Персонал в системе конфиденциальной защиты информации. Основная часть

Название	Основная часть
Анкор	Персонал в системе конфиденциальной защиты информации
Дата	22.02.2023
Размер	36.54 Kb.
Формат файла
Имя файла	Персонал в системе конфиденциальной защиты информации.docx
Тип	Документы #950272

1 Введение 1

2 Основная часть 2

2.1 Виды конфиденциальной информации 2

2.2 Основные направления работы с персоналом предприятия, допущенным к конфиденциальной информации 4

2.3 Методы работы с персоналом предприятия, допущенным к конфиденциальной информации. 7

2.4 Режим обмена конфиденциальной документированной информацией 8

2.5 Учет персонала, получившего доступ к конфиденциальной документированной информации, а также лиц, которым она была передана или предоставлена 10

3 Вывод 11

Список использованных источников 12

1 Введение

В настоящее время обладание информацией становится одним из решающих факторов контроля над решением любых проблем мирового сообщества.

Информация стала фактором, способным привести к крупномасштабным авариям, военным конфликтам и поражению в них, дезорганизовать государственное управление, финансовую систему, работу научных центров. В то же время обладание информацией способствует развитию всех сфер деятельности государства в целом и отдельно взятого предприятия в частности и, в конечном счете, приводит к значительным успехам в экономике, бизнесе, финансах. Однако, обладание ценной информацией, возлагает на субъекты, имеющие на нее соответствующие права, высокую степень ответственности за ее сохранность и защиту от возможного внешнего воздействия различного рода факторов и событий, носящих как преднамеренный, так и случайный характер.

Конфиденциальность информации ‒ обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

В условиях современных тенденций функционирования организаций большинство работников во время исполнения служебных обязанностей так или иначе сталкиваются с информацией ограниченного доступа, что делает их как объектом, так и субъектом информационных угроз. То есть одним из немаловажных факторов, который необходимо учитывать при построении системы защиты информации на предприятии в общем, и системы защиты конфиденциальной информации данных в частности, является человеческий фактор.

Цель работы – раскрыть роль и обязанности персонала в системе конфиденциальной защиты информации, из поставленной цели, были определены следующие задачи:

- более детально раскрыть понятие конфиденциальной информации, для чего привести её классификацию;

- рассмотреть основные направления и методы работы с персоналом, допущенным к конфиденциальной информации;

- раскрыть правила обмена и учет сотрудников, получивших доступ к конфиденциальной информации.

2 Основная часть

2.1 Виды конфиденциальной информации

Законодательством Российской Федерации введены два ограничения на

отнесение информации к конфиденциальной: к ней не может быть отнесена информация, во-первых, составляющая государственную тайну, и, во-вторых,

информация, которая должна быть общедоступной в целях предупреждения сокрытия правонарушений и предотвращения нанесения ущерба законным интересам государства, физических и юридических лиц¹.

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Конфиденциальная информация, не составляющая государственную тайну, также защищена в соответствии с законодательством.

Виды конфиденциальной информации установлены Указом Президента

Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». К ней относятся:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). Примером служебной тайны является налоговая. В соответствии с Налоговым кодексом Российской Федерации налоговую тайну составляют любые полученные налоговым органом, а также органами внутренних дел, государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике.

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Секрет производства (ноу-хау), т. е. сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности.

2.2 Основные направления работы с персоналом предприятия, допущенным к конфиденциальной информации

Основным субъектом правоотношений в сфере защиты конфиденциальной информации является персонал предприятия, допущенный к сведениям конфиденциального характера в силу (должностных (функциональных) обязанностей. Работники предприятия являются "нематериальным носителем" информации.

Все большую значимость в решении проблемы комплексной защиты информации на предприятии занимает выбор эффективных направлений работы с персоналом предприятия. Персонал предприятия, являясь генератором новых открытий, идей и изобретений, направляет максимальные усилия на повышение благосостояния предприятия в целом и каждого его сотрудника в частности.

Руководство решает задачу сохранения в тайне сотрудниками предприятия путей, направлений и способов повышения благосостояния предприятия и достижения максимальной прибыли в его работе.

Однако, несмотря на это, персонал предприятия, являясь основным "носителем" конфиденциальной информации, становится и основным источником ее возможной утечки (разглашения).

В настоящее время от того, насколько сотрудник предприятия подготовлен профессионально в области защиты информации, какими он обладает морально-деловыми и психологическими качествами, всецело зависит его способность противостоять возможным попыткам получения представителями организаций-конкурентов или злоумышленниками конфиденциальной информации.

Высокий уровень подготовки сотрудников предприятия в вопросах защиты конфиденциальной информации позволит также максимально снизить

вероятность появления непреднамеренных ошибок в обращении с этой информацией, ее носителями, наличие которых также потенциально создает предпосылки к ее завладению вышеупомянутыми "недоброжелателями".

И наоборот, проявление сотрудниками предприятия своих низких профессиональных навыков и отрицательных морально-деловых качеств значительно снизит эффективность системы защиты конфиденциальной информации на предприятии в целом, так как никакие меры организационного

и технического характера не скомпенсируют возможную утечку информации сотрудниками предприятия, которые являются ее основными "носителями".

К основным факторам и обстоятельствам, чаще всего приводящим к разглашению конфиденциальной информации персоналом предприятия, к ней

допущенным, относятся:

- слабый контроль со стороны руководителей всех уровней за состоянием защиты информации и эффективностью принимаемых мер по недопущению утечки этой информации;

- недостаточный уровень знаний положений нормативных актов и внутренних организационно-распорядительных документов предприятия по организации и обеспечению защиты информации;

- недостаточное внимание к организации работы с персоналом предприятия, изучению морально-деловых качеств сотрудников предприятия, работающих с информацией, отнесенной руководством предприятия к конфиденциальной;

- несвоевременное принятие эффективных и действенных мер по предотвращению разглашения персоналом предприятия конфиденциальной информации, а также по фактам нарушения норм и правил защиты информации сотрудниками предприятия, и другие.

В разделе III Трудового кодекса РФ закреплены Вопросы охраны конфиденциальности информации, к которой допускается работник предприятия.

В соответствии с его положениями в заключаемом работодателем с работником трудовом договоре могут предусматриваться условия о неразглашении работником охраняемой законом тайны (государственной, служебной, коммерческой и иной).

В случае однократного грубого нарушения работником трудовых обязанностей – разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей может быть расторгнут, заключенный ранее трудовой договор.

С учетом изложенного постоянная работа с персоналом предприятия, имеющим доступ к конфиденциальной информации, сегодня является одним из наиболее актуальных и важных направлений деятельности руководства и должностных лиц предприятия.

Эта работа на предприятии должна организовываться и проводиться в плановом порядке, на постоянной основе. В эту работу входит распределение руководством предприятия функций и задач между должностными лицами и соответствующими структурными подразделениями. Определяются приоритетность и очередность выполнения этих функций и задач.

Самым непосредственным образом в работе с персоналом предприятия, как правило, принимают участие: кадровый орган, подразделение по защите государственной тайны, подразделение воспитательной работы, юридическая служба (юрисконсульт), служба охраны и служба собственной безопасности.

Работа с сотрудниками предприятия, независимо от степени конфиденциальности информации, к которой они допущены, допускались или будут допускаться, проводится в несколько этапов:

- при приеме кандидата на работу, которая связана с доступом к сведениям конфиденциального характера (перевод на эту работу штатного сотрудника предприятия);

- в ходе выполнения сотрудником предприятия, допущенным к конфиденциальной информации, должностных (функциональных) обязанностей;

- непосредственно перед увольнением, а также в процессе увольнения сотрудника с предприятия (переводе на должность, не связанную с доступом к конфиденциальной информации).

Усилия руководства предприятия в этой работе должны быть сосредоточены на следующих основных направлениях:

- изучение морально-деловых качеств сотрудников предприятия;

- повышение ответственности сотрудников всех категорий за сохранность в тайне доверенных по службе сведений конфиденциального характера;

- проведение профилактической работы по предупреждению (исключению) утечки конфиденциальной информации путем ее разглашения;

- повышение уровня теоретических знаний и практических навыков сотрудников в вопросах защиты конфиденциальной информации;

- создание и поддержание устойчивого морально-психологического климата в коллективе предприятия;

- создание и применение системы стимулирования труда сотрудников, допущенных к конфиденциальной информации.

2.3 Методы работы с персоналом предприятия, допущенным к конфиденциальной информации.

В работе с персоналом предприятия, допущенным к конфиденциальной информации, используются методы обучения, инструктажей, индивидуальной и воспитательной работы, проверки уровня знаний, контроля.

Первостепенным методом в работе с персоналом предприятия является метод обучения, начальный этап в приобретении теоретических знаний и практических навыков обеспечения защиты конфиденциальной информации в рамках выполнения должностных (функциональных) обязанностей по основной специальности.

Процесс обучения сотрудников предприятия должен быть планомерным и постоянным, потому что система защиты конфиденциальной информации предприятия требует развития и совершенствования.

Метод инструктажей применяется руководством предприятия и руководителями структурных подразделений с целью доведения до людей, работающих с конфиденциальной информацией, положений вновь принятых (утвержденных) нормативно-методических документов, а также требований вышестоящих органов государственной власти (предприятий).

Во время инструктажей особое внимание должно уделяться анализу практической работы на предприятии по исключению возможных каналов утечки конфиденциальной информации и возникающих угроз её защите.

Метод индивидуальной и воспитательной работы заключается в систематическом и целенаправленном воздействии на процесс формирования и развития личности сотрудника предприятия в целях наиболее полного использования его профессиональных возможностей и способностей, деловых, высоких моральных и иных положительных качеств в интересах обеспечения сохранности доверенных по службе (работе) сведений конфиденциального характера.

Цель проверки уровня знаний – проверить и оценить степень подготовленности каждого сотрудника предприятия к выполнению практических задач по защите информации на основе знаний положений нормативно-методических и внутренних организационно-распорядительных документов. Проверка уровня знаний может проводиться как руководством предприятия, так и сотрудниками структурных подразделений по защите государственной тайны, служб безопасности, подразделений охраны.

Метод контроля в работе с персоналом предприятия имеет своей целью оценку эффективности работы каждого сотрудника предприятия по организации и обеспечению защиты конфиденциальной информации, использованию при этом всех имеющихся сил и средств предприятия. Контроль может быть как периодическим, так и внезапным. Проводится сотрудниками штатных подразделений предприятия, решающих задачи по организации защиты информации.

Вышеперечисленные методы работы с персоналом характерны для предприятий, использующих при работе сведения конфиденциального характера независимо от вида и степени конфиденциальности информации.

2.4 Режим обмена конфиденциальной документированной информацией

Если сотрудники работают с конфиденциальными документами в своих

служебных кабинетах, то документы (кроме дел) разрешается выдавать на один рабочий день, или на все время, необходимое для работы с ними. В последних случаях, помимо сейфа и номерной печати, сотруднику выдаются под подпись в лицевом счете специальный портфель (кейс), имеющий устройство для опечатывания, и типовая форма «Опись конфиденциальных документов, находящихся у исполнителя». В опись сотрудник должен вносить

каждый документ в момент его получения и вычеркивать его после исполнения и передачи в службу делопроизводства. Опись предназначена для

проведения самоконтроля за наличием конфиденциальных документов.

Сотрудникам, которые работают с конфиденциальной документированной информацией, запрещается (это должно быть отражено в разделе инструкции по конфиденциальному делопроизводству):

- использовать конфиденциальные сведения в публикациях, открытых документах, докладах и переписке, рекламных материалах, выставочных проспектах и информационных сообщениях;

- передавать кому-либо, в том числе работникам организации, конфиденциальную информацию, если это не связано со служебной необходимостью и не разрешено непосредственным руководителем;

- вести переговоры, содержащие конфиденциальные данные, по незащищенным линиям связи, в неприспособленных помещениях, в присутствии посторонних лиц;

- снимать копии с документов и делать из них выписки без письменного разрешения непосредственного руководителя;

- знакомиться с конфиденциальными документами, делами и базами данных других сотрудников, работать за их компьютерами;

- переписывать сведения из документов в личные записные книжки, дневники, календари, карточки учета работы;

- вносить в помещения организации личные фотоаппараты, видеокамеры, компьютеры, ноутбуки, аудиотехнику, магнитофоны, плееры, переговорные устройства, технические носители информации (флэш-память и др.), мобильные телефоны, копировальные аппараты и пользоваться ими;

- выносить конфиденциальные документы из здания без разрешения руководства организации, работать с конфиденциальной документированной информацией помещениях, которые для этого не предназначены;

- оставлять конфиденциальные документы на рабочем столе без контроля, хранить эти документы вместе с открытыми документами и материалами, оставлять без контроля компьютер с загруженной конфиденциальной информацией;

- разглашать сведения о характере автоматизированной обработки конфиденциальной информации на компьютере в автоматизированной информационной системе и о личных идентифицирующих паролях;

- разглашать сведения о составе находящейся у сотрудника конфиденциальной документированной информации, системе ее защиты и месте хранения, а также об известных ему элементах обеспечения информационной безопасности организации².

2.5 Учет персонала, получившего доступ к конфиденциальной документированной информации, а также лиц, которым она была передана или предоставлена

Технологии ограничения доступа предполагают создание в организации

номенклатуры должностей работников, подлежащих оформлению на допуск к конфиденциальной документированной информации.

Номенклатура должностей работников, подлежащих оформлению на допуск к конфиденциальной документированной информации, составляется службой безопасности совместно со службой кадров, согласовывается с экспертной комиссией по защите конфиденциальной информации и подписывается руководителем организации. Номенклатура хранится в службе

безопасности, второй экземпляр – в службе кадров организации, третий – в службе делопроизводства.

Технология доступа к сведениям конфиденциального характера также включает учет должностных лиц других организаций, получивших доступ, и/или лиц, которым такая информация была предоставлена или передана. Учет может вестись в автоматизированном режиме.

В случае обнаружении факта утраты конфиденциальной документированной информации или факта разглашения информации должно

вводиться ограничение на доступ или прекращение доступа к любой информации до окончания служебного расследования, которое оформляется специальным актом.

3 Вывод

Информационные технологии никогда не стояли и не стоят на месте, мы постоянно видим их бурный рост. Однако в последнее время наблюдается особенно стремительное их развитие, проявляющееся в регулярном появлении новых и модернизации старых программных и аппаратных средств. В свою очередь, такой бурный рост сопряжён с появлением новых уязвимостей в продуктах информационных технологий и новых угроз информационной безопасности. Параллельно идёт процесс постоянного совершенствования нормативно-правовой и нормативно-методической базы в области обеспечения информационной безопасности и защиты информации. Указанные и ещё многие другие причины обусловливают необходимость наличия в штате организаций различных форм собственности обученных, грамотных специалистов в указанной предметной области, а также необходимость повышения уровня осведомлённости рядовых сотрудников в вопросах информационной безопасности. По мнению специалистов, утрата 20% информации, которые составляют коммерческую тайну, в 60% случаях из 100% может привести к банкротству компании. Данные специализированных изданий показывают, что Российские государственные и коммерческие компании осознают всю тяжесть отрицательных последствий разглашения конфиденциальной информации. Среди них: прямые финансовые убытки (46%), удар по репутации (42,3%) и потеря клиентов (36,9%).

Вопросы информационной безопасности, в частности касающиеся защиты конфиденциальной информации, необходимость их эффективного решения признаются приоритетными и требуют мобилизации усилий как на основе анализа ситуации и использования накопленного за предыдущие годы опыта работы, так и посредством применения новых подходов в деятельности, связанной с защитой информации.

В данной домашней творческой работе рассмотрено понятие конфиденциальной информации, перечислены основные направления и методы работы с персоналом, допущенным к конфиденциальной информации, раскрыта роль и обязанности персонала в системе конфиденциальной защиты информации.

Список использованных источников

Трудовой кодекс Российской Федерации (III раздел), справочная правовая система "Гарант".
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера", справочная правовая система "Гарант".
Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», справочная правовая система "Гарант".
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», справочная правовая система "Гарант".
Федеральный закон Российской Федерации 30 декабря 2001 г. № 197-ФЗ, справочная правовая система "Гарант".
Алексенцев А.И. Конфиденциальное делопроизводство [Электрон. ресурс] //Управление персоналом. М., 2003, 200 с.
Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты / Домарев Валерий Валентинович. - М. и др. : DiaSoft, 2002. - 671 с.
Жигулин Г.П. Информационная безопасность: [учебник] / Г. П. Жигулин, С. Г. Новосадов, А. Д. Яковлев ; С.-Петерб. гос. ун-т информ. технологий, механики и оптики. - СПб. : ИТМО ун-т, 2003. - 339 с.
Егоров В.П. Конфиденциальное делопроизводство [Электрон. ресурс]: учеб. п043Eсобие / В.П. Егоров, А.В. Слиньков. М.: Юридический институт МИИТа, 2015, 178 с.
Куняев Н.Н. Конфиденциальное делопроизводство и защищенный электронный документооборот [Электрон. ресурс]: учебник / Н.Н. Куняев, А.С. Демушкин, А.Г. Фабричнов; под общ. ред. Н.Н. Куняева. М.: Логос, 2011, 452 с.
Мэггс П.Б., Сергеев А.П. Интеллектуальная собственность [Электрон. ресурс]. М.: Юристъ, 2000, 400 с.
Обеспечение информационной безопасности России [Текст]: теоретеческие и методологические основы / А. А. Стрельцов ; под ред. В. А. Садовничего и В. П. Шерстюка ; Московский гос. ун-т им. М. В. Ломоносова, Каф. информ. безопасности. - Москва : МЦНМО, 2002. - 289 с.

1ст. 5, п. 2 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

2 Куняев Н.Н. Конфиденциальное делопроизводство и защищенный электронный документооборот [Электрон. ресурс]: учебник / Н.Н. Куняев, А.С. Демушкин, А.Г. Фабричнов; под общ. ред. Н.Н. Куняева. М.: Логос, 2011. С. 213–214