Организация допуска и доступа персонала к конфиденциальной информации. Правовые особенности разрешительной системы доступа к конфиденциальной информации Жизненный цикл КДИ

⁰

Разрешительная система доступа лежит в основе организационно-правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности. Понятие, сущность и основные положения разрешительной системы доступа персонала предприятия к информации, подлежащей защите, представлены на примере информации, в установленном порядке отнесенной к коммерческой тайне.

В соответствии с Федеральным законом «О коммерческой тайне» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем.

К обязательным мерам по защите охраняемой информации в соответствии с положениями ст. 10 Федерального закона «О коммерческой тайне» относятся:

Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.

Перечисленные меры реализуются в рамках разрешительной системы доступа персонала предприятия к информации, составляющей коммерческую тайну.

Разрешительная система доступа персонала предприятия предуcматривает установление на предприятии единого порядка обращения с носителями сведений, составляющих коммерческую тайну, определение ограничений на доступ к ним различных категорий персонала (управленческого, административного и исполнительского уровней) и степени ответственности за сохранность указанных носителей сведений.

Создание и реализация разрешительной системы доступа персонала к информации, составляющей коммерческую тайну, - важная часть общей системы организационных мер по защите информации на предприятии. Актуальность использования разрешительной системы доступа к информации обусловлена особым значением информационной составляющей любого производственного процесса на современном предприятии, включающего создание новых документов (материалов), товаров и услуг, неправомерный доступ к которым может привести к утечке конфиденциальной информации и, тем самым, нанесению ущерба предприятию.

Создание и функционирование разрешительной системы доступа персонала предприятия к информации направлены, в первую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.

Основополагающим принципом нормативно-правового регулирования процесса ознакомления конкретного работника предприятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям.

Основные условия правомерного доступа персонала к коммерческой информации включают:

Подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства;

Наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну;

Наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации;

Оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями.

Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения полномочных должностных лиц.

Основная цель разрешительной системы доступа персонала к коммерческой тайне - исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну.

Чтобы понять роль разрешительной системы доступа к информации всех категорий сотрудников, в том числе командированных лиц, в совокупности с другими организационными, правовыми и иными мерами, направленными на установление режима коммерческой тайны, необходимо рассмотреть порядок правовой регламентации данной системы. Она должна быть простой, но достаточно эффективной, гибкой и способной адекватно реагировать на изменения, происходящие в хозяйственной, производственной и других сферах деятельности предприятия.

В структуре управления процессом доступа особое место занимают руководитель предприятия и его заместители. Однако наиболее важная роль в этой структуре отводится руководителям структурных подразделений предприятия, сотрудники которых непосредственно допускаются к коммерческой тайне (работают с носителями сведений, составляющих коммерческую тайну). Эти руководители наделяются правом определять степень доступа непосредственно подчиненных им сотрудников к конкретным сведениям (носителям). В зависимости от категорий сотрудников предприятия или командированных лиц, необходимости ознакомления их с теми или иными сведениями (в пределах должностных обязанностей или в объеме предписания на выполнение задания) соответствующие руководители определяют права этих лиц на доступ к информации.

Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структурных подразделений в отношении непосредственно подчиненных им сотрудников. На практике наиболее распространены следующие способы документального оформления разрешений (формы разрешительных документов):

Составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей коммерческую тайну предприятия, в обязательном порядке содержащих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются;

Оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику;

Указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к определенной информации, составляющей коммерческую тайну предприятия.

Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, является положение о разрешительной системе доступа к информации, составляющей коммерческую тайну.

Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляющих производственную, хозяйственную и иные виды деятельности. Члены комиссии должны знать специфику работы предприятия, порядок организации и обеспечения защиты конфиденциальной информации. В состав комиссии в обязательном порядке входят сотрудники службы безопасности предприятия. В целях более точного определения ограничений для конкретных лиц на доступ к различным категориям информации (с учетом ее тематики) комиссия может включать несколько подкомиссий. Методическое руководство деятельностью комиссии (подкомиссий) осуществляет служба безопасности предприятия.

