• посетителях организации, работниках коммунальных служб, почтовых служащих, работниках служб экстремальной помощи и т.д.;
. посторонних лицах, работающих или проживающих рядом со зданием или помещениями организации, уличных прохожих;
• родственниках, знакомых и друзьях указанных выше лиц.
Все перечисленные сведения представляют несомненный интерес для злоумышленника, поскольку на их основе происходит поиск и формирование каналов НСД к защищаемой документированной информации организации.
От персонала защищаемая документированная информация может легко попасть к злоумышленнику вследствие следующих причин, способствующих возникновению каналов НСД:
• слабое знание персоналом требований и правил защиты информации;
• невыполнение работником правил защиты информации;
• использование экстремальных ситуаций в помещениях фирмы и происшествий с персоналом: пожара (или инсценирования пожара), нападения, плохого самочувствия сотрудника в транспорте, отключения электропитания в помещениях фирмы, организации паники и т.п.;
|
|
• ошибочные или безответственные действия персонала.
Ошибочные и безответственные действия персонала обычно
подразделяются на две группы:
1) неспровоцированные злоумышленником — взятие конфиденциальных документов на дом; оставление без надзора документа или работающего компьютера; выбрасывание в мусорную корзину черновиков и копий конфиденциальных документов; использование конфиденциальной информации в открытых публикациях; ошибочная выдача конфиденциального документа сотруднику, не имеющему к нему доступа, и т. п.
2) спровоцированные злоумышленником — предоставление конфиденциальной информации путем проведения ложных социологических и других опросов; прохождение сотрудником ложного анкетирования; обман сотрудника, выдающего документы; допуск в режимное помещение постороннего лица (злоумышленника или его сообщника); пропуск на территорию организации неустановленных лиц; общение со злоумышленником, выдающим себя за представителя другой организации.
Результативность обмана зависит от подготовки, интуиции и сообразительности работников фирмы, которых провоцируют на ошибочные действия, их умения оценивать ситуацию, поведение человека, быстро анализировать полученные от него документы. Работники должны быть обучены и готовы к противодействию подобным действиям злоумышленника или его сообщников, посторонних лиц.
Хорошие деловые отношения обычно складываются у злоумышленника с работниками, которые обижены на руководство фирмы или структурного подразделения, незаслуженно забыты при выдвижении на должность или повышении оклада, не получили материального или морального поощрения за успехи в работе, испортили отношения с коллективом или неформальным лидером коллектива.
|
|
Неустойчивый и сложный психологический климат в коллективе фирмы является надежной основой для успешной работы даже не очень опытного злоумышленника и его помощников.
Личные и бытовые затруднения работников, на которые не обращает внимание руководство организации, также являются хорошей почвой для работы с ним злоумышленника, например временные материальные затруднения, жилищные проблемы, тяжелые заболевания близких людей, трудности с детьми, шантаж криминальных элементов и т. п.
Чаще всего злоумышленник выявляет работников, обладающих человеческими слабостями, которые можно развивать и использовать с пользой для его дела, например болтливость сотрудников, легкомыслие, стремление к развлечениям и участию в сомнительных мероприятиях, любовь к подаркам и незаработанным деньгам, другие качества, которые формируют безответственность, создают фактическую основу для шантажа и угроз и, естественно, ведут к разглашению тайны фирмы.
Во всех случаях злоумышленник с успехом использует лесть, обещания, сочувствие, подарки, установление дружеских и близких отношений, одалживание денег и т. п. Он играет также на естественном стремлении работника показаться более компетентным, осведомленным и значимым в делах фирмы, особенно если этот работник находится в состоянии алкогольного и (или) наркотического опьянения.
Но наиболее частой причиной разглашения конфиденциальных сведений организации является низкий культурный и образовательный уровень работника, банальная человеческая глупость или неумение работника оценивать ситуацию, незнание методов эффективного противодействия злоумышленнику, т. е. плохой подбор персонала.
