Особенности работы с персоналом, владеющим конфиденциальной информацией (Поиск и приём кандидатов)
Содержание:
ВВЕДЕНИЕ
Любая деятельность всегда связана с созданием, использованием и хранением значительных объёмов информации и документов, которые представляют конкретную ценность для организации и подлежат защите от различных видов угроз.
Защита информации – основа надежной работы органов Пенсионного фонда Приморского края. Основная особенность - большое количество разнообразных информационных систем (как с конфиденциальной информацией, так и с общедоступной), которые проектировались в разное время и выполняют разнообразные функции по определенным задачам. Эти системы были произведены разными исполнителями и в них на то время не предусматривались общие принципы управления и защиты информации. Поэтому сейчас для их работы приходится задействовать значительные людские и временные ресурсы. Многие задачи все еще не автоматизированы, и выполнять их приходится "вручную".
По мнению большинства специалистов по безопасности информационных систем, главное внимание должно быть обращено на персонал, постоянно работающий с конфиденциальными документами и базами данных.
Основными задачами должны быть две:
1) максимально затруднить работу злоумышленнику или его сообщнику по добыванию необходимой информации, противодействовать им в пассивном или активном режиме на основе результатов аналогичных выводов
2) не допустить установления определенных взаимоотношений злоумышленника и сотрудника фирмы, владеющего конфиденциальной информацией.
1. Работа с персоналом владеющим конфиденциальной информацией
1.1. Поиск и приём кандидатов
Процессу приема сотрудника на работу предшествует ряд подготовительных этапов, которые позволяют составить представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми и личностными качествами он должен обладать:
· Предварительно сформулировать, какие функции должен выполнять сотрудник, каков круг его ответственности, какие качества, знания и уровень квалификации нужно иметь претенденту;
· Составить перечень ценных и конфиденциальных сведений, с которыми будет работать специалист;
· Составить перечень форм поощрения и стимулирования, которые может получать сотрудник;
· Составить другие перечни вопросов, которые необходимо будет решать специалисту, перечни его личных качеств, возрастных, профессиональных и иных характеристик;
· Составить описание должности.
Кандидаты предварительно знакомятся с этими документами, что делает собеседование с ними более целенаправленным и конкретным.
Помимо пассивного ожидания прихода нужного человека, существует ряд направлений активного поиска кандидатов на вакантную должность:
1. Поиск кандидатов внутри фирмы. Метод дает возможность продвигать перспективных сотрудников по служебной лестнице и заинтересовывать их работой. Преимущество данного метода в том, что о кандидате достаточно много известно всему коллективу и судить о его профессиональных и личностных качествах можно по обширному опыту. Недостаток же в том, что без притока новых людей коллектив теряет свои новаторские качества.
2. Поиск кандидатов среди студентов и выпускников учебных заведений. Эффективно вести поиск наиболее способных студентов, привлекать их в процессе учебы к работе в организации, оплачивать их труд и, может быть, финансировать их обучение.
3. Обращение в государственные и частные бюро, агентства по найму рабочей силы, биржи труда и т.д. Подобные агентства ведут целенаправленный поиск необходимого специалиста высокой квалификации, организуют переподготовку специалистов по индивидуальным заказам.
4. Рекомендации работающих в фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, так как с рекомендуемыми людьми сотрудникам придется работать вместе.
Эти направления поиска кандидатов на должности, связанные с владением конфиденциальной информации, позволяют выбрать необходимых работников из ряда лиц, изъявивших желание занять вакантную должность.
Технологическая цепочкаприема сотрудников, работа которых связана с владением ценной информации, включает следующие процедуры:
· Подбор предполагаемого кандидата для приема на работу или перевода, получение резюме;
· Изучение резюме (личного дела) руководством фирмы, структурного подразделения или службой персонала, вызов для беседы подходящих кандидатов;
· Информирование кандидатов, работающих в фирме, об их будущих должностных обязанностях, связанных с владением тайны фирмы;
· Предварительное собеседование, уточнение отдельных положений резюме; ответы на вопросы о будущей работе; изучение полученных рекомендательных писем;
· Составление кандидатами, не работающими в организации, и представление в отдел кадров заявления о приеме, автобиографии, личного листка по учету кадров, копий документов об образовании, передача в отдел кадров рекомендательных писем;
· Обновление материалов личного дела работающего в организации сотрудника; получение представления о переводе на новую должность от руководителя структурного подразделения;
· Собеседование кандидатов с работником отдела кадров по представленным документам, при необходимости подтверждение тех или иных сведений;
· Опрос сотрудником отдела кадров авторитетных для организации лиц, лично знающих кандидата на должность, протоколирование опроса;
· Собеседование экспертов с кандидатами с целью определения их личных и моральных качеств, а для неработающих в фирме сотрудников дополнительно – профессиональных способностей;
· При необходимости – тестирование и анкетирование кандидатов;
· По совокупности собранных материалов и их анализа принятие решения руководством организации об отборе единственного претендента и возможности предложить ему работу, связанную с владением тайны фирмы;
· Заключительное собеседование, получение от претендента согласия на работу с конфиденциальной информацией;
· В случае согласия – подписание обязательства о неразглашении тайны организации; информирование о характере конфиденциальной информации, наличии системы защиты и тех ограничениях, которые придется учитывать работнику в служебной и неслужебной обстановке;
· Беседа-инструктаж руководителя структурного подразделения, руководителя службы безопасности и сотрудника службы персонала с претендентом на должность; ознакомление с должностной инструкцией, рабочими технологичес. инструкциями и т.д.;
· Подписание договора о временной работе без права доступа к конфиденциальной информации;
· Составление и подписание приказа о приеме на работу с испытательным сроком;
· Заведение личного дела, заполнение Л/К №Т-2 и других учетных форм;
· Внесение фамилии сотрудника в первичные учетные бухгалтерские документы;
· Внесение соответствующей записи в трудовую книжку сотрудника;
· Обучение сотрудника правилам работы с конфиденциальными документами, инструктажи, проверка знаний;
· Анализ результатов работы сотрудника в течение испытательного срока издание соответствующего приказа или отказ сотрудника в работе;
· Оформление допуска работника к конфиденциальной информации и документам.
Представленные кандидатом документы тщательно проверяются на достоверность: соответствие фамилий, имен и отчеств, других персональных данных, наличие необходимых отметок и записей, идентичность фотокарточки и личности гражданина. Документы, явно недостоверные, могут быть возвращены гражданину, и одновременно ему отказывается в рассмотрении вопроса о приеме на работу без объяснений причины отказа. Сведения, указанные в резюме, не проверяются.
Заявление о назначение на должность, личный листок по учету кадров, автобиография пишутся гражданином собственноручно, без использования пишущей машинки или принтера.
Копии с аттестатов, дипломов, свидетельств, грамот и т.д. снимаются в отделе кадров и заверяются сотрудником отдела кадров. Копии, принесенные гражданином, внимательно сличаются с подлинником и тоже заверяются этим сотрудником. Нотариального заверения копий не требуется.
Собеседование с кандидатами преследуют следующие цели: выявить реальную причину желания работать в данной организации; выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут провоцировать преступные действия; убедить в добровольном согласии кандидата соблюдать правила защиты информации.
Психологический отбор преследует следующие цели:
· Выявление имевших ранее место судимостей, преступных связей, криминальных наклонностей;
· Определение возможных преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;
· Установление факторов, свидетельствующих о морально-психологической ненадежности, неустойчивости, уязвимости кандидата.
Личные качества, не способствующие сохранению секретов: эмоциональная неуравновешенность, разочарование в себе и в своих способностях, отчуждение коллег по работе, недовольство своим служебным положением, ущемленное самолюбие, эгоистическое поведение, нежелание и неспособность защищать информацию, нечестность, финансовая безответственность, употребление наркотиков и алкоголя.
Обязательство о неразглашении конфиденциальной информации и сохранении тайны организации претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений. Обязательство – это правовой документ, которым претендент добровольно и письменно дает согласие на ограничение его прав в отношении использования конфиденциальной информации. Документ содержит полный перечень информации, не подлежащей разглашению, а также перечень административных наказаний, которым может быть подвергнут работник за несоблюдение правил.
После подписания обязательства и проведения беседы-инструктажа с претендентом заключается трудовой договор. В договоре должен быть пункт об обязанности работника не разглашать сведения, составляющие тайну организации, а также конфиденциальные сведения партнеров и клиентов, об обязательстве соблюдать правила защиты конфиденциальных сведений. В обязательном порядке включается пункт об обязанности работника немедленно сообщать непосредственному руководителю и службе безопасности об утере носителей конфиденциальной информации, документов, дел, конфиденциальных документов, материалов и т.д.
