Основы конфиденциального делопроизводства

Размещено на http://www.allbest.ru/

Оглавление

• Введение
• 1. Общая характеристика делопроизводства
• 1.1 Особенности делопроизводства
• 1.2 Порядок обращения с конфиденциальными документами
• 2. Способы сохранения конфиденциального делопроизводства
• 2.1 Секретные архивы
• 2.2 Обеспечение безопасность конфиденциального делопроизводства
• Заключение
• Список использованной литературы
• Приложение

Введение

• Обеспечение информационной безопасности - необходимое условие для успешного осуществления коммерческой деятельности. Фонд рассматривает информацию как один из важнейших активов. Информационная безопасность является элементом общей политики Фонда в сфере обеспечения безопасности бизнеса. Нарушения в данной области могут привести к серьезным последствиям, включая потерю доверия со стороны клиентов и снижению конкурентоспособности.
• Обеспечение информационной безопасности включает в себя любую деятельность, направленную на защиту информации и/или поддерживающей инфраструктуры. Политика охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является Фонд. Положения настоящего документа относятся ко всем штатным работникам и временным работникам, имеющим доступ к автоматизированным и телекоммуникационным системам Фонда.
• Неотъемлемой частью организации защиты информации является непрерывный контроль эффективности предпринимаемых мер, определение для работников Фонда перечня недопустимых действий, возможных последствий и ответственности. Реализация Политики должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий
• Объект исследования - делопроизводства.
• Предмет - ведение конфиденциального делопроизводства.
• Поэтому цель данного исследования - рассмотреть основы конфиденциального делопроизводства.
• 1. Общая характеристика делопроизводства

1.1 Особенности делопроизводства

C 25 января по 5 февраля 1959 прошёл в Москве внеочередной XXI съезд КПСС. Решения съезда предусматривали меры по повышению роли национальных республик, расширение их прав в области законодательства. Отметим, что в СССР борьбу за выполнение семилетнего плана возглавляла областная партийная организация. В период 1960-хх. гг. особое место в Коми отводилось партийным органам. Как правило, вопросы документирования обсуждались на заседаниях партии, где принималась масса документов, затрагивающих вопросы организации документационного обеспечения управления.

Состояние делопроизводства в послевоенное время в СССР характеризуется различными видами документов и особенностями в работе с документами. Так, например, протоколы изменили структуру оформления. Обязательным элементом стало оформление членов заседания. Стали указываться председатель и секретарь заседания, их фамилии и инициалы. Текст протокола делился на параграфы. В конце каждого параграфа оформлялась решение постановляющим словом «ПОСТАНОВЛЯЕТ» [НА РК, ф. Р-3, оп.1, д.188].

Определенным этапом в работе с документами стало утверждение 15 апреля 1963 года Инструкции по ведению секретного делопроизводства в партийных комитетах и горкомах КПСС СССР[НА РК, ф. 1, оп. 1, д. 785]. В соответствии с нормативной правовой базой к секретным документам относятся документы работа, с которыми должна производиться по специальному разрешению. Такие документы входят в сферу деятельности не одного, а нескольких типов делопроизводства, в зависимости от того, к какому виду тайны относится содержащаяся в документах информация. Секретное делопроизводство в 1963 году не имело строгой нормативной регламентации, так как сам режим сохранности устанавливался собственником информационных ресурсов. Организация секретного делопроизводства в СССР определялась как деятельность, обеспечивающая документирование конфиденциальной информации; организацию работы с секретными документами и защиту содержащейся в них информации.

Что касается структуры Инструкции по ведению секретного делопроизводства в партийных комитетах и горкомах СССР, то следует отметить его полноту и чёткость в формулировках. В инструкции были строго регламентированы вопросы сохранности государственной тайны, кроме того в документе, который бы казалось имеет отношение к процессу работы с документами нормативно были закреплены обязанности работников аппарата по сохранению партийной тайны [НА РК, ф. 1, оп. 1, д. 785].

