Раздел 1. Основные нормативные правовые акты, регулирующие защиту конфедициальных документов от несанкционированного доступа
1. Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ (последняя редакция)
3. Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (последняя редакция)
4. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)
5. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция)
6. Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (последняя редакция)
Раздел 2. Перечень лиц, имеющих доступ к информации к конфиденциальной информации
Для защиты конфиденциальных сведений устанавливается строгий контроль за тем, кто входит в круг лиц, имеющих допуск к секретным сведениям. Сотрудникам организации выдвигаются требования, соразмерные с важностью сведений, к которым они имеют допуск. Обязательное требование – запрет на разглашение внутренней информации.
В зависимости от ценности защищаемых сведений, меняются требования. К примеру, доступ к наиболее ценной информации могут иметь только доверенные сотрудники или персонал конкретных структурных подразделений организации, которым эта информация нужна для служебных целей.
Другие возможные требования к лицу, которое получает доступ к конфиденциальной информации (3, с. 55):
· возраст;
· должность;
· наличие офицерского звания (для государственной тайны);
· стаж работы в организации.
Помимо этих требований, могут выдвигаться и другие. Все зависит от важности конфиденциальной информации и сферы работы организации.
Система контроля доступа также учитывает и ценность самих конфиденциальных данных. Так, к менее значимым конфиденциальным сведениям допуск могут получать даже рядовые сотрудники, в то время как к более ценным только те, которые занимают руководящие должности.
Конкретный сотрудник должен получать разрешение на изучение только тех документов, которые нужны ему для выполнения служебных обязанностей. При этом в документообороте надо обязательно указывать перечень документов и сведений, к которым человек получил доступ, а также время его получения.
Во многих организациях сотруднику предоставляют частичное право на просмотр документов. Бывает так, что для выполнения работы не нужна полная версия документа. Это дополнительная мера, способствующая увеличению безопасности.
Раздел 3. Контроль за сотрудниками, имеющими доступ к информации
Каждый работник, который получил допуск к информации, должен быть ответственным за ее сохранность. В случае несанкционированного доступа, ответственность за возникшие проблемы несут также и те, кто выдавал допуск на изучение сведений (3, с. 55).
Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.
Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности, а также ранга сотрудника.
Разрешительная система предполагает постоянный учет. Записывается время предоставления доступа к конфиденциальным сведениям, указывается перечень лиц, которые его получали. Кроме того, перечисляются конкретные положения документа, к которым пользователь получал допуск. Учет необходим для того, чтобы эффективней контролировать лиц, имеющих разрешение. Кроме того, он помогает расследовать случаи утечки сведений и находить виновных.
Раздел 4. Порядок доступа к конфиденциальной информации
При получении доступа к конфиденциальной информации сотрудник делает прямой запрос руководителю. В нем он должен указать причины, по которым ему понадобилась закрытая информация. Иногда запрос предварительно проверяют сотрудники более низкого ранга и служба безопасности (4, с. 55).
Для получения разрешения сотрудник обязан изучить нормативно-правовую базу организации, касающуюся секретных сведений. Кроме того, он подписывает документ, по которому на него накладываются дополнительные обязательства, в том числе требование о неразглашении секретных данных.
Документ, который разрешает доступ к информации, – это допуск, в котором перечислены лица, получающие его, и перечень сведений, которые им выдаются. На нем обязательно должна быть подпись руководителя или официальная печать. Обязательному протоколированию подлежат дата и время получения информации.
Допуск могут выдавать и другие лица – заместители руководителя и иные должностные лица. Они выдают разрешения только в пределах своих полномочий.
Доступ к конфиденциальной информации – важный вопрос как для коммерческих, так и для государственных организаций. Чтобы защитить сведения, в организациях вводятся разрешительные системы доступа к информации, которые позволяют уберечь секретные данные он несанкционированного проникновения к ним и предотвратить их утечку из-за сотрудников.
Раздел 5. Обработка персональных материалов в бумажном виде
Самое важное правило – использование личных данных работника на бумажном носителе производится только на основании федерального законодательства, а именно статья 24 Конституции Российской Федерации. В ней говорится, что:
· любые действия с персонифицированными сведениями о человеке недопустимы без его согласия;
· государственные органы и службы самоуправления должны предоставить гражданам возможность ознакомиться с документами, в которых затрагиваются их права и свободы.
При обработке личных сведений работников организации необходимо учесть ряд требований (1, с. 55):
1. Использование материалов личного характера должно осуществляться только в рамках действия трудового договора.
2. Все документы и материалы предоставляет непосредственно их владелец.
3. Если требуемые предприятию данные о сотруднике находятся в стороннем источнике, то необходимо письменное соглашение этого сотрудника на использование его персональных данных.
4. Начальство не имеет права собирать и хранить сведения о личной жизни сотрудника без его согласия (если иное не предусмотрено законодательством).
5. Передача персональных сведений третьим лицам запрещена.
6. Персональные документы подчиненных, такие как паспорт, свидетельство о рождении, браке, идентификационный номер налогоплательщика, предоставляются работодателю для ознакомления и получения ксерокопии для дальнейшего хранения, оригиналы же возвращаются работнику. Такие документы, как трудовая книжка, трудовой контракт, приказы, хранятся в оригинале.
7. Все личные дела служащих должны находиться в папках в алфавитном порядке.
8. Все папки с личными документами обязательно должны находиться в сейфе, ключ от которого должен быть только у руководителя, главного бухгалтера и начальника кадрового отдела.
9. Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах подачи, обработки личных данных.
Раздел 6. Обработка персональных материалов в электронном виде
Законодательство не выдвигает особых требований к электронным данным о работниках. Есть лишь несколько определенных правил (1, с. 55):
1. Использование персональных данных на электронных носителях должно производиться в соответствии с указанными выше нормами законодательных актов.