Разработке положения предшествует всесторонний анализ различных документов (материалов), проводимый в целях выявления и классификации всех информационных потоков, существующих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодействие с организациями-соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура положения (готовится его проект). Основными разделами положения являются:

Общие требования по доступу работников к коммерческой тайне;

Порядок доступа к носителям информации, имеющим различные категории (степени) конфиденциальности;

Порядок доступа к делам и документам архивного хранения;

Порядок копирования (размножения) документов и рассылки их нескольким адресатам;

Порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов;

Порядок доступа к информации (ее носителям) в ходе проведения совещаний, конференций, семинаров и других мероприятий.

После разработки положение утверждается руководителем предприятия и доводится до сведения непосредственных исполнителей указанных в нем мероприятий (работ), а также до сведения каждого сотрудника предприятия в части, касающейся данного сотрудника (в необходимых случаях - под расписку).

В вопросах разработки положения, реализации его требований и контроля за выполнением предусмотренных мероприятий особая роль отводится службе безопасности, в задачи которой входит:

Проведение мероприятий, направленных на ограничение круга лиц, допускаемых к конкретной информации (ее носителям);

Выявление фактов неправомерного доступа лиц к коммерческой тайне;

Оценка эффективности принимаемых руководителями структурных подразделений предприятия мер по исключению утечки информации;

Подготовка предложений о внесении изменений в должностные инструкции и иные документы, определяющие задачи и функции подразделений (отдельных должностных лиц) предприятия;

Разработка и представление на утверждение руководителю предприятия проектов внутренних организационно-распорядительных документов по вопросам защиты коммерческой тайны, в том числе определяющих порядок функционирования разрешительной системы доступа;

Методическое руководство деятельностью должностных лиц и структурных подразделений по реализации положения о разрешительной системе доступа к коммерческой тайне предприятия.

Наиболее важная функция службы безопасности предприятия - контроль за соблюдением его сотрудниками положений организационно-плановых и распорядительных документов, регламентирующих вопросы создания и функционирования разрешительной системы доступа, в целях исключения случаев неправомерного доступа сотрудников предприятия, а также команди рованных лиц к коммерческой тайне. Порядок организации и проведения контроля изложен в соответствующих главах учебника. Служба безопасности контролирует:

- наличие оформленного в установленном порядке допуска сотрудников к коммерческой тайне;

Соответствие выданного руководителем структурного подразделения предприятия разрешения требованиям разрешительной
системы;

Правомерность передачи носителей сведений, содержащих
коммерческую тайну, на другие предприятия;

Соблюдение работниками предприятия установленных требований по работе с носителями сведений, составляющих коммерческую тайну, на рабочих местах;

Правомочность и целесообразность использования материалов, содержащих коммерческую тайну, на конференциях, совещаниях и других мероприятиях, проводимых с привлечением представителей других организаций.

Результаты контроля используются при анализе состояния дел в сфере защиты коммерческой тайны на предприятии и служат основой для доработки (уточнения) отдельных положений организационно-распорядительных документов, регулирующих вопросы функционирования разрешительной системы на предприятии.

6.3. Основные положения допуска должностных лиц и граждан к государственной тайне

Допуск и непосредственный доступ должностных лиц и граждан к сведениям, составляющим государственную тайну, и их носителям осуществляется руководителями органов государственной власти (предприятий) в соответствии с положениями Закона РФ «О государственной тайне» на основании Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне 1 .

Допуск граждан к государственной тайне осуществляется в добровольном порядке и предусматривает:

Принятие на себя допущенными к государственной тайне лицами обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;

Согласие на частичные временные ограничения их прав в соответствии с Законом РФ «О государственной тайне»;

Письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;

Определение видов, размеров и порядка предоставления льгот, предусмотренных законодательством Российской Федерации;

Ознакомление с нормами законодательства РФ о государственной тайне, предусматривающими ответственность за их нарушение;

Принятие руководителем предприятия решения о допуске гражданина к государственной тайне.