Был оговорен перечень дел, которые запрещалось делать работникам аппарата горкомов и парткомов. Так, например, нельзя было вести секретные переговоры по телефону, делать записи по секретным вопросам в личных блокнотах, поскольку возникали риски, связанные с утечкой секретной информации. Подробно был оговорен порядок приема, регистрации и направления секретных материалов. Как и на современном этапе, документы с пометкой «лично» передавались лично адресату. Секретные документы имел право принимать только помощник секретаря. Его обязанностью было проверка правильности адресования и наличия вложений. Возникали случаи, когда корреспонденция, направляемая в партийные организации доходила не в полном объеме. В случае если документы поступали не все, то согласно Инструкции необходимо было составлять акт в двух экземплярах. Все входящие секретные документы учитывались по книге регистрации входящих секретных и совершенно секретных документов. Внутренние документы, такие как протоколы, постановления регистрировались в отдельной книге. Все входящие документы делились на определенные категории: «особая папка», совершенно секретные, секретные. В инструкции было отмечено, что исходящая корреспонденция составляется в одном экземпляре и регистрируется в книге [НА РК, ф. 1, оп. 1, д. 785]. Обязательным элементом препроводительного письма является отметка о приложениях. При пересылке секретные документы должны были упаковываться в конверты из плотной бумаги, после чего обязательно прошивались и осургучивались.

По инструкции 1963 года существовало две степени секретности документов:

- совершенно секретные и секретные документы, подлежащие лично передаче адресату, отправлялись серией «К». На пакетах данной серии наклеивался контрольный талон, который с распиской о получении возвращался отправителю.

- вся остальная корреспонденция отправлялась с грифом «Секретно». Значительное внимание в системе секретного делопроизводства уделялось протоколам заседаний Горкомов и партийных комитетов. Все протоколы, которые составлялись на заседаниях бюро горкомов и райкомов партии, подписывались секретарем и заверялись печатью [НА РК, ф. Р-3, оп.1, д.203]. Каждый протокол имел порядковый номер, который проставлялся по хронологии. Необходимо подчеркнуть, что, как и в настоящее время к протоколам прилагались все материалы и выступления в прениях. Однако оригиналы докладов и выступлений подписывались самим докладчиком.

В инструкции было четко прописано обращение с секретными документами. Все работники партийного аппарата давали письменное обязательство о неразглашении партийной и государственной тайны, причем, письменные обязательства хранились в личных делах работников. Сам процесс работы с секретными документами был зафиксирован в отдельных пунктах. Стоит отметить, что данные документы печатались в специальном помещении, вход в которое был строго ограничен. На всех секретных документах указывалась степень секретности и количество отпечатанных экземпляров. По окончании рабочего дня все документы обязательно закрывались в железных шкафах или сейфах. Железные шкафы и сейфы подлежали учету и имели по два ключа, один из которых выдавался под расписку ответственному работнику, а второй находился у помощника секретаря в опечатанном конверте с личной распиской работника, за которым числился железный шкаф или сейф. Все секретные документы подшивались в папки с соответствующим грифом степени секретности. Дела велись по календарному году. Следует отметить, что инструкцией запрещалось подшивать секретные документы в личные дела работников. Необходимо отметить, что секретное делопроизводство в силу меньшего по сравнению с открытым делопроизводством объёма документов и в целях обеспечения условий для сохранности и конфиденциальности документов в 1963 было централизованным. Однако особенностью делопроизводства в органах власти СССР было то, что в инструкции по ведению секретного делопроизводства существовал раздел по ведению несекретного делопроизводства. В настоящее же время, порядок ведения секретного и несекретного делопроизводства отражается в разных локальных нормативных документах.

1.2 Порядок обращения с конфиденциальными документами

конфиденциальный документ сохранение архив

Основные принципы работы с конфиденциальной информацией, так и требования, выдвигаемые самой организацией, например, в данном разделе можно прописать следующее:

обязанности по ведению конфиденциального делопроизводства в структурных подразделениях возлагаются на работников, назначаемых руководителями подразделений;

ответственность за организацию работы с конфиденциальными документами, своевременное их исполнение, их сохранность в структурных подразделениях возлагается непосредственно на руководителей подразделений;

права и обязанности лиц, ответственных за ведение конфиденциального делопроизводства, закрепляются в их должностных инструкциях;

документооборот конфиденциальных документов осуществляется только через работника, ответственного за ведение конфиденциального делопроизводства в подразделении;

? запрещается выдавать конфиденциальные документы работникам, не допущенным к таким документам;

? исполненные документы возвращаются исполнителями ответственному за ведение конфиденциального делопроизводства;

? учет документов конфиденциального делопроизводства осуществляется в книгах и журналах учета (журнальный учет). Журнальный учет может дублироваться автоматизированным учетом с применением средств вычислительной техники;

? при автоматизированном учете учетные формы заносятся на носители информации СВТ (средства вычислительной техники) и хранятся на них;

? документы учитываются по количеству листов, издания - поэкземплярно, а дискеты, CD/DVD и другие внешние электронные накопители, аудио- и видеокассеты - поштучно;

? все журналы учета должны быть прошнурованы, а все страницы в них пронумерованы;

