Similar presentations:
Обеспечение безопасности информации на некоторых уязвимых направлениях деятельности предприятия. Лекция 13-14
1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА НЕКОТОРЫХ УЯЗВИМЫХ НАПРАВЛЕНИЯХ ДЕЯТЕЛЬНОСТИ ПРЕДПРИЯТИЯ
2.
РАССМАТРИВАЕМЫЕ ВОПРОСЫЗащита информации при проведении совещаний,
переговоров, выставок
Защита информации при работе с посетителями
Организация защиты информации в кадровой
службе
Организация работы с документами
3. 1. Защита информации при проведении совещаний и переговоров
Конфиденциальными именуются обычно совещания ипереговоры, в процессе которых могут обсуждаться сведения,
составляющие тайну предприятия или его партнеров.
Порядок проведения подобных совещаний и переговоров
регламентируется специальными требованиями,
обеспечивающими безопасность конфиденциальной
информации, которая в процессе этих мероприятий
распространяется в разрешенном режиме.
Основной угрозой ценной информации является разглашение
большего объема сведений о новой идее, продукции или
технологии, чем это необходимо.
4. Причины разглашения информации
Слабое знание сотрудниками состава ценной информации итребований по ее защите,
Умышленное невыполнение этих требований,
Провоцированные и неспровоцированные ошибки
сотрудников,
Отсутствие контроля за изданием рекламной и рекламновыставочной продукции и др.
5. Этапы проведения конфиденциальных совещаний и переговоров
Подготовкак проведению
совещания
Ведение
и документирование
совещания
Анализ итогов
совещания
Выполнение
достигнутых
договоренностей
6. Подготовка к проведению совещания
Разрешение на проведение конфиденциальных совещаний ипереговоров с приглашением представителей других
организаций и фирм дает директор предприятия.
Решение директора о предстоящем конфиденциальном
совещании доводится до сведения руководителя
секретариата, секретаря-референта, специалиста по защите
конфиденциальной информации и начальника службы
безопасности.
Одновременно с этим составляется список сотрудников
сторонних предприятий, которых следует пригласить на это
совещание.
Ответственность за обеспечение защиты ценной информации
и сохранение тайны предприятия в ходе совещания
несет руководитель, организующий данное совещание.
7. Подготовка к проведению совещания
Подготовку конфиденциального совещанияосуществляет организующий его руководитель с
привлечением сотрудников предприятия, допущенных к
работе с конкретной ценной информацией,
составляющей тайну предприятия или ее партнеров.
В процессе подготовки конфиденциального совещания
составляются программа проведения совещания,
повестка дня, информационные материалы, проекты
решений и список участников совещания по каждому
вопросу повестки дня.
8. Подготовка к проведению совещания
Все документы, составляемые в процессе подготовкиконфиденциального совещания, должны иметь гриф
«Конфиденциально», изготовляться и издаваться в
соответствии с требованиями инструкции по обработке и
хранению конфиденциальных документов. Документы,
предназначенные для раздачи участникам совещания, не
должны содержать конфиденциальные сведения. Эта
информация сообщается участникам совещания устно при
обсуждении конкретного вопроса.
Документы, составляемые при подготовке
конфиденциального совещания, на котором предполагается
присутствие представителей других фирм и организаций,
согласовываются с руководителем службы безопасности.
Отмеченные им недостатки в обеспечении защиты ценной
информации должны быть исправлены ответственным
организатором совещания. После этого документы
утверждаются руководителем, организующим совещание.
9. Ведение и документирование совещания
Конфиденциальное совещание проводится вспециальном помещении и оборудованном средствами
технической защиты информации. Доступ в такие
помещения сотрудников предприятия и представителей
других организаций разрешается только руководителем
службы безопасности.
Документирование, аудио- и видеозапись
конфиденциальных совещаний ведутся только по
письменному указанию директором предприятия одним
из сотрудников, готовивших совещание.
10. Ведение и документирование совещания
Участникам конфиденциального совещания, независимоот занимаемой должности и статуса на совещании, не
разрешается:
– вносить на совещание фото-, и видеоаппаратуру,
компьютеры, магнитофоны, диктофоны и
радиотелефоны и другую бытовую аппаратуру и
пользоваться ими;
– делать выписки из документов, используемых при
решении вопросов на совещании и имеющих гриф
ограничения доступа;
– обсуждать вопросы, вынесенные на совещание, в
местах общего пользования;
11. Ведение и документирование совещания
По окончании конфиденциального совещания сотрудникслужбы безопасности осматривает помещение,
запирает, опечатывает и сдает под охрану.
Документы, принятые на совещании, оформляются,
подписываются, при
необходимости размножаются и
передаются участникам совещания в соответствии с
требованиями по работе с конфиденциальными
документами предприятия.
12. Обеспечение безопасности конфиденциальной информации в рекламно-выставочных материалах
На практике местом проведения переговоров частостановятся постоянно действующие и периодические
торговые или торгово-промышленные выставки и
ярмарки.
13. Обеспечение безопасности конфиденциальной информации в рекламно-выставочных материалах
Для обеспечения безопасности конфиденциальнойинформации в рекламно-выставочных материалах следует
заблаговременно:
– Проанализировать множество предполагаемых к изданию
материалов с точки зрения возможности извлечения из
них ценных конфиденциальных сведений;
– Разбить информацию на части и распределить их между
разными рекламно-выставочными материалами,
предназначенными для массового посетителя и
посетителей-специалистов;
– Разбить информацию по видам и средствам рекламы –
традиционным бумажным изданиям, электронной рекламе,
Web-странице, рекламе в средствах массовой информации
и др.
14.
Работу современной фирмы невозможно представить безпубликаторской деятельности и рекламных акций различного
характера. Вместе с тем если фирма работает с
конфиденциальной информацией, то могут появиться причины
к возникновению каналов утечки этой информации.
Мероприятия по защите информации в процессе подготовки и
реализации рекламных и публикаторских (издательских)
проектов должны занимать особое место в деятельности
фирмы.
15.
С учетом положений законодательства РФ о рекламе фирма может осуществлятьследующие основные виды рекламной деятельности:
наружная реклама, размещаемая на рекламных конструкциях в местах общего пользования
(под рекламными конструкциями в соответствии с Федеральным законом "О рекламе"
понимаются щиты, стенды, строительные сетки, перетяжки, электронные табло и иные
технические средства стабильного территориального размещения, монтируемые и
располагаемые на внешних стенах, крышах и иных конструктивных элементах зданий,
строений, сооружений или вне их, а также на остановочных пунктах движения
общественного транспорта);
реклама на телевидении и радио, а также в периодических печатных изданиях;
реклама, распространяемая по сетям электросвязи и размещаемая в почтовых
отправлениях;
реклама на транспортных средствах (маршрутное такси, автобусы, электротранспорт) и с их
использованием;
реклама в ходе проведения конференций, симпозиумов, организуемых и проводимых вне
предприятий;
реклама, размещаемая в глобальных информационных сетях общего пользования;
реклама в ходе проведения внутренних мероприятий с привлечением (приглашением,
участием) представителей сторонних организаций и СМИ.
16.
Основными направлениями защиты информации в ходерекламной деятельности являются:
подготовка и экспертиза материалов, предназначенных для
использования в рекламной деятельности, на предмет
отсутствия у них информации с ограниченным доступом;
анализ материалов в процессе их подготовки
рекламопроизводителем и рекламораспространителем к
размещению в средствах рекламы;
постоянный контроль порядка распространения и содержания
распространенных рекламных материалов, независимо от
способа, формы и периодичности их распространения.
17.
При принятии руководителем фирмы решения о рекламированиидеятельности фирмы, а также производимых ею товаров
(оказываемых услуг) должностное лицо, назначенное ответственным
за подготовку рекламных материалов и их передачу
рекламопроизводителю и (или) рекламораспространителю,
организует работу, направленную на предотвращение
распространения в рекламе конфиденциальной информации.
Комплекс мероприятий по защите информации включает проведение
комиссией фирмы экспертизы подготовленных к распространению
материалов, анализ возможных форм, способов распространения
рекламных материалов и непосредственное взаимодействие в
процессе подготовки и распространения материалов с
рекламопроизводителем и рекламораспространителем. Один из
важных элементов этой работы - оценка комиссией фирмы,
состоящей из компетентных специалистов, содержания рекламных
материалов на предмет возможности их распространения.
18.
Наряду с реализацией рекламных проектов фирма и ее сотрудникипринимают участие в подготовке и издании различных материалов,
содержащих информацию о товарах, услугах и проводимых фирмой
работах, в том числе научно-исследовательского характера.
Публикация указанных материалов может осуществляться:
в периодических печатных изданиях;
в глобальных информационных сетях;
в однократно издаваемых сборниках, энциклопедиях, материалах
конференций и т.п.;
в материалах диссертаций на соискание ученых степеней,
деятельности диссертационных и ученых советов научноисследовательских организаций и образовательных учреждений;
в материалах, содержащих результаты, выводы, заключения о
выполнении научных исследований и опытно-конструкторских
разработок.
19.
Основными направлениями защиты информации в ходе публикаторской деятельностиявляются:
определение тематики издаваемых материалов в целях исключения из них тематики,
содержащей конфиденциальную информацию, подготовки рекомендаций по
исключению из них иной актуальной информации, распространение которой может
нанести ущерб предприятию;
письменное согласование содержания материалов и возможности их издания с
организациями - обладателями информации (осуществляется ответственным за
издание подразделением предприятия по согласованию со службой безопасности или
режимно-секретным подразделением в форме письменного запроса в организации,
являющиеся заказчиками или соисполнителями проводимых совместных и других
работ, сведения о которых предполагается распространить); предварительная
экспертиза материалов, готовящихся к изданию, экспертной комиссией предприятия,
которая при необходимости готовит рекомендации по частичному исключению из
материалов конфиденциальной и иной актуальной информации;
окончательная выборочная экспертиза подготовленных к изданию материалов,
определение тиража и способа их распространения;
контроль над выполнением работ по изданию (тиражированию, размещению)
материалов непосредственно в типографии или иной организации, в зависимости от
выбранного способа распространения.
20. Мероприятия, направленные на исключение открытого опубликования информации с ограниченным доступом
разработка и утверждение руководителем фирмы организационно-распорядительных документов,определяющих порядок и особенности работы по подготовке материалов к открытому
опубликованию;
предварительный анализ материалов и их согласование с руководителями структурных
подразделений фирмы, сотрудники которых осуществляют их подготовку к открытому
опубликованию;
анализ материалов, готовящихся к открытому распространению, службой безопасности (режимносекретным подразделением) фирмы;
выборочный контроль изданных (опубликованных) материалов;
проведение занятий с сотрудниками фирмы по изучению положений нормативных правовых актов
и внутренних организационно-распорядительных документов;
взаимодействие с должностными лицами издательств (редакций), типографий, СМИ и иных
структур;
определение состава экспертной комиссии фирмы по оценке возможности опубликования
материалов и осуществление ее деятельности (в том числе подготовка соответствующих
заключений);
взаимодействие с другими фирмами по вопросам открытого опубликования материалов,
содержащих информацию о проводимых этими предприятиями совместных и других работах, а
также с органами государственной власти и предприятиями, являющимися заказчиками работ и
обладателями информации, которую планируется открыто опубликовать, получение письменного
согласия этих органов государственной власти (предприятий) на открытое опубликование
материалов;
проведение периодического анализа эффективности проводимых мероприятий по исключению
открытого опубликования конфиденциальной информации и совершенствование этой работы на
фирме.
21.
2. ЗАЩИТА ИНФОРМАЦИИ ПРИ РАБОТЕ С ПОСЕТИТЕЛЯМИ22. 2. Защита информации при работе с посетителями
Организация приема посетителей предполагаетсочетание умения организовать эффективную и
полезную для предприятия работу с посетителями и
одновременно выполнить ее таким образом, чтобы
была сохранена целостность конфиденциальной
информации, а также достигнута безопасность
деятельности предприятия.
23. 2. Защита информации при работе с посетителями
Под посетителем понимается:во-первых, лицо, которому необходимо решить
определенный круг деловых или личных вопросов с
руководителями и специалистами предприятия,
во-вторых, лицо, совместно с которым полномочные
лица вырабатывают определенные решения по
направлениям деятельности предприятия.
24. Процесс защиты информации при приеме посетителей
предполагает проведение четкой их классификации, набазе которой формируется система ограничительных и
аналитических мер.
На уровне руководителей предприятия посетителей
можно разделить на две категории: сотрудники
предприятия и посетители, не являющиеся ее
сотрудниками.
25. Угрозы информационной безопасности, исходящие от посетителей-сотрудников
могут наступить в случае, если эти сотрудникиявляются злоумышленниками или их сообщниками.
Состав угроз может быть самым разнообразным: от
кражи документов со стола руководителя до
выведывания нужной информации с помощью хорошо
подготовленного перечня, на первый взгляд,
безобидных вопросов.
26. Посетители, не являющиеся сотрудниками предприятия
в соответствии с характером их взаимоотношений сфирмой могут подразделяться:
на лиц, не включенных в штат сотрудников, но
входящих в качестве членов в коллективный орган
управления деятельностью предприятия;
представителей государственных учреждений и
организаций;
сотрудничающих с предприятием физических лиц и
представителей предприятий и организаций;
частных лиц.