В результате незнания или игнорирования правил защиты конфиденциальная информация несанкционированно разглашается на общедоступных научных семинарах, выставках, официальных и неофициальных встречах и презентациях, особенно коллегам по профессии и журналистам. Очень опасны лица, уволенные из фирмы и владеющие конфиденциальными сведениями.
Возможные преднамеренные действия сотрудников организации также можно подразделить на две группы:
1) осознанное сотрудничество работника организации со злоумышленником;
2) использование работника фирмы для неосознанного сотрудничества.
К примерам сотрудничества первой группы преднамеренных действий можно отнести:
• инициативное сотрудничество работника в целях мести руководству или коллективу фирмы или в результате подкупа, регулярной оплаты постоянных услуг, по причине психической неуравновешенности и т. п.;
• формирование сообщества — злоумышленника и его сообщника, помощника, работающего на основе убеждения в справедливости взглядов злоумышленника, дружеских и иных отношений, взаимопомощи и т.п.;
• личное убеждение работника в противоправных действиях или аморальном поведении руководства организации;
• склонение (принуждение, побуждение) к сотрудничеству путем обманных действий, изменение взглядов или моральных принципов путем убеждения, вымогательства, шантажа, использования отрицательных черт характера: лживости, меркантильности, амбициозности — иногда путем физического насилия.
Вторая группа преднамеренных действий сотрудников является наиболее частой, трудно выявляемой и поэтому весьма опасной. К примерам неосознанного сотрудничества можно отнести:
• переманивание ценных и осведомленных специалистов обещанием лучшего материального вознаграждения, лучшими условиями труда и иными преимуществами («кража мозгов»);
|
|
• ложная инициатива в приеме работника на высокооплачиваемую работу в конкурирующую организацию, выведывание в процессе собеседования необходимых конфиденциальных сведений и затем отказ в приеме;
• выведывание ценной информации у работника с помощью подготовленной системы (схемы) вопросов на научных конференциях, встречах с прессой, на выставках, в личных беседах в служебной и неслужебной обстановке;
• подслушивание и записывание на диктофон разговоров работников фирмы в служебных и неслужебных помещениях, в процессе переговоров и во время приема посетителей, в транспорте, на банкетах, в домашней обстановке, при общении с друзьями и знакомыми;
• прослушивание служебных и личных телефонных разговоров работников; перехват телексов, телеграмм, факсов, сообщений по электронной почте, ознакомление со служебной и личной корреспонденцией руководства фирмы, работников (иногда при содействии секретаря);
• получение злоумышленником от работника нужной информации, когда сотрудник находится в состоянии алкогольного и (или) наркотического опьянения, психотропных препаратов, внушения, гипноза, приведения злоумышленником работника в бессознательное состояние, не позволяющее адекватно оценивать свои действия.
Таким образом, подсистема обеспечения конфиденциальности документов и документированной информации в организации должна прежде всего основываться на тщательном отборе персонала организации, анализе его личных и моральных качеств, обучении сотрудников правилам защиты информации и противодей-
ствия злоумышленникам, создании в организации здорового психологического климата.
Контрольные вопросы
1. Охарактеризуйте существующие подходы к совершенствованию до-кументационного обеспечения управления на основе современных информационных технологий.
2. Назовите основные права и обязанности обладателя информации.
3. С какой целью федеральными законами устанавливается ограничение доступа к информации?
|
|
4. Перечислите основные категории сведений, к которым федеральными законами устанавливается ограничение в доступе к информации.
5. Что понимается под качеством информации?
6. Чем обеспечивается внешнее качество информации в системе управления?
7. Назовите и охарактеризуйте основные показатели защищенности информации, циркулирующей в системе управления.
8. В чем заключается обеспечение конфиденциальности информации?
9. В чем заключается обеспечение достоверности информации?
10. В чем заключается обеспечение сохранности информации?
