А. Артемов - Информационная безопасность. Курс лекций
Защита информации в службе персонала – направление обеспечения безопасности информации фирмы в части сохранения конфиденциальности персональных данных, которые формируются в процессе документирования трудовых правоотношений сотрудников с фирмой. В состав документации, содержащей персональные данные, входят: приказы по личному составу, комплексы документов кандидатов на должность, комплексы материалов по анкетированию, тестированию кандидатов на должность, проведению собеседований (строго конфиденциальны), личные дела сотрудников, их трудовые книжки; дела, содержащие основания к приказам по личному составу, учетно-справочный аппарат (картотеки, журналы учета, базы данных), отчетные, аналитические и справочные материалы. Кроме того, конфиденциальной является организационная, распорядительная и инструктивная документация службы персонала, документы по планированию, контролю и анализу эффективности работы службы. Эта документация раскрывает технологию работы службы, распределение обязанностей среди сотрудников и другие ценные для злоумышленника сведения. Система защиты информации в службе персонала должна предусматривать: четкое распределение функций между сотрудниками, закрепление за каждым сотрудником необходимых ему для выполнения функциональных обязанностей массивов документов и информации, установление персональной ответственности этих сотрудников за сохранность носителей и конфиденциальность информации, проведение регулярных проверок наличия документов и материалов, регламентацию порядка ведения работы с посетителями и справочной работы и т. п. Не менее важно правильно организовать рабочие места сотрудников службы, перекрыть технические каналы утечки информации, организовать охрану помещения с использованием современных технических средств.
Защита информации при ведении переговоров и совещаний – направление обеспечения безопасности информации, которое распространяется в процессе этих мероприятий. К требованиям защиты относятся: заблаговременная регламентация состава участников по каждому обсуждаемому вопросу, проведение переговоров, совещаний в специально подготовленном, выделенном помещении, контроль доступа участников переговоров и совещаний отдельно по каждому вопросу, регламентация порядка документирования хода переговоров и совещаний, их результатов и порядка рассылки принятых документов. Первый руководитель фирмы должен установить максимально возможный состав конфиденциальных сведений, который может быть сообщен сотрудниками фирмы участникам переговоров или совещаний. Информация оглашается при условии предупреждения участников указанных мероприятий о ее конфиденциальности, а иногда – после подписания ими обязательство сохранении ее в тайне. Участники переговоров от фирмы должны заранее выработать тактику ведения переговоров и соответствующую динамику (очередность) оглашения конфиденциальной информации, а также определить условия возникновения в этом рабочей необходимости. Целесообразно строить переговоры таким образом, чтобы сообщаемые конфиденциальные сведения всегда были минимальными по составу и объему.
Защита информации при приеме посетителей – направление обеспечения безопасности информации, предусматривающее классификацию посетителей фирмы, по степени их деловых отношений с фирмой (клиенты, партнеры, представители других организационных структур, частные лица), по степени разрешенного им доступа в помещения фирмы (во все помещения, только в определенные помещения, только к определенному сотруднику, только в операционный зал), по степени разрешенного им ознакомления с информацией фирмы (только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми материалами фирмы, только с конкретными конфиденциальными сведениями). Любые разрешительные действия в отношении посетителей совершаются первым руководителем фирмы, обеспечиваются и контролируются службой безопасности. При входе в служебные помещения фирмы (кроме операционного зала общего доступа) посетитель обязан предъявить документ, удостоверяющий его личность (но не визитную карточку). Ему выдается соответствующий визуальный идентификатор (пропуск), регламентирующий его права в помещениях фирмы. При выходе идентификатор должен быть сдан. Перемещение посетителя в здании фирмы осуществляется только в сопровождении полномочного сотрудника фирмы – секретаря руководителя, сотрудника, с которым посетитель обговорил заблаговременно свой визит, сотрудника службы безопасности. Факт ознакомления посетителя с любым документом фирмы фиксируется сотрудниками служб конфиденциальной или открытой документации фирмы в учетной форме этого документа; на самом документе посетитель ставит роспись ознакомления, расшифровку росписи, наименование представляемой организации и дату. При приеме частных (иногда случайных) лиц руководители и сотрудники ведут беседу не в рабочих комнатах, а в специально предназначенном для этого помещении, в присутствии секретаря или сотрудника службы безопасности.
Злоумышленник – лицо (группа лиц), предполагающее совершить или умышленно совершающее противоправные действия с целью овладения информацией, составляющей тот или иной вид тайны. К злоумышленникам относят недобросовестных конкурентов и партнеров, лиц, действующих в их в интересах, профессиональных агентов, занимающихся промышленным или экономическим шпионажем, агентов, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данной фирмы, сотрудничающего со злоумышленником, иных лиц, пытающихся нанести ущерб фирме, ее руководству или персоналу. Понятие «злоумышленник» тесно связано с понятием «постороннее лицо».
И
Идентификатор — персональное обозначение (код; шифр, имя, пропуск, персональная карточка определенного цвета с фотографией, магнитная или иная карта и т. п.), позволяющее однозначно выделить идентифицируемый объект среди других в полном множестве объектов. Используется в системах доступа.
Идентификация пользователя — отождествление лиц по их характеристикам или путем опознавания по приметам или документам в целях определение полномочий, связанных с доступом к конфиденциальной информации. Присвоение имени пользователю информационной системы, потребителю информации.
Изготовление конфиденциального документа – этап стадии исполнения конфиденциального документа. Осуществляется централизованно в службе конфиденциальной документации с санкции полномочного должностного лица, а не по инициативе исполнителя. Перед изготовлением беловика документа производится учет — присвоение единого учетного номера черновику и проекту будущего документа. Одновременно на еще не изготовленный документ заполняется комплект учетных форм. Полученный черновиком учетный номер (номер по учету подготовленных документов) будет сопровождать документ в течение его последующего «жизненного цикла». В учетной карточке отражается последовательно ход работы над проектом документа в процессе его изготовления, издания, последующего исполнения или отправки (см. Конвертование конфиденциальных документов), хранения или уничтожения. Обязательно учитываются проекты конфиденциальных электронных документов, факсов, телеграмм. Этим обеспечивается контроль службы конфиденциальной документации за сохранностью черновика, проекта, самого документа и всех материалов к нему. Изготовление документа включает в себя следующие процедуры: прием работником службы конфиденциальной документации от исполнителя черновика документа; традиционный или автоматизированный учет черновика и проекта будущего документа; печатание и выдача черновика и проекта документа исполнителю; перепечатывание отдельных листов и документа в целом; снятие копий с документа, производство выписки и изготовление дополнительных экземпляров документа; ежедневная проверка наличия у работника службы конфиденциальной документации черновиков и документов, находящихся на этапе изготовления. На последнем листе всех экземпляров отпечатанного документа на лицевой или оборотной стороне проставляются номер документа, фамилия исполнителя и номер его телефона, количество экземпляров и адресность каждого из них. Может указываться номер магнитного носителя, с которого печатался документ.
