Информационная безопасность предприятия

- делать выписки из  документов, используемых при решении  вопросов на совещании и имеющих  гриф ограничения доступа;

- обсуждать вопросы,  вынесенные на совещание, в  местах общего пользования;

- информировать о совещании  любых лиц, не связанных с  проведением данного совещания,  в том числе сотрудников предприятия.

Участники совещания, нарушившие перечисленные правила, лишаются права  дальнейшего присутствия на совещании.

По окончании конфиденциального  совещания сотрудник службы безопасности осматривает помещение, запирает, опечатывает  и сдает под охрану. Документы, принятые на совещании, оформляются, подписываются, при необходимости размножаются и передаются участникам совещания в соответствии с требованиями по работе с конфиденциальными документами предприятия. Все экземпляры этих документов должны иметь гриф ограничения доступа. Рассылать документы, содержащие строго конфиденциальную информацию, не разрешается.

3.2. Организация приема посетителей в организации

Организация приема посетителей  предполагает сочетание умения организовать эффективную и полезную для предприятия  работу с посетителями и одновременно выполнить ее таким образом, чтобы  была сохранена целостность конфиденциальной информации, а также достигнута безопасность деятельности предприятия.

Под посетителем понимается, во-первых, лицо, которому необходимо решить определенный круг деловых или личных вопросов с руководителями и специалистами предприятия, и, во-вторых, лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности предприятия.

Процесс защиты информации при приеме посетителей предполагает проведение четкой их классификации, на базе которой формируется система ограничительных и аналитических мер.

На  уровне руководителей предприятия  посетителей можно разделить  на три категории: сотрудники предприятия, посетители, не являющиеся ее сотрудниками и иностранные граждане.

К посетителям – сотрудникам  предприятия относятся:

- сотрудники, имеющие  право свободного входа в кабинет  руководителя в любое время  рабочего дня;

- сотрудники, работающие  с руководителем в режиме вызова;

- сотрудники, инициирующие  свой прием руководителем в  часы приема по личным вопросам.

Угрозы информационной безопасности, исходящие от посетителей-сотрудников, могут наступить в случае, если эти сотрудники являются злоумышленниками или их сообщниками. Состав угроз может быть самым разнообразным: от кражи документов со стола руководителя до выведывания нужной информации с помощью хорошо подготовленного перечня, на первый взгляд, безобидных вопросов.

Посетители, не являющиеся сотрудниками предприятия, в соответствии с характером их взаимоотношений  с фирмой могут подразделяться на:

- лиц, не включенных  в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью предприятия;

- представителей государственных  учреждений и организаций;

- сотрудничающих с  предприятием физических лиц  и представителей предприятий  и организаций;

- частных лиц;

- иностранных граждан.

Перечисленные представители  и лица должны находиться под особо  внимательным контролем сотрудников  службы безопасности, так как если они относятся к категории  злоумышленников, спектр исходящей  от них опасности крайне велик и определяется теми целями, которые перед ними поставлены. Утрата информации может идти по организационным или техническим каналам или в сочетании того и другого.

Особое внимание следует  уделять приему иностранных граждан, поскольку вред, в случае утечки информации, может быть причинен не только данному предприятию (организации), но и интересам государства. Организациям и предприятиям, имеющим доступ и работающим с информацией составляющей государственную тайну, категорически запрещено осуществлять прием иностранных граждан без соответствующего разрешения компетентных органов.

При приеме директором предприятия  любой из указанных категорий  посетителей следует соблюдать  следующие правила.

1. Он не должен принимать  посетителей во время работы  с конфиденциальными документами.

2. При вызове кого-либо  из сотрудников, в связи с  работой над определенным документом, на столе руководителя должен  находиться только тот документ, с которым он работает, другие  документы следует хранить в  запертом сейфе.

3. С целью обеспечения информационной безопасности и организации упорядоченной работы, директор должен выделить определенное время, в которое он работает с документами и время, когда он ведет переговоры и прием посетителей.

Распорядок работы руководителя должен включать:

- время для ежедневного  приема сотрудников предприятия  по служебным вопросам;

- время для ежедневного  приема посетителей, не являющихся  сотрудниками предприятия, но  представляющих ту или иную  организационную структуру; 

- часы приема в разные  дни для частных лиц, которым необходимо решить вопрос, относящийся к компетенции руководителя.  