Должностные лица или гражданине, допущенные (ранее допускавшиеся) к государственной тайне, могут быть временно ограничены в правах на выезд за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражданина к государственной тайне; распространение сведений, составляющих государственную тайну, и использование открытий и изобретений, содержащих такие сведения; неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне.

Ограничение гражданина в праве на выезд за границу осуществляется в соответствии с Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию» 1 .

В целях частичной компенсации ограничений в правах для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, в соответствии со ст. 21 Закона РФ «О государственной тайне» устанавливаются следующие льготы: процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ 2 ; преимущественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти (предприятиями) организационных и (или) штатных мероприятий.

Для сотрудников структурных подразделений по защите государственной тайны предприятий 3 , независимо от организационно-правовой формы и ведомственной принадлежности, дополнительно к перечисленным льготам устанавливается процентная надбавка к заработной плате за стаж работы в указанных структурных подразделениях.

Граждане, которым по характеру занимаемой ими должности необходим доступ к государственной тайне, могут быть назначены на эти должности (приняты на работу) только после оформления в установленном порядке допуска по соответствующей форме (см. подразд. 6.4).

Перечень должностей, при назначении на которые граждане обязаны оформлять допуск к сведениям, составляющим государственную тайну, в связи с возложением на них соответствующих должностных (функциональных) обязанностей, определяется номенклатурой должностей. Номенклатура должностей разрабатывается предприятием, согласовывается с соответствующим органом Федеральной службы безопасности РФ 1 , и после этого согласования утверждается руководителем предприятия (его заместителем, возглавляющим работу по защите государственной тайны).

Изменения и дополнения в номенклатуру должностей вносятся в установленном порядке по мере необходимости. Полная переработка номенклатуры должностей осуществляется не реже одного раза в 5 лет. Порядок разработки, согласования, утверждения номенклатуры, а также внесения в нее изменений и дополнений определяется Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне.

Для подтверждения фактической работы (ознакомления) сотрудников предприятия со сведениями, составляющими государственную тайну, подразделение по защите государственной тайны ведет учет их осведомленности в этих сведениях.

6.4. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

Допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну.

В соответствии со степенями секретности сведений, составляющих государственную тайну, и грифами секретности их носителей, установлены следующие формы допуска:

первая форма - для граждан, допускаемых к сведениям особой важности;

вторая форма - для граждан, допускаемых к совершенно секретным сведениям;

третья форма - для граждан, допускаемых к секретным сведениям.

Уровень необходимого допуска личного состава определяется степенью секретности сведений (грифом секретности их носителей), с которыми они знакомятся (работают) в рамках исполнения должностных (функциональных) обязанностей. Уровень допуска для каждого должностного лица, работающего на предприятии, отражается в номенклатуре должностей.

При непосредственном оформлении допуска к государственной тайне для лиц, принимаемых на работу на должности, включенные в номенклатуру должностей, кадровый орган предприятия (лицо, ведущее кадровую работу) готовит необходимые материалы. Перечень таких материалов и соответствующие формы документов приведены в Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне. Основным документом, отражающим анкетные, автобиографические и другие данные оформляемого лица, является анкета, собственноручно им заполняемая.

Карточка о допуске - документ, подтверждающий наличие допуска к государственной тайне, содержащий отметки о согласовании допуска лица с органом безопасности и решении руководителя предприятия о допуске лица к носителям сведений, составляющих государственную тайну, а также отражающий трудовую деятельность оформляемого лица, его семейное положение и другую информацию. Форма карточки определяется формой допуска к государственной тайне для данного лица.

Перечисленные, а также другие необходимые документы направляют в орган безопасности с мотивированным письмом, содержащим обоснование необходимости допуска лица к сведениям соответствующей степени секретности.

Карточка о допуске после внесения в нее отметки о согласовании допуска лица к государственной тайне с органом безопасности возвращается на предприятие.