? регистрация документов в журналах ежегодно начинается с первого номера, а по окончании года делается итоговая запись о количестве документов;

? в формах учета конфиденциальных документов запрещается производить подчистки и исправления с применением корректирующей жидкости. Ошибочная запись зачеркивается одной чертой, а вносимые работником, ответственным за конфиденциальное делопроизводство, исправления описываются и заверяются его подписью с проставлением даты;

? перед уходом в отпуск или отъездом в командировку работники структурных подразделений должны передавать через работника конфиденциального делопроизводства все находящиеся у них на исполнении (на контроле) документы другому работнику по указанию руководителя структурного подразделения;

? при увольнении или переводе в другое структурное подразделение работник должен сдать все числящиеся за ним документы работнику конфиденциального делопроизводства;

? при смене работника, ответственного за конфиденциальное делопроизводство, передача документов новому ответственному производится по Акту приема-передачи;

? в случае реорганизации или ликвидации структурного подразделения все имеющиеся в нем конфиденциальные документы передаются вновь созданному подразделению вместе с журналами учета и штампами для ведения конфиденциального делопроизводства или сдаются в архив компании в порядке, определенном локальными нормативными документами компании;

? конфиденциальные документы и дела и другие конфиденциальные материалы должны храниться в служебных помещениях и (или) архивах в запираемых шкафах и сейфах;

? не допускается запись на внешние электронные накопители, имеющие грифы «Коммерческая тайна» или «Конфиденциально», файлов, которые не содержат конфиденциальной информации (исключение составляют случаи, когда эти файлы являются приложением к конфиденциальным документам);

? черновики конфиденциального документа должны быть уничтожены работником, ответственным за ведение конфиденциального делопроизводства, в присутствии исполнителя документа, с подтверждением факта уничтожения в виде записи на экземпляре документа, подшиваемого в дело: «Черновики на ___ листах уничтожены». Данная запись заверяется исполнителем документа и работником, ответственным за ведение конфиденциального делопроизводства, с проставлением даты уничтожения;

? работник, ответственный за ведение конфиденциального делопроизводства, готовит предложения о снятии грифа конфиденциальности с документа. Гриф конфиденциальности снимается по истечении указанного в Перечне информации, составляющей коммерческую тайну, и иной конфиденциальной информации компании (далее - Перечень) срока действия режима ограничения доступа в отношении информации, содержащейся в документе, либо в связи с исключением информации из Перечня.

2. Способы сохранения конфиденциального делопроизводства

2.1 Секретные архивы

Необходимость создания секретных архивных подразделений (далее -- САП) возникает, когда деятельность предприятия связана с государственной тайной. Для ведения такой деятельности нужно получить специальное разрешение (далее -- спецразрешение) в Службе безопасности.

Согласно ст. 20 Закона о гостайне государственные органы, органы местного самоуправления, предприятия, учреждения, организации (далее -- предприятия) имеют право осуществлять деятельность, связанную с государственной тайной, только после предоставления СБУ спецраз- решения. Итак, физлица (в т.ч. предприниматели) не могут получить спецразрешение и проводить деятельность, касающуюся гостайны.

Его выдают на основании заявки предприятия после прохождения специальной экспертизы, результаты которой оформляют соответствующим актом. Предприятия получают спецразрешения при условии, что они, в частности:

-- в соответствии с компетенцией, государственными заданиями, программами, заказами, договорами (контрактами) принимают участие в деятельности, связанной с гостайной; Секретное архивное подразделение предприятия Если деятельность предприятия или организации связана с государственной тайной, необходимо обеспечить соответствующие условия архивного хранения секретных документов. О том, как это делать, мы поговорим в этой консультации.

-- имеют помещения для проведения работ, связанных с гостайной, хранилища для хранения засекреченных документов и других материальных носителей секретной информации, которые соответствуют требованиям по обеспечению секретности указанных работ, исключают возможность доступа к ним посторонних лиц, гарантируют сохранность носителей секретной информации.

Требования к изготовлению, учету, пользованию, хранению, сохранности, передаче и транспортировке материальных носителей секретной информации устанавливает КМУ (ст. 19 Закона о гостайне). Во исполнение этой нормы КМУ утвердил Порядок № 1561-12. Этот документ имеет гриф "Для служебного пользования", однако предприятия, получившие спецразрешение, могут получить его текст в Департаменте охраны гостайны СБУ. Мы же будем ссылаться на нормы общедоступных нормативов.

После получения спецразрешения согласно ст. 21 Закона о гостайне предприятие должно по согласованию с СБУ создать режимно-секретный орган (далее -- РСО) как отдельное структурное подразделение. Оно будет подчиняться руководителю предприятия. РСО состоит из подразделений режима, секретного делопроизводства и других подразделений в соответствии со спецификой предприятия. Если же объем связанных с гостайной работ незначителен, то обеспечение режима секретности осуществляет либо лично руководитель предприятия, либо специально назначенный приказом руководителя работник. В любом случае подобные назначения необходимо согласовывать с СБУ. Для доступа к работе, связанной с гостайной, граждане должны получить в СБУ допуск с соответствующей степенью секретности ("совершенно секретно", "секретно" и т.п.).

Организация работы САП САП создают для временного хранения бумаг особой важности, совершенно секретных и секретных документов Национального архивного фонда, а также документов долгосрочного (10 и более лет) практического значения.

В соответствии с п. 2 Положения № 26/8 САП создают по приказу руководителя предприятия, оно может быть либо отдельным структурным подразделением, либо входить в состав РСО. Там, где количество секретных архивных документов незначительно, ответственность за работу с ними возлагают на одного из работников РСО (п. 9 Положения № 26/8).

Руководитель предприятия своим приказом назначает руководителя САП, утверждает годовые планы работы. Обязанности работников САП определены должностными инструкциями (п. 6 Положения № 26/8). Согласно п. 1 Инструкции № 25/7 завершенные в делопроизводстве секретные документы и дела постоянного и долгосрочного хранения находятся в РСО в течение 2 лет, а затем передаются в САП по описям дел.

Также в САП (п. 11 Положения 26/8) должны хранить:

-- секретные научно-технические, кино-, фото-, фоно-, видеодокументы, машиноориентированные документы, созданные предприятием или полученные на законных основаниях;

-- секретные личные документы работников предприятия;

-- секретные документы на различных видах носителей информации ликвидированных предприятий;

-- печатные издания, которые дополняют архивные документы и необходимы для научно-методической и информационно-справочной работы САП;

-- справочный и учетный аппарат к архивным документам.

Функции САП Вообще, Инструкция № 25/7 устанавливает следующий алгоритм работы САП:

1) подготовка секретных документов к передаче на архивное хранение. Она включает экспертизу ценности документов, оформление описей дел и актов об отборе для уничтожения документов, не подлежащих хранению, создание научно-справочного аппарата и оформления дел;

2) передача секретных документов и дел на архивное хранение;

3) хранение секретных архивных документов. По требованиям Порядка № 1004 экспертизу ценности документов осуществляют ежегодно. Во время исследования отбирают документы постоянного, долгосрочного хранения для передачи в САП; временного хранения -- для хранения в РСО; а также для уничтожения -- секретные дела и документы временного хранения, сроки хранения по которым истекли. Результаты экспертизы оформляют в виде описей дел постоянного, долгосрочного хранения, описей особо ценных дел, а также актов об отборе для уничтожения документов, которые не подлежат хранению.

Порядок составления описей, актов и других документов приведены в Инструкции № 25/7, а их формы -- в приложениях к ней. Отобранные для хранения документы оформляют в секретные дела. Если секретные документы и дела признаны экспертизой имеющими научную, историко-культурную, практическую ценность, то их включают в состав Национального архивного фонда и передают в определенное государственное архивное учреждение (п. 29 Инструкции № 25/7). Секретные дела постоянного, долгосрочного хранения, а так- же материалы страхового фонда передают в САП по описям. А дела временного хранения (до 10 лет) держат в РСО, их можно передать в САП только в порядке исключения.

Сроки хранения полученных САП документов определяют в соответствии с Перечнем № 578/5 и ведомственными перечнями документов с указанием сроков их хранения. САП, согласно п. 7 Положения № 26/8, также должно просматривать грифы секретности документов, выдавать архивные справки, копии, извлечения и т.п. В конце отметим: за непринятие мер по обеспечению охраны гостайны и необеспечению контроля ее охраны, и за деятельность, связанную с гостайной, без получения спецразрешения ст. 212-2 КоАП предусматривает наложение административных штрафов.

2.2 Обеспечение безопасность конфиденциального делопроизводства

Обработка входящих, исходящих, внутренних конфиденциальных документов Что касается порядка работы с документами этих трех потоков, то для каждого из потоков ведется отдельный журнал регистрации (приложения 5-7). Регистрации входящих документов предшествуют определенные операции, связанные с проверкой пакета, в котором переданы конфиденциальные документы (осмотр пакета, проверка наличия всех приложений и т. д.).

