8. Нормативно-методичне забезпечення захисту документованої

інформації

Нормативно-методичне забезпечення захисту конфіденційної інформації призначено для регламентації процесів забезпечення інформаційної безпеки фірми, в тому числі при роботі персоналу з конфіденційною інформацією, документами, справами і базами даних. Воно включає в себе ряд обов'язкових організаційних, інструктивних і інформаційних документів, що встановлюють принципи, вимоги і способи попередження пасивних і активних загроз цінній інформації, які можуть виникнути по вині персоналу, конкурентів, зловмисників та інших осіб.

Нормативно-методичне забезпечення базується на тих обов'язкових положеннях, які повинні міститися в засновницьких та інших основоположних документах фірми і визначати правовий статус інформаційної безпеки фірми. Вказані положення дозволяють на законних підставах вести мову про збереження підприємницької таємниці, виділяти цінну інформацію, яка складає власність і таємницю фірми, і виконувати дії по її захисту. Предмет і направлення захисту повинні знайти відображення, наприклад, в статуті фірми, типових формах контрактів різного роду й призначеннях, положеннях про структурні підрозділи фірми, посадових інструкціях та інших документах.

Самими важливими організаційними документами, що фіксують завдання, функції і відповідальність служб, які здійснюють захист цінної документованої інформації фірми, є: положення про

службу безпеки, положення про службу конфіденційної документації, посадові інструкції співробітників цих служб, посадова інструкція менеджера (референта) по безпеці невеликої підприємницької фірми та інші документи.

Технологічні інструктивні, документи відрізняються великою різноманітністю і по своєму призначенню, складу і змісту відображають вибрану фірмою систему захисту документованої інформації Можна виділити головні, на наш погляд, регламентуючі документи, які мають значення для будь-якої фірми і необхідні при використанні будь-якої системи захисту інформації або окремих елементів такої системи.

Передусім варто назвати Перелік відомостей підприємницької фірми, які складають її таємницю або є особливо цінними. Перелік призначений для визначення складу конфіденційних документів і баз даних, встановлення грифів обмеження доступу до паперових і електронних документів, визначення необхідної структури системи захисту інформації. Зміст переліку звичайно поділяється на декілька частин: загальну методичну частину за способами складення переліку і правилами роботи з ним, списки конфіденційних відомостей по структурним підрозділам або управлінським функціям, список видів конфіденційних документів і баз даних з вказанням місця їх зберігання, терміну конфіденційності і т.п.

Іншим важливим регламентуючим документом є інструкція по забезпеченню безпеки власної інформації підприємницької фірми. Вона необхідна для організації роботи по захисту конфіденційної і цінної документованої інформації і включає в себе:

"Обов'язки співробітників фірми при роботі з конфіденційною

документацією"

"Порядок доступу співробітників до конфіденційних документів і

баз даних, оформлення доступу" ;

"Забезпечення збереження документів на паперових і магнігних носія?: під час роботи з ними керівників, виконавців (спеціаліст) і технічного персоналу"

"Порядок збереження таємниці фірми під час проведення нарад, засідань і переговорів"

"Вимоги до приміщень для роботи з конфіденційною інформацією"

"Порядок охорони території, будівлі, приміщень, транспортних засобів і персоналу' фірми"

"Пропускний режим приміщень фірми, облік і порядок видачі посвідчень, пропусків і візуальних ідентифікаторів" "Порядок прийому, обліку і контролю діяльності відвідувачів"

"Вимоги до захисту інформації в рекламній і виставочній роботі, публікаціях, пі, час інтерв'ю та співбесід"

"Організаційні, забезпечення захисту інформації в ПЕОМ та лініях зв'язку, при. використанні в обробці документів засобів організаційної техніки"

Відповідальність співробітників фірми за розголошення конфіденційної інформації і втрату цінних документів"

Інструкція по обробці, зберіганню і руху конфіденційних документів підприємницької фірми призначена для організації роботи

співробітників служби конфіденційної документації, менеджера (референта) по безпеці, що управляє справами фірми. Головні розділи цієї інструкції:

"Структура захищеного документообігу фірми"

"Встановлення, зміна і зняття грифу конфіденційності документів"

"Порядок складення, виготовлення та видання конфіденціГших

документів"

"Копіювання і розмноження документів"

"Прийом і розподіл документів, що надійшли"

"Облік (реєстрація) документів"

"Відправлення і розсипка документів"

"Порядок передачі документів у процесі іх розгляду і викої І лня"

""Контроль виконання документів"

"Порядок систематизації документів і формування справ"

"Порядок передачі документів і справ в архів фірми, знищення документів і справ з минулим терміном зберігання"

"Оперативне (поточне) і архівне зберігання справ"

"Перевірка наявності документів, справ, баз даних і носіїв

конфіденційної інформації"

"Правила зберігання і використання бланків документів, печаток і штампів"

В додатку до інструкції наводяться облікові та інші технологічні форми, які необхідні для організації обробки, зберігання та руху документів.