Правовую основу взаимоотношений руководителя предприятия и допущенного к государственной тайне лица составляет договор (контракт) об оформлении допуска к государственной тайне, являющийся приложением к трудовому договору, заключаемому в соответствии с Трудовым кодексом РФ. Данный договор (контракт) оформляется с учетом ограничений, предусмотренных ст. 24 Закона РФ «О государственной тайне» для лиц, допущенных к государственной тайне; в нем отражаются взаимные обязательства руководителя предприятия и работника. Договоры (контракты) о допуске к государственной тайне и карточки о допуске хранятся в соответствии с установленным порядком в структурном подразделении по защите государственной тайны предприятия.

Переоформление допуска лиц по первой и второй формам производится соответственно через 10 или 15 лет только в случае перехода указанных граждан на другое место работы. Переоформление допуска лиц, постоянно работающих на предприятии, оформившем им допуск, не производится. Независимо от сроков действия переоформление допуска по первой или второй форме производится в случаях:

Перевода или приема гражданина на работу (назначения на должность) в подразделения по защите государственной тайны;

Вступления гражданина в брак за исключением особо оговоренных в нормативных документах случаев;

Возвращения из длительных (сроком свыше 6 месяцев) заграничных командировок;

Выезда близких родственников допущенного к государственной тайне лица за границу на постоянное место жительства;

Возникновения обстоятельств, являющихся в соответствии с Законом РФ «О государственной тайне» основаниями для отказа гражданину в допуске к государственной тайне.

Перечень направляемых в орган безопасности документов определен в Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне. При несоответствии формы допуска лица степени секретности сведений, к которым оно фактически имеет доступ, форма допуска должна быть изменена. Снижение формы допуска с первой на вторую (третью) или со второй на третью оформляется распоряжением руководителя предприятия с соответствующей отметкой в карточке о допуске к государственной тайне. В случае производственной необходимости руководитель, ранее снизивший форму допуска работнику, может принять решение о ее восстановлении.

Предприятие в установленном порядке обязано письменно информировать орган безопасности о состоянии работы по допуску лиц к государственной тайне (изменение формы допуска, прекращение допуска и т.д.) и предоставлять отчетные документы и материалы.

6.5. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

При оформлении допуска к государственной тайне в отношении оформляемого лица и его близких родственников в порядке, установленном законодательством Российской Федерации, уполномоченные органы проводят проверочные мероприятия. Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо. Проверочные мероприятия, связанные с допуском граждан к государственной тайне, проводятся органами безопасности во взаимодействии с органами, осуществляющими оперативно-розыскную деятельность.

Цель проведения проверочных мероприятий - выявление оснований для отказа гражданину в допуске к государственной тайне.

В соответствии со ст. 22 Закона РФ «О государственной тайне» такими основаниями могут быть:

Признание гражданина судом недееспособным, ограниченно дееспособным или особо опасным рецидивистом, нахождение его под судом или следствием за государственные или иные тяжкие преступления, наличие у него неснятой судимости за эти преступления;

Наличие у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому в установленном порядке 1 ;

Постоянное проживание его самого и (или) его близких родственников за границей и (или) оформление указанными лицами документов для выезда на постоянное место жительства в другие государства;

Выявление в результате проведения проверочных мероприятий действий оформляемого лица, создающих угрозу безопасности Российской Федерации;

Уклонение от проверочных мероприятий и (или) сообщение заведомо ложных анкетных данных.

Решение об отказе гражданину в допуске к государственной тайне принимается руководителем предприятия в индивидуальном порядке с учетом результатов проверочных мероприятий.

После оформления в установленном порядке должностному лицу или гражданину допуска к государственной тайне в процессе исполнения им своих должностных (функциональных) обязанностей в зависимости от сложившихся личных или иных обстоятельств могут возникнуть условия, препятствующие наличию у него такого допуска. В соответствии со ст. 23 Закона РФ «О государственной тайне» допуск гражданина к государственной тайне может быть прекращен в случае:

Расторжения с ним трудового договора (контракта) в связи с проведением организационных и (или) штатных мероприятий;

Однократного нарушения им предусмотренных трудовым договором (контрактом) обязательств, связанных с сохранением государственной тайны;

Возникновения обстоятельств, являющихся в соответствии с Законом РФ «О государственной тайне» основанием для отказа гражданину в допуске к государственной тайне.

