Организация внутриобъектового режима

Внутриобъектовый режим обеспечивает выполнение требований безопасности на территории и в служебных помещениях режимного объекта и направлен, как правило, на противодействие внутренним угрозам.

К организационному обеспечению внутриобъектового режима традиционно относят мероприятия по обеспечению охраны выделенных помещений, категорированных по специальным требованиям безопасности. Так, посещение посетителями данных помещений ограничивается организационно-техническими мерами. После окончания работы в них все двери, окна и форточки должны быть надежно заперты, поставлены на охранную сигнализацию и опечатаны. Все ключи от дверей охранных зон должны быть сданы на охранный пост с отметкой в специальном журнале, с подписью лиц, сдавших и принявших ключи. Отключение охранной сигнализации и выдачу ключей для вскрытия помещений осуществляет дежурный охраны поста по требованию лиц, имеющих на это право, на основании списка и подписи сотрудников в специальном журнале. Все сотрудники, имеющие санкционированный доступ в охранные зоны, должны знать способы извещения оперативно-дежурных служб. В охранных зонах запрещается фото-, кино-, видеосъемка, а также пользование мобильными телефонами и портативными ЭВМ.

Более опасным внутренним угрозам должен соответствовать и больший объем деятельности по организации внутриобъектового режима, к которой целесообразно отнести режим секретности и конфиденциального делопроизводства; режим противодействия утечки информации по техническим каналам.

Иногда, учитывая важность и значительный объем мероприятий по организации указанных режимов, их выделяют в самостоятельные направления деятельности службы безопасности, хотя по существу это также отдельные составляющие внутриобъектового режима.

Режим секретности и конфиденциального делопроизводства устанавливается в соответствии с нормами информационного права, согласно которым государственные информационные ресурсы, а по умолчанию и ресурсы коммерческих структур, могут иметь: различные правовые режимы открытые (общедоступные) и с ограниченным доступом, охраняемые в режиме некоторой тайны.

В зависимости от вида тайны режим ограничения доступа к информационным ресурсам с организационно-правовой точки зрения имеет существенные различия.

Так, для сведений, составляющих государственную тайну, законодательно устанавливается единый порядок их выделения, использования и обращения. В соответствии с законодательством в области защиты государственной тайны уполномоченными органами исполнительной власти вводятся очень жесткие обязательные нормы государственного регулирования практически всех организационных процедур. Их нарушение влечет за собой определенную юридическую ответственность.

Для сведений конфиденциального характера законодательные нормы, как правило, имеют декларативный характер. Незначительное количество прописанных в законах норм можно рассматривать лишь как рекомендации обладателю информации, который вправе сам принимать решения о ее защите. В связи с этим он сам принимает на себя весь риск, связанный с реализацией угроз информационной безопасности. Хотя в нынешнем уголовном кодексе существует статья, в соответствии с которой можно понести наказание за разглашение банковской или коммерческой тайны, судебная практика весьма ограничена. Поэтому ответственность, как правило, ограничивается мерами дисциплинарного воздействия и лишь в редких случаях — гражданской ответственностью.

Практика защиты несекретных сведений служебного характера имеет несколько другой характер. После принятия в 1993 г. Закона Российской Федерации «О государственной тайне» Правительством Российской Федерации было принято постановление от 13 ноября 1994 г. № 1233, которое ввело в действие «Положение о порядке обращения служебной информации ограниченного распространения в федеральных органах исполнительной власти». Согласно этому нормативному правовому акту, «к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничение на распространение которой диктуется служебной необходимостью». Указанный нормативный акт заложил правовую основу для широкого распространения на практике простых и хорошо известных организационных процедур делопроизводства и обращения документов с пометкой «Для служебного пользования». В частности, такой порядок принят в банковской системе Российской Федерации.

Совет директоров Банка России утвердил аналогичное положение для подведомственных организаций, причем в отличие от правительственного акта к сведениям ограниченного распространения отнесены банковская, коммерческая и служебная тайны.

Рассматривая различные правовые режимы информации, следует отметить, что отнесение тех или иных сведений к категории открытой (общедоступной) информации не означает наличия права их бесконтрольного использования. Речь идет, прежде всего, о так называемой интеллектуальной собственности, к которой, в частности, относятся программы для ЭВМ и базы данных, имеющих правовой статус объектов авторского права. Если такие объекты создаются в рамках выполнения служебного задания, то имущественные права на них принадлежат работодателю и, соответственно, эти объекты также должны быть включены в перечень защищаемых активов.

Режим секретности устанавливает единый порядок обращения со сведениями, составляющими государственную тайну, и предназначен прежде всего для противодействия утечке секретной информации по агентурным каналам, т.е. угрозам от внутренних нарушителей.

Организация режима секретности включает проведение следующих процедур:

· засекречивание (рассекречивание) путем установления степени секретности сведений, содержащихся в документах, используемых или создаваемых на режимном объекте;

· оформление допуска, т.е. особых видов документов, подтверждающих наличие у сотрудника санкции на работу с документами, содержащими государственную тайну;

· контроль выполнения должностными лицами установленных правил работы с секретными документами;

· ведение секретного делопроизводства.

Засекречивание сведений инициируется исполнителем документа на основании действующего на предприятии и утвержденного его руководителем перечня сведений, составляющих государственную тайну. Разработку такого перечня осуществляют сотрудники режимно-секретных органов (РСО), структурно входящие в службу безопасности на основании отраслевых или ведомственных перечней, утвержденных уполномоченным руководителем органа государственной власти, применительно к специфике своего предприятия.

Проект перечня рассматривается специально создаваемой из числа ведущих специалистов предприятия экспертной комиссией, после заключения которой перечень утверждается руководителем предприятия.

Сведения, включенные в перечень, должны быть сгруппированы по степени их секретности. В соответствии с правилами, утвержденными Правительством Российской Федерации 4 сентября 1995 г., к сведениям особой важности относят сведения, распространение которых может нанести ущерб в одной или нескольких областях деятельности, указанных в законе о государственной тайне. К совершенно секретным относятся сведения, разглашение которых связано с ущербом на уровне федерального органа исполнительной власти или отрасли экономики, к секретным — на уровне предприятия, учреждения и организации.

Перечень должен пересматриваться по мере изменения существенных условий деятельности предприятия, но не реже, чем через пять лет. Для рассекречивания или проверки обоснованности также используется механизм комиссионной экспертной оценки, проводимой с участием работников РСО, с обязательным утверждением результатов руководителем предприятия.

Допуск работников к сведениям, составляющим государственную тайну, означает формальное санкционирование возможности работы с такими сведениями, в то время как доступ — это санкционированное полномочным должностным лицом ознакомление с конкретными сведениями. Организационные процедуры оформления допуска регламентируются соответствующей инструкцией, утвержденной Постановлением Правительства Российской Федерации от 28 октября 1995 г. № 1050. Начальным этапом этого процесса является разработка сроком на 5 лет номенклатуры должностей предприятия, подлежащих оформлению на допуск к сведениям, составляющим государственную тайну. Такая номенклатура является необходимым документом для последующего согласования и взаимодействия с уполномоченным органом государственной власти, осуществляющим проверочные мероприятия. Наименование должностей должно соответствовать конкретно выполняемой работе с использованием государственной тайны с учетом степени секретности используемых сведений. Каждой степени секретности соответствует своя форма допуска: первая — особой важности, вторая — совершенно секретно, третья — секретно. Это означает, что работник с первой формой допуска может быть допущен ко всем сведениям, составляющим государственную тайну; наличие второй формы дает возможность работы с совершенно секретными и секретными сведениями; наличие третьей — только с секретными.

Очевидно, что каждой форме допуска соответствуют различные объем и уровень проверочных мероприятий. Если в случае допуска по первой и второй форме проверка осуществляется уполномоченным органом государственной власти, то для третьей формы допуск оформляется РСО самого предприятия, за исключением руководителей, работников специальных объектов и лиц, имеющих двойное гражданство.

