Организация работы с конфиденциальной информацией на примере конкретной организации

8.  Выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;

9.  Систематических (периодических и разовых) проверок наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;

10.  Коллегиальности процедуры уничтожения документов, дел и баз данных;

11.  Письменного санкционирования полномочным руководителем процедур копирования и тиражирования бумажных и электронных конфиденциальных документов, контроль технологии выполнения этих процедур. Технологическая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.

Технологические системы обработки и хранения конфиденциальных документов могут быть традиционными, автоматизированными и смешанными. Традиционная (делопроизводственная) система основывается на ручных методах работы человека с документами и является наиболее универсальной. Она надежно, долговременно обеспечивает защиту документированной информации, как в обычных, так и экстремальных ситуациях. В связи с этим стадии защищенного документооборота в большинстве случаев технологически реализуются методами и средствами именно традиционной системы обработки и хранения конфиденциальных документов, а не автоматизированной. Система одинаково эффективно оперирует как традиционными (бумажными), так и документами машиночитаемыми, факсимильными и электронными.

Традиционная технологическая система обработки и хранения конфиденциальных документов лежит в основе широко известного понятия "делопроизводство" или "документационное обеспечение управления" (в его узком, но часто встречающемся в научной литературе понимании как синонима делопроизводства). С другой стороны, делопроизводство часто рассматривается в качестве организационно-правового и технологического инструмента построения ДОУ. Автоматизированная технология (как и традиционная, делопроизводственная) является обеспечивающей и обслуживает конкретные потребности персонала в конфиденциальной информации. Автоматизированная система, обслуживающая работу с конфиденциальными документами, должна в принципе обеспечивать:

1.  Сокращение значительного объема рутинной работы с документами и числа технических операций, выполняемых ручными методами;

2.  Реализацию возможности для персонала организации (фирмы) работать с электронными документами в режиме безбумажного документооборота;

3.  Достаточную гарантию сохранности и целостности информации, регулярного контроля и противодействия попыткам несанкционированного входа в банк данных;

4.  Аналитическую работу по определению степени защищенности информации и поиску возможных каналов ее утраты;

5.  Единство технологического процесса с режимными требованиями к защите информации (допуск, доступ, регламентация коллегиальности выполнения некоторых процедур, операций и т.п.);

6.  Персональную ответственность за сохранность конфиденциальных сведений в машинных массивах и на магнитных носителях вне ЭВМ;

7.  Возможность постоянного учета местонахождения традиционного или электронного документа и проверки его наличия и целостности в любое время;

8.  Предотвращение перехвата информации из ЭВМ по техническим каналам, наличие надежной охраны помещений, в которых находится вычислительная техника, охрана компьютеров и линий компьютерной связи;

9.  Исключение технологической связи единичного компьютера или локальной сети, предназначенных для обработки конфиденциальных документов с сетями, обеспечивающими работу с открытой информацией, исключение использования их линий связи, выходящих за пределы охраняемой зоны (здания, территории).

В соответствии с этим автоматизированная технологическая система обработки и хранения по сравнению с аналогичными системами, оперирующими общедоступной информацией имеет ряд серьезных принципиальных особенностей:

1.  Архитектурно локальная сеть базируется на главном компьютере (сервере) находящемся у ответственного за КИ; автоматизированные рабочие места, рабочие станции сотрудников могу быть увязаны в локальную сеть только по вертикали;

2.  В некрупных фирмах конфиденциальная информация обрабатывается секретарем-референтом на единичном защищенном компьютере, не имеющем выхода в какую-либо локальную сеть;

3.  Обязательное наличие иерархической и утвержденной первым руководителем организации (фирмы) системы разграничения доступа к информации, хранящейся как в машинных массивах, так и на магнитных носителях вне ЭВМ; охват системой разграничения доступа всех категорий персонала;

4.  Закрепление за каждым пользователем строго определенного состава массивов электронной информации и магнитных носителей; исключение возможности для пользователя "покопаться" в базе данных системы;

5.  Автоматизированное выполнение пользователями операций справочного и поискового обслуживания, составления и иногда изготовления документов, контроля исполнения документов, работы с электронными документами, факсами и электронными аналогами бумажных документов;

6.  Сохранение информационной базы учетной функции (в правовом понимании, а также как элемента формирования страхового массива информации) и функции персональной ответственности за традиционной технологической системой с использованием учетных карточек и иных форм (описей), изготовляемых не вручную, а автоматически - на принтере ПЭВМ; автоматическая допечатка в указанные формы изменений и дополнений при движении документов;

7.  Обязательный учет конфиденциальных электронных документов, находящихся на всех магнитных носителях и в машинных массивах, постоянная проверка реального наличия этих документов на носителях и в массивах, их целостности, комплектности и отсутствия несанкционированных копий;

8.  Необходимость исключения технической возможности копирования информации, содержащейся в компьютере (рабочей станции) пользователя, на другие магнитные носители и работы компьютера в комплекте с принтером (изъятие из ЭВМ дисководов и т.п.);

9.  Жесткое соблюдение персоналом правил работы с конфиденциальной электронной информацией, в частности, правила, что все операции с информацией в компьютере должны быть письменно санкционированы полномочным должностным лицом и протоколироваться в машинном журнале; протоколы подлежат регулярному контролю и анализу руководством организации (фирмы);

10.  Изъятие конфиденциальной информации из базы данных компьютера (рабочей станции) по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах в работе и т.п.) и перенос информации на дискеты, подлежащие сдаче в службу конфиденциальной документации.

Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов разрешается только при наличии сертифицированной системы защиты компьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы данных, компьютеров и линий связи. Помещения, в которых конфиденциальная информация обрабатывается на ПК, должны иметь защиту от технических средств, промышленного шпионажа, надежную круглосуточную охрану и пропускной режим. Кроме того, следует учитывать, что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержащих конфиденциальные сведения: традиционный бумажный документ, разнообразные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и визуальная информация на экране дисплея. Недостатком обработки информации на ПК, является также необходимость постоянного дублирования информации на нескольких носителях, с целью исключения опасности ее утраты или искажения по техническими причинам. Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копирования и подмены. Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

Таким образом, в настоящее время наиболее широко используют смешанную технологическую систему обработки и хранения конфиденциальных документов, совмещающую традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изготовления документов и учетных форм, контроль исполнения, сервисные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатываемых сведений о документах и самих документов автоматизированные системы делопроизводственной ориентации имеют в большинстве случаев информационно-справочный характер.

Недостаток смешанной технологии состоит в неполном использовании преимуществ и функциональных возможностей компьютерной технологии, что порождает сохранение рутинных делопроизводственных операций и не совершенствует документооборот.

Операции по обработке и хранению конфиденциальных документов организации (фирмы) должны базироваться на устоявшихся основополагающих принципах, предполагающих использование специализированных методов защиты документопотоков и применения автономной эффективной технологической системы обработки и хранения документов. Только в этом случае можно в определенной степени гарантировать сохранность носителя и самой конфиденциальной информации, обеспечить безопасность интеллектуальной собственности организации (фирмы).

Глава 3 Анализ системы защиты конфиденциальной информации в ОАО СК «РОСНО».

3.1. Характеристика производственно-хозяйственной деятельности филиала страховой компании «РОСНО» - Альянс РОСНО жизнь.

Группа компаний РОСНО является одной из крупнейших страховых групп в России. В нее входят универсальная страховая компания федерального уровня ОАО СК «РОСНО» и ее дочерние компании: ОАО «РОСНО-МС», ОАО ПК «РОСНО Центр», СЗАО «Медэкспресс», ОАО «Альянс РОСНО Управление Активами» и ОАО Альянс РОСНО жизнь. Контрольным пакетом акций РОСНО владеет Allianz New Europe Holding GMBH (99,4%), подразделение ведущего международного страховщика Allianz SE, объединяющее компании в Центральной и Восточной Европе. Главным принципом деятельности Группы компаний РОСНО является забота о клиентах. Страховые полисы и договоры ГК РОСНО имеют более 17 млн. человек и свыше 50 тыс. предприятий и организаций. Открытое акционерное общество «Российское страховое народное общество - РОСНО» создано в 1991 г. В распоряжении ее клиентов более 130 видов добровольного и обязательного страхования. Региональная сеть РОСНО насчитывает 88 филиалов, объединенных по территориальному признаку в 8 дирекций, и 383 агентства во всех субъектах РФ. РОСНО является одним из лидеров российского страхового рынка по объему капитализации. Капитал компании на 100% состоит из собственного акционерного капитала, что обеспечивает дополнительную финансовую надежность и устойчивость. Уставный капитал — 5 124 802 320 руб. (изменение к Уставу зарегистрировано 29.01.2014 г.). Собственные средства — 7 456 767 тыс. руб., страховые резервы — 24 429 307 тыс. руб. (по состоянию на 31.12.2013). Деятельность страховой компании «РОСНО» регулируется: главой 48 «Страхование» Гражданского кодекса РФ; законом РФ «Об организации страхового дела в Российской Федерации».

В Самаре страховая компания Альянс РОСНО жизнь создана в 2003 году, и в сентябре 2004 года объявила о старте продаж. Основными направлениями деятельности Альянс РОСНО жизнь являются долгосрочное страхование жизни и пенсионное страхование. В распоряжении клиентов компании около 50 видов страховых продуктов. Уставный капитал составляет 240 000 тыс. руб., страховые резервы — 9 411 150 тыс. руб. (по состоянию на 31.12.2013). Компания находится по адресу г. Самара, ул. Куйбышева, 76.

Кадровый состав филиала включает в себя 7 штатных сотрудников и 38 внештатных (страховые агенты). Основную массу работающих составляют страховые агенты - 38 человек, 3 сотрудника – менеджеры, 2- профессионала и 2 – продавца (сотрудники, взаимодействующие с клиентами и партнерами).

Страховая компания Allianz Жизнь предоставляет в г. Самара более 130 видов страхования. Например, такие как: автострахование, страхование имущества, добровольное медицинское страхование, ипотечное страхование, страхование от несчастных случаев, страхование путешественников, страхование животных, страхование ответственности и другие. Филиал развивается достаточно динамично, о чем свидетельствует рост таких показателей, как: численность внештатных сотрудников (страховых агентов); общий объем страховых премий отчетного года по сравнению с предыдущим увеличился на 54,5 %, а с базисным – почти в 2 раза. В связи с всемирным финансовым кризисом, начавшийся в 2008 г., прибыль филиала снизилась, так как значительно снизилось количество заключенных договоров страхования. Также финансовый кризис отразился на численности штатных сотрудников филиала – произошло сокращение.  В 2009 г. объем страховых выплат резко увеличился из-за наступления страхового случая по страхованию сельского хозяйства. Необходимо отметить, что ранее до 2009 г. страхование сельского хозяйства в России было слабо развито. В целом на сегодняшний день филиал является достаточно устойчивой организацией, которая использует различные методы для повышения показателей результатов своей деятельности.

3.2. Анализ методов и способов защиты конфиденциальной информации в страховой компании Альянс РОСНО жизнь.

  Защита конфиденциальной информации в страховой компании «РОСНО» осуществляется в соответствии с Приказом Генерального директора ОАО СК  «РОСНО» от 26 ноября 2007 г. № 270 «Об утверждении и введении в действие новой редакции Кодекса корпоративного управления ОАО СК «РОСНО»». В целях совершенствования нормативно-правовой базы компании был утвержден и введен в действие  Кодекс корпоративного управления ОАО СК «РОСНО». Кодекс является локальным нормативным актом в соответствии со ст. 5 ТК РФ. Кодекс регулирует трудовые и непосредственно связанные с ними отношения в сфере корпоративного управления,  возникающие между работодателем и работниками в связи с исполнением работниками трудовой функции. Глава 25 «Защита коммерческой тайны» Кодекса корпоративного управления ОАО СК «РОСНО» предусматривает способы защиты коммерческой тайны ОАО СК «РОСНО» с целью предотвращения нанесения возможного экономического и морального ущерба со стороны юридических и физических лиц, вызванного их неправомерными или неосторожными действиями путем присвоения или разглашения коммерческой тайны. Положения главы устанавливают единый порядок обращения со сведениями, являющимися коммерческой тайной и содержащими конфиденциальную информацию. К коммерческой тайне в РОСНО относятся все виды сведений, а также информация, имеющая потенциальную коммерческую ценность в силу отсутствия свободного доступа к источникам информации на законных основаниях третьих лиц. Коммерческая тайна компании является ее собственностью. Если она представляет собой результат совместной деятельности с другими организациями, основанной на договорных началах и соответствующим образом отражена в письменной форме, то коммерческая тайна может являться собственностью двух сторон. Под разглашением коммерческой тайны подразумевается действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. Информация, составляющая коммерческую тайну, становится документированной, если она зафиксирована на бумажных или других технических носителях информации (фото- ,кино-, видео- и аудио-пленки, электронные носители информации и т.п.) и подлежит специальному учету. На материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, наносится гриф «Коммерческая тайна» c указанием полного наименования обладателя и его место нахождения. Руководитель филиала несет персональную ответственность за обеспечение сохранности сведений, содержащихся в документах с грифом «Коммерческая тайна» в подчиненных подразделениях. В соответствии с главой 25 «Защита коммерческой тайны» Кодекса корпоративного управления ОАО СК «РОСНО» я выделил следующие основные аспекты, используемые в филиале страховой компанией Альянс РОСНО жизнь, по защите конфиденциальной информации:  сведения, составляющие коммерческую тайну ОАО «РОСНО»;  защита сведений, являющихся конфиденциальной информацией ОАО «РОСНО», обрабатываемой на средствах вычислительной техники;  порядок обеспечения сохранности документов, дел и электронных носителей информации, являющихся коммерческой тайной;  порядок проведения закрытых совещаний и переговоров в филиале Альянс РОСНО жизнь;  ответственность за разглашение конфиденциальной информации. Рассмотрим их подробнее.