Защита информации при работе с посетителями
Организация приема посетителей имеет не только общеизвестный набор функций, но и другую менее изученную, но актуальную сторону, затрагивающую сферу обеспечения информационной безопасности деятельности фирмы при работе с посетителями. Профессионализм персонала фирмы предполагает сочетание умения организовать эффективную и полезную для фирмы работу с посетителями и одновременно выполнить ее таким образом, чтобы была сохранена конфиденциальность и целостность ценной информации, достигнута безопасность деятельности фирмы. Под посетителем понимается, во-первых, лицо, которому необходимо решить определенный круг деловых или личных вопросов с руководителями и менеджерами фирмы, и, во-вторых, лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности фирмы.
Посетители не только по определению, но и по существу представляют собой сложный и неоднозначный круг людей, что требует прежде всего грамотного решения вопросов защиты ценной, в том числе конфиденциальной, информации от угроз, которые могут создать ей посетители. Поэтому организацию приема посетителей и контроль за работой с ними целесообразно централизовать на уровне референта или секретаря-референта первого руководителя фирмы. Работа именно этого сотрудника фирмы в наибольшей степени связана с посетителями и требует грамотного подхода к ее выполнению.
Процесс защиты информации при приеме посетителей предполагает проведение четкой их классификации, на базе которой формируется система ограничительных, технологических, контрольных и аналитических мер, призванных не допустить несанкционированный доступ к ним посетителей. Эти меры позволяют также в определенной степени гарантировать физическую безопасность сотрудников, работающих с посетителями. Прием посетителей и установление с ними деловых взаимоотношений достаточно сложный процесс для руководителей фирмы и ее структурных подразделений (направлений деятельности), специалистов-менеджеров. На уровне руководителей фирмы посетителей можно разделить на две категории: сотрудники фирмы и посетители, не являющиеся ее сотрудниками.
К посетителям — сотрудникам фирмы относятся:
• сотрудники, имеющие право свободного входа в кабинет руководителя в любое время рабочего дня (заместители руководителя, референты, секретари);
• сотрудники, работающие с руководителем в режиме вызова; или решающие с ним деловые вопросы в часы приема по служебным делам (нижестоящие руководители, эксперты, специалисты-менеджеры);
• сотрудники, инициирующие свой прием руководителем в часы приема по личным вопросам.
Угрозы информационной безопасности, исходящие от посетителей-сотрудников, могут наступить в случае, если эти сотрудники являются злоумышленниками (тайными представителями конкурирующих фирм, агентами служб промышленного или экономического шпионажа, криминальных структур) или их сообщниками.
Состав угроз может быть самым разнообразным: от кражи документов со стола руководителя до выведывания нужной информации с помощью хорошо подготовленного перечня, на первый взгляд, безобидных вопросов. Может случиться также, что сотрудник, получивший при общении с руководителем больший объем ценной информации, чем это необходимо ему для работы, разглашает ее постороннему лицу по причине элементарной безответственности.
Посетители, не являющиеся сотрудниками фирмы, в соответствии с характером их взаимоотношений с фирмой могут подразделяться на:
• лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью фирмы (акционеры, члены различных советов и др.);
• представителей государственных учреждений и организаций, с которыми фирма сотрудничает в соответствии с законом (работники различных инспекций, муниципальных органов управления, правоохранительных органов и др.);
• сотрудничающих с фирмой физических лиц и представителей предприятий и организаций, банков, рекламных агентств, торговых представительств, средств массовой информации (клиенты, партнеры, коммерсанты, инвесторы, спонсоры, журналисты и др.);
• представителей иных государственных и негосударственных структур, с которыми фирма не имеет деловых отношений;
• частных лиц.
Перечисленные представители и лица должны находиться под особо внимательным контролем референта, так как если они относятся к категории злоумышленников, спектр исходящей от них опасности крайне велик и определяется теми целями, которые перед ними поставлены.
Утрата информации может идти по организационным или техническим каналам или в сочетании того и другого. Например: шантаж руководителя и запись беседы на диктофон, установка подслушивающего устройства, фотографирование документов на столе руководителя и др. Не исключено силовое воздействие на руководителя в целях получения нужных сведений.
На уровне руководителей подразделений и специалистов-менеджеров фирмы выделяются аналогичные группы посетителей, но в каждой категории и группе посетители делятся на:
1) направленных руководителем
2) пришедших на прием без санкции руководителя.
При приеме руководителем фирмы любой из указанных категорий и групп посетителей референту следует соблюдать следующие основные правила организации приема. Руководитель не должен принимать посетителей во время, выделенное для творческой работы с документами и базами электронных данных, особенно конфиденциальными.,
При вызове кого-либо из менеджеров в связи с работой над документом на столе руководителя должен находиться только тот документ, с которым он работает, другие документы следует хранить в запертом сейфе или металлическом шкафу. Целесообразно, чтобы в это время в кабинет руководите-. ля никто не заходил без вызова, в том числе и лица, имеющие право свободного входа в кабинет.
В целях ограничения возможностей для злоумышленника получить необходимые ему сведения за счет неупорядоченной организации труда руководителя, суеты в работе с документами и посетителями для приема посетителей любых категорий следует выделить специальные часы, в течение которых руководитель не должен работать с документами, не относящимися к визиту того или иного лица, или вести деловые переговоры по телефону. Различные категории посетителей целесообразно принимать в разные часы.
Прежде всего выделяется время для ежедневного приема нижестоящих руководителей и менеджеров фирмы по служебным вопросам. Во-вторых, выделяется время для ежедневного приема посетителей, не являющихся сотрудниками фирмы, но представляющих ту или иную организационную структуру. В-третьих, отдельные часы приема выделяются в разные дни для частных (посторонних) лиц, которым необходимо решить вопрос, относящийся к компетенции руководителя. В часы приема указанных категорий посетителей любые сотрудники фирмы могут посещать руководителя только по вызову и только по вопросу, связанному с визитом конкретного посетителя.
В-четвертых, периодически выделяются часы приема сотрудников фирмы по личным вопросам. Посетители, в том числе сотрудники фирмы, не должны входить в кабинет руководителя в пальто, шубе или иметь при себе объемные кейсы, чемоданы, сумки — их следует оставлять в приемной. Не допускается оставлять посетителя одного при выходе руководителя из кабинета. Во время отсутствия руководителя никто из посетителей или персонала фирмы не должен входить в его кабинет. Наиболее тщательно должна быть организована работа референта с посетителями, которые не являются сотрудниками фирмы.
Следует учитывать, что посещение руководителя, как правило, является начальной стадией их визита в фирму. Другие стадии, в соответствии с решением руководителя, будут связаны с посещением нижестоящих руководителей и специалистов-менеджеров.
С точки зрения необходимости решения задач обеспечения информационной безопасности фирмы таких посетителей можно классифицировать следующим образом:
• по степени разрешенного им доступа в помещения фирмы: во все помещения, только в определенные помещения, только к определенному сотруднику, только в операционный зал, общего доступа;
• по степени разрешенного им ознакомления с информацией фирмы: только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми служебными материалами фирмы, только с конкретными конфиденциальными сведениями.
Любые разрешительные действия в отношении посетителей совершаются первым руководителем фирмы и контролируются при реализации службой безопасности.
Работа референта с посторонним посетителем состоит из следующих этапов:
• подготовительный этап;
• идентификация и регистрация посетителя;
• организация приема посетителя руководителем;
• организация дальнейших действий посетителя.
Подготовительный этап предназначен для согласования возможности и условий приема посетителя руководством или сотрудником фирмы. Визит, как правило, инициируется самим посетителем и должен быть заранее обсужден им по телефону, электронной почте или факсу с руководителем или референтом, а также с менеджером, если посетитель предполагает решить с ним возникший вопрос.