Інформаційні (методичні, з порадами, навчальні) документи (правила, вимога, вказівки, методики, пам'ятки і т.п.), деталізуючі процеси захисту' інформації, носять разом з тим обов'язкових характер і встановлюють порядок роботи з конфіденційною інформацією і документами різних категорій співробітників фірми або всіх співробітників в конкретних типових ситуаціях. При необхідності вони можуть складатися по кожному окремому співробітнику. Доцільно виділити наступні інформаційні документи.

Правила роботи керівників і виконавців (спеціалістів) підприємницької фірми з конфіденційними документами і базами даних включають в себе:

"Порядок розподілу документів між керівниками і виконавцями у відповідності з діючою системою доступу персонал)'' до конфіденційної інформації"

•'Розгляд документів керівником і адресування їх виконавцям" "Порядок передачі і отримання документів виконавцями"

"Ознайомлення ь жонавців із змістом документів і рішенням по них керівника"

"Складення й виготовлення документів виконавцями'

"Робота керівника з Ігідготовленими документами"

"Порядок зберігання документів, справ, носіїв інформації, чистих

бланків документів і штампів на робочому місці керівника і

виконав'ця"

"Перевірка наявності конфіденційних докук нтів і баз даних на робочому місці керівника і виконавця"

"Порядок ведення телефонних переговорів, факсимільної перениски"

"Особливості роботи з ПЕОМ при обробці конфіденційної інформації', правила роботи з копіювальною технікою"

"Правила роботи з конфіденційними документами за межами фірми, у відрядженнях, транспорті, порядок зберігання документів'"

Забезпечення збереження документів і баз даних у неробочий час"

Правіша роботи менеджера по безпеці (керуючого справами.

референта) підприємницької фірми з конфіденційними документами і

базами даних включають в себе:

"Порядок прийому і відправки конфіденційних документів" "Порядок обліку (реєстрації) документів''

"Організація доступу виконавців до конфіденційних документів" "Розподіл документів по керівникам і виконавцям, ознайомлення з документами виконавців і передача документів на виконання" "Формування і ведення довідково-інформаційного банку даних по конфіденційним документам" "Контроль виконання документів"

"Оформлення і виготовлення документів на друкарських

пристроях"

"Оформлення і ведення номенклатури справ фірми"

"Формування і зберігання (поточне і архівне) справ фірми"

"Порядок організації прийому керівником відвідувачів, методи забезпечення безпеки керівника"

"Захист інформації при веденні телефонних переговорів і подачі

інформації по факсимільному зв'язку"

"Захист інформації під час роботи з ПЕОМ" ..-•.... ,

"Побудова систем охорони кабінету керівника, приймальної, сейфів, шкафів з документацією, обчислювальною і організаційною технікою в робочий і неробочий час"

"Відповідальність за порушення правил роботи з конфіденційною документацією і базами даних"

Правила роботи менеджера тю персоналу підприємницької

фірми включають в себе:

"Обов'язки менеджера в області захисту інформації і роботи із співробітниками, які володіють секретами фірми"

"Організація і документування прийому співробітників на роботу" "Обов'язки співробітників по збереженню таємниці фірми"

"Контроль дотримання персоналом правил робот : з конфіденційшіми документами і інформацією"

"Організація і документування переводів співробітників на'інші посади та зміни умов контрактів"

"Порядок формування і ведення особових справ співробітників" "Порядок оформлення і ведення трудових книжок співробітників"

"Порядок ведення довідково-інформаційного банку даних по персоналу фірми"

"Правила і методи захисту персональних даних"

V

"Організація і документування звільнень співробітників, зобов'язання по збереженню секретів фірми"

"Порядок оформлення доступу співробітників до конфіденційних відомостей, документам і базам даних"

"Принципи і направлення формування нормального психологічного клімату в колективі, виховання гордості персоналу за свою фірму"

"Психологічний аналіз співробітників, тестування, анкетування, інструктаж та навчання персоналу"

"Правила зберігання документів і роботи з ними"

"Організація охорони приміщення служби персоналу в робочий і в неробочий час"

"Відповідальність менеджера по персоналу за розголошення персональних даних про співробітників фірми та іншої конфіденційної інформації"

Інформаційні документи можуть також регламентувати вимоги по однаковому виконанню персоналом певних видів типових дій. До таких документів можна віднести, наприклад, Правила забезпечешга безпеки секретів фірми і конфіденційної, цінної інформації в екстремальних ситуаціях. Правила включають в себе:

"Класифікований перелік екстремальних ситуацій і відповідних заходів по захисту секретів фірми, інформації і документів"

"Порядок, (при необхідності - план) евакуації і охорони документів,

справ і баз даних"

"Порядок (при необхідності - план) евакуації і надання допомоги персоналу"

"Порядок охорони майна фірми, обладнання і технічних засобів захисту інформації"

"Порядок охорони персоналу при індивідуальних екстремальних ситуаціях (загрозах, шантажі, нападі і т.п.)"

"Порядок взаємодії з правоохоронними органами при виникненні екстремальних ситуацій"

Розглянуті нормативно-методичні документи відображають діючу у фірмі систему захисту інформації' і тому є строго конфіденційними. Після їх затвердження першим керівником фірми вони доводяться у вибірковому порядку до відома всіх співробітників фірми під розпис. Одночасно можуть бути внесені необхідні зміни і доповнення в посадові інструкції співробітників.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 
25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 
50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65  Наверх ↑