Нормативно-методическое обеспечение защиты конфиденциальной информации предназначено для регламентации процессов обеспечения информационной безопасности фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предупреждения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и других основополагающих документах фирмы и определять правовой статус информационной безопасности фирмы. Указанные положения позволяют на законных основаниях вести речь о сохранение предпринимательской тайны, выделять ценную информацию, которая составляет собственность и тайну фирмы, и выполнять действия по ее защите. Предмет и направления защиты должны найти отражение, например, в уставе фирмы, типовых формах контрактов разного рода и назначениях, положениях о структурных подразделениях фирмы, должностных инструкциях и других документах.
Самыми важными организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о
службу безопасности, положение о службе конфиденциальной документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы.
Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают выбранную фирмой систему защиты документированной информации Можно выделить главные, на наш взгляд, регламентирующие документы, которые имеют значение для любой фирмы и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы.
Прежде всего следует назвать Перечень сведений предпринимательской фирмы, составляющих ее тайну или являются особенно ценными. Перечень предназначен для определения состава конфиденциальных документов и баз данных, установление грифов ограничения доступа к бумажных и электронных документов, определение необходимой структуры системы защиты информации. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных сведений по структурным подразделениям или управленческим функциям, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т.п.
Другим важным регламентирующим документом является инструкция по обеспечению безопасности собственной информации предпринимательской фирмы. Она необходима для организации работы по защите конфиденциальной и ценной документированной информации и включает в себя:
«Обязанности сотрудников фирмы при работе с конфиденциальной
документацией»
«Порядок доступа сотрудников к конфиденциальным документам и
баз данных, оформление доступа» ;
«Обеспечение сохранности документов на бумажных и магнігних носителя?: во время работы с ними руководителей, исполнителей (специалист) и технического персонала»
«Порядок сохранения тайны фирмы при проведении совещаний, заседаний и переговоров»
«Требования к помещениям для работы с конфиденциальной информацией»
«Порядок охраны территории, здания, помещений, транспортных средств и персонала фирмы»
«Пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов» «Порядок приема, учета и контроля деятельности посетителей»
«Требования к защите информации в рекламной и выставочной работе, публикациях, пи, время интервью и собеседований»
«Организационные обеспечение защиты информации в ПЭВМ и линиях связи, при. использовании в обработке документов средств организационной техники»
Ответственность сотрудников фирмы за разглашение конфиденциальной информации и утрату ценных документов»
Инструкция по обработке, хранению и движению конфиденциальных документов предпринимательской фирмы предназначена для организации работы
сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, который управляет делами фирмы. Главные разделы этой инструкции:
«Структура защищенного документооборота фирмы»
«Установка, изменение и снятие грифа конфиденциальности документов»
«Порядок составления, изготовления и издания конфіденціГших
документов»
«Копирование и размножение документов»
«Прием и распределение документов, поступивших»
«Учет (регистрация) документов»
«Отправка и розсипка документов»
«Порядок передачи документов в процессе их рассмотрения и викої И лня»
«»Контроль исполнения документов»
«Порядок систематизации документов и формирования дел»
«Порядок передачи документов и дел в архив фирмы, уничтожение документов и дел с истекшим сроком хранения»
«Оперативное (текущее) и архивное хранение дел»
«Проверка наличия документов, дел, баз данных и носителей
конфиденциальной информации»
«Правила хранения и использования бланков документов, печатей и штампов»
В приложении к инструкции приводятся учетные и другие технологические формы, которые необходимы для организации обработки, хранения и движения документов.
Информационные (методические, с советами, обучающие) документы (правила, требования, указания, методики, памятки и т.п.), детализирующие процессы защиты’ информации, носят вместе с тем обязательных характер и устанавливают порядок работы с конфиденциальной информацией и документами различных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику. Целесообразно выделить следующие информационные документы.
Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных включают в себя:
«Порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала)» к конфиденциальной информации»
•’Рассмотрение документов руководителем и адресования их исполнителям» «Порядок передачи и получения документов исполнителями»
«Ознакомление ь жонавців с содержанием документов и решением по ним руководителя»
«Составление и изготовление документов исполнителями’
«Работа руководителя с Ігідготовленими документами»
«Порядок хранения документов, дел, носителей информации, чистых
бланков документов и штампов на рабочем месте руководителя и
виконав’ця»
«Проверка наличия конфиденциальных докук ентов и баз данных на рабочем месте руководителя и исполнителя»
«Порядок ведения телефонных переговоров, факсимильной перениски»
«Особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой»
«Правила работы с конфиденциальными документами за пределами фирмы, в командировках, транспорте, порядок хранения документов'»
Обеспечение сохранности документов и баз данных в нерабочее время»
Правее работы менеджера по безопасности (управляющего делами.
референта) предпринимательской фирмы с конфиденциальными документами и
базами данных включают в себя:
«Порядок приема и отправки конфиденциальных документов», «Порядок учета (регистрации) документов»
«Организация доступа исполнителей к конфиденциальным документам» «Распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передача документов на исполнение» «Формирование и ведение справочно-информационного банка данных по конфиденциальным документам» «Контроль исполнения документов»
«Оформление и изготовление документов на пишущих
устройствах»
«Оформление и ведение номенклатуры дел фирмы»
«Формирование и хранение (текущее и архивное) дел фирмы»
«Порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя»
«Защита информации при ведении телефонных переговоров и подачи
информации по факсимильном связи»
«Защита информации при работе с ПЭВМ».. — • …. ,
«Построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техникой в рабочее и нерабочее время»
«Ответственность за нарушение правил работы с конфиденциальной документацией и базами данных»
Правила работы менеджера тю персонала предпринимательской
фирмы включают в себя:
«Обязанности менеджера в области защиты информации и работы с сотрудниками, обладающими секретами фирмы»
«Организация и документирование приема сотрудников на работу» «Обязанности сотрудников по сохранению тайны фирмы»
«Контроль соблюдения персоналом правил робот : с конфіденційшіми документами и информацией»
«Организация и документирование переводов сотрудников на’інші должности и изменения условий контрактов»
«Порядок формирования и ведения личных дел сотрудников» «Порядок оформления и ведения трудовых книжек сотрудников»
«Порядок ведения справочно-информационного банка данных по персоналу фирмы»
«Правила и методы защиты персональных данных»
V
«Организация и документирование увольнений сотрудников, обязательства по сохранению секретов фирмы»
«Порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных»
«Принципы и направления формирования нормального психологического климата в коллективе, воспитание гордости персонала за свою фирму»
«Психологический анализ сотрудников, тестирование, анкетирование, инструктаж и обучение персонала»
«Правила хранения документов и работы с ними»
«Организация охраны помещения службы персонала в рабочее и в нерабочее время»
«Ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках фирмы и другой конфиденциальной информации»
Информационные документы могут также регламентировать требования по единообразному выполнению персоналом определенных видов типовых действий. К таким документам можно отнести, например, Правила забезпечешга безопасности секретов фирмы и конфиденциальной, ценной информации в экстремальных ситуациях. Правила включают в себя:
«Классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов фирмы, информации и документов»
«Порядок (при необходимости — план) эвакуации и охраны документов,
дел и баз данных»
«Порядок (при необходимости — план) эвакуации и оказания помощи персоналу»
«Порядок охраны имущества фирмы, оборудования и технических средств защиты информации»
«Порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т.п.)»
«Порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций»
Рассмотрены нормативно-методические документы, отражающие действующую в фирме систему защиты информации и поэтому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они приходятся в выборочном порядке до сведения всех сотрудников фирмы под роспись. Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников.