355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Игорь Чумарин » Тайна предприятия: что и как защищать » Текст книги (страница 8)
Тайна предприятия: что и как защищать
  • Текст добавлен: 8 октября 2016, 15:24

Текст книги "Тайна предприятия: что и как защищать"


Автор книги: Игорь Чумарин



сообщить о нарушении

Текущая страница: 8 (всего у книги 10 страниц)

ЗАЯВЛЕНИЕ СОТРУДНИКА О ПОДТВЕРЖДЕНИИ ОБЯЗАТЕЛЬСТВ НЕРАЗГЛАШЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРЕДПРИЯТИЯ ПРИ УВОЛЬНЕНИИ

Продолжением обязанностей сотрудника по неразглашению информации является документ, декларирующий подтверждение сотрудником данных обязательств при увольнении.

Вариант.

Подписание данного документа удостоверяет, что Сотрудник ____________________, увольняющийся из ____________________:

1. Подтверждает свои обязательства перед Предприятием в отношении конфиденциальной информации и служебных произведений, а также любые другие, которые он подписывал.

2. Никогда со времени своей работы на Предприятии он не нарушал этих обязательств. В частности. Сотрудник не использовал и не раскрывал какую-либо конфиденциальную информацию Предприятия, за исключением случаев выполнения своих обязанностей в интересах Предприятия.

3. Подтверждает, что он передал Предприятию всю информацию, которую он узнал или разработал за время работы на Предприятии.

4. Подтверждает, что он не участвовал в какой-либо деятельности, составляющей конкуренцию Предприятию или противоречащую его обязательствам как Сотрудника.

5. Обязуется, что в течение __ лет после прекращения работы на Предприятии он не будет конкурировать прямо или косвенно с Предприятием в любой области его деятельности, если в соответствии с обязанностями своей новой работы он должен или вынужден будет использовать или раскрывать конфиденциальную информацию Предприятия. Конкуренция включает в себя содействие в продаже или продажу товаров и оказание услуг, конкурирующих с товарами и услугами Предприятия.

6. Обязуется, что в течение __ лет после прекращения работы на Предприятии он не будет предлагать посреднические услуги или принимать предложения, прямо или косвенно относящиеся к продукции и услугам, конкурирующим с продукцией и услугами Предприятия, от любого из клиентов или партнеров Предприятия, с которыми он поддерживал контакты в течение года до своего увольнения, если информация об этом клиенте или партнере стала известна Сотруднику от Предприятия.

7. Подтверждает, что передал Предприятию все оборудование. материалы и прочие ценности, вверенные ему для работы в интересах Предприятия.

8. Подтверждает, что никаких претензий к Предприятию не

имеет.

Это заявление составлено в 2-х экземплярах, каждый из которых имеет равную юридическую силу.

Документ небесспорный с юридической точки зрения, так как после увольнения трудовые отношения, в рамках которых действуют обязательства сотрудника, прекращаются. Однако целесообразно предлагать увольняющимся такое заявление к подписанию, и по реакции бывшего сотрудника Вы можете оценить реальную значимость для конкретного человека данных им обещаний. В то же время, в случае нанесения ущерба предприятию разглашением конфиденциальных сведений уволенным, такое обязательство, скорее всего, будет принято судом как дополнительное доказательство его вины. Кроме того, об этом Вы сможете без зазрения совести сообщить его новому работодателю.

ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ОТНОШЕНИЯХ С КОНТРАГЕНТАМИ

Как неоднократно указывалось ранее, отношение контрагентов и партнеров к тайне предприятия необходимо устанавливать самому предприятию. Делается это путем внесения во все стандартные формы договорной документации разделов о конфиденциальности, например:

1. Каждая из сторон согласилась считать текст настоящего договора, а также весь объем информации, переданной и передаваемой сторонами друг другу в ходе исполнения обязательств, возникающих из настоящего договора, конфиденциальной информацией другой стороны.

2. Стороны принимают на себя обязательство никаким образом не разглашать (делать доступной любым третьим лицам, кроме случаев наличия у третьих лиц соответствующих полномочий в силу прямого указания федерального закона, либо случаев, когда другая сторона в письменной форме даст согласие на предоставление конфиденциальной информации, определяемой в соответствии с п. 1 настоящего договора, третьим лицам) конфиденциальную информацию другой стороны, к которой она получила доступ при заключении настоящего договора и в ходе исполнения обязательств, возникающих из него.

3. Настоящие обязательства исполняются сторонами в пределах срока действия договора и в течение одного года после прекращения действия договора, если не будет оговорено иное.

4. Каждая из сторон обязуется возместить другой стороне в полном объеме все убытки, причиненные последней разглашением ее конфиденциальной информации в нарушение п.п. 1-3 настоящего договора.

5. Клиент (поставщик и пр.) не вправе использовать свое положение как стороны по настоящему договору в целях и интересах третьих лиц.

6. Стороны обязуются незамедлительно предупредить другую сторону о возникновении неуправляемых факторов или процессов, могущих повлечь за собой нарушении конфиденциальности сторон.

Глава 8
ОРГАНИЗАЦИЯ КОНФИДЕНЦИАЛЬНОГО ДЕЛОПРОИЗВОДСТВА

При рассмотрении основного документа, регулирующего вопросы оборота конфиденциальной информации, мы указывали на необходимость организации специального (секретного) делопроизводства. Часть требований по такому делопроизводству вошла в Положение о конфиденциальной информации предприятия. Ниже приведено Положение об организации делопроизводства. Вообще, часто объединяют эти два документа. Все зависит от уровня предприятия, действительной коммерческой ценности ее информации и требований информационной безопасности.

ПОЛОЖЕНИЕ О КОНФИДЕНЦИАЛЬНОМ ДЕЛОПРОИЗВОДСТВЕ НА ПРЕДПРИЯТИИ

Вариант.

1. Настоящее Положение определяет порядок работы со сведениями, составляющими конфиденциальную информацию Предприятия, а также основные требования к обеспечению режима конфиденциальности.

Положение подготовлено в соответствии с законодательством РФ, другими нормативными актами, регулирующими отношения, связанные с защитой конфиденциальной информации. Изложенные в нем правила обязательны для всех сотрудников предприятия, выполняющих конфиденциальные работы.

Сотрудники, которым предстоит постоянная работа с конфиденциальными материалами, могут быть назначены на должности только после оформления допуска по соответствующей форме в установленном порядке. С ними заключается договор (контракт), в котором они принимают на себя обязательства по неразглашению доверенных им сведений.

За подбор лиц, допускаемых к конфиденциальным сведениям, организацию работы с конфиденциальной информацией в департаментах (отделах) отвечают их руководители. Секретное делопроизводство в подразделениях ведется его сотрудниками, уполномоченными специальным отделом.

Контроль за организацией конфиденциального делопроизводства, обеспечением режима конфиденциальности, сохранностью конфиденциальных документов осуществляет специальный отдел.

2. Лица, допущенные к конфиденциальным работам и документам, знакомятся только с теми документами и выполняют только те работы, к которым они имеют отношение по роду служебной деятельности.

Исполнители конфиденциальных работ и документов должны знать в части, их касающейся, правила учета, хранения, порядок пользования документами.

3. Лица, работающие с конфиденциальными материалами, обязаны:

а) строго хранить в тайне конфиденциальные сведения, ставшие им известными по работе; пресекать действия лиц, которые могут привести к их разглашению;

б) при составлении конфиденциальных документов ограничиваться минимальными, действительно необходимыми конфиденциальными сведениями; определять количество экземпляров в строгом соответствии со служебной необходимостью;

пользоваться только специальными рабочими тетрадями, учтенными в специальном отделе;

в) все полученные для исполнения конфиденциальные документы вносить во внутреннюю опись (форма №_); хра

нить только в рабочей папке, в личном сейфе (металлическом

шкафу), который по окончании работы опечатывать личной печатью.

