

руководителя, подписавшего документ;

· зона стандартного состава конфиден­циальные сведений или их

индексов, по перечню конфиденциальной информации фирмы, к которым допущен

работник в соответствии с должностной инст­рукцией (с указанием наименования

документа о допуске, его даты, номера и фамилии руководителя, подписавшего

документ);

· зона изменений и дополнений в соста­ве конфиденциальных сведений, к

кото­рым допускается работник в связи с пе­ресмотром его должностных

обязаннос­тей (с указанием наименований и дат документов о допуске, фамилий

руково­дителей, подписавших документы);

· зона документированной информации (документов), с которой знакомится

или работает сотрудник, с указанием наиме­нований документов, их дат и

номеров, краткого содержания, целевого исполь­зования содержащихся в

документах конфиденциальных сведений или их ин­дексов по перечню, фамилий

руководи­телей, разрешивших работу с докумен­тами;

· зона недокументированной конфиден­циальной информации, которая стала

из­вестна работнику, с указанием даты и цели ознакомления, фамилии

руководи­теля, разрешившего ознакомление, со­става конфиденциальных сведений

или их индексов по перечню;

· зона обнаруженного несанкциониро­ванного ознакомления работника с

кон­фиденциальной информацией с указани­ем даты ознакомления, условий или

причин ознакомления, фамилии винов­ного работника, места ознакомления,

со­става конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов

известной сотруднику конфиденциаль­ной информации, т.е. ведется поиск

не­соответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты

документов и изделий, другим грубым нарушениям правил защиты информа­ции

организуется служебное расследо­вание.

Служебное расследование проводит специальная комиссия, формируемая приказом

первого руководителя фирмы. Расследование предназначено для выяс­нения

причин, всех обстоятельств и их последствий, связанных с конкретным фактом,

установления круга виновных лиц, размера причиненного фирме ущер­ба. По

результатам расследования дают­ся рекомендации по устранению причин

случившегося.

План проведения служебного рас­следования:

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10