Защита информации при работе с посетителями

 

Организация приема посетителей имеет не только общеиз­вестный набор функций, но и другую менее изученную, но акту­альную сторону, затрагивающую сферу обеспечения информацион­ной безопасности деятельности фирмы при работе с посетителями. Профессионализм персонала фирмы предполагает сочетание умения организовать эффективную и полезную для фирмы работу с посе­тителями и одновременно выполнить ее таким образом, чтобы была сохранена конфиденциальность и целостность ценной информации, достигнута безопасность деятельности фирмы. Под посетителем понимается, во-первых, лицо, которому не­обходимо решить определенный круг деловых или личных воп­росов с руководителями и менеджерами фирмы, и, во-вторых, лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности фирмы.

Посетители не только по определению, но и по существу пред­ставляют собой сложный и неоднозначный круг людей, что тре­бует прежде всего грамотного решения вопросов защиты цен­ной, в том числе конфиденциальной, информации от угроз, которые могут создать ей посетители. Поэтому организацию приема посетителей и контроль за работой с ними целесообразно цент­рализовать на уровне референта или секретаря-референта перво­го руководителя фирмы. Работа именно этого сотрудника фирмы в наибольшей степени связана с посетителями и требует грамот­ного подхода к ее выполнению.

Процесс защиты информации при приеме посетителей предпо­лагает проведение четкой их классификации, на базе которой фор­мируется система ограничительных, технологических, контрольных и аналитических мер, призванных не допустить несанкционированный доступ к ним посетителей. Эти меры позволяют также в определенной степени гарантировать физическую безопасность сотрудников, работающих с посетителями. Прием посетителей и установление с ними деловых взаимоотно­шений достаточно сложный процесс для руководителей фирмы и ее структурных подразделений (направлений деятельности), специ­алистов-менеджеров. На уровне руководителей фирмы посетителей можно разделить на две категории: сотрудники фирмы и посетите­ли, не являющиеся ее сотрудниками.

К посетителям — сотрудникам фирмы относятся:

• сотрудники, имеющие право свободного входа в кабинет руководителя в любое время рабочего дня (заместители руководителя, референты, секретари);

• сотрудники, работающие с руководителем в режиме вызова; или решающие с ним деловые вопросы в часы приема по служебным делам (нижестоящие руководители, эксперты, специалисты-менеджеры);

• сотрудники, инициирующие свой прием руководителем в часы приема по личным вопросам.

Угрозы информационной безопасности, исходящие от посети­телей-сотрудников, могут наступить в случае, если эти сотрудники являются злоумышленниками (тайными представителями конку­рирующих фирм, агентами служб промышленного или экономи­ческого шпионажа, криминальных структур) или их сообщниками.

Состав угроз может быть самым разнообразным: от кражи доку­ментов со стола руководителя до выведывания нужной информа­ции с помощью хорошо подготовленного перечня, на первый взгляд, безобидных вопросов. Может случиться также, что сотруд­ник, получивший при общении с руководителем больший объем ценной информации, чем это необходимо ему для работы, разгла­шает ее постороннему лицу по причине элементарной безответ­ственности.

Посетители, не являющиеся сотрудниками фирмы, в соответ­ствии с характером их взаимоотношений с фирмой могут подраз­деляться на:

• лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью фирмы (акционеры, члены различных советов и др.);

• представителей государственных учреждений и организаций, с которыми фирма сотрудничает в соответствии с законом (работники различных инспекций, муниципальных органов управления, правоохранительных органов и др.);

• сотрудничающих с фирмой физических лиц и представите­лей предприятий и организаций, банков, рекламных агентств, торговых представительств, средств массовой информации (клиенты, партнеры, коммерсанты, инвесторы, спонсоры, журналисты и др.);

• представителей иных государственных и негосударственных структур, с которыми фирма не имеет деловых отношений;

• частных лиц.

Перечисленные представители и лица должны находиться под особо внимательным контролем референта, так как если они от­носятся к категории злоумышленников, спектр исходящей от них опасности крайне велик и определяется теми целями, которые перед ними поставлены.

Утрата информации может идти по орга­низационным или техническим каналам или в сочетании того и другого. Например: шантаж руководителя и запись беседы на дик­тофон, установка подслушивающего устройства, фотографирова­ние документов на столе руководителя и др. Не исключено силовое воздействие на руководителя в целях получения нужных сведений.

На уровне руководителей подразделений и специалистов-ме­неджеров фирмы выделяются аналогичные группы посетителей, но в каждой категории и группе посетители делятся на:

1) на­правленных руководителем

2) пришедших на прием без санк­ции руководителя.

При приеме руководителем фирмы любой из указанных катего­рий и групп посетителей референту следует соблюдать следующие основные правила организации приема. Руководитель не должен принимать посетителей во время, выделенное для творческой ра­боты с документами и базами электронных данных, особенно конфиденциальными.,

При вызове кого-либо из менеджеров в связи с работой над документом на столе руководителя должен нахо­диться только тот документ, с которым он работает, другие до­кументы следует хранить в запертом сейфе или металлическом шкафу. Целесообразно, чтобы в это время в кабинет руководите-. ля никто не заходил без вызова, в том числе и лица, имеющие право свободного входа в кабинет.

В целях ограничения возможностей для злоумышленника полу­чить необходимые ему сведения за счет неупорядоченной органи­зации труда руководителя, суеты в работе с документами и посе­тителями для приема посетителей любых категорий следует выде­лить специальные часы, в течение которых руководитель не дол­жен работать с документами, не относящимися к визиту того или иного лица, или вести деловые переговоры по телефону. Различ­ные категории посетителей целесообразно принимать в разные часы.

Прежде всего выделяется время для ежедневного приема ниже­стоящих руководителей и менеджеров фирмы по служебным вопро­сам. Во-вторых, выделяется время для ежедневного приема посети­телей, не являющихся сотрудниками фирмы, но представляющих ту или иную организационную структуру. В-третьих, отдельные часы приема выделяются в разные дни для частных (посторонних) лиц, которым необходимо решить вопрос, относящийся к компетенции руководителя. В часы приема указанных категорий посетителей лю­бые сотрудники фирмы могут посещать руководителя только по вызову и только по вопросу, связанному с визитом конкретного посетителя.

В-четвертых, периодически выделяются часы приема сотрудников фирмы по личным вопросам. Посетители, в том числе сотрудники фирмы, не должны вхо­дить в кабинет руководителя в пальто, шубе или иметь при себе объемные кейсы, чемоданы, сумки — их следует оставлять в при­емной. Не допускается оставлять посетителя одного при выходе руково­дителя из кабинета. Во время отсутствия руководителя никто из посетителей или персонала фирмы не должен входить в его кабинет. Наиболее тщательно должна быть организована работа рефе­рента с посетителями, которые не являются сотрудниками фирмы.

Следует учитывать, что посещение руководителя, как правило, является начальной стадией их визита в фирму. Другие стадии, в соответствии с решением руководителя, будут связаны с посе­щением нижестоящих руководителей и специалистов-менеджеров.

С точки зрения необходимости решения задач обеспечения информационной безопасности фирмы таких посетителей можно классифицировать следующим образом:

• по степени разрешенного им доступа в помещения фирмы: во все помещения, только в определенные помещения, только к определенному сотруднику, только в операционный зал, общего доступа;

• по степени разрешенного им ознакомления с информацией фирмы: только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми служебными материалами фирмы, только с конкретными конфиденциальными сведениями.

Любые разрешительные действия в отношении посетителей совершаются первым руководителем фирмы и контролируются при реализации службой безопасности.

Работа референта с посторонним посетителем состоит из следующих этапов:

• подготовительный этап;

• идентификация и регистрация посетителя;

• организация приема посетителя руководителем;

• организация дальнейших действий посетителя.

Подготовительный этап предназначен для согласования воз­можности и условий приема посетителя руководством или сотрудником фирмы. Визит, как правило, инициируется самим посетителем и должен быть заранее обсужден им по телефону, электронной почте или факсу с руководителем или референтом, а также с менеджером, если посетитель предполагает решить с ним возникший вопрос.

В процессе согласования визита выясня­ется цель предполагаемого посещения фирмы, состав необходи­мых для ознакомления документов, дата и время посещения.

Визит к руководителю предполагает, что посетителю необходимо ре­шить вопрос, входящий в компетенцию этого должностного лица, или при необходимости получить санкцию руководителя на вы­полнение определенной работы в подразделении фирмы и озна­комление с документами, базами данных. В других случаях посе­тителя следует направить к специалисту-менеджеру, в компе­тенцию которого входит рассмотрение интересующего посетителя вопроса. По результатам согласования уточняется должностное лицо фир­мы, которое вправе решить поставленный посетителем вопрос, корректируются дата и время визита.

После согласования фамилия, имя, отчество посетителя, наименование представляемой организа­ционной структуры и указанные выше сведения вносятся в график приема посетителей фирмы. Составление, уточнение и дополнение графика приема посети­телей является обязанностью референта.

График согласовывается референтом с руководителями и специалистами-менеджерами в начале предыдущего рабочего дня. О намеченном визите и часах приема напоминается будущему посетителю. Ежедневное число посетителей должно соответствовать реаль­ному времени, отведенному руководителем или менеджером на этот вид работы. В часы приема каждой из категорий и групп посе­тителей важно четко определить период нахождения каждого по­сетителя в приемной и кабинете руководителя или на рабочем месте менеджера, для чего устанавливаются очередность приема и предполагаемая продолжительность переговоров. Сложные и дли­тельные по времени вопросы обсуждаются в первую очередь. Осо­бенно четко должен регламентироваться прием лиц, не являю­щихся сотрудниками фирмы.

Следует планировать прием таким образом, чтобы посетители длительное время не находились в при­емной, так как подобные ожидания всегда сопровождаются под­сознательным или умышленным прослушиванием переговоров в приемной, получением значительного объема ценной информации. Возможно фиксирование злоумышленником переговоров с помо­щью диктофона или миниатюрной видеокамеры. Не допускается организовывать очередность приема путем образования так называ­емой «живой очереди». График целесообразно формировать централизованно в виде единой схемы, охватывающей посетителей руководства фирмы и структурных подразделений.

Руководители подразделений и ме­неджеры обязаны ежедневно сообщать референту о согласованных с ними визитах посетителей для включения фамилий в график приема. Это позволяет обеспечить высокую достоверность включа­емых в график сведений и контролировать обоснованность визи­тов посетителей на уровне подразделений фирмы.

В помещениях фирмы не должны находиться посторонние лица, относящие себя к категории посетителей, хотя их визит не был согласован и за­фиксирован в графике приема. На основании графика референт ежедневно в начале рабочего дня сообщает сведения о посетителях и характере разрешенного из доступа к делам фирмы в службу безопасности для оформления пропусков.

Пропуск может оформляться только по инициативе рефе­рента. Одновременно он напоминает сотрудникам структурных под­разделений фамилии посетителей, визит которых намечен на теку­щий день, и время приема. При изменении даты визита необходи­мое исправление вносится в график приема посетителей, а посети­тель в обязательном порядке заблаговременно информируется об этом. С ним согласовывается новая дата визита и время.

Идентификация, т.е. установление соответствия личности посе­тителя сведениям в графике приема и документе, удостоверяю­щем его личность, выполняется на двух уровнях:

а) сотрудником службы безопасности при входе в здание фирмы и выдаче посети­телю пропуска;

б) референтом при входе посетителя в приемную руководителя фирмы, На первом уровне идентифицируется лич­ность посетителя и соответствие фамилии, имени, отчества записи в переданном референтом в службу безопасности перечне посети­телей на конкретный день и час.

При входе в помещение фирмы (кроме операционного зала общего доступа) посетитель обязан предъявить сотруднику службы безопасности паспорт или служеб­ное удостоверение, подтверждающие его личность (но не визит­ную карточку).

Особое внимание обращается на выявление подлинности предоставленного персонального документа и установле­ние соответствия фотокарточки в этом документе внешним дан­ным посетителя. После идентификации посетителю выдается под­готовленный заранее соответствующий визуальный идентифика­тор (пропуск), регламентирующий его права в помещениях фирмы.

Перемещение посетителя в здании осуществляется только в сопро­вождении работника фирмы — секретаря, менеджера, с которым посетитель обговорил свой визит, сотрудника службы безопасности. Все посетители фирмы, в том числе посетители структурных подразделений, сначала направляются к референту с целью их идентификации и регистрации. Войдя в приемную руководства фирмы, посетитель должен предъявить референту удостоверяю­щий его личность документ и предписание.

Идентификация посе­тителя на этом уровне предполагает проверку соответствия его личности, места работы и должности сведениям, указанным в гра­фике приема. При возникновении каких-либо сомнений в личнос­ти посетителя референт может уточнить сведения о нем в органи­зации, которую представляет данное лицо (по телефону, факсу, электронной почте). Если сомнения не устранены, референт дол­жен получить разрешение на доступ данного посетителя в кабинет руководителя или структурное подразделение от начальника службы безопасности фирмы.

После завершения этапа идентификации референт на основе предоставленных документов вносит сведения о посетителе в тра­диционный или электронный журнал учета (регистрации) посети­телей.

Указываются: дата и время приема, фамилия, имя, отчество посетителя, место работы и должность, наименование вопроса, исходные данные предписания, фамилия сотрудника фирмы, от­ветственного за визит, принятое решение. Группа посетителей, при­бывшая для переговоров, регистрируется пофамильно. Записи де­лаются в журнале лично референтом. Не допускается, чтобы посетитель знакомился со сведениями в графике приема и журнале регистрации посетителей, так как информация, включаемая в эти учетные формы, является конфиденциальной, раскрываю­щей деловые связи фирмы.

После регистрации посетители струк­турных подразделений направляются по назначению в сопро­вождении встретивших их секретарей или менеджеров, а посети­тели руководителей фирмы остаются в приемной, и референт приступает к организации их приема руководителем. Ожидаю­щий приема посетитель должен находиться на значительном рас­стоянии от рабочих мест референта, секретаря-референта, секретаря, чтобы он не мог видеть документы, находящиеся на их столах, экран дисплея, прослушивать их переговоры по сред­ствам связи.

Холл для ожидающих приема посетителей может отделяться от рабочего места референта стеклянной тонирован­ной перегородкой. При приеме посетителей референту не разре­шается покидать помещение приемной даже на непродолжитель­ное время.

Переговоры с руководителем ведутся им по соответ­ствующему коммуникативному устройству. В период ожидания посетителем приема референту целесообразно внимательно наблюдать за его поведением, фиксировать возмож­ные странности в движениях, излишнюю возбужденность и т.п. Под особым контролем референта должна находиться группа посе­тителей, ожидающих приема для переговоров по одному вопросу, например заключение контракта, получение согласия на выполне­ние определенной работы и др.

При возникновении каких-либо опасений референт должен вызвать сотрудника службы безопасно­сти, который будет присутствовать в кабинете при беседе руководителя с посетителем или посетителями.

Сотруднику этой службы не следует быть в традиционной униформе подразделения охраны, внешне он не должен отличаться от других работников фирмы. При приеме частных (иногда случайных) лиц руководитель может вести беседу не в рабочем кабинете, а в специально предназначен­ном для этого помещении, в присутствии сотрудника службы бе­зопасности.

Переговоры руководителя с посетителем могут документироваться секретарем-стенографисткой или записываться на магнитный носитель с помощью диктофона, видеокамеры. Посетитель — представитель другой организационной структуры предъявляет руководителю предписание, в котором указываются его полномочия, цель и задачи визита в данную фирму, состав сведений и документов, которые ему необходимы для ознакомле­ния или анализа.

Представление оформляется на бланке организа­ции, подписывается первым руководителем, подпись руководителя заверяется печатью. На предписании руководитель фирмы пишет резолюцию, в которой дает разрешение посетителю на выполнение стоящих перед ним задач, устанавливает порядок и сроки его ра­боты, регламентирует конкретный состав информации, к которой может быть допущен посетитель, назначает сотрудника фирмы, функциональные обязанности которого соответствуют цели визита посетителя, ответственным за работу с этим лицом. Руководитель имеет право не давать разрешения или ограничить характер работы посетителя в фирме.

Устные пожелания посетителя, не имеющего предписания, и пожелания, не устраивающие руководителя, вы­полняться не должны. Прием посетителя или группы посетителей может иметь форму переговоров, например о поставках продукции, финансовой по­мощи, совместных исследованиях и другим вопросам. В перегово­рах могут участвовать сотрудники фирмы, состав которых был заранее определен и внесен в график приема. Ход переговоров обычно фиксируется секретаремстенографисткой. Прием посети­телей (групп посетителей, делегаций) может также иметь форму экскурсий по фирме (предприятию) с целью ознакомления с воз­можностями фирмы и применяемыми прогрессивными технологи­ями. В этом случае заблаговременно определяется маршрут движе­ния группы, состав объектов для ознакомления, готовится и издается иллюстративный материал (проспекты, видеофильмы, Web-страницы на дискетах и др.).

Программа пребывания группы посе­тителей на территории фирмы (предприятия) должна сочетать мак­симальное гостеприимство и высокую степень ограничения в пе­редаче посетителям дозированной информации о производственных и деловых процессах. Лаборатории, исследовательские центры демонстрироваться посетителям не должны. По окончании приема руководителем референт организует даль­нейшие действия посетителя: или посетитель в сопровождении со­трудника службы безопасности направляется к выходу из здания, или секретарь-референт вызывает в приемную секретаря руково­дителя подразделения фирмы или специалиста-менеджера, к которым посетитель направлен для решения важных для него задач, в том числе содержащихся в предписании.

Референт вносит необ­ходимое дополнение в пропуск-идентификатор посетителя, заве­ряя сделанную запись штампом приемной. Соответствующая за­пись делается в журнале регистрации посетителей. При необходи­мости референт предупреждает посетителя о недопустимости раз­глашения полученных во время визита сведений. Целесообразно, чтобы посетитель подписал письменное обязательство о сохране­нии в тайне секретов фирмы. Одновременно референт напоминает руководителю подразделения или менеджеру о порядке предостав­ления посетителю минимально необходимого состава документов и сведений.

Предписание передается референтом лицу, сопровождающему посетителя, для использования в работе и включения в дело; посетителю оно не возвращается. При отрицательном реше­нии руководителя предписание передается им референту для включения в соответствующее дело. Сведения о посетителях, работа которых в здании фирмы будет продолжаться несколько дней или во внерабочее время, вносятся референтом в специальный журнал учета работы посетителей.

Од­новременно эти сведения сообщаются в службу безопасности для выдачи посетителю необходимого пропуска-идентификатора и кон­троля за его пребыванием в здании фирмы. В журнале службы безопасности ежедневно делаются отметки о времени прихода и ухода посетителя. По истечении часов приема посетителей любой категории ка­бинет руководителя осматривается сотрудником службы безопас­ности в присутствии референта с целью обнаружения забытых посетителями вещей, документов, выявления возможно установ­ленных посетителями подслушивающих и записывающих устройств, взрывных, химических и самовозгорающихся материалов и т.п. В подразделениях фирмы соблюдается в целом тот же порядок приема и работы с посетителями.

Посетителю, направленному в подразделение вышестоящим руководителем, с учетом занятости руководителя подразделения или менеджера может быть назначен другой день приема. Однако более правильно организовать работу посетителя таким образом, чтобы в течение одного визита в фир­му он смог решить все необходимые задачи. Посетитель может быть допущен только к тем документам, све­дениям. которые указаны в предписании и работа с которыми ему разрешена в резолюции руководителя. Ознакомление с документами осуществляется в присутствии сотрудника подразделения, назна­ченного в резолюции ответственным за выполнение посетителем порученного ему задания Записи и выписки из документов, кото­рые делает посетитель, могут выполняться на учтенном референ­том носителе и затем пересылаться с курьером по месту работы посетителя. Факт ознакомления посетителя с любым конфиденци­альным или открытым документом фирмы фиксируется в учетной форме этого документа.

На самом документе посетитель ставит визу ознакомления, расшифровку росписи, наименование организации и дату. Не разрешается знакомить посетителя с документами и другими информационными ресурсами фирмы, даже если они свя­заны с целью его визита, без письменной санкции первого руко­водителя фирмы. В устных беседах с посетителем запрещается сооб­щать ему открытые или конфиденциальные сведения, которые не оговорены в резолюции руководителя, делать намек на наличие таких сведений. Все перемещения посетителя в здании фирмы осуществляются в строгом соответствии с выданным ему идентификатором, жела­тельно — в сопровождении менеджера или секретаря. Наблюдение за передвижением и работой посетителя может быть организовано с помощью видеокамер-

Бесконтрольное пребывание посетителя в здании фирмы не допускается. Посетители, нарушившие правила работы с информационными ресурсами фирмы, замеченные в попытке проникновения в другие помещения фирмы или несанк­ционированного получения ценных сведений у персонала, лишают­ся права дальнейшего пребывания в здании фирмы.

По окончании работы в структурном подразделении посетитель покидает здании в сопровождении сотрудника службы безопасности. При выходе посетитель сдает идентификатор (пропуск). Посетитель-злоумышленник, получивший доступ в здание фир­мы, может использовать его в криминальных целях, для создания определенной, выгодной ему экстремальной ситуации. В числе ос­новных видов подобных ситуаций, которые может провоцировать посетитель, следует назвать следующие: поджог или задымление помещений с целью ограбления, овладения документами, делами, личными вещами сотрудников, захват сотрудников в заложники, угроза физического насилия с целью выведать у сотрудника нуж­ные сведения, получить документы, материальные ценности и др.

Самостоятельная ликвидация указанных экстремальных ситуаций силами работников службы безопасности не разрешается, так как требует специальных знаний, умений и осуществляется правоох­ранительными и противопожарными органами. Чтобы предотвратить возникновение по вине посетителей той или иной экстремальной ситуации персонал фирмы должен не­укоснительно соблюдать указанные выше требования безопасности при приеме посетителей и работе с ними. Всегда целесообразнее предупредить экстремальную ситуацию, чем ликвидировать ее по­следствия. Важно, чтобы персонал фирмы был заблаговременно обучен выполнению необходимых действий в случае возникнове­ния конкретной экстремальной ситуации. У каждого сотрудника должна сложиться система устойчивых стереотипов (мотиваций) поведения в неординарных условиях.

Разработка системы противодействия злоумышленнику и обу­чение сотрудников возлагается на службу безопасности. Система предусматривает классификацию экстремальных ситуаций для конкретной фирмы, систематическое проведение учебных заня­тий для должностных групп персонала, работающих с посетите­лями, обучение нормам поведения в том или ином случае, раз­работку схемы оповещения персонала об опасности и вступлении в действие плана эвакуации документов, дел, ценного оборудования, разработку схемы оповещения правоохранительных. и противопожарных органов и служб, схемы эвакуации персо­нала в безопасную зону и др. Обучение персонала должно включать изучение нормативных и плановых документов, решение ситуационных задач и проведение регулярных деловых игр.

Большое значение имеет не только нали­чие необходимых нормативных и плановых документов, схем, про­грамм обучения и инструктирования сотрудников, но и инженерно-техническое обеспечение действий персонала. Здесь следует отме­тить необходимость функционирования в здании фирмы совре­менных средств оповещения: о возгораниях, задымлении, напа­дении на сотрудника и т.п.

Например, при приеме посетителей руководитель и референт должны располагать исправной сигна­лизацией для вызова сотрудника службы безопасности или опо­вещения этой службы о нападении. Устройство включения сигна­лизации должно находиться в доступном и скрытом от злоумыш­ленника месте рабочего стола или на полу.

Следовательно, разработка и использование в практической деятельности любой фирмы эффективной системы обеспечения информационной безопасности в процессе приема и работы с посетителями является одной из важных частей системы защиты ценной информации, охраны материальных ценностей фирмы, жизни и здоровья ее персонала.

 








Дата добавления: 2015-08-14; просмотров: 1247;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.018 сек.