Не допускать совместного хранения в рабочей папке конфиденциальных и неконфиденциальных документов;

г) при получении документа проверить, имеется ли на нем учетный номер, гриф конфиденциальности, пересчитать количество листов и экземпляров, сличить эти данные с записями в карточке или журнале. Только после этого расписаться (с указанием даты) за получение документа;

д) своевременно возвращать полученные конфиденциальные документы. На исполненном документе делать отметку:

«В дело». Все резолюции, указания и записи об исполнении,

как правило, пишутся на самих конфиденциальных документах.

На документы, предназначенные для массовой рассылки. исполнитель составляет расчет рассылки;

е) об утрате или недостаче конфиденциальных документов (отдельных листов), ключей от режимных помещений, сейфов, личных печатей немедленно сообщать в специальный отдел;

ж) при увольнении, уходе в отпуск, отъезде в командировку сдать или отчитаться перед ответственными должностными лицами за все числящиеся конфиденциальные документы

4. По требованию работников специального отдела все сотрудники обязаны предъявлять для проверки все числящиеся за ними и имеющиеся конфиденциальные документы. При проведении служебных проверок в случаях нарушений правил выполнения конфиденциальных работ, разглашения конфиденциальных сведений, утраты документов представлять письменные объяснения на имя руководства предприятия.

5. Запрещается использовать конфиденциальные сведения в неконфиденциальной служебной переписке; вести переговоры по конфиденциальным вопросам по незащищенным линиям связи; снимать копии с конфиденциальных документов без письменного разрешения специального отдела; выполнять

конфиденциальные работы на дому; печатать документы закрытого характера на незащищенном компьютере; перевозить конфиденциальные документы, материалы и дела в общественном транспорте.

6. При подготовке документа, содержащего конфиденциальные сведения, исполнитель должен правильно определить степень его конфиденциальности.

При определении степени конфиденциальности необходимо руководствоваться Перечнем документов предприятия, содержащих конфиденциальные сведения.

Степень конфиденциальности определяется исполнителем и лицом, подписывающим документ. Гриф конфиденциальности проставляется на первом (титульном) листе в правом верхнем углу.

Гриф конфиденциальности сопроводительного письма должен соответствовать наивысшей степени конфиденциальности сведений, содержащихся как в самом письме, так и в приложении к нему.

7. В делах, содержащих различные по степени конфиденциальности сведения, а также не конфиденциальные сведения, материал может быть сгруппирован в отдельные части (тома).

Все законченные производством дела должны быть правильно оформлены: листы дел сброшюрованы и пронумерованы, составлена внутренняя опись конфиденциальных документов, в конце дела (тома) сделана заверительная надпись. Каждый том дела должен содержать не более __ листов.

Изъятие из дела (тома) каких-либо подшитых документов и перемещение их из одного дела в другое разрешается в исключительных случаях и только с ведома специального отдела. Выданное для работы дело подлежит возврату в тот же день.

8. Совещания по конфиденциальным вопросам проводятся с разрешения начальника департамента (отдела).

Руководитель управления назначает лиц, ответственных за проведение совещания.

На совещание допускаются лица, которые имеют непосредственное отношение к обсуждаемым на них конфиденциальным вопросам и соответствующую форму допуска.

Звукозапись и видеозапись воспроизводятся при соблюдении правил, исключающих их прослушивание или просмотр посторонними лицами.

9. Доступ сотрудников администрации предприятия к конфиденциальным сведениям в подразделениях, куда они командируются по служебным делам, осуществляется после предъявления ими пропуска установленного образца (с отметкой о допуске) или справки о допуске и предписания на выполнение задания.

Указанная справка выдается специальным отделом командированному лицу под расписку на срок выполнения задания, но не более чем на год, после чего она возвращается в специальный отдел с отметкой об ознакомлении с конфиденциальными сведениями.

Предписание подписывается руководителем департамента, регистрируется, заверяется печатью специального отдела.

В нем кратко указывается основание командирования и сведения, с которыми необходимо ознакомиться. Предписание передается принимающему должностному лицу учреждения и хранится в его подразделении по защите тайны не менее 3 лет.

В пути следования нельзя иметь при себе конфиденциальные документы, они должны быть заранее отправлены по адресу учреждения, в которое направляется командированное лицо.

Глава 9
ПРАВОВЫЕ ОСОБЕННОСТИ ОБРАЩЕНИЯ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

Правовые основы оборота информации в компьютерном виде заложены в законе «Об информации…» (ст. 5):

Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Идентификатором электронной копии документа является отметка (колонтитул), проставляемая в левом нижнем углу каждой страницы документа и содержащая наименование файла на машинном носителе, дату и другие поисковые данные, устанавливаемые в организации (СМ. Сноску 67).

Мировая практика такова, что все больше информации получает свою «прописку» в электронном виде в компьютерах, локальных и глобальных сетях. Безусловно, такой огромный оборот информации включает в себя и информацию конфиденциальную. В настоящее время крайне остро стоят вопросы правового регулирования обмена электронной информацией.

Для активных пользователей глобальных компьютерных сетей типа Internet, обменивающихся в них конфиденциальной информацией, необходимо также знать о наличии ограничений на перемещение с территории РФ документированной информации при предоставлении доступа пользователям, находящиеся за пределами территории РФ, к информационным системам, сетям, находящихся на территории РФ (СМ. Сноску 68).

Кроме того, деятельность по информационному обмену по электронным сетям, при котором возможна передача документированной конфиденциальной информации, подлежит государственному лицензированию.

Отдельного рассмотрения заслуживают вопросы обеспечения конфиденциальности финансовой информации, обращающейся в автоматизированных системах бухгалтерского учета и документооборота (БЭСТ, 1C и пр.). Такие системы в обязательном порядке должны иметь максимум возможностей, как программных, так и аппаратных, для обеспечения реализации:

– разграничения доступа по группам пользователей;

– разграничения доступа по глубине использования;

– шифрования особо конфиденциальной информации;

– антивирусной защиты;

– локализации ошибок;

– контроля работоспособности программных средств и других процессов обеспечения целостности и функциональности системы.

Разработчики подобных систем должны предоставлять пользователям при инсталляции программного обеспечения все сведения по перечисленным параметрам, а также давать возможность изменения внутренних кодов. Службам безопасности предприятий было бы нелишним привлекать квалифицированных специалистов для поиска в инсталлированном программном обеспечении различного рода программных закладок.

В целях обеспечения целостности и достоверности наиболее важных конфиденциальных финансовых сведений (документов в электронной форме представления), передаваемых и получаемых по каналам связи, целесообразно применять государственные стандарты, принятые Госстандартом России в сфере информационных технологий (например, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94), а также использовать сертифицированные средства криптографической защиты, реализующие алгоритмы шифрования в соответствии с ГОСТ 28147-89 и алгоритмы электронной цифровой подписи в соответствии с указанными выше ГОСТами.

Популярным интеллектуальным преступлением– в последнее время становится проникновение во внутренние локальные сети предприятий через сеть Internet (которые в большинстве своем построены именно на основе этой сети, а не на системах типа Intranet и т. п.), в том числе с целью получения финансовой конфиденциальной информации, не говоря уже о вмешательстве в

расчетные системы.

Основными способами проникновения являются:

– разрушающие программы и программные закладки в свободно распространяемом программном обеспечении или почтовых отправлениях;

– использование ошибок спецификаций или реализации отдельных программных продуктов, в том числе в HTML-страницах, связанных с использованием языков программирования Java и описания сценариев JavaScript;

– удаленное зондирование рабочего места пользователя сети Internet с целью выявления возможных путей проникновения, круга интересов, характера работы и других характеристик, в том числе с использованием недокументированных свойств программного обеспечения. В связи с высоким риском внедрения предполагается, что вся информация, программные средства обработки, находящиеся на персональной ЭВМ, подключенной к сети Internet, могут быть скомпрометированы.

С целью предотвращения противоправных действий такого рода не лишними будут следующие минимальные рекомендации:

– персональная ЭВМ, с которой осуществляется взаимодействие с сетью Internet, должна быть выделенной, т. е. не подключенной ни к какой внутренней сети:

– персональная ЭВМ не должна содержать никакой служебной информации (в том числе открытой);

– персональная ЭВМ, подключенная к сети Internet, не должна содержать накопитель на гибких магнитных дисках;

– данное рабочее место должно быть оснащено антивирусными программами и средствами контроля целостности программного обеспечения.

В УК РФ впервые были введены санкции за преступления в компьютерной информационной сфере. Уголовное законодательство считает неправомерными действия с компьютерной информацией. Это становится ясно из диспозиции приведенных статей УК.

Статья 272:

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273:

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, – наказываются лишением свободы на срок от трех до семи лет.

Статья 274:

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их Сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.

ИНСТРУКЦИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕДПРИЯТИЯ.

Одним из основных локальных нормативных актов предприятия, регламентирующих оборот конфиденциальных сведений, является Инструкция по защите конфиденциальной информации

в информационной системе предприятия. Обратите внимание на то, что эта Инструкция не является элементом технической документации – это внутренний правовой акт, и относиться к нему необходимо именно с этой точки зрения. Технические и программные тонкости системы защиты описываются в иной документации.

Вариант.

1. Общие положения.

1.1. ЦЕЛИ

Целью данного документа является четкая регламентация эффективных мер защиты и надежного сохранения информации, являющейся конфиденциальной согласно Положению о конфиденциальной информации Предприятия и обращающейся в информационной системе (ИС). Мероприятия защиты проводятся для обеспечения физической и логической целостности, а также для предупреждения несанкционированного получения, распространения и модификации информации. Меры защиты подразумевают обязательное наличие ответственного за защиту информации в ИС лица, выработку и неукоснительное соблюдение организационных мер, а также

постоянный контроль со стороны службы безопасности (СБ).

1.2. ОПРЕДЕЛЕНИЯ

Ресурс – компонент ИС (аппаратные средства, программное обеспечение, данные), в отношении которого необходимо обеспечивать безопасность, т. е. конфиденциальность, целостность и доступность.

Конфиденциальность ресурса – свойство ресурса быть доступным только авторизованному субъекту ИС, и одновременно быть недоступным для неавторизованного субъекта или нарушителя.

Целостность ресурса – обеспечение его правильности и работоспособности в любой момент времени. I

Доступность ресурса – обеспечение беспрепятственного до– | ступа к нему авторизованного субъекта ИС. |

Субъекты ИС – пользователи, технический персонал, обеспечивающий работу системы, администрация ИС, администрация предприятия и контролирующие службы.

Авторизованный субъект – субъект ИС, пользовательские функции которого, а также права и обязанности по отношению к данного уровня ресурсам и информации определены его должностной инструкцией, либо другими административными

актами.

АРМ – автоматизированное рабочее место, персональное,

созданное на основе персональной электронной вычислительной машины.

2. Допуск к использованию ресурсов.

2.1. ОБЩИЕ ПОЛОЖЕНИЯ

Допуск к работе с конфиденциальными документами имеют сотрудники Предприятия, в том числе и находящиеся на испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением; 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации:

4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц, кем бы они не являлись, без письменного разрешения генерального директора.

Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию».

Под допуском подразумевается официальное присвоение

сотруднику Предприятия конкретного статуса, дающего ему возможность использовать ресурсы ИС и обмена данными на заданном четко категорированном уровне и в ограниченном должностными обязанностями (не превышающем его непосредственные задачи) объеме.

Обязанности по присвоению статуса возлагаются на руководителя подразделения или специально назначенного сотрудника. При этом он должен руководствоваться принципами разумного ограничения возможностей и разграничения доступа к различным информационным массивам. Он несет ответственность за регистрацию и предоставление (изменение) полномочий.

Все пользователи подлежат учету по категориям установленного допуска и другим системным параметрам.