Прекращение допуска гражданина к государственной тайне производится по решению руководителя предприятия, на котором он работает. Это решение оформляется в виде письменного мотивированного заключения. В случае, когда заключение о нецелесообразности дальнейшего допуска гражданина к сведениям, составляющим государственную тайну, вынесено органом безопасности, оно является обязательным основанием для отстранения этого гражданина от работы со сведениями, составляющими государственную тайну.

Решения руководителя предприятия об отказе гражданину в допуске к государственной тайне, о прекращении допуска и расторжении на основании этого трудового договора (контракта) с ним могут быть обжалованы в вышестоящий орган государственной власти (организацию) или в суд. Прекращение допуска гражданина к государственной тайне не освобождает его от взятых обязательств по неразглашению сведений, составляющих государственную тайну.

К сведениям, составляющим государственную тайну, без проведения проверочных мероприятий допускаются члены Совета Федерации, депутаты Государственной Думы, судьи на период исполнения ими своих полномочий, а также адвокаты, участвующие в качестве защитников в уголовном судопроизводстве по делам, связанным со сведениями, составляющими государственную тайну.

Указанные лица предупреждаются о неразглашении государственной тайны, ставшей им известной в связи с исполнением ими своих полномочий, и о привлечении их к ответственности в случае ее разглашения, о чем они дают расписку.

6.6. Организация доступа персонала предприятия

к сведениям, составляющим государственную тайну,

и их носителям

Доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну, возлагается на руководителя соответствующего органа государственной власти (предприятия), а также на их структурные подразделения по защите государственной тайны. Руководитель предприятия обязан осуществлять постоянный контроль за соответствием формы допуска граждан степени секретности сведений, к которым они фактически имеют доступ. Руководитель несет персональную ответственность за создание таких условий, при которых должностное лицо или гражданин знакомятся только с теми сведениями, составляющими государственную тайну, и в таких объемах, которые необходимы ему для выполнения его должностных (функциональных) обязанностей.

Основанием для непосредственного доступа лица к сведениям, составляющим государственную тайну, и их носителям является решение руководителя предприятия, оформляемое в карточке о допуске. После принятия такого решения под контролем непосредственного руководителя (руководителя предприятия) гражданин изучает положения нормативно-методических документов, определяющих вопросы защиты государственной тайны, внутренние организационно-распорядительные документы предприятия, задачи и функции структурных подразделений в этой области. Особое внимание должно быть уделено специфике деятельности предприятия, а также особенностям проведения работ с использованием сведений, составляющих государственную тайну. В случае необходимости планируются занятия с лицами, допущенными к государственной тайне, эти занятия проводятся с привлечением структурных подразделений по защите государственной тайны.

Завершающим этапом подготовки к непосредственному выполнению должностных обязанностей, связанных с использованием и защитой сведений, составляющих государственную тайну, является сдача зачетов по знанию нормативно-методических документов и особенностей решения данных задач на предприятии. Прием зачетов проводит комиссия, состоящая, как правило, из сотрудников подразделений по защите государственной тайны, а также подразделения, на должность в котором назначен данный сотрудник. О результатах зачета составляется акт, который хранится в структурном подразделении по защите государственной тайны.

В дальнейшем основные положения нормативно-методических документов, определяющих вопросы защиты государственной тайны, обязанности и права лиц, допущенных к сведениям, составляющим государственную тайну, ежегодно (с принятием зачетов) доводятся до сведения всех сотрудников, имеющих допуск к государственной тайне.

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Принципы построения разрешительной системы доступа:

Надежность, т.е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;

Полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

Конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;

Производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

Строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

Ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;

Строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

Обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

Беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

Исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

Допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.

Доступ — практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

Наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа

С данной, конкретной информацией;

Наличие подписанного сторонами трудового договора (контракта)» имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

Соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

Знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;

Наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

Наличие систем контроля за работой сотрудника.