Участие самого работника в процедуре оформления допуска заключается в правильном и достоверном заполнении анкеты и подписании договора об оформлении допуска к государственной тайне. В договор, наряду с типовыми условиями, рекомендуется включать особые пункты, например, конкретные сроки ограничения выезда за границу, порядок хранения заграничного паспорта и т.д.

При снижении степени секретности используемых работником сведений форма допуска может быть понижена на основании решения руководителя предприятия с возможностью ее восстановления без дополнительных проверочных мероприятий.

Основной контроль и учет деятельности сотрудника с использованием сведений, составляющих государственную тайну, проводится путем оформления доступа. Данные процедуры включают получение письменной санкции уполномоченного должностного лица на использование строго дозированного объема таких сведений, выдачу документов под расписку, занесение факта использования конкретных сведений в учетную карточку. Оформление доступа лицам, прибывшим в служебную командировку, производится лишь при наличии удостоверения личности, предписания на выполнение соответствующего задания и справки о наличии допуска.

При обращении секретных документов РСО обеспечивают периодический контроль выполнения должностными лицами следующих правил:

· любая передача секретных документов сопровождается собственноручной подписью участников процедуры с регистрацией в учетных формах РСО;

· работа с секретными документами может осуществляться только в специально аттестованных по требованиям безопасности информации служебных помещениях;

· при работе с секретными документами на рабочем месте должен находиться минимально требуемый объем сведений, составляющих государственную тайну;

· хранение секретных документов производится в специально оборудованных хранилищах (библиотеках) РСО, в сейфах с обеспечением минимально возможного риска их утраты за счет пожаров, протечек и т.д.

· выдача секретных документов на руки исполнителям производится на период не более одного рабочего дня, при временном выходе из рабочего помещения исполнитель обязан убрать секретный документ в свой личный сейф;

· запрещается хранение секретных документов в рабочих столах вместе с несекретными материалами;

· при приеме посетителей секретные документы должны находиться в положении, неудобном для обозрения;

· категорически запрещается вынос секретных документов за пределы охраняемого периметра режимного объекта;

· при окончании работы с секретными документами необходимо проверить их и сдать в библиотеку РСО.

Секретное делопроизводство задает организационные механизмы, правила и процедуры работы с государственной тайной. Документы, содержащие секретные сведения, могут разрабатываться только в специальных блокнотах и рабочих тетрадях, подлежащих учету, регистрации и хранению в библиотеках РСО. Создается минимально возможное количество копий секретного документа, определяемое исключительно служебной необходимостью. Разрабатываемый документ должен содержать минимально возможный объем секретных сведений, необходимых для понимания сути его содержания. Для копирования секретных документов предусматривается специальная разрешительная процедура его осуществления исключительно через РСО. Документирование, т.е. оформление по нормативно установленным правилам, осуществляют сотрудники РСО с обязательным указанием грифа секретности, номера каждого экземпляра, места разработки, исполнителей, количества листов экземпляров и датой документирования.

Передача секретных документов третьим лицам производится исключительно РСО предприятия. Полностью оформленный документ перед отправкой помещается в специальную упаковку (пакет), исключающую несанкционированный доступ. Пересылка секретных документов в другие города осуществляется службами специальной почтовой связи; в рамках одного города используют собственных курьеров, которых обеспечивают служебным транспортом и охраной.

Учет передачи документов осуществляется путем регистрации в разносных книгах, по распискам, реестрам под собственноручную подпись ответственного сотрудника РСО принимающей стороны, которая скрепляется печатью с проставлением времени и числа. Как и каждый документ, секретные сведения имеют свой жизненный цикл, по окончании которого их материальные носители подлежат физическому уничтожению. Для проведения этой процедуры приказом руководителя предприятия назначается комиссия в составе не менее трех человек. Комиссия уточняет необходимость и обоснованность уничтожения, проводит сверку уничтожаемых носителей по журналам и карточкам учета, составляет соответствующий акт, который представляется на утверждение руководителю предприятия и передается на учет и хранение в РСО.