3. Доступ к использованию ресурсов. Регистрация пользователей

Доступ к использованию ресурсов имеют сотрудники, получившие допуск определенного уровня, соответствующий, как правило, занимаемой должности, с соблюдением всей процедуры оформления допуска, и зарегистрированные у системного администратора (ответственного должностного лица).

3.1. СПЕЦИАЛЬНЫЕ ВОПРОСЫ ДОСТУПА К ИСПОЛЬЗОВАНИЮ РЕСУРСОВ.

3.1.1. Определение расширенного доступа, т. е. привилегий системного администратора.

Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ.

3.1.2. Доступ к работе с авторским (лицензионным) программным обеспечением (ПО).

При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным

ПО. Однозначно (по умолчанию) запрещается их копирование.

3.1.3. Доступ к исследованию сетевых служб.

Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.).

4. Хранение носителей конфиденциальной информации в ИС.

За организацию хранения и сохранность конфиденциальной информации Предприятия отвечает его руководитель. Общий процесс хранения регламентирован в Положении о конфиденциальной информации.

Магнитные носители конфиденциальной информации хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс), исключающем несанкционированный доступ и пользование ими.

Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.

В подразделении должен быть один комплект ключей от сейфов – у руководителя подразделения (ответственного сотрудника Предприятия). Остальные комплекты должны храниться в сейфе начальника СБ в опечатанном пенале. Порядок опечатывания и сдачи под охрану сейфов определяется документами по внутриобъектовому режиму.

Магнитные носители в архиве хранятся в запечатанных конвертах с соответствующими пояснительными надписями, включая также книгу регистрации входящих и исходящих документов. На каждый пакет конвертов должен быть перечень находящихся в них документов с указанием учетных данных.

Строго запрещается хранение магнитных носителей конфиденциальной информации вне специально оборудованных мест. Лицо, нарушившее порядок хранения носителей, несет за это ответственность.

5. Защита ресурсов ИС.

5.1. ФИЗИЧЕСКАЯ ЗАЩИТА РЕСУРСОВ.

В целях обеспечения надежной охраны материальных ценностей вычислительных средств, сетей и данных конфиденциального характера, своевременного предупреждения и пресечения попыток несанкционированного доступа к ним устанавливается определенный режим деятельности, соблюдение которого обязательно для всех сотрудников, посетителей и клиентов. Порядок его регламентации устанавливается во внутренних документах по пропускному и внутриобъектовому режиму.

При этом: запрещен несанкционированный внос-вынос дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках; запрещено кому бы то ни было, кроме специально уполномоченных сотрудников, перемещать компьютерную технику и комплектующие без соответствующих сопроводительных документов (служебных записок или накладных), согласованных с ____________________ (кем).

5.2. АППАРАТНАЯ ЗАЩИТА РЕСУРСОВ.

Аппаратная защита ресурсов проводится исходя из потребностей Предприятия в реальном сохранении своих секретов по назначению руководства и может включать в себя:

– обеспечение реакции на попытку несанкционированного доступа, например, сигнализации, блокировки аппаратуры;

– использование источников бесперебойного или автономного питания;

– строгую нумерацию сообщений в автоматизированной системе обработки данных;

– поддержание единого времени;

– установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;

– изъятие с АРМов необязательных дисководов гибких магнитных дисков (ГМД);

– изъятие с АРМов необязательных факсимильных и модемных плат;

– проведение периодических «чисток» АРМов и общих системных директорий на файл– серверах и серверах ИС.

5.3. ПРОГРАММНАЯ ЗАЩИТА РЕСУРСОВ.

Программная защита ресурсов также проводится исходя из потребностей Предприятия в реальном сохранении своих секретов по назначению руководства и может включать в себя:

– установку входных паролей на клавиатуру ПК;

– установку сетевых имен-регистраторов и паролей для доступа к работе в ИС;

– шифрование особо важной конфиденциальной информации;

– обеспечение восстановления информации после несанкционированного доступа;

– обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;

– контроль целостности программных средств обработки информации;

– проведение периодической замены (возможно принудительной) всех паролей и регистрационных имен;


    Ваша оценка произведения:

Популярные книги за неделю