Здавалка
Главная | Обратная связь

Організація секретного діловодства та заходів із захисту інформації

⇐ ПредыдущаяСтр 20 из 23Следующая ⇒

 

Під час роботи із захисту комерційної таємниці слід звернути особливу увагу на документи фірми, оскільки більшість комерційних структур основні обсяги комерційної таємниці, в тому числі конфіденційної, зберігають у документах. Керівник фірми повинен впорядкувати процеси фіксування та рух секретної інформації в паперах таким чином, щоб їх крадіжка була вкрай ускладнена і ставала економічно невигідною для викрадачів. Працюючи з важливими документами, слід виконувати такі вимоги:

- строгий контроль, особисто чи через службу безпеки, за допуском персоналу до секретних документів;

- призначення конкретних осіб з керівництва та службовців фірми, які організують і контролюють секретне діловодство; наділення їх відповідними повноваженнями;

- розробка інструкції і пам’ятки про роботу з секретними документами, ознайомлення з нею відповідних працівників фірми;

- контроль за прийняттям співробітниками письмових зобов’язань про збереження комерційної таємниці фірми;

- запровадження системи матеріального та іншого стимулювання службовців фірми, які мають доступ до її секретів;

- впровадження в повсякденну практику механізмів і технологій захисту комерційної таємниці фірми;

- особистий контроль з боку керівника фірми служби внутрішньої безпеки та секретного діловодства.

Імовірність витоку секретної інформації є особливо великою в процесі пересилання документів. У комерційних структур немає можливості користуватися послугами воєнізованого фельдзв’язку, тому доставка секретної та цінної інформації здійснюється силами власних охоронників або спеціалізованих фірм. Службовці, відповідальні за збереження, використання та своєчасне знищення секретних документів, мають бути захищені від спокуси торгувати секретами фірми простим, але радикальним способом – високою платнею за роботу. У процесі зберігання та пересилання секретних документів можна застосувати засоби захисту і сигналізації за несанкціонованого доступу до них. Одна з новинок – невидиме світлочутливе покриття, яке наносять на документи; воно проявляється під дією світла, вказуючи тим самим на факт несанкціонованого ознайомлення з документами або їх фотографування. Спеціалістам з питань захисту комерційної інформації відомі інші технології і системи охорони конфіденційних документів фірми від несанкціонованого до неї доступу або можливого витоку охоронюваної інформації. За інформацією з даного питання слід звертатися до організацій і служб, які спеціально займаються цією проблемою. Основні функції забезпечення безпеки інформації під час роботи з секретними документами наведено в таблиці 1.

Таблиця 1.

Організація секретного діловодства.

Складові частини діловодства Функції забезпечення безпеки інформації під час роботи з документами Способи виконання
Документування Попередження необгрунтованого виготовлення документів. Попередження включення в документи зайвих конфіденційної інформації. Попередження необгрунтованого завищення ступеня секретності документів. Попередження необґрунтованого розсилання. Визначення переліку документів. Здійснення контролю за змістом документів та ступенем секретності їх змісту. Визначення реального ступеня секретності інформації, включеної в документ. Здійснення контролю за розмноженням і розсиланням документів.
Облік документів Попередження втрати і викрадання документів. Забезпечення реєстрації кожного документу та зручності його пошуку. Здійснення контролю за місцезнаходженням документу.
Організація документообігу Попередження необґрунтованості ознайомлення з документами. Попередження неконтрольованої передачі документів. Встановлення дозвільної системи доступу виконавців до документу. Встановлення порядку прийому-передачі документів між співробітниками. Здійснення контролю за порядком роботи з документами.
Збереження документів Забезпечення збереження документів. Виділення спеціального обладнання приміщень для збереження документів, які виключають доступ до них сторонніх осіб. Упорядкування допуску до справ. Здійснення контролю за своєчасністю і правильністю формування справ.
Знищення документів Виключення з документообігу документів, які втратили свою цінність. Упорядкування підготовки документів для знищення. Забезпечення необхідних умов знищення. Здійснення контролю за правильністю та своєчасністю знищення документів.
Перевірка наявності документів Контроль наявності документів, виконання вимог їх обробки, обліку, виконання та здавання. Упорядкування перевірок наявності документів та порядку їх обробки.