В соответствии с законодательством режим защиты конфиденциальных сведений определяется собственником (владельцем, обладателем) информационного ресурса. Поэтому задача организации по созданию и обращению несекретных документов конфиденциального характера не имеет общепринятых типовых решений. В частности, широко распространены рекомендации по защите коммерческой тайны, которые предусматривают процедуры, аналогичные установленным для секретного делопроизводства. В то же время в практической деятельности наиболее часто используется режим делопроизводства и обращения документов с пометкой «Для служебного пользования» (ДСП). Как правило, этот режим предусматривает:

· отнесение сведений к категории ограниченного распространения, он определяется исполнителем и утверждается должностным лицом, подписывающим соответствующий документ (пометка «ДСП» и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на сопроводительном письме к такому документу);

· прием и учет (регистрация) документов осуществляется канцеляриями, ведущими прием и учет несекретной документации;

· при создании документа с пометкой «ДСП» на обороте последнего листа указывается количество распечатанных экземпляров, исполнители и дата оформления (оформленные документы вместе с черновиками и вариантами проекта передаются в службу регистрации для регистрации и уничтожения черновиков с отражением этого факта в учетных формах);

· отдельный учет от несекретной документации;

· осуществление передачи с разрешения руководителя исключительно под расписку, а пересылку — заказными или ценными почтовыми отправлениями;

· размножение — только с разрешения уполномоченного должностного лица с поэкземплярным учетом;

· хранение в надежно запираемых и опечатываемых шкафах;

· группировку исполненных документов в дела, соответствующие номенклатуре дел несекретного делопроизводства, с проставлением на обложке дела пометки «ДСП»;

· комиссионную проверку наличия документов, которая проводится не реже одного раза в год.

Одной из важнейших функций внутриобъектового режима является противодействие технической разведке. Под ней понимается комплекс мероприятий организационно-технического характера, проводимых с целью исключения или существенного затруднения получения данных о режимном объекте по техническим каналам утечки информации. В практике защиты коммерческих секретов этот вид деятельности получил название «защита от промышленного шпионажа».

Данное направление деятельности среди различных аспектов защиты информации имеет важное самостоятельное значение, особенно в случае защиты сведений, составляющих государственную тайну. Перечень одних только видов технической разведки насчитывает более 20, начиная от космического наблюдения до снятия акустической информации с каналов связи общего пользования. И, как правило, эффективное противодействие также осуществляется техническими методами и средствами. Главной организационной составляющей этого направления для обеспечения внутриобъектового режима является создание такой структуры, как постоянно действующая техническая комиссия (ПДТК), в состав которой, кроме ответственных работников РСО, включаются также квалифицированные и компетентные технические специалисты предприятия.

ПДТК является консультативным органом при руководителе предприятия по вопросам режима секретности и противодействия техническим разведкам.

К основным функциям и задачам ПДТК относятся:

· выявление возможных технических каналов утечки информации, присущих данному предприятию;

· планирование и координация всех внутренних мероприятий по обеспечению режима секретности и противодействию технической разведке;

· экспертиза проектов по разработке и результатам реализации мероприятий по своевременному закрытию выявленных каналов утечки информации с ограниченным доступом;

· организация и ведение общей профилактической работы по защите информации ограниченного доступа от технических разведок.

Минимально возможный объем таких мероприятий сводится к выделению и оборудованию техническими средствами противодействия специальных помещений (охранных зон) и разработки соответствующих правил их эксплуатации.

Хорошей практикой, использование которой в государственной системе защиты информации является обязательной, служит аттестация объектов информатизации по требованиям безопасности информации. Организацию этой деятельности осуществляет Федеральная служба по техническому и экспертному контролю (ФСТЭК России) как правопреемник Государственной технической комиссии при Президенте Российской Федерации.

 



123




Дата добавления: 2016-04-14; просмотров: 6103;

Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2026 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.016 сек.