Мероприятия по реализации защищенного документооборота

(4 вопрос) Мероприятия по реализации защищенного документооборота

В целом  мероприятия по реализации защищенного  документооборота можно свести в три группы, по мере уменьшения их важности:

1. Работа  с человеческим фактором.

2. Техническое,  программное и организационное обеспечение по ограничению доступа к защищаемой информации.

3. Программные  средства непосредственной защиты  информации.

Рассмотрим  эти мероприятия более подробно.

Работа  с человеческим фактором

Первым, самым важным пунктом идет работа с так называемым человеческим фактором, а именно - с сотрудниками организации.

Работа  с человеческим фактором включает:

• повышение уровня активности администраторов сети и общего уровня компьютерной грамотности сотрудников, являющихся пользователями системы;
• проведение обучения сотрудников работе с системой и сопутствующим программным обеспечением;
• ознакомление сотрудников с их правами и обязанностями как администраторов и пользователей системы, имеющих доступ к данным.

Техническое, программное и  организационное обеспечение

Перейдем  ко второй группе мероприятий по защите: к техническому, программному и организационному обеспечению по ограничению доступа к защищаемой информации.

Прибегать к нему следует тогда, когда грамотного персонала и аккуратной работы уже недостаточно. Например, в средних и крупных компаниях (когда сложно обеспечить безопасность организационными мерами) либо просто при большой вероятности атаки снаружи. Подобного рода обеспечение подразумевает:

• создание ролей доступа к информации, разграничение прав на работу с информацией;
• протоколирование всех действий и попыток к действиям (включая не только создание, редактирование и удаление, но и чтение, печать, выгрузку, пересылку и т. п.);
• запрет на использование внешних носителей;
• по мере ужесточения мер обеспечения безопасности возможно даже создание специальной, отдельно охраняемой экранированной комнаты, в которой установлен компьютер с важными данными, отключенный от любой сети, кроме электрической.

Чем более  суровы данные методы, тем более высокую степень защиты (естественно, при условии того, что мы позаботились об исключении негатива первого фактора) они дают.

Программные средства непосредственной защиты информации

Третья  группа мероприятий по защите: программные  средства непосредственной защиты информации. К ним относим:

• криптографические средства - электронную подпись и шифрование (как отдельных файлов, так и целых баз данных);
• системы аутентификации, построенные на криптографии.

Приступая к реализации этих мероприятий, следует помнить, что это - последний (и, как правило, не очень нужный) слой защиты информации, так называемый последний рубеж. Применение его необходимо, когда предполагается наличие внутреннего нарушителя (в случае внутрикорпоративного документооборота), либо когда обмен информацией ведется с внешними организациями без возможности защиты каналов передачи этой информации. Все, от чего данные меры защитят, так это от того, что злоумышленник не сможет ознакомиться с информацией или исказить ее. Но эти меры (при «забывании» руководством о первых двух группах мероприятий) не помешают ему эту информацию, скажем, удалить, тем самым, парализовав работу организации.

  (5 вопрос)  Учет конфиденциальных документов.

  После создания и утверждения документа  он должен быть немедленно зарегистрирован у секретаря по специальному отдельному делопроизводству, т. е. учтен по Журналу регистрации конфиденциальных документов (Приложение №_). Регистрации подлежат документы, в форме которых содержатся служебные записи об утверждении и (или) согласовании, а также конфиденциальная переписка. После регистрации документа он сдается секретарю на хранение.

  Лицо, не зарегистрировавшее документ в указанный  срок, несет за это ответственность. 

(6 вопрос)   Порядок создания конфиденциального бумажного делопроизводства  
 
1 этап - создание обычного бумажного делопроизводства.  
2 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. Разделение сведений на несколько групп по степени конфиденциальности (например: строго конфиденциальные, конфиденциальные, для служебного пользования).  
3 этап - утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, а также снижение и снятие грифа конфиденциальности.  
4 этап - определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства.  
5 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера.  
6 этап - заключение договоров о нераспространении конфиденциальных сведений между сотрудниками, которые будут допущены к работе с конфиденциальной информацией и руководством организации.  
7 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).  
8 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей.  
9 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.  
10 этап – создание механизма ответственности за нарушение правил конфиденциального делопроизводства 
 
 
 
 
 
 
 
 
 
 

(3 вопрос)   Процессу приема сотрудника на работу предшествует ряд подготовительных этапов, которые позволяют составить точное представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми, моральными и личными качествами он должен обладать. Особенно это касается должностей, связанных с владением конфиденциальной информацией. Можно выделить следующие этапы:

  • предварительно сформулировать, какие  функции должен выполнять сотрудник, каков круг его ответственности, какие качества, знания и уровень  квалификации необходимо иметь претенденту;

  • составить перечень ценных и конфиденциальных сведений, с которыми будет работать специалист;

  • составить перечень форм поощрения  и стимулирования, которые может получать сотрудник;

  • составить другие перечни вопросов, которые необходимо будет решать специалисту, перечни его личных качеств, возрастных, профессиональных и иных характеристик;

  • составить описание должности - документ аналогичный по структуре должностной  инструкции, который определяет требования к кандидату на должность (но это  документ - вспомогательный).

  Выполнение  указанных этапов облегчит процедуру  подбора кандидатов и сделает отбор их более обоснованным и объективным. Кандидаты предварительно знакомятся с указанными выше документами, что делает собеседование с ними более целенаправленным и конкретным. Кроме того, ознакомившись с документами, кандидат может отказаться от предлагаемой работы. Описание вакантной должности имеет для работодателя примерно такое же значение, как и резюме для кандидата.