 

До секретного діловодства треба залучати осіб, які пройшли спеціальну перевірку і в чесності яких немає сумніву. Ці особи повинні також відповідну підготовку і навчання, оскільки професійні недоліки і порушення, спричиненні недотриманням робочих правил, можуть надто дорого коштувати фірмі. Приміщення, в яких проводиться робота з секретними документами, треба належним чином охороняти, а доступ до них – закрити для сторонніх осіб. У них мають бути міцні перекриття та стіни, посилені металеві двері, міцні віконні рами з подвійним склом та решіткою, щільні штори. Сховище треба обладнати охоронною та пожежною сигналізацією і старанно охороняти силами внутрішньої охорони. Не рекомендується розташовувати таке приміщення на першому та останньому поверхах будівлі. Секретні документи зберігаються в сейфах чи вогнетривких металевих шафах з надійними замками.

Різні прийоми ведення секретного діловодства спрямовані на попередження витоку комерційних секретів. Документи, які містять комерційну таємницю, різняться ступенем секретності і доповнюються відповідним грифом секретності. Проте навіть дбайливо охоронювані таємниці можуть стати надбанням конкурентів із звичайних публікацій, якщо віддати цю справу на самоплив. Тому один із службовців фірми обов’язково повинен бути наділений широкими цензурними повноваженнями під час підготовки матеріалів для симпозіумів, виставок, а також виступів та наукових публікацій співробітників фірми. Інтереси охорони секретів фірми часто постійно суперечать особистим амбіціям співробітників фірми, які бажають професійно самоутверджуватися в науковому світі. Не менш складним для розв’язання є конфлікт між намаганням зберегти комерційні таємниці фірми і бажанням використати з рекламною метою деякі найбільш вразливі дані зі інформації, яку треба строго охоронять, особливо ті з них, які безперечно можуть розширити збут вироблюваних товарів і послуг.

Співробітник, який здійснює цензуру відкритих публікацій рекламного, наукового та популяризаторського характеру, що їх готує персонал фірми або вона замовляє, повинен керуватися простим, але ефективним правилом. Його сутність полягає в тому, щоб максимально роздрібнити, роз’єднати в часі, в просторі та за авторами ту строго таємну комерційну інформацію, без якої неможливо опублікування згаданих праць. Усе це ускладнює здійснення персоналом фірми науково-дослідних та дослідно-конструкторських робіт, але істотно перешкоджає збиранню секретної інформації про фірму конкурентами та недоброзичливцями. Цей бар’єр можна перебороти лише шляхом великих витрат.

Неможливо розпочати впровадження правил ЗІ, доки користувачі не наберуть навичок, потрібних для їх дотримання. Безпека потребує належних знань і дій. Усі користувачі повинні знати, що слід розпочинати і чого робити не слід, коли вони стикаються з порушеннями або можливістю його виникнення; до кого слід звертатися в разі виникненні підозри. Користувачі повинні бути впевнені в тому, що заходи із забезпечення безпеки вживаються в їхніх інтересах, а не з інших міркувань. Слід забезпечити користувачів підручником, в якому викладено матеріал прийнятного обсягу. Навіть, якщо користувачі засвоїли правила, то у них може виникнути питання, яким чином ці правила застосовувати. Слід надавати разом з правилами модельні процедури впровадження і приклади. Слід записувати відповіді співробітників, в супровідній документації до правил. Слід повідомляти користувачів про ці доповнення. Слід також доповнювати правила модельними процедурами та прикладами реалізації і переконуватися, що правила присвячені захисту від істинної небезпеки, від тих, імовірність виникнення яких є достатньо реальною і дійсно є загрозою.

