Анализ документооборота, защищенного ЭП. Курсовая работа. Назначение и структура правового обеспечения защиты информации
Скачать 106.29 Kb.
|
Защита информации при подготовке материалов к открытому опубликованию.В целях недопущения утечки информации о деятельности предприятия, содержащей сведения конфиденциального характера, на предприятии планируется и проводится работа по анализу содержания материалов, предназначенных для открытого распространения. Подготовка материалов к открытому опубликованию включает их разработку авторами (должностными лицами), предварительную проверку их содержания руководителями структурны подразделений предприятия, согласование возможности опубликования материалов со службой безопасности (режимно-секретным подразделением) предприятия, экспертизу материалов в целях принятия решения об их опубликовании (распространении). Подготовленные к открытому опубликованию материалы не должны содержать сведений, составляющих государственную, коммерческую или служебную тайну, и иной информации с ограниченным доступом, определенной нормативными правовыми актами. Мероприятия, направленные на исключение открытого опубликования информации с ограниченным доступом, включаются в план мероприятий по защите конфиденциальной информации на предприятии на календарный год. В их число, как правило, входят: • разработка и утверждение руководителем предприятия организационно-распорядительных документов, определяющих порядок и особенности работы по подготовке материалов к открытому опубликованию; • предварительный анализ материалов и их согласование с руководителями структурных подразделений предприятия, сотрудники которых осуществляют их подготовку к открытому опубликованию; • анализ материалов, готовящихся к открытому распространению, службой безопасности (режимно-секретным подразделением) предприятия; • выборочный контроль изданных (опубликованных) материалов; • проведение занятий с сотрудниками предприятия по изучению положений нормативных правовых актов и внутренних организационно-распорядительных документов предприятия; • взаимодействие с должностными лицами издательств (редакций), типографий, СМИ и иных структур; • определение состава экспертной комиссии предприятия по оценке возможности опубликования материалов и осуществление ее деятельности (в том числе подготовка соответствующих заключений); • взаимодействие с другими предприятиями по вопросам открытого опубликования материалов, содержащих информацию о проводимых этими предприятиями совместных и других работах, а также с органами государственной власти и предприятиями, являющимися заказчиками работ и обладателями информации, которую планируется, открыто опубликовать, получение письменного согласия этих органов государственной власти (предприятий) на открытое опубликование материалов; • проведение периодического анализа эффективности проводимых мероприятий по исключению открытого опубликования конфиденциальной информации и совершенствование этой работы на предприятии. Ответственность за подготовку материалов к открытому опубликованию и соблюдение при этом требований по защите информациинесут авторы материалов, их непосредственные руководители (руководители соответствующих структурных подразделений) и руководитель предприятия. В целях оценки степени конфиденциальности информации и возможности открытого распространения материалов проводится их экспертиза. Для проведения экспертизы материалов, подготовленных к открытому опубликованию, приказом руководителя предприятия создается экспертная комиссия, как правило, сроком на один календарный год. В состав указанной комиссии включаются сотрудники предприятия — специалисты в различных областях деятельности предприятия. Члены комиссии должны в необходимых случаях иметь допуск к государственной тайне, а также к иным видам конфиденциальной информации предприятия. Сотрудники службы безопасности и режимно-секретного подразделения в состав экспертной комиссии не входят. В случае если член экспертной комиссии является составителем, руководителем или редактором подготовленной к открытому опубликованию работы (материалов), он также не может принимать участия в работе экспертной комиссии по оценке этих материалов. К проведению экспертизы по решению руководителя предприятия может быть привлечен руководитель структурного подразделения, в котором работает автор подготовленного материала. В работе экспертной комиссии могут участвовать представители других предприятий, имеющих отношение к рассматриваемым материалам (являющихся собственниками информации, заказчиками проводимых работ и т.д.). Вопрос о привлечении этих специалистов к работе в составе комиссии в каждом конкретном случае письменно согласовывается с руководителями соответствующих предприятий. Руководитель предприятия — организатора экспертизы обязан создать членам экспертной комиссии условия, обеспечивающие рассмотрение материалов в соответствии с установленными требованиями, своевременно знакомить их с поступающими на предприятие нормативными актами и методическими документами по вопросам защиты информации и порядку (особенностям) проведения экспертизы. Ознакомление членов экспертной комиссии с этими документами осуществляют сотрудники службы безопасности (режимно-секретного подразделения) предприятия или должностные лица, на которых данные вопросы возложены соответствующим приказом руководителя предприятия. При подготовке и проведении экспертизы члены экспертной комиссии обязаны: • знать перечни сведений, запрещенных к открытому опубликованию на предприятии, и строго руководствоваться ими при проведении экспертизы; • при обнаружении в рассматриваемых материалах сведений, составляющих государственную, коммерческую, служебную или иную охраняемую законом тайну, вынести заключение, запрещающее их открытое опубликование. Такие материалы передаются руководителю предприятия или его заместителю, отвечающему за вопросы защиты информации, для принятия решения об их отнесении в установленном порядке к конфиденциальной информации и об ограничении в связи с этим доступа к данной информации; • проверять наличие письменного согласия руководителей предприятий — заказчиков работ (обладателей информации) на опубликование материалов или контролировать выполнение рекомендаций (заключений) этих руководителей; • рассматривать материалы с учетом ранее опубликованных работ, имеющих отношение к этим материалам, с тем, чтобы готовящаяся публикация не привела к разглашению конфиденциальной информации и нанесению, таким образом, ущерба предприятию; • при рассмотрении сборников материалов (статей) принимать решение о возможности опубликования (издания) как всего сборника в целом, так и его отдельных статей (материалов). Члены экспертной комиссии имеют право: • получать от автора (авторов) письменное подтверждение об источниках, использованных им при подготовке материалов к опубликованию, а также иную информацию, необходимую для подготовки заключения; • обращаться в установленном порядке за консультацией (разъяснениями) на другие предприятия, в органы государственной власти и к их должностным лицам. После изучения и анализа материалов, предназначенных для открытого опубликования, экспертная комиссия готовит заключение о возможности (невозможности) их открытого опубликования. Экспертное заключение подписывается всеми членами комиссии, ее руководителем (председателем) и утверждается руководителем предприятия — организатора экспертизы. При отсутствии единого мнения экспертов и невозможности формулирования вывода по результатам изучения материалов вопрос о возможности опубликования решается руководителем вышестоящей организации (органа государственной власти). В исключительных случаях, при отсутствии вышестоящей организации (органа государственной власти) решение о возможности открытого опубликования материалов выносится руководителем предприятия самостоятельно либо совместно с руководителем предприятия — заказчика проводимых совместных работ. Если заключение экспертной комиссии о возможности открытого опубликования материалов — положительное, оно в установленном порядке вместе с рассмотренными материалами передается в службу безопасности (режимно-секретное подразделение) предприятия или уполномоченному должностному лицу для принятия окончательного решения. После получения разрешения подготовленные материалы в установленном порядке передаются в издательство (редакцию, представителям СМИ) для их опубликования (открытого распространения). Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.Меры по защите конфиденциальной информации в ходе подготовки и проведения совещания, принимаемые руководством предприятия, должны быть как организационными, так и организационно-техническими. Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения. Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания). План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. 1. Определение состава участников и их оповещение — порядок формирования списка лиц, привлекаемых к участию в совещании, и перечня предприятий, которым необходимо направить запросы с приглашениями; порядок подготовки и направления таких запросов, формирования их содержания. 2. Подготовка служебных помещений, в которых планируется проведение совещания, — работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации; оборудование рабочих мест участников совещания в том числе средствами автоматизации, на которых разрешена обработка конфиденциальной информации; 3. Определение объема обсуждаемой информации — порядок определения перечня вопросов, выносимых на совещание, и очередности их рассмотрения, оценки степени их конфиденциальности; выделение вопросов, к которым допускается узкий круг лиц, участвующих в совещании. 4. Организация пропускного режима на территории и в служебных, помещениях, в которых проводится совещание — виды пропусков и проставляемых на них условных знаков или шифров для прохода в конкретные служебные помещения; порядок их учета, хранения, выдачи и выведения из действия, сроки уничтожения; 5. Организация допуска участников совещания к рассматриваемым вопросам — мероприятия, касающиеся непосредственного допуска участников к вопросам, выносимым на совещание, с учетом порядка их обсуждения и степени конфиденциальности информации, к которой допущен каждый участник совещания. 6. Осуществление записи (стенограммы), фото-, кино-, видеосъемки совещания — порядок и возможные способы записи, съемки, стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности; должностные лица или подразделения, отвечающие за техническое обеспечение данных процессов. 7. Меры по защите информации непосредственно при проведении совещания — порядок и способы охраны служебных помещений, меры по исключению проникновения в них посторонних лиц; мероприятия по предотвращению утечки информации по техническим каналам. 8. Организация учета, хранения, выдачи и рассылки материалов совещания — порядок учета, хранения, размножения, выдачи, рассылки и уничтожения материалов совещания. Особое внимание уделяется электронным носителям. 9. Оформление документов лиц, принимавших участие в совещании, — порядок и сроки оформления документов, подтверждающих право доступа участников совещания к конфиденциальной информации, предписаний или доверенностей на участие в совещании, командировочных удостоверений и иных документов командированных для участия в совещании лиц. 10. Проверка и обследование места проведения совещания после его окончания — мероприятия по организации и проведению визуальной проверки, а также проверки с использованием специальных технических средств помещений. 11. Организация контроля за выполнением требований по защите информации — порядок, способы и методы контроля полноты и качества проводимых мероприятий, направленных на предотвращение утечки и разглашения конфиденциальной информации, утрат и хищений носителей информации; структурные подразделения или должностные лица, отвечающие за осуществление контроля; порядок и сроки представления ответственными должностными лицами докладов о наличии носителей конфиденциальной информации и выявленных нарушениях в работе по защите информации. В плане также указываются время и место проведения совещания, состав участников, перечень предприятий, участвующих в совещании. Для каждого мероприятия, включаемого в план, определяют срок (время) его проведения и ответственное за его выполнение должностное лицо (подразделение). Внутренние совещания могут проводиться без непосредственного участия режимно-секретного подразделения (службы безопасности). В этих случаях ответственность за планирование и проведение мероприятий по исключению утечки конфиденциальной информации и по ее защите возлагается на руководителя структурного подразделения предприятия, организующего совещание. |