В процессе согласования визита выясняется цель предполагаемого посещения фирмы, состав необходимых для ознакомления документов, дата и время посещения.
Визит к руководителю предполагает, что посетителю необходимо решить вопрос, входящий в компетенцию этого должностного лица, или при необходимости получить санкцию руководителя на выполнение определенной работы в подразделении фирмы и ознакомление с документами, базами данных. В других случаях посетителя следует направить к специалисту-менеджеру, в компетенцию которого входит рассмотрение интересующего посетителя вопроса. По результатам согласования уточняется должностное лицо фирмы, которое вправе решить поставленный посетителем вопрос, корректируются дата и время визита.
После согласования фамилия, имя, отчество посетителя, наименование представляемой организационной структуры и указанные выше сведения вносятся в график приема посетителей фирмы. Составление, уточнение и дополнение графика приема посетителей является обязанностью референта.
График согласовывается референтом с руководителями и специалистами-менеджерами в начале предыдущего рабочего дня. О намеченном визите и часах приема напоминается будущему посетителю. Ежедневное число посетителей должно соответствовать реальному времени, отведенному руководителем или менеджером на этот вид работы. В часы приема каждой из категорий и групп посетителей важно четко определить период нахождения каждого посетителя в приемной и кабинете руководителя или на рабочем месте менеджера, для чего устанавливаются очередность приема и предполагаемая продолжительность переговоров. Сложные и длительные по времени вопросы обсуждаются в первую очередь. Особенно четко должен регламентироваться прием лиц, не являющихся сотрудниками фирмы.
Следует планировать прием таким образом, чтобы посетители длительное время не находились в приемной, так как подобные ожидания всегда сопровождаются подсознательным или умышленным прослушиванием переговоров в приемной, получением значительного объема ценной информации. Возможно фиксирование злоумышленником переговоров с помощью диктофона или миниатюрной видеокамеры. Не допускается организовывать очередность приема путем образования так называемой «живой очереди». График целесообразно формировать централизованно в виде единой схемы, охватывающей посетителей руководства фирмы и структурных подразделений.
Руководители подразделений и менеджеры обязаны ежедневно сообщать референту о согласованных с ними визитах посетителей для включения фамилий в график приема. Это позволяет обеспечить высокую достоверность включаемых в график сведений и контролировать обоснованность визитов посетителей на уровне подразделений фирмы.
В помещениях фирмы не должны находиться посторонние лица, относящие себя к категории посетителей, хотя их визит не был согласован и зафиксирован в графике приема. На основании графика референт ежедневно в начале рабочего дня сообщает сведения о посетителях и характере разрешенного из доступа к делам фирмы в службу безопасности для оформления пропусков.
Пропуск может оформляться только по инициативе референта. Одновременно он напоминает сотрудникам структурных подразделений фамилии посетителей, визит которых намечен на текущий день, и время приема. При изменении даты визита необходимое исправление вносится в график приема посетителей, а посетитель в обязательном порядке заблаговременно информируется об этом. С ним согласовывается новая дата визита и время.
Идентификация, т.е. установление соответствия личности посетителя сведениям в графике приема и документе, удостоверяющем его личность, выполняется на двух уровнях:
а) сотрудником службы безопасности при входе в здание фирмы и выдаче посетителю пропуска;
б) референтом при входе посетителя в приемную руководителя фирмы, На первом уровне идентифицируется личность посетителя и соответствие фамилии, имени, отчества записи в переданном референтом в службу безопасности перечне посетителей на конкретный день и час.
При входе в помещение фирмы (кроме операционного зала общего доступа) посетитель обязан предъявить сотруднику службы безопасности паспорт или служебное удостоверение, подтверждающие его личность (но не визитную карточку).
Особое внимание обращается на выявление подлинности предоставленного персонального документа и установление соответствия фотокарточки в этом документе внешним данным посетителя. После идентификации посетителю выдается подготовленный заранее соответствующий визуальный идентификатор (пропуск), регламентирующий его права в помещениях фирмы.
