Важно место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.
С учетом Закона РСФСР "О предприятиях и предпринимательской деятельности" руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.
В системе мер безопасности существенное значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, оставляющих тайну предприятия, между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику для качественного и своевременного выполнения порученных ему работ полного объема данных, а с другой стороны, исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.
В целях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну фирмы, рекомендуется разрабатывать и внедрять на предприятиях соответствующую разрешительную систему.
Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).
Оформление доступа к КТ может производиться в соответствии с утвержденным директором Положением о разрешительной системе доступа, где юридически закрепляются полномочия должностных лиц предприятия по распределению информации и пользовании ею. Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ООО «Ласпи» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках), следующими сотрудниками:
1. учредитель фирмы.
2. директор фирмы.
3. секретарь директора.
Санкцию на доступ к информации другим сотрудникам могут давать только учредитель и директор фирмы.
Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки.
Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Доступ к ней имеют только учредитель, директор фирмы, которые остальным сотрудникам предоставляют только уже проработанные цены (с различными «накрутками»), а так же секретарь, который ведет весь документооборот в организации.
Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:
1. Разрешительная система в качестве обязательного для выполнения правила включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений, в отношении которых решается вопрос о доступе.
2. Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы. Это требование относится и к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.
3. Следует строго соблюдать принцип контроля. Каждое разрешение должно иметь дату его оформления и выдачи.
Широкое распространение имеет такой традиционный вид разрешения как резолюция руководителя на самом классифицированном документе. Такое разрешение должно содержать перечень фамилий сотрудников, обязанных ознакомиться с документами или их исполнить, срок исполнения, другие указания, подпись руководителя и дату. Руководитель может при необходимости предусмотреть ограничения в доступе конкретных сотрудников к определенным сведениям.
Резолюция, как вид разрешения, применяется главным образом для оперативного доведения до заинтересованных лиц закрытой информации, содержащихся в документах и изделиях, поступаемых извне и создаваемых на предприятии.
Руководитель предприятия может дать разрешение на доступ в распорядительных документах: приказах, указаниях, распоряжениях по предприятию. В них должны содержать фамилии, должности лиц, конкретные классификационные документы и изделия, к которым они могут быть допущены (ознакомлены).
Другой вид разрешений - по фамильные списки лиц, имеющих право знакомиться и производить какие-либо действия с классифицированными документами и изделиями. По фамильные списки утверждаются директором предприятия или в соответствии с действующей разрешительной системой руководителями, занимающими, как правило, должности не ниже руководителей соответствующих подразделений.
По фамильные списки лиц могут использоваться при организации доступа к классифицированным документам и изделиям, имеющим особо важное значение для предприятия, при оформлении доступа в режимные помещения, на различного рода закрытые мероприятия (конференции, совещания, выставки, заседания научно-технических советов и т.п.). В по фамильных списках могут быть определены конкретные руководители, которые допускаются руководителем ко всем закрытым документам и изделиям без соответствующих письменных разрешений. В них указывается Ф.И.О. исполнителя работ, отдел, занимаемая должность, категория документов и изделий, к которым он допущен. На практике применим и вариант должностных списков, в которых указывается: должность исполнителя, объем документов (категории документов) и типы изделий, которыми необходимо пользоваться работникам предприятий, занимающим соответствующую списку должность. Следует отметить, что для предприятий с небольшим объемом классифицированных документов и изделий может оказаться достаточным использование таких видов разрешения, как резолюция руководителя на самом документе, по фамильные списки, должностные списки.
В организационном плане по фамильные списки должны готовиться заинтересованными руководителями структурных подразделений. Перечень сотрудников, вошедших в список, визируется начальником СБ и утверждается руководителем предприятия, который может делегировать права утверждения другим лицам из числа дирекции.
Разрешительная система должна отвечать следующим требованиям:
· распространяться на все виды классифицированных документов и изделий, имеющихся на предприятии, независимо от их место нахождения и создания;
· определять порядок доступа всех категорий сотрудников, получивших право работать с КТ, а также специалистов, временно прибывших на предприятие и имеющих отношение к совместным закрытым заказам;
· устанавливать простой и надежный порядок оформления разрешений на доступ к охраняемым документам и изделиям, позволяющий незамедлительно реагировать на изменения в области информации на предприятии;
· четко разграничивать права руководителей различных должностных уровней в оформлении доступа соответствующих категорий исполнителей;
· исключать возможность бесконтрольной и несанкционированной выдачи документов и изделий кому бы то ни было;
· не разрешать лицам, работающим с классифицированной информацией и объектами, вносить изменения в четные данные, а также подменять учетные документы.
При разработке разрешительной системы особое внимание должно быть уделено выделению главных, особо ценных для предприятия сведений, что позволит обеспечить к ним строго ограниченный доступ. При наличии совместных работ с другими предприятиями (организациями), иностранными фирмами или их отдельными представителями, необходимо предусмотреть порядок доступа этих категорий к коммерческой тайне предприятия. Целесообразно определить порядок взаимодействия с представителями обслуживающих государственных организаций: технадзором, санэпидемстанцией и др.
В Положение о разрешительной системе фирмы необходимо указать, что передача классифицированных документов и изделий от исполнителя к исполнителю возможна только в пределах структурного подразделения и с разрешения его руководителя. Передача, возврат таких документов изделий производится по установленному на фирме порядку и только в течение рабочего времени данного дня.
Вся классифицированная документация и изделия, поступившие на предприятие и разработанные на нем, принимаются и учитываются руководством среднего звена и секретарем. После регистрации документация передается на рассмотрение руководителю предприятия под расписку.
В Положение о разрешительной системе фирмы необходимо указать, что закрытые совещания по служебным вопросам проводятся только с разрешения руководителя фирмы или его заместителей. Особые требования могут распространяться на заседания ученых советов, совещания по рассмотрению результатов НИОКР и финансово-коммерческой деятельности и т.п. На такие мероприятия рекомендуется в обязательном порядке оформлять разрешительные списки и включать в них лишь тех сотрудников предприятия, которые имеют непосредственное отношение к планируемым мероприятиям и участие в которых вызывается служебной необходимостью.
Как уже отмечалось выше, сотрудники других фирм могут участвовать в закрытых совещаниях только с персонального разрешения руководства фирмы. Готовит списки, как правило, ответственный за организацию совещания в контакте с заинтересованными руководителями структурных подразделений. Список является основанием для организации контроля за допуском на данное совещание. Перед началом совещания присутствующие предупреждаются, что обсуждаемая информация носит закрытый характер и не подлежит распространению за пределы установленной фирмой сферы обращения, и выдает инструкции по порядку ведения записей.
Важно подчеркнуть, что установление на фирме определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений.
Для обеспечения сохранности документации предлагается закупить соответствующую мебель, которая позволяет надежно запирать документы. Так же необходимо каждый день, перед уходом, опечатывать шкафы.
Ключи от сейфа и шкафов должны сдаваться службе безопасности под роспись. Так же рекомендуется приобрести специальный тубус для хранения ключей и так же его опечатывать.
Особое внимание следует уделить безопасности компьютерной информации. В ООО «Ласпи» сегодня создано несколько баз данных: клиенты фирмы (с указанием не только их рабочих адресов и телефонов, но и домашних, а также сведений носящих личный характер); база данных, содержащая цены и характеристику поставляемого оборудования; база данных сотрудников организации. Так же в компьютере хранятся различные договора, соглашения и т.п.
В любом случае, попадание этой информации в руки конкурентов крайне нежелательно. Для предотвращения такого развития событий рекомендуется создание паролей для доступа в каждую базу данных (а программные средства позволяют это реализовать). При загрузке компьютера так же рекомендуется ставить двухуровневую защиту (при загрузке BIOS и при загрузке OS Windows’2000, которая не позволяет беспарольный доступ к содержимому винчестера, в отличие от предыдущих версий этой операционной системы). Естественно, пароли так же должны быть доступны только тем сотрудникам фирмы, которые непосредственно работают с этими базами данных (секретарь, руководители, программисты).
В случае возникновения каких-либо проблем, связанных с компьютером и необходимости обращения в постороннюю фирму, необходимо полностью контролировать процесс ремонта техники. Так как именно в такой момент, когда сняты все пароли, когда программист «со стороны» имеет свободный и беспрепятственный доступ к содержимому жесткого диска, возможно изъятие им информации и дальнейшее ее использование в различных целях.
