Защита конфиденциальной информации при проведении совещаний и переговоров
В предпринимательских структурах и иногда некрупных государственных предприятиях (далее фирме) общие вопросы организации проведения совещаний и переговоров входят в комплекс должностных обязанностей секретаря-референта. Совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну фирмы или ее партнеров, именуются обычно конфиденциальными. Порядок проведения подобных совещаний и переговоров регулируется специальными требованиями, обеспечивающими безопасность ценной, в том числе конфиденциальной информации (далее ценной информации), которая в процессе этих мероприятий распространяется в санкционированном (разрешенном) режиме. Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо.
Под разглашением (оглаской, оглашением) ценной информации понимается несанкционированный выход защищаемых сведений и документов за пределы круга лиц, которым они доверены или стали известны в ходе их трудовой деятельности. Информацию разглашает всегда человек - случайно, ошибочно или умышленно, устно, письменно, с помощью жестов, мимики, условных сигналов, лично или через посредников, с использованием средств связи и многими другими способами. Причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах, общеизвестны: слабое знание сотрудниками состава ценной информации и требований по ее защите, злостное невыполнение этих требований, провоцированные и не провоцированные ошибки сотрудников, отсутствие контроля за изданием рекламной и рекламно-выставочной продукции и др. Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов.
Основными этапами проведения конфиденциальных совещаний и переговоров являются: подготовка к проведению, процесс их ведения и документирования, анализ итогов и выполнения достигнутых договоренностей.
Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает исключительно первый руководитель фирмы. Решение первого руководителя о предстоящем конфиденциальном совещании доводится до сведения секретаря-референта и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется секретарем-референтом в специальной учетной карточке. В этой карточке указываются: наименование совещания или переговоров, дата, время, состав участников по каждому вопросу, лицо, руководитель, ответственный за проведение, ответственный организатор, контрольные отметки, зона сведений о факте проведения, зона сведений по результатам совещания или переговоров.
Содержание этапов подготовки и проведения совещания или переговоров имеет некоторые отличия.
Плановые и неплановые конфиденциальные совещания, проходящие без приглашения посторонних лиц, проводятся первым руководителем, его заместителями, ответственными исполнителями (руководителями, главными специалистами) по направлениям работы с обязательным предварительным информированием секретаря-референта. По факту этого сообщения или проведения такого совещания секретарем-референтом заводится учетная карточка описанной выше формы. Проведение конфиденциальных совещаний без информирования секретаря-референта не допускается.
Доступ сотрудников фирмы на любые конфиденциальные совещания осуществляется на основе действующей в фирме разрешительной системы. Разрешительная (разграничительная) система доступа к информации входит в структуру системы защиты информации и представляет собой совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и ценных сведений.
Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками фирмы, санкционируется только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса. Присутствие их при обсуждении других вопросов запрещается.
Ответственность за обеспечение защиты ценной информации и сохранение тайны фирмы в ходе совещания несет руководитель, организующий данное совещание. Секретарь-референт оказывает помощь руководителям и совместно со службой безопасности осуществляет контроль за перекрытием возможных организационных и технических каналов утраты информации.
Организационный канал несанкционированного доступа к ценной информации основан на: установлении злоумышленником разнообразных, в том числе законных взаимоотношений с фирмой (поступление на работу в фирму, участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов), установлении непосредственного контакта с источником информации (документом, базой данных и т.п.), сотрудничестве с работником фирмы или лицом, имеющим доступ к документации фирмы, тайном или по фиктивным документам проникновении в здание фирмы, помещения, незаконном получении документов, информации, использовании коммуникативных связей фирмы (участие в совещаниях и переговорах, переписка с фирмой и др.). Технический канал представляет собой физический путь утечки информации от источника Документа, человека и др.) или канала объективного распространения информации (акустического, визуального и др.) к злоумышленнику. Основывается на использовании этим лицом специальных технических средств разведки, позволяющих получить защищаемую информацию без непосредственного контакта с источником, владеющим этой информацией. Технические каналы носят стандартный характер и перекрываются также стандартным набором средств противодействия. В связи с этим они часто используются одновременно с организационными каналами.
Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников фирмы, допущенных к работе с конкретной ценной информацией, составляющей тайну фирмы или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания. Этот сотрудник информирует секретаря-референта о ходе подготовки совещания или переговоров. Полученная информация вносится секретарем-референтом в учетную карточку.
В процессе подготовки конфиденциального совещания составляются программа проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня.
Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф "Конфиденциально", составляться и обрабатываться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы (в том числе проекты договоров, контрактов и др.), предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса. Цифровые значения наиболее ценной информации (технические и технологические параметры, суммы, проценты, сроки, объемы и т. п.) в проектах решений и других документах не указываются или фиксируются в качестве общепринятого значения, характерного для сделок подобного рода и являющегося стартовой величиной при обсуждении. В проектах не должно быть развернутых обоснований предоставляемых льгот, скидок или лишения льгот тех или иных партнеров, клиентов. Документы, раздаваемые участникам совещания, не должны иметь гриф конфиденциальности.
Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники фирмы, которые имеют непосредственное отношение к этому вопросу. Это правило касается в том числе руководителей. В списке участников указываются фамилии, имена и отчества лиц, занимаемые должности, представляемые ими учреждения, организации, фирмы и наименования документов, подтверждающих их полномочия вести переговоры и принимать решения. Название представляемой фирмы может при необходимости заменяться ее условным обозначением.
Документом, подтверждающим полномочия лица (если это не первый руководитель) при ведении переговоров и принятии решений по конкретному вопросу могут служить письмо, предписание, доверенность представляемой лицом фирмы, рекомендательное письмо авторитетного юридического или физического лица, письменный ответ фирмы на запрос о полномочиях представителя, в отдельных случаях телефонное или факсимильное подтверждение полномочий первым руководителем представляемой фирмы. Наименование документа, подтверждающего полномочия лица, может вноситься в список непосредственно перед началом совещания. Эти документы передаются участниками совещания ответственному организатору для последующего включения их секретарем-референтом в дело, содержащее все материалы по данному совещанию или переговорам.
Документы, составляемые при подготовке конфиденциального совещания, на которых предполагается присутствие представителей других фирм и организаций, согласовываются с секретарем-референтом и руководителем службы безопасности. Их предложения по замеченным недостаткам в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание.