Защита информации в работе с документами
Одной из главных составных частей экономической безопасности организационных структур в большом или малом бизнесе мы всегда называем информационную безопасность, которая достигается за счет использования разнообразных методов защиты коммерчески ценной предпринимательской информации от возможных злоумышленных действий конкурентов и криминальных структур. Что является тайной фирмы, и какая информация подлежит защите?
Под тайной понимается нечто сокрытое, неизвестное, не познанное или известное только определенному кругу лиц. Синонимом тайны является секрет, хотя при тщательном смысловом анализе этих понятий можно говорить о том, что понятие тайны более широкое, объединительное. Мы всегда четко выделяем тайны природы (тайны, не познанные человеком и не зависящие от человека) и тайны людей (тайны, ставшие ими по воле человека, объяснимые по своему возникновению, а часто необъяснимые ни по цели, ни по содержанию, ни по форме). Например, к тайнам людей можно отнести: личную тайну человека, тайны мастерства, секреты молодости, тайну бюрократического мышления, тайну управленческой ошибки и многие другие.
Тайна всегда должна находиться в безопасности. Держать что-то в тайне – значит защищать эти сведения, защищать информацию. Но противоположная сторона (противник, злоумышленник, конкурент, соперник, преступник) всегда будет стремиться нарушить безопасность, разрушить систему защиты и добыть защищаемую информацию. Это явление можно назвать вечным, не зависящим от технического и интеллектуального состояния общества и научно-технического прогресса человечества.
Тайнами могут быть: факты, события, определенные сведения, документы, базы данных, отдельные файлы, физические поля, излучения и т.д. В негосударственной сфере предпринимательства мы обычно говорим о коммерческой (предпринимательской) тайне, которая отражает явления и события, связанные с использованием и владением (законным или незаконным) собственной информацией предпринимателя. В государственной сфере управления применяется термин «служебная тайна», который в правовом отношении близко примыкает к понятию коммерческой тайны, но лишен предпринимательского начала.
Информация может быть отнесена к коммерческой тайне и стать конфиденциальной при соблюдении следующих условий:
- информация не должна отражать негативные стороны деятельности фирмы или
конкретного лица, нарушения законодательства и другие подобные факты, скрывать преступления;
- информация не должна относиться к перечню сведений, которые не могут составлять коммерческую тайну в соответствии с законодательством и постановлениями Правительства Российской Федерации;
- информация не должна быть общедоступной или общеизвестной;
- возникновение или получение информации должно быть законным и связано с расходованием материального или интеллектуального потенциала фирмы;
персонал фирмы должен знать, о ценности такой информации и обучен правилам работы с ней;
- фирмой (предпринимателем) должны быть выполнены все необходимые действия по защите этой информации.
Под конфиденциальным (защищаемым, закрытым) документом,т.е.документом, к которому ограничен доступ персонала фирмы, понимается необходимым образом оформленный носитель документированной информации, составляющей коммерческую тайну и представляющей интеллектуальную собственность предпринимателя.
Особенностью конфиденциального документа является то, что он представляет собой одновременно:
- массовый носитель ценной, защищаемой информации;
- основной источник накопления и распространения этой информации, в том числе ее разглашения (утечки);
- обязательный объект защиты.
Конфиденциальный характер включенной в документ информации обозначается грифом ограничения доступа к документу, который инициирует особый режим работы с документом, защитные и иные меры повышенного внимания и контроля.
Установление грифа ограничения доступа является первым и основным элементом защиты документированной информации. Система грифования (маркирования) документов не гарантирует сохранность информации, однако позволяет четко организовать работу с документами и, в частности, сформировать систему доступа к документам персонала.
Гриф ограничения доступа к документу или гриф конфиденциальности представляет собой служебную отметку (реквизит), которая ставится на бумажном носителе информации, сопроводительном документе к машиночитаемому документу и на электронном документе (на первом и всех последующих листах).
Информация и документы, отнесенные к коммерческой тайне, имеют несколько уровней грифов ограничения доступа, соответствующих различным степеням конфиденциальности информации.
Первый, массовый уровень – грифы «Конфиденциально», «Конфиденциальная информация». Не следует ставить гриф «Коммерческая тайна», так как в грифе должен обозначаться не вид тайны, а характер доступа к документу.
Второй уровень, достаточно редкий – грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально – Особый контроль».
Гриф никогда не сокращается по написанию. Под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа и иные условия его снятия, а также уточняющие отметки типа: «Лично», «Только адресату», «Лично в руки» и т.д.
Наиболее рискованны и часто встречаются следующие угрозы конфиденциальной информации и документам:
- кража (хищение), утеря документа или отдельных его частей (листов, приложений, схем, фотографий, дискет, аудио и видео кассет и др.);
- копирование бумажных и электронных документов, баз данных, фото, видео, аудио документов, сообщение информации или прочтение документа по линиям связи;
- подмена документов, носителей и отдельных частей документа с целью их фальсификации или сокрытия факта утери, хищения;
- работа в чужих электронных базах данных, с чужими компьютерами, тайное ознакомление с документами и базами данных, перезапись или запоминание информации;
- дистанционный просмотр документов и изображений дисплея с помощью технических средств разведки;
- ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);
- случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;
- считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах;
- утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой.
Особенно опасны угрозы для электронных документов, так как определить факт кражи информации часто невозможно.
В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах и локальных сетях, угрозы, по мнению ряда специалистов, классифицируются по степени риска следующим образом:
- непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);
- кражи и подлоги информации;
- угрозы, исходящие от стихийных ситуаций внешней среды;
- угрозы заражения вирусами.
Следовательно, утрата (разглашение, утечка) конфиденциальной информации или документов могут наступить:
- при наличии интереса конкурента или другого лица к конкретной информации;
- при случайном возникновении или организованной злоумышленником угрозе информации;
- при наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией;
Эти условия могут включать:
- отсутствие системы аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности конфиденциальной информации;
- неэффективную систему защиты информации или отсутствие этой системы;
- непрофессионально организованную технологию обработки и хранения конфиденциальных документов;
- неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе фирмы;
- слабое знание сотрудниками фирмы порядка и правил защиты конфиденциальной информации или непонимание необходимости их соблюдения;
- отсутствие маркировки (грифования) конфиденциальной информации и документов (в том числе на технических носителях);
- отсутствие контроля со стороны руководства фирмы и референта за соблюдением персоналом требований нормативных документов по работе с конфиденциальными документами;
- бесконтрольное посещение фирмы посторонними лицами.