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.

Может составляться матрица полномочий, в которой по горизонтали — наименования категорий документов, по вертикали — фамилии или должности сотрудников.

Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника.

При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ дает только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.

Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере.

Можно выделить следующие главные составные части:

Доступ к персональному компьютеру, серверу или рабочей станции;

Доступ к машинным носителям информации, хранящимся вне ЭВМ;

Непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

Определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

Регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

Организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»).

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

Организацию учета и выдачи сотрудникам чистых машинных носителей информации;

Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных);

Определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

Организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамикиизменениясостава записанной информации;

Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

Организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

Определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник — злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

Именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

Регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

Регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

Установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

Механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.

Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает. Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Принципы построения разрешительной системы доступа:

Полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

Конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;

Ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами; строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников). Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу. Оформление допуска, т.е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер.

Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений. Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны. В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников.

Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника. Законодательством США предусмотрено, что никто не имеет, права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль, Доступ - практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с Определенным составом конфиденциальных сведений, документов и баз данных.

Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется. Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

Наличие подписанного сторонами трудового договора (контракта), имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

Соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

Наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

Наличие систем контроля за работой сотрудника.

Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем. Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать».

В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лиц;), дающие разрешение, категории исполнителей. кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения. Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников,

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем. Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях. Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть.

Дробление информации также не позволяет конкурентам использовать ее за счет прима на работу уволенного из фирмы сотрудника. При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению. В соответствии с иерархической последовательностью доступа определяйся структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищенности информации. Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемые ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами. Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам.

Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведет к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создает условия для утраты пенных сведении. Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений дается право разрешать доступ к конфиденциальным сведения всем работникам своих подразделении по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам, Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы. Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции.

В небольших фирмах разрешение на доступ дает только первый руководитель. Представителям государственных органов разрешение на доступ к конфиденциальным сведениям дает только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятии руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ дает должностное лицо фирмы, включенное в специальный перечень, прилагаемый к договору и утвержденный первым руководителем.

Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несет за это единоличную ответственность. Разрешение на доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа. Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны.конкретные документы или сведения, к которым разрешен доступ.

Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу В помещении фирмы. Следует соблюдать правило, по которому регистрируются все лица. имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации. При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере.

Можно выделить следующие главные составные части: доступ к персональному компьютеру, серверу или рабочей станции; доступ к машинным, носителям информации, хранящимся вне ЭВМ; непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации. предусматривает:

Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования, определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

Организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей. Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»). Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

Организацию учета и выдачи сотрудникам чистых машинных носителей информации;

Определение и регламентацию первым руководителем состава. сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

Организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

Определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников, Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

Механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.

Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором.

Применение пользователем собственных кодов не допускается. Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

АННОТАЦИЯ

В статье рассматривается организационно-правовое регулирование вопросов допуска и доступа сотрудников организации к документированной информации ограниченного распространения. Организация санкционированного доступа к конфиденциальным документам является ключевой составляющей в вопросах защиты конфиденциальности информации.

ABSTRACT

This article examines the organizational and legal regulation of admittance and access for an organization"s employees to documented information of limited distribution. The organization, which authorized access to confidential documents, is a key component in protecting the confidentiality of information.

Актуальность применения разрешительной системы доступа к информации конфиденциального характера определяется исключительным значением информационной составляющей любого производственного процесса, разглашение которой может нанести ущерб организации.

Особый статус конфиденциальных документов предъявляет особые требования к работе с ними. Допуск к документам ограниченного распространения имеют лица, получившие на это соответствующее разрешение. Под доступом к конфиденциальной информации понимается ознакомление с ней, ее получение и использование конкретным физическим или юридическим лицом, санкционированные уполномоченным представителем.

Разрешительная система допуска и доступа предусматривает соблюдение ряда требований, установленных руководством организации, так как вопросы ограничения доступа к информации, а также определения порядка и условий доступа к ней находятся в сфере полномочий обладателя информации .