Перемещение посетителя в здании осуществляется только в сопровождении работника фирмы — секретаря, менеджера, с которым посетитель обговорил свой визит, сотрудника службы безопасности. Все посетители фирмы, в том числе посетители структурных подразделений, сначала направляются к референту с целью их идентификации и регистрации. Войдя в приемную руководства фирмы, посетитель должен предъявить референту удостоверяющий его личность документ и предписание.
Идентификация посетителя на этом уровне предполагает проверку соответствия его личности, места работы и должности сведениям, указанным в графике приема. При возникновении каких-либо сомнений в личности посетителя референт может уточнить сведения о нем в организации, которую представляет данное лицо (по телефону, факсу, электронной почте). Если сомнения не устранены, референт должен получить разрешение на доступ данного посетителя в кабинет руководителя или структурное подразделение от начальника службы безопасности фирмы.
После завершения этапа идентификации референт на основе предоставленных документов вносит сведения о посетителе в традиционный или электронный журнал учета (регистрации) посетителей.
Указываются: дата и время приема, фамилия, имя, отчество посетителя, место работы и должность, наименование вопроса, исходные данные предписания, фамилия сотрудника фирмы, ответственного за визит, принятое решение. Группа посетителей, прибывшая для переговоров, регистрируется пофамильно. Записи делаются в журнале лично референтом. Не допускается, чтобы посетитель знакомился со сведениями в графике приема и журнале регистрации посетителей, так как информация, включаемая в эти учетные формы, является конфиденциальной, раскрывающей деловые связи фирмы.
После регистрации посетители структурных подразделений направляются по назначению в сопровождении встретивших их секретарей или менеджеров, а посетители руководителей фирмы остаются в приемной, и референт приступает к организации их приема руководителем. Ожидающий приема посетитель должен находиться на значительном расстоянии от рабочих мест референта, секретаря-референта, секретаря, чтобы он не мог видеть документы, находящиеся на их столах, экран дисплея, прослушивать их переговоры по средствам связи.
Холл для ожидающих приема посетителей может отделяться от рабочего места референта стеклянной тонированной перегородкой. При приеме посетителей референту не разрешается покидать помещение приемной даже на непродолжительное время.
Переговоры с руководителем ведутся им по соответствующему коммуникативному устройству. В период ожидания посетителем приема референту целесообразно внимательно наблюдать за его поведением, фиксировать возможные странности в движениях, излишнюю возбужденность и т.п. Под особым контролем референта должна находиться группа посетителей, ожидающих приема для переговоров по одному вопросу, например заключение контракта, получение согласия на выполнение определенной работы и др.
При возникновении каких-либо опасений референт должен вызвать сотрудника службы безопасности, который будет присутствовать в кабинете при беседе руководителя с посетителем или посетителями.
Сотруднику этой службы не следует быть в традиционной униформе подразделения охраны, внешне он не должен отличаться от других работников фирмы. При приеме частных (иногда случайных) лиц руководитель может вести беседу не в рабочем кабинете, а в специально предназначенном для этого помещении, в присутствии сотрудника службы безопасности.
Переговоры руководителя с посетителем могут документироваться секретарем-стенографисткой или записываться на магнитный носитель с помощью диктофона, видеокамеры. Посетитель — представитель другой организационной структуры предъявляет руководителю предписание, в котором указываются его полномочия, цель и задачи визита в данную фирму, состав сведений и документов, которые ему необходимы для ознакомления или анализа.
Представление оформляется на бланке организации, подписывается первым руководителем, подпись руководителя заверяется печатью. На предписании руководитель фирмы пишет резолюцию, в которой дает разрешение посетителю на выполнение стоящих перед ним задач, устанавливает порядок и сроки его работы, регламентирует конкретный состав информации, к которой может быть допущен посетитель, назначает сотрудника фирмы, функциональные обязанности которого соответствуют цели визита посетителя, ответственным за работу с этим лицом. Руководитель имеет право не давать разрешения или ограничить характер работы посетителя в фирме.