В заключительной части указывается степень ответственности за разглашение тайны организации или несоблюдение правил защиты информации. Обычно это расторжение трудового договора, при необходимости – дальнейшее судебное разбирательство.
После заключения трудового договора и издания приказа о приеме на работу в отделе кадров формируется личное дело сотрудника, включающее стандартный набор документов. Материалы, связанные с профессиональным и психологическим анализом данного работника (протоколы собеседований, тесты, протоколы бесед и опросов) подшиваются в дело кадровой службы «Материалы по приему сотрудников на работу», но не в личное дело сотрудника. Дело с материалами имеет гриф конфиденциальности «Строго конфиденциально».
После получения допуска к конфиденциальной информации, сотрудник в индивидуальном порядке должен быть обучен правилам работы с документами, базами данных, которые будут предоставлены. Результаты обучения фиксируются в обязательстве.
1.2. Регламентация доступа персонала к конфиденциальной информации
Регламентация доступа персонала к конфиденциальной информации является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых организацией работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.
Режим - совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на разрешительной системе. Разрешительная система предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий.
Разрешительная система в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства организации с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
Принципы построения разрешительной системы доступа:
· Надежность (исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях);
· Полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;
· Конкретность (исключение двоякого толкования и однозначность решения доступа);
· Производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;
· Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к информации, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;
· Строгая регламентация порядка работы всех категорий сотрудников организации с информацией, документами и базами данных.
Разрешительная система решает задачи:
· Ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знаний тайны организации и работы с ценными документами;
· Строгого избирательного и обоснованного распределения документов и информации между сотрудниками;
· Обеспечения сотрудника всем необходимым для реализации своих служебных функций;
· Беспрепятственного прохода сотрудника в здание организации, в рабочую зону;
· Исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;
· Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации.
Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.
Допуск - процедура оформления права сотрудника или иного лица на доступ к сведениям ограниченного распространения и одновременно правовой акт согласия собственника информации на передачу ее для работы конкретному лицу.
Наличие допуска предоставляет сотруднику право работать со строго определенным кругом конфиденциальной информации.
Разрешение дает первый руководитель организации. Оно оформляется соответствующим пунктом трудового договора, также может быть оформлено приказом руководителя с указанием типового перечня сведений, с которыми разрешается работать данному сотруднику или группе сотрудников.
Доступ – это практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом в отношении конкретной информации и конкретного сотрудника.
Разрешение на доступ к конкретной информации может быть дано при соблюдении следующих условий:
· Наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении) или назначении на должность, в функциональную структуру которой входит работа с данной информацией;
· Наличие подписанного сторонами трудового договора, имеющего пункт о сохранении тайны организации и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;
· Соответствие функциональных обязанностей сотрудника передаваемым ему документа и информации;
· Знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны организации;
· Наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;
· Наличие систем контроля за работой сотрудника.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем меньшее число сотрудников может их знать». В организации может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. При это учитываются два аспекта:
1) выдача разрешений в зависимости от категорий документов;
2) выдача разрешений в зависимости от занимаемой должности.
Может составляться матрица полномочий, в которой по горизонтали – наименование категорий должностей, по вертикали – фамилии или должности сотрудников.
Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях. Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Желательно, чтобы целиком идею, формулу, конструкцию не знал никто, чтобы каждый знал лишь свою незначительную часть.
Разрешение на доступ строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с ними, несут ответственность за сохранение в тайне их содержания. Разрешение дается в письменном виде: резолюцией на документе, приказом, утверждающем схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.д.
Без дополнительного разрешения допускаются к документам их исполнители и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов.
При организации доступа сотрудников к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Выделяют следующие составные части:
· Доступ к ПК, серверу или рабочей станции;
· Доступ к машинным носителям информации, хранящимся вне ЭВМ;
· Непосредственный доступ к базам данных и файлам.
Доступ к персональному компьютеру, серверу или рабочей станции,которые используются для обработки конфиденциальной информации, предусматривает:
· Определение и регламентацию первым руководителем организации состава сотрудников, имеющих право доступа в помещение, в котором находится соответствующая вычислительная техника, средства связи;
· Регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях;
· Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану;
· Организацию контролируемого режима входа в указанные помещения и выхода из них;
· Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;
· Организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.