27. Требования к организации приёма посетителей, не являющихся сотрудниками предприятия
Директором и руководящим составом необходимо:Проводить прием в строго определенное время;
Осуществлять прием посетителей в соответствии с
заранее определенных графиком;
Обеспечить установление личности посетителя по
документам;
Во время ожидания приема посетитель должен
находится под постоянным контролем;
После проведения встречи необходимо обеспечить
подконтрольный вывод посетителя из учреждения или
необходимо вызвать специалистов, которые обеспечат
конкретное решение вопроса, с которым обратился
посетитель.
28.
3. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИВ КАДРОВОЙ СЛУЖБЕ
29. 3. Организация защиты информации в кадровой службе
Работа отдела кадров предприятия связана снакоплением, формированием, обработкой, хранением и
использованием значительных объемов сведений о всех
категориях сотрудников. Данная информация является
как правило личной тайной гражданина.
Конфиденциальность и сохранность персональных
данных, их защита обеспечиваются отнесением их к
сфере негосударственной тайны – служебной или
профессиональной тайне.
30. Группы документации
C целью выявления состава конфиденциальныхсведений и определения основных направлений защиты
персональных данных в отделе кадров выделяют две
большие группы документации:
документация по организации работы отдела - содержит
организационно-правовую документацию отдела кадров
(положения об отделе, должностные и рабочие
инструкции).
31. Группы документации
документация, содержащая персональные данные вединичном или сводном виде - документация, образующаяся,
включает:
– комплексы документов для оформления гражданина на
работу, при переводе, увольнении;
– комплексы материалов по анкетированию, тестированию,
проведению собеседований с кандидатами на должность;
– подлинники и копии приказов по личному составу;
– личные дела и трудовые книжки сотрудников;
– дела, содержащие основания к приказам по личному
составу;
– дела, содержащие материалы аттестации сотрудников,
служебных расследований и т.п.;
– справочно-информационный банк данных по персоналу.
32.
Основным моментом в защите персональных иконфиденциальных данных является четкая
регламентация функций работников отдела кадров. Не
допускается, чтобы работник мог знакомиться с
любыми документами и материалами отдела.
При оформлении на личных делах гриф ограничения
доступа не ставится, так как весь комплекс личных дел
является конфиденциальным. Листы дела нумеруются
в процессе формирования дела, личное дело
обязательно должно иметь подписи, в которых
указывается содержание и все изменения данного
личного дела. Все записи в личном деле заверяются
подписями и печатями отдела кадров. Изменения в
личные дела вносятся на основе приказов по
предприятию.
33.
4. ОРГАНИЗАЦИЯ РАБОТЫ С ДОКУМЕНТАМИ34. 4. Организация работы с документами
В настоящее время важным направлением ворганизации работы по защите информации является
установление порядка обращения с ее носителями,
такими как документы, чертежи, дискеты,
компьютерные программы и т.п.
35. Организация работы с документами
При этом следует учитывать, что:– специалисты ставят обязательным условием
наличие на носителях конфиденциальной информации
отличительных пометок, различающихся в
зависимости от уровня секретности;
– в условиях предприятия обеспечить каждому
исполнителю работу в специально выделенном
помещении бывает практически невозможно,
поэтому следует работать так, чтобы в
отсутствие работника на его рабочем месте не
было никаких документов.
36. Способы ведения защищенного делопроизводства
Не следует держать на столе сразу несколькодокументов, да к тому же различных по степени
значимости.
При работе с документами не следует выходить из
комнаты, а если приходится выходить, то нужно закрыть
дверь на ключ.
Документы, которые правомерно могут потребовать
сотрудники налоговой инспекции или
правоохранительных служб, следует держать отдельно
от остальных конфиденциальных бумаг.
37. Способы ведения защищенного делопроизводства
По окончании работы важные документы убираются в сейф.Помещение, где они хранятся, следует опечатать и сдать на
хранение сотрудникам службы безопасности предприятия.
Вероятность утечки конфиденциальной информации из
документов особенно велика в процессе их пересылки. Если
нет возможности пользоваться услугами военизированной
фельдсвязи, то доставку ценных документов следует
организовать своими силами с привлечением сотрудников
собственной службы безопасности или же обратиться в
специализированные предприятия, которые такие услуги
оказывают за плату.
Доверяя конфиденциальные документы обычной почте,
следует отправлять их заказными письмами в тщательно
заклеенных конвертах с уведомлением о вручении их
адресату.