Устные пожелания посетителя, не имеющего предписания, и пожелания, не устраивающие руководителя, выполняться не должны. Прием посетителя или группы посетителей может иметь форму переговоров, например о поставках продукции, финансовой помощи, совместных исследованиях и другим вопросам. В переговорах могут участвовать сотрудники фирмы, состав которых был заранее определен и внесен в график приема. Ход переговоров обычно фиксируется секретаремстенографисткой. Прием посетителей (групп посетителей, делегаций) может также иметь форму экскурсий по фирме (предприятию) с целью ознакомления с возможностями фирмы и применяемыми прогрессивными технологиями. В этом случае заблаговременно определяется маршрут движения группы, состав объектов для ознакомления, готовится и издается иллюстративный материал (проспекты, видеофильмы, Web-страницы на дискетах и др.).
Программа пребывания группы посетителей на территории фирмы (предприятия) должна сочетать максимальное гостеприимство и высокую степень ограничения в передаче посетителям дозированной информации о производственных и деловых процессах. Лаборатории, исследовательские центры демонстрироваться посетителям не должны. По окончании приема руководителем референт организует дальнейшие действия посетителя: или посетитель в сопровождении сотрудника службы безопасности направляется к выходу из здания, или секретарь-референт вызывает в приемную секретаря руководителя подразделения фирмы или специалиста-менеджера, к которым посетитель направлен для решения важных для него задач, в том числе содержащихся в предписании.
Референт вносит необходимое дополнение в пропуск-идентификатор посетителя, заверяя сделанную запись штампом приемной. Соответствующая запись делается в журнале регистрации посетителей. При необходимости референт предупреждает посетителя о недопустимости разглашения полученных во время визита сведений. Целесообразно, чтобы посетитель подписал письменное обязательство о сохранении в тайне секретов фирмы. Одновременно референт напоминает руководителю подразделения или менеджеру о порядке предоставления посетителю минимально необходимого состава документов и сведений.
Предписание передается референтом лицу, сопровождающему посетителя, для использования в работе и включения в дело; посетителю оно не возвращается. При отрицательном решении руководителя предписание передается им референту для включения в соответствующее дело. Сведения о посетителях, работа которых в здании фирмы будет продолжаться несколько дней или во внерабочее время, вносятся референтом в специальный журнал учета работы посетителей.
Одновременно эти сведения сообщаются в службу безопасности для выдачи посетителю необходимого пропуска-идентификатора и контроля за его пребыванием в здании фирмы. В журнале службы безопасности ежедневно делаются отметки о времени прихода и ухода посетителя. По истечении часов приема посетителей любой категории кабинет руководителя осматривается сотрудником службы безопасности в присутствии референта с целью обнаружения забытых посетителями вещей, документов, выявления возможно установленных посетителями подслушивающих и записывающих устройств, взрывных, химических и самовозгорающихся материалов и т.п. В подразделениях фирмы соблюдается в целом тот же порядок приема и работы с посетителями.
Посетителю, направленному в подразделение вышестоящим руководителем, с учетом занятости руководителя подразделения или менеджера может быть назначен другой день приема. Однако более правильно организовать работу посетителя таким образом, чтобы в течение одного визита в фирму он смог решить все необходимые задачи. Посетитель может быть допущен только к тем документам, сведениям. которые указаны в предписании и работа с которыми ему разрешена в резолюции руководителя. Ознакомление с документами осуществляется в присутствии сотрудника подразделения, назначенного в резолюции ответственным за выполнение посетителем порученного ему задания Записи и выписки из документов, которые делает посетитель, могут выполняться на учтенном референтом носителе и затем пересылаться с курьером по месту работы посетителя. Факт ознакомления посетителя с любым конфиденциальным или открытым документом фирмы фиксируется в учетной форме этого документа.
На самом документе посетитель ставит визу ознакомления, расшифровку росписи, наименование организации и дату. Не разрешается знакомить посетителя с документами и другими информационными ресурсами фирмы, даже если они связаны с целью его визита, без письменной санкции первого руководителя фирмы. В устных беседах с посетителем запрещается сообщать ему открытые или конфиденциальные сведения, которые не оговорены в резолюции руководителя, делать намек на наличие таких сведений. Все перемещения посетителя в здании фирмы осуществляются в строгом соответствии с выданным ему идентификатором, желательно — в сопровождении менеджера или секретаря. Наблюдение за передвижением и работой посетителя может быть организовано с помощью видеокамер-
Бесконтрольное пребывание посетителя в здании фирмы не допускается. Посетители, нарушившие правила работы с информационными ресурсами фирмы, замеченные в попытке проникновения в другие помещения фирмы или несанкционированного получения ценных сведений у персонала, лишаются права дальнейшего пребывания в здании фирмы.
По окончании работы в структурном подразделении посетитель покидает здании в сопровождении сотрудника службы безопасности. При выходе посетитель сдает идентификатор (пропуск). Посетитель-злоумышленник, получивший доступ в здание фирмы, может использовать его в криминальных целях, для создания определенной, выгодной ему экстремальной ситуации. В числе основных видов подобных ситуаций, которые может провоцировать посетитель, следует назвать следующие: поджог или задымление помещений с целью ограбления, овладения документами, делами, личными вещами сотрудников, захват сотрудников в заложники, угроза физического насилия с целью выведать у сотрудника нужные сведения, получить документы, материальные ценности и др.
Самостоятельная ликвидация указанных экстремальных ситуаций силами работников службы безопасности не разрешается, так как требует специальных знаний, умений и осуществляется правоохранительными и противопожарными органами. Чтобы предотвратить возникновение по вине посетителей той или иной экстремальной ситуации персонал фирмы должен неукоснительно соблюдать указанные выше требования безопасности при приеме посетителей и работе с ними. Всегда целесообразнее предупредить экстремальную ситуацию, чем ликвидировать ее последствия. Важно, чтобы персонал фирмы был заблаговременно обучен выполнению необходимых действий в случае возникновения конкретной экстремальной ситуации. У каждого сотрудника должна сложиться система устойчивых стереотипов (мотиваций) поведения в неординарных условиях.
Разработка системы противодействия злоумышленнику и обучение сотрудников возлагается на службу безопасности. Система предусматривает классификацию экстремальных ситуаций для конкретной фирмы, систематическое проведение учебных занятий для должностных групп персонала, работающих с посетителями, обучение нормам поведения в том или ином случае, разработку схемы оповещения персонала об опасности и вступлении в действие плана эвакуации документов, дел, ценного оборудования, разработку схемы оповещения правоохранительных. и противопожарных органов и служб, схемы эвакуации персонала в безопасную зону и др. Обучение персонала должно включать изучение нормативных и плановых документов, решение ситуационных задач и проведение регулярных деловых игр.
Большое значение имеет не только наличие необходимых нормативных и плановых документов, схем, программ обучения и инструктирования сотрудников, но и инженерно-техническое обеспечение действий персонала. Здесь следует отметить необходимость функционирования в здании фирмы современных средств оповещения: о возгораниях, задымлении, нападении на сотрудника и т.п.
Например, при приеме посетителей руководитель и референт должны располагать исправной сигнализацией для вызова сотрудника службы безопасности или оповещения этой службы о нападении. Устройство включения сигнализации должно находиться в доступном и скрытом от злоумышленника месте рабочего стола или на полу.
Следовательно, разработка и использование в практической деятельности любой фирмы эффективной системы обеспечения информационной безопасности в процессе приема и работы с посетителями является одной из важных частей системы защиты ценной информации, охраны материальных ценностей фирмы, жизни и здоровья ее персонала.
Дата добавления: 2015-08-14; просмотров: 1241;