Доступ к машинным носителям конфиденциальной информации, хранящимсявне ЭВМ,предполагает:
· Организацию учета и выдачи сотрудникам чистых машинных носителей информации;
· Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей записанной информации;
· Определение и регламентацию руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе конфиденциальных документов учтенные машинные носители информации;
· Организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;
· Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;
· Организацию хранения машинных носителей в службе конфиденциальных документов в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;
· Определение и регламентацию руководителем состава сотрудников, не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.
Доступ к конфиденциальным базам данных ифайламявляется завершающим этапом доступа сотрудника организации к компьютеру. Обычно доступ к базам данным и файлам подразумевает:
· Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;
· Именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;
· Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;
· Регистрацию входа в базу данных, автоматическую регистрацию имен пользователей и времени работы; сохранение первоначальной информации;
· Регистрацию попыток несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;
· Установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов и т.д.), особенно при частой смене персонала;
· Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;
· Механическое блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.
Главное внимание в обеспечении безопасности информационных ресурсов должно быть обращено на персонал, постоянно работающий с конфиденциальной информацией. Основными задачами должны быть две:
1) максимально затруднить работу злоумышленника по добыванию необходимой информации, противодействовать ему в пассивном или активном режиме на основе результатов аналогичных выводов;
2) не допустить установления определенных взаимоотношений злоумышленника и сотрудника, владеющего конфиденциальной информацией.
2. Организация конфиденциального документооборота
2.1. Организация хранения конфиденциальных документов.
- Организация хранения конфиденциальных документов должна исключать возможность несанкционированного доступа к ним.
- Все документы, дела и издания, имеющие гриф конфиденциальности, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах.
- Помещения, в которых хранятся конфиденциальные документы должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.
- Основной принцип хранения конфиденциальных документов – персональная ответственность сотрудника предприятия, ответственного за работу с конфиденциальными документами, а также исполнителей за их сохранность.
- Дела, выдаваемые исполнителю, подлежат возврату в подразделение делопроизводства службы безопасности (СБ) в тот же день. При необходимости, с разрешения начальника подразделения делопроизводства СБ или уполномоченного СБ они могут находиться у исполнителя в течении срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.
- За каждым исполнителем закрепляется сейф, в котором исполнитель хранит числящиеся за ним документы. Конфиденциальные документы до завершения исполнения хранятся в сейфах исполнителей.
- Сейфы должны иметь надежные индивидуальные запоры и опечатываться.
- Ко всем сейфам необходимо иметь по два экземпляра ключей. Руководитель структурного подразделения хранит ключи исполнителей в своем сейфе. Ключ от сейфа в опечатанном пенале руководитель в конце рабочего дня сдает сотруднику охраны. Запасные ключи от всех сейфов хранятся у сотрудника предприятия.
- Выносить ключ за пределы служебного помещения не разрешается.
- При вскрытии сейфов должно присутствовать то лицо, которое отвечает за хранение документов. При его отсутствии сейф вскрывается комиссией с составлением акта.
- При отсутствии возможности обеспечить каждого исполнителя сейфом, может применяться сейф на нескольких исполнителей. В этом случае каждая полка сейфа должна быть снабжена дверцей с замком, а общий ключ находится у руководителя структурного подразделения.
- Работа с конфиденциальными документами выполняется только в служебных помещениях.
- При работе с документами исполнитель должен иметь на рабочем столе только те документы, которые необходимы в данное время. Остальные документы необходимо хранить в сейфе, которые должны быть закрыты, ключи от них убраны.
- Для работы вне служебных помещений необходимо разрешение руководителя предприятия или структурного подразделения.
- Запрещается хранение конфиденциальных документов с какими-либо другими документами, хранение конфиденциальных документов, в том числе и во время работы с ними, в ящиках стола, шкафах и т.п. не предназначенных для хранения подобного рода документов.
- При временном выходе из рабочей комнаты работник должен убрать все документы в сейф и закрыть его. При выходе из комнаты всех исполнителей дверь закрывается на замок.
- Открывать окна во время работы с конфиденциальными документами возможно, если они оборудованы сетками и, если исключается возможность просмотра документов с улицы.
