Уничтожение электронных конфиденциальных документов (файлов) с сетевых дисков корпоративного файл-сервера осуществляется стандартными средствами операционной системы – команда «Удалить» контекстного меню. Уничтожение электронных конфиденциальных документов (файлов) с любых иных носителей должно осуществляться только с помощью утилиты Wipe специально предназначенной для уничтожения файлов без возможности их последующего восстановления.
Обмен электронными конфиденциальными документами (файлами) между сотрудниками находящимися в офисе осуществляется в зашифрованном виде одним из способов:
- используя сервис программы ICQ;
- используя сервис корпоративной почты.
Обмен электронными конфиденциальными документами (файлами) между сотрудниками, находящимися вне офиса Организации (командировки) осуществляется путем обмена зашифрованной почтой через корпоративные почтовые ящики сотрудников.
В случае прихода (ожидания) посетителя к секретарю, в персональный компьютер его могут быть загружены только те электронные конфиденциальные документы (файлы), относящиеся к делу этого посетителя. Загружать в персональный компьютер и/или работать с электронными конфиденциальными документами (файлами), не относящимися к делу присутствующего посетителя - запрещается.
Секретарю, работающему с электронными конфиденциальными документами (файлами) категорически запрещается:
- оставлять персональный компьютер на время более 5 мин. с разрешённым доступом к личной папке;
- сообщать, кому бы то ни было, свой персональный пароль доступа в закрытую корпоративную компьютерную сеть Организации;
- сообщать, кому бы то ни было, пароль доступа к своему персональному ключу PGP;
- оставлять посетителя в кабинете одного при включенном в защищенную корпоративную сеть компьютере;
- осуществлять хранение/обработку личных файлов (данных, не имеющих отношения к выполнению функциональных обязанностей, а именно: файлы мр3, игры, картинки, личные фотографии и т.д.) на сетевых дисках корпоративного сервера;
- использовать съёмные носители - дискеты, ZIP диски, магнитооптика и т.д. – для обмена между сотрудниками и хранения электронных конфиденциальных документов (файлов);
- самовольно, без согласования с администратором сети, изменять аппаратную конфигурацию и настройки программного обеспечения персональных компьютеров, подключенных к сети.
Секретарь, работающий с электронными конфиденциальными документами (файлами) обязан:
- выполнять требования администратора сети в рамках установленного регламента эксплуатации сети. Несоблюдение требований настоящего пункта может привести к необратимой потере данных, ответственность за которую возлагается на самих сотрудников.
- при убытии в отпуск/командировку предоставить имеющиеся у него конфиденциальные электронные документы (файлы), которые могут понадобиться в его отсутствие (определяется руководителем), в распоряжение уполномоченного руководителем сотрудника в зашифрованном на открытом ключе этого сотрудника виде;
- ежедневно в конце рабочего дня производить «зачистку» локального диска своего персонального компьютера путём запуска соответствующей процедуры;
- еженедельно производить ревизию своей личной папки, размещённой на корпоративном файл-сервере, с целью выявления и уничтожения конфиденциальных электронных документов (файлов) ставших ненужными.
2.4 Порядок обеспечения сохранности документов и дел (архивов), содержащих конфиденциальную информацию
Все документы, и дела (архивы) с документами имеющими гриф "Конфиденциально" должны храниться в офисных помещениях в надежно запираемых и опечатываемых сейфах (металлических шкафах). Помещения должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.
Дела (архивы) с документами имеющими гриф "Конфиденциально", выдаются секретарями под роспись в регистрационном журнале и подлежат возврату сотрудниками в тот же день. При необходимости, с разрешения руководства структурного подразделения, они могут находиться у сотрудника в течении срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.
С документами (электронными и бумажными) с грифом "Конфиденциально" разрешается работать только в офисных помещениях Организации. Для работы вне офисных помещений необходимо разрешение руководства Организации или руководства структурного подразделения.
Во время перерывов в работе, связанных с выходом из своего офисного помещения, запрещается оставлять конфиденциальные документы на столах, в незапертых ящиках столов. В случае нахождения в офисном помещении посетителей или иных лиц, не имеющих допуск к конфиденциальным бумажным документам, все конфиденциальные документы должны быть убраны в сейфы (металлические шкафы).
Изъятия из дел (архивов) или перемещение бумажных документов с грифом "Конфиденциально" из одного дела (архива) в другое без санкции руководства Организации или руководства структурных подразделений запрещается.
Смена секретарей, ответственных за учет и хранение документов, дел (архивов) с грифом "Конфиденциально", оформляется распоряжением руководства Организации или руководства структурных подразделений. При этом составляется акт приема-передачи этих материалов, утверждаемый соответствующим руководством.
2.5 Порядок допуска к конфиденциальным сведениям
Допуск сотрудников к конфиденциальным сведениям осуществляется руководством Организации и оформляется соответствующим решением в письменной форме.
Руководители структурных подразделений обязаны обеспечить систематический контроль за допуском к конфиденциальным сведениям только тех лиц, которым они необходимы для выполнения функциональных обязанностей.
К конфиденциальным сведениям допускаются лица, личные и деловые качества которых обеспечивают их способность хранить конфиденциальную информацию, и только после оформления письменного обязательства по сохранению конфиденциальной информации.
Допуск сотрудников к работе с делами (архивами), в которых хранятся конфиденциальные документы осуществляется согласно оформленному на внутренней стороне обложки дела (архива) или на отдельном листе списку допущенных сотрудников за подписью руководства Организации, а к документам - в соответствии с указаниями, содержащимися в резолюциях руководства Организации или руководства структурных подразделений.
Представители сторонних организаций и частные лица могут быть допущены к ознакомлению и работе с документами и делами (архивами) с грифом "Конфиденциально" только с разрешения руководства Организации.
Выписки из документов, содержащих сведения с грифом "Конфиденциально", производятся в специальных тетрадях, определенных в пункте настоящей Инструкции. После окончания работы они высылаются в адрес той организации, которая будет указана данным представителем.
2.6 Требования при подборе сотрудников для работы с конфиденциальной информацией
При подборе сотрудников для работы с конфиденциальной информацией важно не только определить пути поиска кандидатов, но и установить правовое обоснование тех ограничений во владении и использовании информации, которые неминуемо касаются данных сотрудников.
Правовой основой введения на фирме определенных ограничений на работу персонала с конфиденциальной информацией является наличие основополагающего пункта об информационной безопасности в уставе фирмы и пункта в коллективном договоре о согласии трудового коллектива соблюдать требования по защите информации и нести ответственность за невыполнение этих требований, а также соответствующего пункта в Правилах внутреннего трудового распорядка для рабочих и служащих фирмы.
Организационные мероприятия при подборе и работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
- инструктирование и обучение сотрудников практическим действиям по защите информации;
- контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений и другие группы мероприятий.
Подобные сложности в работе с персоналом определяются, прежде всего, большой ценой решения о допуске лица к тайне фирмы, а также наличием на фирме небольшого контингента сотрудников, служебные обязанности которых связаны с тайной фирмы.
Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80 % зависит от правильного подбора, расстановки и воспитания персонала фирмы.
Технологическая цепочка приема сотрудников, работа которых будет связана с владением ценной и (или) конфиденциальной информацией, включает следующие процедуры:
- подбор предполагаемой кандидатуры (кандидатур) для приема на работу или перевода, получение резюме;
- изучение резюме руководством фирмы, структурного подразделения и секретарем-референтом (при отсутствии на фирме службы персонала или менеджера по персоналу);
- знакомство (предварительное собеседование) руководства фирмы, структурного подразделения и секретаря-референта с отобранными кандидатами, беседа с ними, уточнение отдельных положений резюме; ответы на вопросы о будущей работе (без сообщения конфиденциальных сведений); изучение полученных от кандидата рекомендательных писем;