2. Для данных в электронном формате необходимо обозначить сведения, относящиеся к персональным данным. С небольшим дополнением: к ним также относят e-mail, учетные записи в социальных сетях.
3. Все документы работника, полученные предприятием, нужно сканировать и вносить в его личное дело в электронной базе данных.
4. К базе данных право доступа принадлежит директору предприятия и его заместителям, главному бухгалтеру и начальнику кадрового отдела, а также системным администраторам (программистам). Причем для каждого из них персонально создаются логин и пароль для входа в электронную базу данных.
5. Параллельно создается резервная копия базы данных, которую хранят на съемном носителе (диске, жестком диске).
Данные в электронном виде, так же, как и в бумажном, нуждаются в защите. Для защиты электронных персональных данных используются такие способы:
· интегрируется индивидуализированная система доступа пользователей;
· ограничивается доступ работников в те помещения, где хранятся компьютеры (серверы) с базой данных;
· осуществляется безопасная организация хранения носителей информации.
Раздел 7. Меры защиты информационной безопасности компьютерных систем
1. Аутентификация пользователей на всех компьютерах. Данная мера требует, чтобы пользователи выполняли процедуры входа в компьютер, используя это как средство для идентификации в начале работы. Для аутентификации личности каждого пользователя нужно использовать уникальные пароли, не являющиеся комбинациями личных данных пользователей, для пользователя.
2. Периодическое проведение разъяснительных бесед с персоналом о необходимости защиты своих паролей.Следующие правила полезны для защиты пароля:
− нельзя делится своим паролем ни с кем;
− пароль должен быть трудно угадываемым;
− для создания пароля нужно использовать строчные и прописные буквы, а еще лучше позволить компьютеру самому сгенерировать пароль;
− не рекомендуется использовать пароль, который является адресом, псевдонимом, именем родственника, телефонным номером или чем-либо очевидным;
− предпочтительно использовать длинные пароли, так как они более безопасны, лучше всего, чтобы пароль состоял из шести и более символов;
− пароль не должен отображаться на экране компьютера при его вводе;
− пароли должны отсутствовать в распечатках;
− нельзя записывать пароли на столе, стене или терминале, его нужно держать в памяти;
− пароль нужно периодически менять и делать это не по графику;
− на должности администратора паролей должен быть самый надежный человек;
− не рекомендуется использовать один и тот же пароль для всех сотрудников в группе;
− когда сотрудник увольняется, необходимо сменить пароль;
− сотрудники должны расписываться за получение паролей.
3. Внедрение процедуры авторизации. В организации, имеющей дело с критическими данными, должны быть разработаны и внедрены процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям.
4. Предпринимаются предосторожности при работе. Работники обязаны:
− разворачивать экраны компьютеров так, чтобы они не были видны со стороны двери, окон и прочих мест, которые не контролируются;
− установить специальное оборудование, ограничивающее число неудачных попыток доступа, или делающее обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру
− использовать программы отключения терминала после определенного периода неиспользования;
− выключать систему в нерабочие часы;
− использовать системы, позволяющие после входа пользователя в систему сообщать ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.
5. Физическая безопасность. В компьютерных системах принимаются меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения.
6. Осуществляется защита носителей информации (исходных документов, лент, картриджей, дисков, распечаток). Для защиты носителей информации сотрудники обязаны:
− вести, контролировать и проверять реестры носителей информации;
− обучать пользователей правильным методам очищения и уничтожения носителей информации;
− делать метки на носителях информации, отражающие уровень критичности содержащейся в них информации;
− уничтожать носители информации в соответствии с планом организации;
− доводить все руководящие документы до сотрудников;
− хранить диски в конвертах, коробках, металлических сейфах;
− не касаться поверхностей дисков, несущих информацию;
− осторожно вставлять диски в компьютер и держать их подальше от источников магнитного поля и солнечного света;
− убирать диски и ленты, с которыми в настоящий момент не ведется работа;
− хранить диски разложенными по полкам в определенном порядке;
− не давать носители информации с критической информацией неавторизованным людям;
− выбрасывать или отдавать поврежденные диски с критической информацией только после их размагничивания или аналогичной процедуры;
− уничтожать критическую информацию на дисках с помощью их размагничивания или физического разрушения в соответствии с порядком в организации;
− уничтожать распечатки и красящие ленты от принтеров с критической информацией в соответствии с порядком организации;
− обеспечить безопасность распечаток паролей и другой информации, позволяющей получить доступ к компьютеру.
7. Выбор надежного оборудования.Производительность и отказоустойчивость информационной системы во многом зависит от работоспособности серверов. При необходимости обеспечения круглосуточной бесперебойной работы информационной системы используются специальные отказоустойчивые компьютеры.
8. Установка источников бесперебойного питания. Компьютерная система энергоемка, и потому первое условие ее функционирования – бесперебойная подача электроэнергии. Необходимой частью информационной системы должны стать источники бесперебойного питания для серверов, а по возможности, и для всех локальных рабочих станций. Рекомендуется также дублировать электропитание, используя для этого различные городские подстанции.
9. Разработка планов обеспечения непрерывной работы и восстановления. Целью планов обеспечения непрерывной работы и восстановления являются гарантии того, что пользователи смогут продолжать выполнять свои самые главные обязанности в случае невозможности работы по информационной технологии. Обслуживающий персонал должен знать, как им действовать по этим планам.
10. Произведение резервного копирования. Одним из ключевых моментов, обеспечивающих восстановление системы при аварии, является резервное копирование рабочих программ и данных. В локальных сетях, где установлены несколько серверов, чаще всего система резервного копирования устанавливается непосредственно в свободные слоты серверов.