Владение информацией о противнике – один из наиболее действенных способов конкурентной борьбы на рынке. Необходимость решения проблемы утечки конфиденциальной информации связана с выживанием и успешным ведением бизнеса компании.
Засекречивая те или иные сведения на законном основании, гражданин, организация, государство преследует конкретные цели, предпринимают меры к обеспечению сохранения этих сведений в тайне. Незаконное получение таких сведений, их использование в ущерб пользователю, а также распространение их лицами, которым эти сведения были известны по роду своей деятельности, наносят материальный или моральный вред владельцу этой информации.
Соответствующая организация процесса внутрифирменной коммуникации, позволяет избежать утечек информации и ненадлежащего ее использования. Она включает в себя определение уровней доступа к информации, механизмов контроля и функциональных ролей.
В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности (например, открытая информация, конфиденциальная, строго конфиденциальная), правила маркирования конфиденциальных документов и правила обращения с конфиденциальной информацией, включая режимы хранения, способы обращения, ограничения по использованию и передаче третьей стороне и между подразделениями организации.
Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, в том числе авторизация и аудит доступа.
Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.
Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям ограниченного распространения и одновременно правовой акт согласия собственника информации на передачу её для работы конкретному лицу.
Оформление допуска, т. е. согласия лица на определённые ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.
В предпринимательских структурах разрешение на допуск даёт первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте. Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определённой работы и пересматриваться при изменении профиля работы сотрудника.
Доступ – практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определённым составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.
Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нём.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньше число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учётом двух аспектов:
а) выдача разрешений в зависимости от категорий документов;
б) выдача разрешений в зависимости от занимаемой должности.
Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объёме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.
Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводится ограничение на доступ или прекращение доступа к любой конфиденциальной информации по окончания служебного расследования.
При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.
В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания конфиденциальности сведений. Этим обеспечивается недоступность этих сведений для случайных людей или злоумышленника и определяется необходимый уровень защищенности информации.
Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т. е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержание, сохранность носителя и соблюдение установленных правил работы с документами.
Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведёт к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создаёт условия для утраты ценных сведений.
Руководителям структурных подразделений даётся право разрешать доступ к конфиденциальным сведениям всем работникам своих подразделений по тематике их работы. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.
Ответственные исполнители работ имеют право давать разрешение на доступ к конфиденциальной информации подчиненным им исполнителям и в пределах их компетенции. Представителям государственных органов разрешение на доступ к конфиденциальным сведениям даёт только первый руководитель фирмы. Разрешение на доступ к конфиденциальной информации всегда даётся полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утверждённым руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т. п.
Без дополнительного разрешения допускаются к документам их исполнители и лица, визировавшие, подписавшие, утвердившие документ. Если сотрудник допускается к части документа, то в разрешении чётко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании, представленном заинтересованном лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несёт ответственность за его работу в помещении фирмы.
Осуществлённая работа по данной теме привели меня к выводам, что регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно чётко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.
Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем, виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий.
Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
Д.В. Юдин
литература
- Мазеркин Д. Защита коммерческой тайны на предприятиях различных форм собственности // Частный сыск и охрана. – 1994.
- Руководство по организации защиты коммерческой тайны / Под. ред. А.Ф. Мохова. – М.: Минатомэнерго, 1991.
- Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. – М.: Инфра-М, 2001.
- Ярочкин В. Система безопасности фирмы. – М.: Ось-89, 1997.