- Каждый исполнитель прежде, чем закончить работу обязан:
проверить и удостовериться в наличии всех документов, числящихся за ним по описи документов, находящихся у исполнителя.
убрать документы в сейф, опечатать его и сдать ключ под расписку руководителю структурного подразделения.
- Документы, дела и издания могут передаваться другим сотрудникам, допущенным к этим документам, только через делопроизводство СБ или уполномоченного СБ.
- Запрещается изъятия из дел или перемещение документов из одного дела в другое без санкции руководителя делопроизводства СБ или уполномоченного СБ, осуществляющего их учет.
- Уничтожение документов производится комиссией в составе не менее трех человек с составлением акта.
2.2. Система доступа к конфиденциальным документам.
Система доступа к конфиденциальным документам – это совокупность установленных положений, обеспечивающих обоснованный и правомерный доступ исполнителей к необходимому им для производственной деятельности объему документов, сведений, содержащих конфиденциальную информацию.
- Целями системы доступа к конфиденциальным документам являются:
- обеспечение исполнителей всеми необходимыми для работы конфиденциальными сведениями;
- ограничение круга лиц, допускаемых к конфиденциальным документам;
- исключение излишнего или несанкционированного ознакомления с конфиденциальными сведениями;
- повышение ответственности руководителей и исполнителей всех категорий за обеспечение сохранности сведений, составляющих конфиденциальную информацию;
- усиление контроля со стороны сотрудника предприятия за обоснованностью доступа к конфиденциальным документам и изделиям.
- Разрешение на доступ исполнителя к сведениям, составляющим конфиденциальную информацию, дается соответствующими должностными лицами при выполнении следующих условий:
- при наличии приказа о приеме на работу или назначении на должность;
- при оформлении обязательства о сохранении и неразглашении работником сведений, составляющих конфиденциальную информацию;
- при изучении вновь принятым (назначенным на должность) работником требований нормативных документов по обеспечению сохранения конфиденциальной информации.
- После изучения указанных требований, руководитель подразделения с вновь принятым (назначенным на должность) работником проводит собеседование.
- Любое разрешение на ознакомление с конфиденциальными документами и любое фактическое ознакомление с ними необходимо оформить в письменном виде.
- Ознакомление с документом фиксируется распиской исполнителя на самом документе (при оперативном ознакомлении исполнителя), и на карточке разрешении (при постоянном или длительном пользовании).
- Работники предприятия могут получать разрешение на доступ к сведениям, составляющим конфиденциальную информацию, только в пределах своих должностных обязанностях и в объеме действительно необходимом им для выполнения своих обязанностей.
- Руководители предприятия, его структурных подразделений несут персональную ответственность за правомерность выдаваемых ими разрешений на доступ исполнителей к сведениям, составляющим конфиденциальную информацию, а также исполнители, работающими с конфиденциальными документами, при нарушении порядка обращения и хранения с ними.
2.3. Сверка наличия конфиденциальных документов.
- Основные задачи сверки наличия документов с грифом «Конфиденциально»:
- своевременное выявление фактов возможных недостач, неучтенных документов и их безучетного движения,
- осуществление постоянного контроля за наличием и движением документов.
- сверка наличия всех полученных и подготовленных документов,
- правильности оформления учетных данных,
- проверка наличия оправдательных документов, на отсутствующие документы (отправленные, уничтоженные и др.), с целью устранения ошибок, нарушений, излишних операций при ведении учета.
- Сверки на наличие проводятся в плановом порядке (квартальные проверки документов с грифом «Конфиденциально» и исполнителей, годовые проверки), и по мере необходимости (при смене руководителей и сотрудников, отвечающих за учет, обработку и хранение конфиденциальных документов).
- Результаты сверок оформляются актом, в котором указывается:
- вид сверки;
- основание для ее проведения;
- состав комиссии и сроки проведения;
- название подразделения, где она проводилась;
- общее количество, взятых на учет документов за проверяемый период по видам учета;
- количество документов, не состоящих на учете, и фамилии лиц, у которых они были обнаружены и по какой причине не учтены;
- количество и учетные номера документов, не предъявленных в ходе проверки, за кем они числятся и причины не предъявления;
- другие выявленные нарушения с указанием фамилий, должностей и конкретных фактов нарушений;
- выводы и предложения по результатам проверки и мероприятия по устранению выявленных нарушений.
- Акт проверки подписывается членами комиссии и утверждается руководством.
