Условия работы с конфиденциальными документами

Конфиденциальная информация, как правило, содержится в документах — бумажных либо электронных.

Все документы в фирме делятся на три категории: входящие, исходящие и внутренние.

Составляется перечень конфиденциальных документов,вводятся степени конфиденциальности информации (или грифы) и каждому документу присваивается соответствующий гриф.

В перечне документов указываются категории работников, которые по должности могут пользоваться этими документами. Гриф ограничения доступа к документу устанавливается на определенный срок. Порядок работы с документами, составляющими коммерческую тайну содержит:

«Общие положения» — на основе действующего законодательства и нормативно-методических документов определяется понятие коммерческой тайны, устанавливаются цели данной инструкции.

«Документирование деятельности фирмы, составляющей коммерческую тайну» — определяются виды конфиденциальных документов, порядок их подготовки и оформления, присваиваемые грифы ограничения доступа к документам.

«Организация работы с докуме нтами» — устанавливается порядок присвоения грифов и правила работы с документами, содержащими коммерческую тайну.

Процесс обеспечения сохранности информации в документах, содержащих коммерческую тайну, осуществляется в соответствии с основными стадиями «жизненного» цикла документа. Этими стадиями являются:

1. получение (отправка) документа. Документ, поступающий в фирму и содержащий гриф конфиденциальной информации, должен быть передан только секретарю-референту или инспектору закрытого делопроизводства и зарегистрирован. Далее он передается руководителю, исполнителя по данному документу. Аналогичный порядок соблюдается при отправлении документа — подготовка документа, подпись руководителя, регистрация в специальном журнале секретарем-референтом и отправка;

2. хранение документа. Все документы, содержащие конфиденциальную информацию, должны храниться в специально отведенных закрывающихся помещениях, в запертых шкафах, Все помещения должны опечатываться.

По истечении срока конфиденциальности документа возможны следующие действия:

§ 1) продление этого срока; 2) гриф может быть снят и документ становится открытым;3)уничтожение документа;

3. использование документа. Система доступа сотрудников, не имеющих соответствующих прав по должности, к конфиденциальным документам должна иметь разрешительный характер. Каждая выдача таких документов регистрируется (расписываются оба сотрудника — и тот, кто берет документ, и тот, кто его выдает) и проверяется порядок работы с ними.

42 Обеспечение компетентности в вопросах безопасности
Цель программы обеспечения компетентности в вопросах безопасности в повышении знания сотрудников организации до необходимого уровня.

Группе, занимающейся программой обеспечения компетентности в вопросах безопасности, должна быть обеспечена административная поддержка всех отделов. Программа обеспечения компетентности в вопросах безопасности должна затрагивать следующие темы при проведении обучающих курсов, обсуждений или других видов обучения в целях повышения эффективности этих мер:
- значение информационной безопасности для организации и сотрудников;
- цели и задачи системы обеспечения информационной безопасности в части сохранения ее конфиденциальности, целостности, доступности, подлинности и надежности;
- последствия инцидентов нарушения информационной безопасности как для организации, так и для ее сотрудников;
- важность корректного использования информационных систем, включая аппаратные средства и программное обеспечение;
- ограничение доступа в информационную среду (уполномоченный персонал, блокировка дверей, знаки идентификации, регистрация посещений) и к информации (логическое управление доступом, права чтения/модификации данных) и причины необходимых ограничений;
- необходимость в сообщениях о нарушениях защиты, попытках нарушения;
- процедуры, обязанности и рабочие задания по обеспечению безопасности;
- ограничения деятельности персонала и конечных пользователей, вызванные факторами обеспечения безопасности;
- ответственность персонала за нарушение информационной безопасности;
Разработка программы обеспечения компетентности в вопросах безопасности начинается с процесса анализа стратегии безопасности, целей и политики обеспечения безопасности. Этот процесс должен проводиться рабочей группой, идентифицирующей критические аспекты в работе организации и имеющей полную поддержку главного руководства организации.
Рабочая группа, проводящая такой анализ, должна установить требования к вопросам безопасности в соответствии с общей стратегией информационной безопасности организации. Необходим глубокий анализ требований к подготовке материалов совещаний. Совещания должны проводиться регулярно (например, один раз в шесть месяцев), чтобы обеспечить осведомленность всего персонала с рисками, свойственными современным информационным технологиям.