Необходимо постоянно обновлять антивирусные программы с целью препятствования попадания и распространения вирусов в компьютерах.
Рекомендуется приобрести в фирму специальную аппаратуру для уничтожения бумажной информации.
Особое внимание необходимо уделить вопросам приема новых сотрудников на работу. Сегодня во многих организациях практикуется ужесточенный подход к этому процессу, что связано с желанием сохранить информацию внутри фирмы и не дать ей выйти за ее пределы из-за «человеческого фактора».
Если в большинстве случаев прием на работу осуществляется в два этапа (они кратко изложены выше), то здесь предлагается четыре этапа.
1. Беседа с начальником отдела кадров. Начальник отдела кадров знакомится с кандидатом, его резюме, задает вопросы по профессиональной деятельности, делая предварительные пометки. Этот этап носит профессиональный характер. Затем начальник отдела кадров анализирует полученную информацию от кандидатов и передает ее руководителю.
2. Руководить знакомиться с резюме кандидатов и заметками о них начальника отдела кадров, выбирая наиболее подходящих и приглашает к себе на собеседование. Собеседование носит личностный характер и предполагает нестандартные вопросы (например, что человек любит есть, какое у него хобби и т.п.) Таким образом руководитель получает информацию для принятия решения о том, насколько для него подходит этот человек, прогнозирует возможные проблемы, с которыми он может столкнуться при общении с этим кандидатом.
3. Тестирование. Здесь уже определяется уровень интеллекта сотрудника, составляется его психологический портрет на основе различных тестов. Но сначала необходимо определить, каким хотят видеть нового сотрудника его руководитель и коллеги.
4. Служба безопасности. Здесь предлагаются два этапа: а) проверка кандидатов в различных инстанциях (привлекался ли к суду, отбывал ли срок в местах лишения свободы, стоит ли на учете в наркологическом диспансере, соответствуют ли действительности сведения, которые он предоставил о предыдущих местах работы); б) проверка на специальной аппаратуре, которую чаще всего называют «детектором лжи». На втором этапе определяется, насколько сотрудник лоялен к фирме, какие у него реакции на провокационные вопросы (например, что он будет делать, если узнает, что кто-то из его коллег берет документы домой) и т.д.
И только после того, как кандидат прошел все эти четыре стадии, можно принимать решение – брать ли его на работу или нет.
После того, как вынесено положительное решение, сотруднику устанавливается испытательный срок (по законодательству РФ он может варьироваться от 1 месяца до трех, но рекомендуется не меньше 2 месяцев, а лучше 3). В течение испытательного срока руководство и служба безопасности должны присматриваться к новому сотруднику, наблюдать за его деятельностью.
Кроме того, сразу же при приеме на работу необходимо наряду с заключением трудового договора, подписание соглашения о неразглашении коммерческой тайны. Рекомендуемые пункты этого соглашения:
Не распространять информацию о клиентах и поставщиках среди тех, кто не является сотрудником фирмы.
Не распространять какую-либо информацию о сделках (ее участниках, суммах).
Не распространять информацию о заработной плате сотрудников фирмы.
Не выносить за пределы офиса какую-либо документацию без письменного разрешения руководства.
Не распространять информацию о специфике и особенностях работы фирмы.
Не распространять информацию о продукции фирмы.
Не пересылать по электронной почте компьютерные файлы без разрешения на то руководства фирмы.
Не копировать какую-либо информацию (в печатном или электронном виде) без письменного разрешения руководства.
Это не полный перечень того, что может быть включено в соглашение.
Заключение
Сегодня вопрос об организации информационной безопасности волнует организации любого уровня – начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далеко от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случае непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, «человеческий фактор».
В курсовой работе представлен проект управленческого решения по организации информационной безопасности в ООО «Ласпи». Проект затрагивает три основные сферы организации безопасности: 1. документационная сфера (доступ к материалам, представленным на бумажных носителях, с разграничением этого доступа); 2.компьютерная безопасность; 3. безопасность в плане приема на работу новых сотрудников.
Следует учитывать, что хоть данный проект и разработан под конкретную организацию, его положения могут использоваться и для организации безопасности в других фирмах, относящихся к разряду средних.