Федеральные законы устанавливают условия отнесения информации к сведениям, составляющим коммерческую, служебную тайну или иные виды тайн, обязательность соблюдения конфиденциальности информации, а также ответственность в случае ее разглашения .

Комплекс мероприятий разрешительной системы доступа направлен на сохранение функционирования информации в пределах защищаемой зоны или разрешенного круга лиц. В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» конфиденциальность информации – обязательное требование для лица, получившего доступ к конфиденциальной информации, не передавать ее третьим лицам без согласия ее обладателя .

Проблемными вопросами при установлении разрешительной системы доступа к конфиденциальным документам являются следующие:

Кто из руководителей организации наделяет сотрудников правом доступа к информации ограниченного распространения;

На каком основании производится допуск;

Разрабатывая систему доступа к конфиденциальным документам, необходимо учитывать основные требования.

Для доступа к информации ограниченного характера в обязательном порядке с сотрудниками организации заключается обязательство о неразглашении (по соответствующему виду тайны).
Сотрудники должны испытывать служебную необходимость ознакомления с какой-либо конфиденциальной информацией, то есть доступ к документам должен быть обоснованным.
В силу исполнения служебных обязанностей работник должен получить доступ к необходимым документам, которые требуются для выполнения конкретной задачи.
Получение доступа к документированной информации ограниченного распространения должно быть санкционированным. Уполномоченное лицо дает разрешение на ознакомление с документами, находящимися в сфере курируемых им вопросов и только установленному кругу лиц.
По каждому конкретному документу готовится письменное разрешение. В случае необходимости работы пользователя с частью конфиденциального документа в разрешении на ознакомление отмечаются указанные разделы, пункты или статьи, с которыми следует ознакомить исполнителя.

Правом на разрешение доступа к конфиденциальным документам наделены следующие категории лиц руководящего состава.

Неограниченными полномочиями обладает руководитель организации, который дает разрешение на доступ к любым видам конфиденциальных документов всем категориям работников.

Его заместители предоставляют доступ к конфиденциальным документам сотрудникам своих подразделений в пределах сферы своей деятельности.

Руководители структурных подразделений уполномочены давать разрешение на доступ к документам ограниченного распространения работникам своих подразделений. Сотрудники иных отделов имеют право работать с конфиденциальными документами на основании разрешения руководителя организации или его заместителя.

Первые заместители руководителей и должностные лица, временно исполняющие обязанности, вправе давать разрешение на доступ к таким документам в объеме всех прав, предусмотренных для замещаемых ими лиц.

Должностные лица органов государственной, муниципальной власти получают право доступа к конфиденциальным документам (служебной, коммерческой, налоговой, банковской тайнам) на основании мотивированного требования, содержащего цель, правовое основание, срок предоставления информации. Указанные органы обязаны соблюдать меры по охране конфиденциальности информации.

Регулирование вопросов доступа к информации, представляющей коммерческую (служебную) тайну, осуществляется на основе внутреннего организационно-распорядительного документа – Положения о разрешительной системе доступа, в котором должны быть предусмотрены все ключевые моменты, касающиеся установления, изменения, прекращения режима конфиденциальности информации.

В целях допуска персонала к конфиденциальной информации работодатель может ознакомить сотрудника с перечнем информации конфиденциального характера или на этапе приема на работу, в ходе оформления с ним трудовых отношений, или непосредственно в процессе исполнения им трудовых обязанностей.

Работодатель обязан в письменной форме ознакомить сотрудника с режимом конфиденциальности и мерами ответственности за его несоблюдение.

Таким образом, разрешительная система направлена на то, чтобы ограничить и регламентировать состав сотрудников, должностные обязанности которых предполагают работу с конфиденциальной информацией, а также исключить возможность несанкционированного ознакомления с ней посторонних лиц.

Список литературы:

1. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014)
«О коммерческой тайне» // КонсультантПлюс / [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_48699/ (дата обращения: 27.05.2017).
2. Федеральный закон от 27.07.2006 N 149-ФЗ
(ред. от 19.12.2016) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.01.2017) // КонсультантПлюс / [Электронный ресурс]. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 27.05.2017).

Ключевым звеном в защите конфиденциальной информации, в том числе информации, циркулирующей в АИС, или, иначе, системах конфиденциального электронного документооборота, является организация санкционированного (разрешенного) доступа к ней.

Разрешительная система допуска и доступа к конфиденциальной информации основана на выполнении установленных руководством организации нормативных положений, обеспечивающих обоснованный и правомерный доступ пользователей к необходимому им для выполнения служебных обязанностей объему конфиденциальной информации. При этом под допуском к конфиденциальной информации понимается процедура оформления права граждан на доступ к такой информации, а для организаций, предприятий, учреждений - права на проведение работ с использованием такой информации. Доступ к информации - это возможность ее получения и использования. Под доступом к конфиденциальной информации понимается санкционированное полномочным должностным лицом ознакомление с данной информацией, ее получение и использование конкретным физическим или юридическим лицом.

При этом право давать разрешение на ознакомление и право работать может быть предоставлено только лицам, имеющим доступ к конфиденциальной информации.

При установлении разрешительной системы доступа к конфиденциальной информации должны быть обеспечены такие требования, как:

· надежность -- исключение возможности несанкционированного доступа (НСД) посторонних лиц к КДИ и конфиденциальной информации, циркулирующей в АИС. в обычных и экстремальных условиях (под экстремальными условиями понимаются чрезвычайные ситуации. пожары, наводнения и др.):
· полнота охвата всех категорий исполнителей и всех категорий конфиденциальной информации;
· конкретность и однозначность решения о доступе (да/нет);
· производственная и служебная необходимость - единственный критерий доступа к конфиденциальной информации;
· определенность состава должностных лиц. дающих санкцию на доступ к конфиденциальной информации, исключение возможности бесконтрольной и несанкционированной выдачи таких санкций;
· регламентация и организация работы всех категорий персонала с конфиденциальной информацией;
· соответствие функциональных обязанностей работника передаваемой ему конфиденциальной документированной информации;
· наличие нормативно-методических документов и положений по защите и охране конфиденциальной информации, режиму конфиденциальности информации и доступа к ней, в том числе утвержденного Перечня конфиденциальной документированной информации, Реестра конфиденциальной информации и АИС;
· наличие необходимых условий в зданиях, помещениях, кабинетах для работы с конфиденциальной документированной информацией:
· оформление разрешения на ознакомление с конфиденциальной информацией;
· ознакомление пользователя, при необходимости, только с частью конфиденциального документа, при этом в разрешении на ознакомление должны быть указаны разделы, пункты или страницы, с которыми можно знакомить пользователя, если конфиденциальная документированная информация находится на бумажном носителе.

Разрешительная система должна предусматривать порядок доступа к конфиденциальной информации граждан, других должностных лиц и организаций, например при выполнении совместных работ и услуг.

Следует иметь в виду, что сотрудники уполномоченных органов государственной власти и органов местного самоуправления (далее - уполномоченные органы), например налоговая служба, служба судебных приставов, органы МВД и др., имеют право на доступ к различным видам конфиденциальной информации в пределах компетенции, определенной для таких органов законодательством Российской Федерации. Поэтому организации, обладающие конфиденциальной информацией, обязаны нс только знакомить должностных лиц уполномоченных органов с конфиденциальной документированной информацией, но и предоставлять им в распоряжение конфиденциальные документы в случаях, установленных законодательством Российской Федерации.

Уполномоченные органы обязаны обеспечить защиту полученной информации от разглашения и неправомерного использования должностными лицами и иными служащими этих органов, которые ознакомились с конфиденциальной информацией в связи с выполнением служебных обязанностей. Это положение относится к служебной, налоговой и коммерческой, банковской тайнам. За разглашение или неправомерное использование содержащейся в документах конфиденциальной информации данные органы несут перед обладателем этой информации правовую ответственность.