В часы приема указанных  категорий посетителей любые  сотрудники предприятия могут посещать руководителя только по вызову и только по вопросу, связанному с визитом  конкретного посетителя.

Периодически выделяются часы приема сотрудников предприятия  по личным вопросам.

Прием иностранных граждан осуществляется по отдельной инструкции, разрабатываемой службой безопасности предприятия. Инструкция должна включать:

- перечень информации, к которой запрещен доступ иностранных граждан;

- порядок прохода и  нахождения иностранных граждан  на территории объекта (обязательное  сопровождение, контроль проноса  запрещенных предметов, список  помещений, где разрешено находиться, маршруты следования по территории объекта);

- перечень лиц, допущенных  к переговорам с иностранными  гражданами;

- правила проведения  совещаний с присутствием иностранных  граждан;

- дополнительные меры  защиты информации в период  нахождения на объекте иностранных  граждан.  

Как иностранных, так  и российских посетителей нее  допускается оставлять одних  при выходе руководителя из кабинета. Во время отсутствия руководителя никто  из посетителей или персонала  предприятия не должен входить в  его кабинет.

Ежедневное число посетителей должно соответствовать реальному времени, отведенному руководителем на этот вид работы.

Следует планировать  прием таким образом, чтобы посетители длительное время не находились в  приемной, так как подобные ожидания всегда сопровождаются подсознательным или умышленным прослушиванием переговоров в приемной, получением значительного объема ценной информации.

Для организации работы директора с посетителями целесообразно  формирование графика приема.

График целесообразно  формировать централизованно в  виде единой схемы, охватывающей посетителей руководства предприятия и структурных подразделений. На основании графика секретарь директора ежедневно в начале рабочего дня сообщает сведения о посетителях и характере разрешенного их доступа к делам предприятия в службу безопасности для оформления пропусков.

Установление соответствия личности посетителя сведениям в  графике приема и документе, удостоверяющем его личность, выполняется:

- сотрудником службы  безопасности при входе в здание  предприятия и выдаче посетителю пропуска;

- секретарем при входе  посетителя в приемную руководителя  предприятия.

В период ожидания посетителем  приема секретарю следует внимательно  наблюдать за его поведением, фиксировать  возможные странности в движениях, излишнюю возбужденность и т.п. При возникновении каких-либо опасений референт должен вызвать сотрудника службы безопасности, который будет присутствовать в кабинете при беседе руководителя с посетителем.

По окончании приема руководителем секретарь организует дальнейшие действия посетителя. Возможны два варианта:

- посетитель в сопровождении  сотрудника службы безопасности  направляется к выходу из здания;

- секретарь вызывает  в приемную специалиста предприятия,  к которому посетитель направлен  для решения важных для него  задач.

В подразделениях предприятия соблюдается в целом тот же порядок приема и работы с посетителями. Посетитель может быть допущен только к тем документам, работа с которыми ему разрешена директором предприятия. Все его перемещения по территории предприятия осуществляются в сопровождении сотрудника. Посетители, нарушившие правила работы с информационными ресурсами предприятия, замеченные в попытке несанкционированного получения ценных сведений у персонала, лишаются права дальнейшего пребывания на предприятии. При выходе с предприятия посетитель сдает пропуск.

Таким образом, разработка и использование эффективной  системы обеспечения информационной безопасности в процессе приема и  работы с посетителями является одной  из важных частей системы защиты информации и охраны материальных ценностей предприятия.

3.3. Организация защиты информации в кадровой службе

Работа отдела кадров предприятия связана с накоплением, формированием, обработкой, хранением  и использованием значительных объемов  сведений обо всех категориях сотрудников.

Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи не тождественна личной тайне по составу защищаемых сведений.

Под персональными данными понимается любая документированная информация, относящаяся к конкретному человеку, так называемая личная тайна. Личная тайна гражданина охраняется Конституцией Российской Федерации.

Субъектами  персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные.

Держатели персональных данных – органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными.

Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории  конфиденциальной информации. Не допускается  сбор, передача, уничтожение, хранение, использование и распространение  информации о частной жизни физического  лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.

Конфиденциальность и  сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны  – служебной или профессиональной тайне. Наиболее концентрированное  и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями.

C целью выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделяют две большие группы документации:

- документация по организации  работы отдела;

- документация, образующаяся  в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.