— информация, относящаяся к тайне организации, должна быть максимальным образом локализована в конкретной части документа, его разделе, приложении, отдельной дискете, электронном массиве с усложненной системой доступа (например, большой по объему не конфиденциальный документ может иметь раздел, выделенный в отдельную часть и содержащий комплекс информации ограниченного доступа);
— включаемые в документ конфиденциальные фотоиллюстрации, графики, схемы и т. п. наклеиваются на учтенные листы, их количество оговаривается в сопроводительном письме или специальной записи;
Составление текстов особо ценных конфиденциальных документов обычно относится к компетенции руководства фирмы. Менее значимые конфиденциальные документы по отдельным функциональным вопросам составляются децентрализованно руководителями структурных подразделений (направлений деятельности) фирмы и иногда допущенными к этой работе исполнителями (опытными менеджерами, экспертами).
При документировании конфиденциальной информации следует учитывать, что:
Этап составления текста конфиденциального документа методически мало отличается от аналогичной творческой, формально-логической и технической работы, проводимой при формировании содержания открытого документа.
Однако исполнитель должен помнить, что конфиденциальная информация документируется только при наличии серьезных объективных потребностей, а не субъективного желания сотрудника фирмы.
При работе с исполнителями работник службы КД педантично решает следующие задачи защиты информации:
— предотвращение выдачи носителя лицу, не связанному с составлением конкретного документа или исключенному из состава лиц, допускаемых к данному носителю (составляемому документу);
Этап оформления и учета носителей конфиденциальной информации, выдачи их исполнителям и приема от исполнителей выполняется в службе КД как в традиционном, так и автоматизированном режимах и включает в себя следующие процедуры:
- предупреждение возможности тайной подмены носителя, изъятия из него или включения в него отдельных частей (листов, кусков фото-, видео- или магнитной пленки), для чего фиксируются технические характеристики носителя (количество листов, длина ленты, наличие склеек и др.);
— предупреждение технической возможности тайной разборки кассет, пеналов, футляров, конвертов и иных оболочек, содержащих технические носители информации;
Основными задачами учета носителей конфиденциальной информации (или, как часто их называют в научной литературе, документов предварительного учета) являются:
— закрепление факта присвоения носителю (например, обычным листам бумаги, дискете и др.) категории конфиденциальности, ограниченного доступа;
Гриф конфиденциальности присваивается документу:
— исполнителем при подготовке к составлению проекта документа; руководителем структурного подразделения (направления деятельности) или руководителем организации при согласовании или подписании документа;
— работником службы КД при первичной обработке поступающих документов, если конфиденциальный для организации документ не имеет грифа ограничения доступа.
На документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф “Для служебного пользования”.
Написание грифа ограничения доступа, указываемого на документе, не сокращается.
Система грифования (маркирования) документов не гарантирует сохранность информации, однако, позволяет четко организовать работу с документами, в частности сформировать систему доступа к документам персонала.
Гриф конфиденциальности, или гриф ограничения доступа к традиционному, машиночитаемому или электронному документу, представляет собой реквизит (элемент, служебную отметку, помету, пометку) формуляра документа, свидетельствующий о конфиденциальности содержащихся в документе сведений и проставляемый на самом документе и (или) сопроводительном письме к нему.
Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы исполнителей с конфиденциальной информацией.
Общеизвестно, что в наибольшей безопасности находится конфиденциальная информация, не зафиксированная на каком-либо носителе; ценная информация немедленно подвергается угрозе при возникновении необходимости ее документирования.
В ходе исполнения конфиденциальных документов могут возникнуть следующие основные угрозы:
— утрата (разглашение, утечка) ценной информации за счет ее документирования на случайном носителе, не входящем в сферу контроля службы КД;
Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками организации поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях.
Количество листов обязательно просчитывается и вносится в учетную форму при любой передаче документа с целью подтверждения факта сохранности листов и полного их приема исполнителем или работником службы КД. Кроме того, при просчитыва-нии листов путем их перелистывания (перекладывания) выявляется возможная подмена листов или их порча (отрыв части листа, изменение формата листа и т. п.).
Документы выдаются исполнителям для работы под роспись в традиционной учетной карточке или бумажном экземпляре электронной учетной карточки. Электронные документы передаются в копии в базу данных компьютера (рабочей станции) исполнителя с предварительным внесением исполнителем в электронную учетную карточку документа, находящуюся в компьютере службы КД, своей электронной подписи.
Передача документов руководителям осуществляется работником службы КД под роспись в традиционном журнале учета документов, передаваемых руководству, или бумажном экземпляре аналогичного электронного журнала (описи). Роспись за документ может ставиться в учетной карточке документа. Передавать конфиденциальные документы руководителям через их секретарей или без росписи в учетной форме не разрешается.
Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и другие атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и доводятся до сведения каждого пользователя работником этой организации или администратором базы данных. Применение пользователями собственных кодов не допускается.
Доступ к конфиденциальным базам данных и файлам — завершающий этап доступа сотрудника организации к компьютеру. Если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно преодолел. В конечном счете, не “взламывая” базу данных, он может просто унести компьютер или вынуть из него и унести жесткий диск.
Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить одно из средств промышленного шпионажа и, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести “уборку мусора”).
Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лица, который обращался к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне фирмы.