11. Какие задачи выполняет подсистема обеспечения конфиденциальности информации в системе управления?
12. Какие органы выполняют функции защиты документированной информации в системе управления в части обеспечения сохранности, достоверности и конфиденциальности информации?
13. Охарактеризуйте основные источники информации и методы получения от них информации.
14. Дайте классификацию основных угроз документированной информации.
15. Назовите основные организационные каналы НСД к документированной информации и дайте их краткую характеристику.
16. Назовите основные технические каналы НСД к документированной информации и дайте их краткую характеристику.
17. Охарактеризуйте основные виды несанкционированных воздействий на документированную информацию.
18. Назовите, при каких условиях может возникнуть ущерб обладателю конфиденциальной информации.
19. Назовите основные недостатки в работе организации, которые способствуют возникновению предпосылок для возникновения ущерба обладателю конфиденциальной документированной информации.
Глава 4 СПОСОБЫ И СРЕДСТВА ДОКУМЕНТИРОВАНИЯ
4.1. Задачи защиты информации при ее документировании
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на решение следующих задач [63]:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализация права на доступ к информации.
Государственное регулирование отношений в сфере защиты
информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
4.1.1. Требования основных нормативно-правовых
документов по защите информации при
ее документировании
Требования о защите общедоступной информации могут устанавливаться только в целях решения первой и третьей из указанных в подразд. 4.1 задач.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• своевременное обнаружение фактов несанкционированного доступа к информации;
• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4 Бардаеп
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• постоянный контроль за обеспечением уровня защищенности информации.
Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Законодательством Российской Федерации или соглашением сторон могут быть установлены требования к документированию информации.
Так, в [64] определен порядок учета и обработки документов с пометкой «Для служебного пользования».
Многие аспекты защиты документированной информации имеют отношение не только к сотрудникам подразделений конфиденциального делопроизводства, но и к исполнителям и пользователям конфиденциальных документов, так как решаются ими непосредственно на своих рабочих местах.
В федеральных органах исполнительной власти документирование информации осуществляется в порядке, устанавливаемом правительством Российской Федерации. Типовая инструкция по делопроизводству в федеральных органах исполнительной власти разработана в соответствии с Постановлением Правительства Российской Федерации от 19.01.2005 № 30 «О Типовом регламенте взаимодействия федеральных органов исполнительной власти», а также на основе федеральных законов, актов президента Российской Федерации и правительства Российской Федерации и введена в действие приказом Министерства культуры и массовых коммуникаций РФ от 08.11.2005 № 536 «О типовой инструкции по делопроизводству в федеральных органах исполнительной власти».
Типовая инструкция по делопроизводству в федеральных органах исполнительной власти устанавливает общие требования к функционированию служб документационного обеспечения уп-
равления, документированию управленческой деятельности и организации работы с документами в федеральных органах исполнительной власти — министерствах, службах, агентствах.
Организация, ведение и совершенствование системы докумен-тационного обеспечения управления на основе единой технической политики и применения современных технических средств в работе с документами (в том числе при документировании информации), методическое руководство и контроль за соблюдением установленного порядка работы с документами в подразделениях федерального органа исполнительной власти осуществляются структурным подразделением, на которое возложены функции по документационному обеспечению управления (служба ДОУ) федерального органа исполнительной власти.
Федеральные органы исполнительной власти организуют и ведут делопроизводство на основе Типового регламента внутренней организации федеральных органов исполнительной власти, утвержденного Постановлением Правительства Российской Федерации от 28.07.2005 № 452 (Собрание законодательства Российской Федерации, 2005, № 31, ст. 3233), индивидуальных инструкций по делопроизводству, регламентов федеральных органов исполнительной власти, других нормативно-методических документов и настоящей Типовой инструкции.
Индивидуальные инструкции по делопроизводству утверждаются руководителями федеральных органов исполнительной власти после согласования с Федеральным архивным агентством.
Положения Типовой инструкции распространяются на организацию работы с документами независимо от вида носителя, включая их подготовку, регистрацию, учет и контроль исполнения, осуществляемые с помощью автоматизированных (компьютерных) технологий.
Автоматизированные технологии обработки документной информации, применяемые в федеральном органе исполнительной власти, должны отвечать требованиям инструкции по делопроизводству этого органа.
Правила делопроизводства и документооборота, установленные иными государственными органами, органами местного самоуправления в пределах их компетенции, должны соответствовать требованиям, установленным Правительством Российской Федерации в части делопроизводства и документооборота для федеральных органов исполнительной власти.
По уровню доступности документы подразделяются на две категории: общедоступные и с ограниченным доступом. Общедоступными являются открытые документы. К документам с ограниченным доступом относятся документы, работа с которыми может производиться по специальному разрешению уполномоченных на то лиц.
4.1.2. Органы, решающие задачи защиты информации при ее документировании
Документирование открытой информации и организация работы с открытыми документами входят в сферу действия открытого делопроизводства. Документы с ограниченным доступом относятся к сфере деятельности не одного, а нескольких типов делопроизводства, в зависимости от того, к какому виду тайны относится содержащаяся в документе информация. Нормативными документами установлены шесть видов тайн: государственная, коммерческая, служебная, личная, семейная и профессиональная (см. табл. 3.1).
Документы, содержащие государственную тайну, относятся к сфере секретного делопроизводства. Документы, содержащие личную и различные подвиды профессиональной тайны, являются предметом соответствующих типов специального делопроизводства. Конфиденциальное делопроизводство распространяется на документы, содержащие коммерческую [61] и служебную тайну [64]. При этом к документам, составляющим служебную тайну, отнесены только документы с грифом «Для служебного пользования», так как документы, содержащие коммерческую тайну других субъектов, должны обрабатываться и защищаться в режиме коммерческой тайны [61]. Объединение конфиденциальных документов, содержащих коммерческую и служебную тайну одним делопроизводством, обусловлено тем, что эти документы почти полностью идентичны по технологическим процедурам составления, обработки, обращения, хранения и защиты.
Конфиденциальное делопроизводство — это деятельность, обеспечивающая документирование конфиденциальной информации, организацию работы с конфиденциальными документами и защиту содержащейся в них информации [2]. При этом под документированием информации понимается процесс подготовки и изготовления документов; под организацией работы с документами — их учет, размножение, прохождение, исполнение, отправление, классификация, систематизация, подготовка для архивного хранения, уничтожение, режим хранения и обращения, проверки наличия.
В [64] гриф «Для служебного пользования» называется «пометкой», однако это представляется неправомерным, так как применительно к другим видам тайны нормативно установлен термин «гриф» и нет необходимости заменять его на «пометку».
Конфиденциальное делопроизводство в целом базируется на тех же принципах, что и открытое делопроизводство, но в то же время имеет отличия, обусловленные конфиденциальностью документированной информации. Эти отличия касаются сферы кон-
фиденциального делопроизводства и охватываемых им видов работ с документами.
По сфере деятельности открытое делопроизводство распространяется на управленческие действия и включает в себя в основном управленческие документы. Конфиденциальное делопроизводство в силу условий работы с конфиденциальными документами распространяется как на управленческую, так и на различные виды производственной деятельности, включает в себя не только управленческие, но и научно-технические документы (научно-исследовательские, проектные, конструкторские, технологические и т.д.).
Кроме того, конфиденциальное делопроизводство в отличие от открытого распространяется не только на официальные документы, но и на их проекты, различные рабочие записи, не имеющие всех необходимых реквизитов, но содержащие информацию, подлежащую защите. По видам работ конфиденциальное делопроизводство отличается от открытого, с одной стороны, большим их количеством, с другой стороны — содержанием и технологией выполнения многих видов. Помимо этого третья составляющая конфиденциального делопроизводства — защита содержащейся в конфиденциальных документах информации — вообще не предусмотрена в определении открытого делопроизводства, хотя определяемая обладателем (собственником) часть открытой информации должна защищаться от утраты.
Защита конфиденциальной документированной информации от утраты и утечки осуществляется в определенной мере в рамках и первой, и второй составляющих конфиденциального делопроизводства, так как она переплетена с ними: документирование конфиденциальной информации и организация работы с конфиденциальными документами должны производиться в условиях обеспечения их защиты, вместе с тем многие вопросы защиты решаются в ходе и путем осуществления операций по учету и обработке документов. Однако защитные мероприятия охватывают не только сами документы, но и другие объекты, так или иначе связанные с защищаемыми документами (помещения, технические средства обработки и передачи информации и т.д.). Поэтому в определении конфиденциального делопроизводства защита документированной информации выделена в самостоятельную составляющую. Конфиденциальное делопроизводство шире открытого и по своим задачам. Если задачей открытого делопроизводства является документационное обеспечение управленческой деятельности, то конфиденциальное делопроизводство должно осуществлять решение двух задач [2]:
1) документационное обеспечение всех видов конфиденциальной деятельности;
2) защиту документированной информации, образующейся в процессе конфиденциальной деятельности.
Первая задача имеет своей целью организацию и бесперебойное функционирование конфиденциальной деятельности в сфере любого вида производства и управления. Это требует от делопроизводства обеспечения нужд конфиденциальной деятельности полной, своевременной и достоверной документной информацией, организации исполнения и использования документов.
Полноту (релевантность) документной информации характеризует ее объем, который, с одной стороны, должен быть достаточным для принятия управленческих решений и выполнения производственных заданий, с другой стороны, являться действительно необходимым, не содержащим избыточной, не нужной для деятельности предприятия информации.
Достоверность документной информации заключается, во-первых, в ее адекватности, т.е. в соответствии объективному состоянию рассматриваемого вопроса, и, во-вторых, в ее юридической силе, определяемой по наличию и правильности оформления соответствующих реквизитов.
Своевременность документной информации означает, что от времени генерирования, обработки и передачи информации до момента получения и выработки на ее основе соответствующего решения не изменилось состояние вопроса, к которому она относится.
Организация исполнения документов включает в себя и оперативное доведение их до исполнителей, и обеспечение своевременного и качественного решения содержащихся в документах вопросов.
Организация использования документов состоит в обеспечении как текущего, оперативного, так и последующего, ретроспективного, использования документной информации.
Вторая задача имеет своей целью обеспечение сохранности и конфиденциальности документированной информации, что требует создания и поддержания специальных условий хранения, обработки и обращения документов, гарантирующих надежную защиту как самих документов, так и содержащейся в них информации.
Сущность конфиденциального делопроизводства обусловливает его организационные и технологические особенности, к которым относятся:
• письменное нормативное закрепление общей технологии документирования, организации работы с документами и их защиты;
• жесткое регламентирование состава издаваемых документов и содержащейся в них информации, в том числе на стадии подготовки черновиков и проектов документов;
• обязательный поэкземплярный и полистный учет всех без исключения документов, проектов и черновиков;
• максимально необходимая полнота регистрационных данных о документе;
• фиксация прохождения и местонахождения каждого документа;
• проведение систематических проверок наличия документов;
• разрешительная система доступа к документам и делам, обеспечивающая правомерное и санкционированное ознакомление с ними;
• жесткие требования к условиям хранения документов и обращения с ними, которые должны обеспечивать сохранность и конфиденциальность документированной информации;
• регламентация обязанностей лиц, допущенных к работе с конфиденциальной документированной информацией по ее защите;
• персональная и обязательная ответственность за учет, сохранность документов и порядок обращения с ними.
Особенностью конфиденциального делопроизводства является и своеобразное переплетение некоторых функций, которые, с одной стороны, как бы взаимоисключают друг друга. Например, такими функциями при реализации задачи документационного обеспечения конфиденциальной деятельности являются создание документов, необходимых и достаточных для такой деятельности, предоставление каждому пользователю всех документов, требующихся для выполнения должностных обязанностей. С другой стороны, при реализации задачи защиты конфиденциальной информации выполняются следующие параллельные им функции: предотвращение необоснованного издания рассылки документов, исключение необоснованного ознакомления с документами.
Применительно к документированию это означает, что конфиденциальная деятельность должна обеспечиваться минимальным количеством документов при сохранении полноты и достоверности информации, применительно к организации документооборота — предоставление пользователям всех необходимых документов, но только тех, которые действительно требуются для выполнения должностных обязанностей.
Особенности конфиденциального делопроизводства одновременно выступают и в качестве требований к нему.
■
4.1.3. Характерные ошибки при документировании
конфиденциальной информации, создающие предпосылки
для ее утечки и утраты
Подразделение конфиденциального делопроизводства наряду с руководителями соответствующих подразделений должно осуществлять контроль за соответствием документов Перечням издаваемых конфиденциальных документов [68]. Необходимость тако-
го контроля обусловлена тем, что составители документов нередко допускают отступления от Перечней. Эти отступления осуществляются по следующим направлениям:
• завышение или занижение грифа конфиденциальности документов, в том числе проставление грифа конфиденциальности на документах, не содержащих конфиденциальных сведений;
• необоснованное включение конфиденциальной информации в документы и превращение тем самым открытых документов в конфиденциальные;
• неправильное адресование документов;
• непроставление грифа конфиденциальности на документах, содержащих конфиденциальную информацию.
Завышение или занижение грифа конфиденциальности документа осуществляется составителями документов механически (по аналогии) или из-за неточного знания перечней издаваемых конфиденциальных документов.
Проставление грифа конфиденциальности на документах, не содержащих конфиденциальной информации, т. е. необоснованное засекречивание документов, также иногда осуществляется по указанным причинам, но чаще всего происходит с целью избежать гласности, оградить от критики, скрыть недостатки и даже преступные деяния. Делается для придания «веса» документу, обеспечения дополнительной гарантии его сохранности при пересылке.
Засекречивание документов за счет включения в них не вызываемой необходимостью конфиденциальной информации осуществляется в целях получения перечисленных преимуществ либо для перестраховки составителя документа, старающегося оградить себя от возможных претензий, и поэтому включающего избыточную информацию на всякий случай, либо в силу слабой компетенции составителя в излагаемом вопросе, незнания, какой информацией располагает корреспондент.
Следует иметь в виду, что засекречивание документов производится иногда по формальному признаку — при ответах или ссылках на конфиденциальные документы, что также необоснованно, так как гриф конфиденциальности должен определяться степенью конфиденциальности информации, содержащейся только в издаваемом документе (за исключением сопроводительных писем).
Неправильное адресование документов происходит также из-за незнания перечней или невнимательности и заключается в проставлении в документе адресата, к которому документ не имеет отношения, следовательно, не должен ему направляться, либо в перечислении в каждом экземпляре документа всех адресатов, которым направляется документ, в случаях, когда одни адресаты не должны знать, что данный документ направлен другим адресатам, и поэтому требуется их раздельное представление на соответствующих экземплярах документа.
Непроставление грифа конфиденциальности на документах, содержащих конфиденциальную информацию, тоже чаще всего имеет своей причиной невнимательность или плохое знание перечней издаваемых конфиденциальных документов, хотя бывают случаи сознательного необоснованного незасекречивания документов. Поскольку такие документы создаются в подразделении открытого делопроизводства, контроль их издания должен возлагаться не на подразделение конфиденциального делопроизводства, а на другие подразделения службы безопасности.