Сукупність заходів, спрямованих на попередження загроз, визначається забезпеченням:

- введення надлишковості технічних засобів, програмного забезпечення (ПЗ) та масивів даних;

- резервуванням технічних засобів;

- регулюванням доступу до технічних засобів, ПЗ, масивам інформації;

- регулюванням застосування програмно-апаратних засобів і масивів інформації;

- криптографічним захистом інформації;

- контролем елементів ІС;

- реєстрацією відомостей;

- своєчасним знищенням непотрібної інформації;

- сигналізацією;

- своєчасним реагуванням.

 

Рис.1. Засоби із захисту інформації

У межах системи сукупність та розмаїття типів захисту інформації визначають способами дії на дестабілізуючі фактори, на елементи ІС, на інформацію, що підлягає захисту, та навколишнє середовище в напрямку підвищення захищеності інформації. Ці способи класифікуються таким чином:

Фізичні засоби – механічні, електричні, електромеханічні, електронні, електронно-механічні та інші пристрої і системи, які функціонують автономно, створюючи різні перешкоди дестабілізуючим факторам.

Апаратні засоби – різноманітні електронні, електронно-механічні та подібні пристрої, які вбудовуються в апаратуру ІС поєднуються з нею спеціально для розв’язання задач захисту інформації.

Програмні засоби – спеціальні пакети програм, або окремі програми, які застосовуються для розв’язання завдань захисту.

Організаційні заходи – організаційно – технічні заходи, які передбачувані в ІС з метою розв’язання задачь захисту.

Правові заходи – законодавчо-правові акти, діючі в державі, закони, які спеціально видаються і пов’язані із забезпеченням захисту інформації. Вони регламентують права і обов’язки всіх осіб та підрозділів, які підлягають функціонуванню в ІС, і встановлюють відповідальність за дії, наслідком яких може бути порушення захищеності інформації.

Морально-етичні норми – це моральні норми та етичні правила, які склалися, дотримання яких сприяє захисту інформації, а їх порушення прирівнюється до недотримання поведінки в суспільстві.

Для забезпечення ефективності захисту інформації всі застосовувані засоби і заходи доцільно об’єднати в систему захисту інформації, яка повинна бути функціонально самостійною підсистемою ІС. Основною властивістю системи захисту має бути її адаптивність до зміни структури технологічних схем або умов функціонування ІС. Іншими принципами є:

- мінімізація витрат, максимальне застосування серійних засобів;

- забезпечення розв’язання потрібної сукупності завдань захисту;

- комплексне застосування засобів захисту, оптимізація архітектури;

- зручність для персоналу;

- простота в експлуатації.

 

СЗІ доцільно будувати у формі взаємопов’язаних підсистем:

- криптографічного захисту;

- забезпечення юридичної значущості електронних документів;

- захисту від НСД;

- організаційно-правового захисту;

- управління СЗІ.

 

Створення такої системи захисту інформації дасть змогу забезпечити комплексність процесу захисту інформації в ІС, його керованість і можливість адаптації до зміни умов функціонування ІС.

Підсистема криптографічного захисту об’єднує засоби такого захисту інформації і кооперується з підсистемою захисту від НСД.

Підсистема забезпечення юридичної значущостіелектронних документів слугує для надання юридичного статусу документам у електронному зображенні і є визначальним моментом переходу до безпаперової технології документообігу. Цю підсистему зручно й доцільно розглядати як частину підсистеми криптографічного захисту.

Підсистема захисту від НСДзапобігає доступу несанкціонованих користувачів до ресурсів ІС.

Підсистема управління СЗІпризначена для управління ключовими структурами підсистеми криптографічного захисту, а також для контролю та діагностування програмно-апаратних засобів та забезпечення програмно-апаратних засобів і забезпечення взаємодії всіх підсистем СЗІ.

Підсистема організаційно-правового захиступризначена для регламентування діяльності користувачів ІС і є впорядкованою сукупністю організаційних рішень, нормативів, законів і правил, які визначають загальну організацію робіт щодо захисту інформації в ІС.

Засоби захисту інформаціїє сукупністю автоматизованих робочих місць (АРМ), які входять до складу ІС, та програмно-апаратних засобів, інтегрованих в АРМ користувачів ІС.

 

⇐ Предыдущая14151617181920212223Следующая ⇒






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.