- Организация всех видов сверок и контроль за их проведением осуществляется сотрудником предприятия.
- Квартальная сверка наличия документов с грифом «Конфиденциально» проводится сотрудником предприятия, а также дополнительно привлекаемым сотрудником, допущенным ко всем документам с грифом «Конфиденциально». Квартальная сверка проводится в первую декаду первого месяца следующего квартала.
- Ежеквартально проверяются все документы с грифом «Конфиденциально» независимо от времени их получения или создания, а также наличие конфиденциальных документов у исполнителей.
- При проведении сверки документов с грифом «Конфиденциально» проводятся следующие операции:
- Проверяются соответствие учетных данных документа и данных на него в учетной карточке;
- Проверяются наличие номеров и дат оправдательных документов за отправление или уничтожение документа или его частей (экземпляров, листов);
- Просчитываются количество экземпляров и листов документа;
- Проверяются соответствие фактического количества экземпляров и листов документа количеству, числящемуся по учету.
- Выявляются позиции по контрольному журналу, по которым документы не были предъявлены к проверке;
- Разыскиваются документы, не предъявленные при проверке, и проводят проверку соответствия их учетных данных данным на них в учетных карточках;
- Производятся установленные отметки о произведенной проверке в контрольных журналах.
- Просчитывают поединично дела с грифом «Конфиденциально», учтенные по номенклатуре, сверив их количество с количеством дел по номенклатуре;
- Проверяют наличие отметок в номенклатуре и оправдательных документов на отсутствующие дела.
- Выборочно проверяются полистно дела, наиболее часто выдаваемые исполнителям, а также аккуратность оформления и ведения всех дел с грифом «Конфиденциально», числящиеся по номенклатуре. Против каждой проверяемой позиции в номенклатуре делается условная отметка карандашом.
- Результаты квартальной проверки наличия документов с грифом «Конфиденциально» оформляются актом.
- Исполнители, работающие с конфиденциальными документами, на рабочих местах, проверяются не реже одного раза в квартал. При этом проверяется наличие всех числящихся за исполнителем документов, порядок хранения и работы с ними на рабочих местах.
- Сверка документов у исполнителей производиться сотрудником предприятия. Сверка проводится в присутствии исполнителя, в случае его отсутствия – в присутствии руководителя структурного подразделения.
- При проверке исполнителей проверяются:
- наличие в сейфе документов, числящихся за исполнителем по всем видам учета, независимо от сроков регистрации документов;
- соответствие данных документа данным в учетной форме (учетный номер, гриф ограничения доступа, заголовок, количество листов и экземпляров, номера экземпляров);
- правильность ведения описи документов, находящихся у исполнителя;
- наличие сейфа и ключей от него;
- соблюдение исполнителем требований к подготовке, изданию и хранению документов.
- При отсутствии у исполнителя, числящегося за ним документа, проверяется наличие оправдательных документов или подписи лица, получившего документ, в описи документов, находящихся у исполнителя, и обоснованность передачи документа без участия сотрудника предприятия.
- О результатах сверки на наличие документов у исполнителя делается запись в описи документов, находящихся у исполнителя. Если имеются отдельные нарушения в ведении описи, хранении документов, то они перечисляются после указанной записи, которая заверяется подписью проверяющего и датируется.
- О результатах сверок информируются руководители и при нарушениях принимаются соответствующие меры.
- При необходимости могут проводиться внеплановые сверки наличия документов у исполнителей при уходе в отпуск или при увольнении по изложенной выше методике.
- Дата проведения сверки наличия документов назначается заранее. Сотрудники о дате проведения сверки не оповещаются.
- Годовая сверка наличия документов проводится 1-2 раза в год. Годовая сверка проводится комиссией, назначаемой приказом генерального директора. Председателем комиссии назначается один из его заместителей. В комиссию обязательно включается сотрудник предприятия. В годовую проверку проверяется наличие всех без исключения документов, содержащих конфиденциальную информацию (гриф «Конфиденциально»).
- При проведении годовой сверки наличия документов проверяется:
- Наличие и правильность записей о проведении квартальных проверок наличия документов с грифом «Конфиденциально» в контрольных журналах. Незакрытые в квартальную проверку позиции перепроверяются;
- Наличие всех документов с грифом «Конфиденциально», созданных или полученных в течение года.
- Дела сверяются поединично с номенклатурой дел. При этом проверяется: соответствии индекса дела, количества листов на обложке записям в номенклатуре; грифа на обложке и в номенклатуре содержанию дела (при не соответствии гриф изменяется); правильность оформления перерегистрации переходящих дел в номенклатуру следующего года. Результаты годовой проверки наличия конфиденциальных документов оформляются актом.
- При наличии грубых нарушений и ошибок, выявленных проверкой, издается приказ о наложении дисциплинарных взысканий на соответствующих должностных лиц.
ЗАКЛЮЧЕНИЕ
Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.
Таким образом, безопасность – это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф. Перечисленные проблемы напрямую связаны с информационной безопасностью. Пока что электронные документы – вроде и не документы вовсе, и во многих организациях с ними поступают, как хотят. Часто отсутствует даже элементарный учёт имеющихся в организации программных средств и баз данных, а в результате электронные документы и информация либо утрачиваются, либо их становится невозможно ни найти, ни использовать. Уничтожение увольняющимися сотрудниками «своих» электронных богатств – самое обычное явление, с которым невозможно бороться.
Подводя итог, хочу еще раз отметить, что подход к защите конфиденциальных документов должен быть комплексным. Необходимо трезво оценивать вероятные угрозы и риски и величину возможных потерь от реализации этих угроз. Выбирая методы организации защищенного документооборота, следует искать разумный баланс между необходимостью и возможностью, между безопасностью данных и стоимостью решения по их защите. Обеспечивать защиту документооборота только ради самого факта наличия защиты не только лишено смысла, но и вредно, так как может существенно осложнить деятельность организации с документами и информацией.
Список литературы:
1. ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов.
2. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
3. Алексенцев А.И. Конфиденциальное делопроизводство. – М.: ЗАО «Бизнес-школа «Интел-Синтез». – 2001. – 90-93с.
4. Кузнецова Т.В. Делопроизводство (документационное обеспечение управления). 4-е изд. испр. и допол. М: Изд-во ЮНИТИ, 2003 – 322 с.
5. Организация работы с документами: Учебник/ Под ред. проф. КудряеваВ.А. – 2-е изд., перераб. и допол. – М.: ИНФРА-М, 2001.– 592с.
6. Сабынин В.Н. Организация конфиденциального делопроизводства - начало обеспечения безопасности информации в фирме // Информост-радиоэлектроника и телекоммуникации. - 2001. - №4. – с. 17.
7. Степанов Е.А. Информационная безопасность и защита информации: Учебное пособие // Е.А. Степанов, И.К. Корнеев - М.: ИНФРА-М – 2001 – 107-111с.
8. Демушкин А.С. Документы и тайна. – М.: ООО «Городец-издат», 2003. – с.131.
9. Лукашов А.И., Мухин Г.Н. Конфиденциальная информация и коммерческая тайна: правовое регулирование и организация защиты. Мн.: Тесей, 1998. – с.18.
10. http://www.sec4all.net
11. http://www.security.ukrnet.net
12. http://www.itsecurity.groteck.ru
13. http://www.on-security.org
14. http://www.krossvord.org
- Цель и задачи налогового учета в России
- Личное страхование и перспективы его развития в РФ (Объекты личного страхования)
- Социальное страхование и его функции (Сравнение систем социального страхования в России и Германии)
- Финансовая политика и ее реализация в РФ(Виды финансовой политики)
- НАЛОГИ С ФИЗИЧЕСКИХ ЛИЦ И ИХ ЭКОНОМИЧЕСКОЕ ЗНАЧЕНИЕ (Общие условия и порядок налогообложения физических лиц в соответствии с законодательством РФ)
- Рынок систем бронирования в гостиничной индустрии(Теоретические основы изучения рынка систем бронирования в гостиничной индустрии)
- Профессиональный стресс при управленческой деятельности
- «Индивидуальное предпринимательство»(Понятие индивидуального предпринимательства и предпринимательской деятельности. Государственная регистрация индивидуального предпринимателя)
- Индивидуальное предпринимательство(Государственная регистрация индивидуального предпринимателя)
- Стиль живописи в период написания картины “Пшеничное поле с кипарисом”
- Проектирование реализации операций бизнес-процесса «Управление документооборотом»(Особенности ведения документооборота на предприятии)
- Аналитический обзор современного программного обеспечения ПК