Поэтому в данном разделе стоит зафиксировать следующие моменты:

? пакеты с грифами «Коммерческая тайна» или «Конфиденциально» принимаются только специалистами, ответственными за ведение конфиденциального делопроизводства. Например, в подразделении, принимающем все документы и пакеты, адресованные в компанию, должен быть специалист, уполномоченный принимать конфиденциальные документы;

? при получении пакетов специалист по конфиденциальному делопроизводству проверяет правильность их адресации, целостность упаковки и оттисков печатей, сверяет номера на пакетах с номерами, указанными в реестре передачи, расписывается в приеме пакетов (с указанием прописью их количества, даты и времени получения). Подпись заверяется специальной печатью, например «Для пакетов»;

? при обнаружении повреждений упаковки, расхождений или несоответствия оттисков печатей наименованию отправителя пакет принимается с составлением акта в произвольной форме в двух экземплярах, в котором перечисляются все обнаруженные несоответствия. Акт подписывается лицом, доставившим пакет, и специалистом, его принимающим, о чем в реестре делается соответствующая запись (например, «Пакет поврежден (залит водой), составлен акт от 13.01.2015»). Один экземпляр акта направляется отправителю пакета, а второй экземпляр акта подшивается в дело;

? все поступившие пакеты с конфиденциальными документами должны быть вскрыты в день их поступления. Проверяется соответствие учетных номеров конфиденциальных документов номерам, указанным на пакете, количество документов в приложениях, их экземпляров и листов с учетными данными о них в сопроводительных письмах;

? при обнаружении расхождений в учетных данных полученных документов, недостаче документов или приложений к ним также составляется акт в произвольной форме в двух экземплярах, в котором указываются обнаруженные несоответствия. Акт подписывается специалистом по конфиденциальному делопроизводству.

Один экземпляр акта вместе с лицевой стороной пакета, в котором получены документы, направляется от- правителю, второй экземпляр акта подшивается в дело;

? ошибочно направленные конфиденциальные документы возвращаются отправителю в новых пакетах за их же номерами и с приложением лицевой стороны пакета отправителя, а в Журнале регистрации входящих конфиденциальных документов проставляются номер реестра и дата отправления;

? поступившие документы должны быть зарегистрированы специалистом по конфиденциальному делопроизводству в Журнале регистрации входящих конфиденциальных документов;

? регистрационный штамп либо отметка от руки (напри- мер, «Вх. № ___, дата, на ___ листах») проставляется в правом нижнем углу первого листа поступившего документа. При наличии приложений к конфиденциальному документу на обороте последнего листа каждого приложения также проставляется штамп либо делается отметка от руки (например, «К вх. №___»);

? неконфиденциальные документы, являющиеся приложениями к конфиденциальным документам, но не под- лежащие совместному хранению, передаются по на- значению (под подпись в сопроводительном письме); ? передавать конфиденциальные документы на исполнение без регистрации запрещено (даже внутренние конфиденциальные документы, например выписки из протоколов, служебные записки).

Порядок обращения с конфиденциальными документами», «Разработка, оформление конфиденциальных документов и учет материальных носителей конфиденциальной информации» и «Регистрация входящих, исходящих, внутренних конфиденциальных документов». В следующей статье мы уделим внимание остальным разделам Инструкции, посвященным составлению номенклатуры дел и ведению дел, формированию конфиденциальных дел, уничтожению конфиденциальных документов, и отдельно поговорим о специфических разделах, касающихся тиражирования конфиденциальных документов, их отправки и снятия грифа конфиденциальности.

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Безопасность информации - защищенность информации от ее нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного ее тиражирования.

Доступность - возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная безопасность (ИБ) - комплекс административно-правовых, организационно-распорядительных и технических мер, направленных на обеспечение конфиденциальности, целостности и санкционированной доступности информации в процессе ее сбора, обработки, передачи и хранения. Информационная система (ИС) обработки информации - организационно- техническая структура, представляющая собой совокупность следующих взаимосвязанных компонентов:

- технических средств обработки и передачи данных;

- методов и алгоритмов обработки в виде соответствующего программного обеспечения; - баз данных на различных носителях;

- персонала и пользователей, объединенных по организационно- структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных.

Конфиденциальность - защита от несанкционированного ознакомления.

Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.

Пользователь - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации. Сеть (локальная сеть, ЛВС, LAN) - группа точек, узлов или других устройств, соединенных коммуникационным набором оборудования, обеспечивающее соединение станций и передачу между ними информации.

Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов с целью преднамеренного или случайного нарушения режима функционирования объекта. Уязвимость - любая характеристика автоматизированной системы, использование которой может привести к реализации угроз. Политика информационной безопасности Политика информационной безопасности лист 5 из 16

Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому ее состоянию). Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. 2. Цели, задачи и основополагающие принципы

Основной целью системы информационной безопасности является защита корпоративной ИС Фонда от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня рисков.

Основными задачами системы информационной безопасности являются:

отнесение информации к категории несекретной, ограниченного распространения, банковской, коммерческой и другим видам тайн, иной конфиденциальной информации, подлежащей защите от неправомерного использования;

прогнозирование и своевременное выявление угроз безопасности информационным ресурсам Фонда, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

создание условий функционирования Фонда с наименьшей вероятностью реализации угроз безопасности информационных ресурсов и нанесения ущерба;

создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявление негативных тенденций в функционировании Фонда, на основе нормативных, правовых, организационных и технических мер и средств обеспечения безопасности;

создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц.

Построение системы обеспечения безопасности информации Фонда и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

законности - соблюдение законодательства по защите информации и законных интересов всех участников информационного обмена;

системности - подход к вопросам организации информационной безопасности должен быть логическим и последовательным: в первую очередь оценка риска информационной безопасности исходя из реальных угроз и уязвимости информационных ресурсов, затем создание комплекса организационных и технических мер и средств защиты, учитывающих специфику Фонда;

Политика информационной безопасности Политика информационной безопасности лист 6 из 16

эффективности - реализуемые в разумно достаточном объеме меры и мероприятия по обеспечению ИБ должны сводить риски к минимуму, при этом адекватность и эффективность защитных мер должна быть оцениваема на регулярной основе;

целесообразности - соблюдение соразмерности затрат на обеспечение защиты информации и потенциальных потерь при реализации угроз;

непрерывности - принцип функционирования системы информационной безопасности, учитывающий, что злоумышленники в любой момент времени ищут возможность обхода защитных мер, прибегая для этого к легальным и нелегальным методам;

взаимодействии и координации - осуществление мер обеспечения информационной безопасности на основе четкой взаимосвязи подразделений службы безопасности, информационных технологий и подразделений-пользователей информационных ресурсов, сторонних специализированных организаций в области защиты информации и обслуживания информационных систем, координации их усилий для достижения поставленных целей, а также взаимодействия с уполномоченными государственными органами.

Эксплуатация технических средств и реализация мер информационной безопасности должны осуществляться профессионально подготовленными специалистами ответственных подразделений Фонда;

совершенствовании - совершенствование мер и средств защиты информации на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах атак информационных ресурсов, нормативно-технических требований, достигнутого отечественного и зарубежного опыта;

приоритетности - категорирование (ранжирование) всех информационных ресурсов Фонда по степени важности и оценка реальных, а также потенциальных угроз информационной безопасности;

информированности и персональной ответственности - пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации, информационные сервисы индивидуально идентифицирует пользователей и инициируемые ими процессы;

соответствие стандартам - система информационной безопасности соответствует международным стандартам в данной области;

обязательность контроля - контроль за деятельностью пользователей, а также мониторинг работы ИС должен осуществляться на основе применения средств оперативного контроля и регистрации, охватывать как несанкционированные, так и санкционированные действия.

Объекты обеспечения информационной безопасности

Автоматизированная система обработки информации Фонда является распределенной структурой, объединяющей в единую ИС подсистемы центрального аппарата, региональных филиалов. Основными объектами Политика информационной безопасности Политика информационной безопасности лист 7 из 16 обеспечения информационной безопасности в Фонде признаются следующие элементы:

информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к государственной тайне, коммерческой тайне Фонда, открытая информация, необходимая для обеспечения нормального функционирования Фонда (в дальнейшем - защищаемая информация);

средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;

программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы Фонда, с помощью которых производится обработка защищаемой информации;

помещения, предназначенные для ведения закрытых переговоров и совещаний;

помещения, в которых расположены средства обработки защищаемой информации;

технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.

Подлежащая защите информация может находиться:

на бумажных носителях;

в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);

передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;

в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;

записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).

Меры обеспечения безопасности

Меры обеспечения безопасности. Все меры обеспечения безопасности компьютерных систем подразделяются на:

- правовые (законодательные);

- морально-этические;

- организационные (административные);

- физические;

- технические (аппаратурные и программные).

Законодательные (правовые) меры защиты. К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и Политика информационной безопасности Политика информационной безопасности лист 8 из 16 использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

Морально-этические меры защиты. К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации.

Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.

Организационные (административные) меры защиты. Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Физические средства защиты. Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические (программно-аппаратные) средства защиты. Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем Фонда и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

Угрозы информационной безопасности

Под угрозами информационной безопасности понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:

утрата сведений, составляющих банковскую тайну, коммерческую тайну Фонда и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации; Политика информационной безопасности Политика информационной безопасности лист 9 из 16

утечка - несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;

недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форсмажорных обстоятельств;

отсутствие планирования и контроля;

низкая степень надежности программного обеспечения;

недостаточная осведомленность персонала, низкая квалификация персонала и пользователей в области информационных технологий.

В результате воздействия указанных угроз могут возникнуть следующие негативные последствия, влияющие на состояние информационной безопасности Фонда и его нормальное функционирование:

финансовые потери, связанные с утечкой или разглашением защищаемой информации;

финансовые потери, связанные с уничтожением и последующим восстановлением утраченной информации;

ущерб от дезорганизации деятельности Фонда и потери, связанные с невозможностью выполнения им своих обязательств;

моральные потери (ущерб репутации Фонда).

Техническое обеспечение информационной безопасности Фонда

Техническое обеспечение информационной безопасности должно базироваться:

на системе унификации и взаимного дополнения применяемых средств защиты;

на системе лицензирования деятельности;

на системах сертификации всего программного обеспечения и средств защиты.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе документооборота, при работе работников с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров. Политика информационной безопасности Политика информационной безопасности лист 10 из 16

Предоставление прав доступа специалистам Фонда к соответствующей информации определяется в порядке, определяемом внутренними документами Фонда.

Одним из направлений обеспечения информационной безопасности является реализация технической политики, то есть защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа и иных воздействий.

В рамках обеспечения информационной безопасности, техническая политика предусматривает:

реализацию единой разрешительной системы допуска работников к работам, документам и информации конфиденциального характера;

ограничение доступа работников и посторонних лиц в здания, помещения, где обрабатывается (хранится) информация конфиденциального характера, в том числе на объекты информатики;

разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;

учет документов, информационных массивов, регистрация действий пользователей ИС, контроль за несанкционированным доступом и действиями пользователей;

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

предотвращение внедрения в автоматизированные ИС программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа предусматривает:

единую централизованную политику обеспечения безопасности автоматизированных систем, регистрации и проверки прав доступа специалистов Фонда;

обоснованность доступа, предполагающую наличие соответствующей формы допуска работника для ознакомления с информацией (документацией) определенного уровня конфиденциальности при необходимости ознакомления с данной информацией или действий с ней для выполнения производственных функций;

персональную ответственность, предполагающую ответственность работника за использование и сохранность доверенной информации (документов, носителей информации, информационных массивов), за свои действия в автоматизированной системе;

надежность хранения, предполагающую хранение информации (документов, носителей информации, информационных массивов) в условиях, исключающих несанкционированное ознакомление, ее уничтожение, подделку или искажение;

централизованный контроль за действиями работников с конфиденциальными документами, а также конфиденциальной информацией в автоматизированных системах; Политика информационной безопасности Политика информационной безопасности лист 11 из 16

целостность технической и программной среды, обрабатываемой информации и средств защиты, предполагающую физическую сохранность средств информатизации, неизменность программной среды, определяемую предусмотренной технологией обработки информации, выполнение средствами защиты предусмотренных функций, изолированность средств защиты от пользователей.

Обеспечение безопасности ИС предполагает разработку необходимых мер защиты на этапе формирования будущей автоматизированной системы, что заключается в составлении спецификаций на приобретаемое оборудование и программное обеспечение с учетом предъявляемых требований по безопасности.

В процессе формирования заказа на построение ИС необходимо учитывать не только основной набор функциональных сервисов (бухгалтерские системы, системы автоматизации процедур, делопроизводства и тому подобные), но и ряд необходимых вспомогательных сервисов, обеспечивающих надежное функционирование системы и требуемый уровень безопасности. При этом необходимо учитывать, что в защите нуждаются все сервисы и коммуникационные пути между ними. В случае, если не все функционально законченные сервисы обладают полным набором механизмов безопасности, они требуют объединения в составные сервисы, в совокупности обладающие таким набором и с внешней точки зрения представляющих собой единое целое.

Обеспечение единой политики процедур регистрации и предоставления доступа, а также требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, которая предполагает определение для всех пользователей автоматизированных систем доступные им информационные и программные ресурсы, а также конкретные операции (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Условие надежности хранения информации реализуется с помощью:

оборудования помещений, в которых ведется обработка конфиденциальной информации сейфами и металлическими шкафами для хранения документов, а также техническими средствами разграничения и контроля доступа;

использования криптографического преобразования информации в автоматизированных системах.

Система контроля за действиями работников реализуется с помощью:

организационных мер и технических средств контроля при работе с конфиденциальными документами и сведениями;

регистрации (протоколирования средствами системного аудита) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида Политика информационной безопасности Политика информационной безопасности лист 12 из 16 взаимодействия и его результата, включая запрещенные попытки доступа;

сигнализации о несанкционированных действиях пользователей.

Целостность автоматизированных систем достигается комплексом программно-технических средств и организационных мероприятий, осуществляемых уполномоченными подразделениями Фонда.

При необходимости передачи по внешним линиям связи конфиденциальной информации, основным направлением защиты информации от перехвата, искажения и навязывания ложной информации является использование криптографического преобразования информации, а на небольших расстояниях, использование защищенных волоконно-оптических линий связи.

Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.

Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других нормативных правовых актов по безопасности, утвержденных органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.

В целях обеспечения заданного качества функционирования системы информационной безопасности, должно проводиться предпроектное обследование и проектирование ИС, выработка требований по средствам защиты информации и контроля, предполагаемых к использованию в этих системах, а также контроль защищенности информационных ресурсов.

Применение аутентификации в автоматизированных системах обусловлено необходимостью гарантированного сопоставления участников информационного обмена учетным записям в системе в целях предоставления им законно предоставленных прав на реализацию системных процедур. Аутентификация в вычислительных сетях призвана обеспечить заданную степень уверенности получателя в том, что полученная информация была передана отправителем и при этом не была заменена или искажена.

Целью аутентификации является защита участников информационного обмена от стороннего вмешательства путем взаимной идентификации. Важной мерой защиты передаваемых в электронном виде данных, является шифрование. Политика информационной безопасности Политика информационной безопасности лист 13 из 16

Организационное обеспечение информационной безопасности

Задачи обеспечения безопасности информационных ресурсов решаются следующими организационными методами:

разработкой и осуществлением разрешительной системы допуска работников к работам с документами и сведениями конфиденциального характера;

установлением единого порядка хранения и обращения конфиденциальной информации (документов, носителей информации);

координацией работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.

В работе с работником Фонда основными организационными мерами в плане достижения информационной безопасности являются:

заключение трудовых договоров и получение у работников добровольного согласия на соблюдение требований, регламентирующих режим информационной безопасности и сохранность конфиденциальной информации;

проведение периодического обучения и повышения квалификации работников Фонда в области информационной безопасности.

Система распределения обязанностей между отдельными работниками может в значительной мере способствовать повышению общего уровня информационной безопасности. Этого можно достичь следующими методами:

минимизация данных, доступных работникам. Каждый работник должен знать только те детали процедур обработки данных, которые необходимы ему для выполнения своих обязанностей. Организация технологического процесса сбора и обработки информации и планирование помещений должны по мере возможности исключать или сводить к минимуму контакты персонала в процессе выполнения работ. Каждый работник должен знать все о своей работе и связанных с нею ограничениях, а также четко представлять последствия нарушения этих ограничений;

разделение полномочий и дублирование контроля. В системах с высокими требованиями по обеспечению сохранности данных ответственная работа или процедура (например, изменение статуса электронного документа) выполняется после подтверждения ее необходимости двумя работниками. Временные или вновь принятые работники, а также работники, проходящие обучение, стажировку, практику не должны самостоятельно выполнять ответственные задания.

Административные меры защиты информации предполагают: Политика информационной безопасности Политика информационной безопасности лист 14 из 16

обеспечение физической сохранности автоматизированной системы и дополнительного оборудования;

организацию контроля доступа и режима выполнения работ персоналом подразделения информационных технологий;

инспектирование правильности и полноты выполнения персоналом подразделения информационных технологий мер по обеспечению сохранности необходимых дубликатов файлов, библиотеки программ, оборудования системы;

практическую проверку функционирования отдельных мер защиты: предотвращения недозволенных изменений программ и оборудования, контроль всех процедур, производимых с файлами на носителях и т.д.;

проверку машинных и ручных протоколов выполнения работ со стороны пользователей;

ознакомление работников Департамента информационных технологий со всеми новыми разработками по обеспечению сохранности данных.

Программа создания системы безопасности

Политика служит методологической основой для формирования и реализации программы создания системы информационной безопасности Фонда. В целом для функционирования системы информационной безопасности с учетом положений Политики должны быть разработаны и приняты (с учетом необходимого обновления) следующие документы: