д) своевременно возвращать полученные конфиденциальные документы. На исполненном документе делать отметку:
«В дело». Все резолюции, указания и записи об исполнении,
как правило, пишутся на самих конфиденциальных документах.
На документы, предназначенные для массовой рассылки. исполнитель составляет расчет рассылки;
е) об утрате или недостаче конфиденциальных документов (отдельных листов), ключей от режимных помещений, сейфов, личных печатей немедленно сообщать в специальный отдел;
ж) при увольнении, уходе в отпуск, отъезде в командировку сдать или отчитаться перед ответственными должностными лицами за все числящиеся конфиденциальные документы
4. По требованию работников специального отдела все сотрудники обязаны предъявлять для проверки все числящиеся за ними и имеющиеся конфиденциальные документы. При проведении служебных проверок в случаях нарушений правил выполнения конфиденциальных работ, разглашения конфиденциальных сведений, утраты документов представлять письменные объяснения на имя руководства предприятия.
5. Запрещается использовать конфиденциальные сведения в неконфиденциальной служебной переписке; вести переговоры по конфиденциальным вопросам по незащищенным линиям связи; снимать копии с конфиденциальных документов без письменного разрешения специального отдела; выполнять
конфиденциальные работы на дому; печатать документы закрытого характера на незащищенном компьютере; перевозить конфиденциальные документы, материалы и дела в общественном транспорте.
6. При подготовке документа, содержащего конфиденциальные сведения, исполнитель должен правильно определить степень его конфиденциальности.
При определении степени конфиденциальности необходимо руководствоваться Перечнем документов предприятия, содержащих конфиденциальные сведения.
Степень конфиденциальности определяется исполнителем и лицом, подписывающим документ. Гриф конфиденциальности проставляется на первом (титульном) листе в правом верхнем углу.
Гриф конфиденциальности сопроводительного письма должен соответствовать наивысшей степени конфиденциальности сведений, содержащихся как в самом письме, так и в приложении к нему.
7. В делах, содержащих различные по степени конфиденциальности сведения, а также не конфиденциальные сведения, материал может быть сгруппирован в отдельные части (тома).
Все законченные производством дела должны быть правильно оформлены: листы дел сброшюрованы и пронумерованы, составлена внутренняя опись конфиденциальных документов, в конце дела (тома) сделана заверительная надпись. Каждый том дела должен содержать не более __ листов.
Изъятие из дела (тома) каких-либо подшитых документов и перемещение их из одного дела в другое разрешается в исключительных случаях и только с ведома специального отдела. Выданное для работы дело подлежит возврату в тот же день.
8. Совещания по конфиденциальным вопросам проводятся с разрешения начальника департамента (отдела).
Руководитель управления назначает лиц, ответственных за проведение совещания.
На совещание допускаются лица, которые имеют непосредственное отношение к обсуждаемым на них конфиденциальным вопросам и соответствующую форму допуска.
Звукозапись и видеозапись воспроизводятся при соблюдении правил, исключающих их прослушивание или просмотр посторонними лицами.
9. Доступ сотрудников администрации предприятия к конфиденциальным сведениям в подразделениях, куда они командируются по служебным делам, осуществляется после предъявления ими пропуска установленного образца (с отметкой о допуске) или справки о допуске и предписания на выполнение задания.
Указанная справка выдается специальным отделом командированному лицу под расписку на срок выполнения задания, но не более чем на год, после чего она возвращается в специальный отдел с отметкой об ознакомлении с конфиденциальными сведениями.
Предписание подписывается руководителем департамента, регистрируется, заверяется печатью специального отдела.
В нем кратко указывается основание командирования и сведения, с которыми необходимо ознакомиться. Предписание передается принимающему должностному лицу учреждения и хранится в его подразделении по защите тайны не менее 3 лет.
В пути следования нельзя иметь при себе конфиденциальные документы, они должны быть заранее отправлены по адресу учреждения, в которое направляется командированное лицо.

Глава 9
ПРАВОВЫЕ ОСОБЕННОСТИ ОБРАЩЕНИЯ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА
Правовые основы оборота информации в компьютерном виде заложены в законе «Об информации…» (ст. 5):
Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.
Идентификатором электронной копии документа является отметка (колонтитул), проставляемая в левом нижнем углу каждой страницы документа и содержащая наименование файла на машинном носителе, дату и другие поисковые данные, устанавливаемые в организации (СМ. Сноску 67).
Мировая практика такова, что все больше информации получает свою «прописку» в электронном виде в компьютерах, локальных и глобальных сетях. Безусловно, такой огромный оборот информации включает в себя и информацию конфиденциальную. В настоящее время крайне остро стоят вопросы правового регулирования обмена электронной информацией.
Для активных пользователей глобальных компьютерных сетей типа Internet, обменивающихся в них конфиденциальной информацией, необходимо также знать о наличии ограничений на перемещение с территории РФ документированной информации при предоставлении доступа пользователям, находящиеся за пределами территории РФ, к информационным системам, сетям, находящихся на территории РФ (СМ. Сноску 68).
Кроме того, деятельность по информационному обмену по электронным сетям, при котором возможна передача документированной конфиденциальной информации, подлежит государственному лицензированию.
Отдельного рассмотрения заслуживают вопросы обеспечения конфиденциальности финансовой информации, обращающейся в автоматизированных системах бухгалтерского учета и документооборота (БЭСТ, 1C и пр.). Такие системы в обязательном порядке должны иметь максимум возможностей, как программных, так и аппаратных, для обеспечения реализации:
- разграничения доступа по группам пользователей;
- разграничения доступа по глубине использования;
- шифрования особо конфиденциальной информации;
- антивирусной защиты;
- локализации ошибок;
- контроля работоспособности программных средств и других процессов обеспечения целостности и функциональности системы.
Разработчики подобных систем должны предоставлять пользователям при инсталляции программного обеспечения все сведения по перечисленным параметрам, а также давать возможность изменения внутренних кодов. Службам безопасности предприятий было бы нелишним привлекать квалифицированных специалистов для поиска в инсталлированном программном обеспечении различного рода программных закладок.
В целях обеспечения целостности и достоверности наиболее важных конфиденциальных финансовых сведений (документов в электронной форме представления), передаваемых и получаемых по каналам связи, целесообразно применять государственные стандарты, принятые Госстандартом России в сфере информационных технологий (например, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94), а также использовать сертифицированные средства криптографической защиты, реализующие алгоритмы шифрования в соответствии с ГОСТ 28147-89 и алгоритмы электронной цифровой подписи в соответствии с указанными выше ГОСТами.
Популярным интеллектуальным преступлением- в последнее время становится проникновение во внутренние локальные сети предприятий через сеть Internet (которые в большинстве своем построены именно на основе этой сети, а не на системах типа Intranet и т. п.), в том числе с целью получения финансовой конфиденциальной информации, не говоря уже о вмешательстве в
расчетные системы.
Основными способами проникновения являются:
- разрушающие программы и программные закладки в свободно распространяемом программном обеспечении или почтовых отправлениях;
- использование ошибок спецификаций или реализации отдельных программных продуктов, в том числе в HTML-страницах, связанных с использованием языков программирования Java и описания сценариев JavaScript;
- удаленное зондирование рабочего места пользователя сети Internet с целью выявления возможных путей проникновения, круга интересов, характера работы и других характеристик, в том числе с использованием недокументированных свойств программного обеспечения. В связи с высоким риском внедрения предполагается, что вся информация, программные средства обработки, находящиеся на персональной ЭВМ, подключенной к сети Internet, могут быть скомпрометированы.
С целью предотвращения противоправных действий такого рода не лишними будут следующие минимальные рекомендации:
- персональная ЭВМ, с которой осуществляется взаимодействие с сетью Internet, должна быть выделенной, т. е. не подключенной ни к какой внутренней сети:
- персональная ЭВМ не должна содержать никакой служебной информации (в том числе открытой);
- персональная ЭВМ, подключенная к сети Internet, не должна содержать накопитель на гибких магнитных дисках;
- данное рабочее место должно быть оснащено антивирусными программами и средствами контроля целостности программного обеспечения.
В УК РФ впервые были введены санкции за преступления в компьютерной информационной сфере. Уголовное законодательство считает неправомерными действия с компьютерной информацией. Это становится ясно из диспозиции приведенных статей УК.
Статья 272:
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273:
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Статья 274:
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их Сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
ИНСТРУКЦИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕДПРИЯТИЯ.
Одним из основных локальных нормативных актов предприятия, регламентирующих оборот конфиденциальных сведений, является Инструкция по защите конфиденциальной информации
в информационной системе предприятия. Обратите внимание на то, что эта Инструкция не является элементом технической документации - это внутренний правовой акт, и относиться к нему необходимо именно с этой точки зрения. Технические и программные тонкости системы защиты описываются в иной документации.
Вариант.
1. Общие положения.
1.1. ЦЕЛИ
Целью данного документа является четкая регламентация эффективных мер защиты и надежного сохранения информации, являющейся конфиденциальной согласно Положению о конфиденциальной информации Предприятия и обращающейся в информационной системе (ИС).
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18