Требования к изготовлению, учету, пользованию, хранению, сохранности, передаче и транспортировке материальных носителей секретной информации устанавливает КМУ (ст. 19 Закона о гостайне). Во исполнение этой нормы КМУ утвердил Порядок № 1561-12. Этот документ имеет гриф "Для служебного пользования", однако предприятия, получившие спецразрешение, могут получить его текст в Департаменте охраны гостайны СБУ. Мы же будем ссылаться на нормы общедоступных нормативов.
После получения спецразрешения согласно ст. 21 Закона о гостайне предприятие должно по согласованию с СБУ создать режимно-секретный орган (далее - РСО) как отдельное структурное подразделение. Оно будет подчиняться руководителю предприятия. РСО состоит из подразделений режима, секретного делопроизводства и других подразделений в соответствии со спецификой предприятия. Если же объем связанных с гостайной работ незначителен, то обеспечение режима секретности осуществляет либо лично руководитель предприятия, либо специально назначенный приказом руководителя работник. В любом случае подобные назначения необходимо согласовывать с СБУ. Для доступа к работе, связанной с гостайной, граждане должны получить в СБУ допуск с соответствующей степенью секретности ("совершенно секретно", "секретно" и т.п.).
Организация работы САП САП создают для временного хранения бумаг особой важности, совершенно секретных и секретных документов Национального архивного фонда, а также документов долгосрочного (10 и более лет) практического значения.
В соответствии с п. 2 Положения № 26/8 САП создают по приказу руководителя предприятия, оно может быть либо отдельным структурным подразделением, либо входить в состав РСО. Там, где количество секретных архивных документов незначительно, ответственность за работу с ними возлагают на одного из работников РСО (п. 9 Положения № 26/8).
Руководитель предприятия своим приказом назначает руководителя САП, утверждает годовые планы работы. Обязанности работников САП определены должностными инструкциями (п. 6 Положения № 26/8). Согласно п. 1 Инструкции № 25/7 завершенные в делопроизводстве секретные документы и дела постоянного и долгосрочного хранения находятся в РСО в течение 2 лет, а затем передаются в САП по описям дел.
Также в САП (п. 11 Положения 26/8) должны хранить:
секретные научно-технические, кино-, фото-, фоно-, видеодокументы, машиноориентированные документы, созданные предприятием или полученные на законных основаниях;
секретные личные документы работников предприятия;
секретные документы на различных видах носителей информации ликвидированных предприятий;
печатные издания, которые дополняют архивные документы и необходимы для научно-методической и информационно-справочной работы САП;
справочный и учетный аппарат к архивным документам.
) подготовка секретных документов к передаче на архивное хранение. Она включает экспертизу ценности документов, оформление описей дел и актов об отборе для уничтожения документов, не подлежащих хранению, создание научно-справочного аппарата и оформления дел;
) передача секретных документов и дел на архивное хранение;
) хранение секретных архивных документов. По требованиям Порядка № 1004 экспертизу ценности документов осуществляют ежегодно. Во время исследования отбирают документы постоянного, долгосрочного хранения для передачи в САП; временного хранения - для хранения в РСО; а также для уничтожения - секретные дела и документы временного хранения, сроки хранения по которым истекли. Результаты экспертизы оформляют в виде описей дел постоянного, долгосрочного хранения, описей особо ценных дел, а также актов об отборе для уничтожения документов, которые не подлежат хранению.
Порядок составления описей, актов и других документов приведены в Инструкции № 25/7, а их формы - в приложениях к ней. Отобранные для хранения документы оформляют в секретные дела. Если секретные документы и дела признаны экспертизой имеющими научную, историко-культурную, практическую ценность, то их включают в состав Национального архивного фонда и передают в определенное государственное архивное учреждение (п. 29 Инструкции № 25/7). Секретные дела постоянного, долгосрочного хранения, а так- же материалы страхового фонда передают в САП по описям. А дела временного хранения (до 10 лет) держат в РСО, их можно передать в САП только в порядке исключения.
Сроки хранения полученных САП документов определяют в соответствии с Перечнем № 578/5 и ведомственными перечнями документов с указанием сроков их хранения. САП, согласно п. 7 Положения № 26/8, также должно просматривать грифы секретности документов, выдавать архивные справки, копии, извлечения и т.п. В конце отметим: за непринятие мер по обеспечению охраны гостайны и необеспечению контроля ее охраны, и за деятельность, связанную с гостайной, без получения спецразрешения ст. 212-2 КоАП предусматривает наложение административных штрафов.
2.2 Обеспечение безопасность конфиденциального делопроизводства
Обработка входящих, исходящих, внутренних конфиденциальных документов Что касается порядка работы с документами этих трех потоков, то для каждого из потоков ведется отдельный журнал регистрации (приложения 5-7). Регистрации входящих документов предшествуют определенные операции, связанные с проверкой пакета, в котором переданы конфиденциальные документы (осмотр пакета, проверка наличия всех приложений и т. д.).
Поэтому в данном разделе стоит зафиксировать следующие моменты:
● пакеты с грифами «Коммерческая тайна» или «Конфиденциально» принимаются только специалистами, ответственными за ведение конфиденциального делопроизводства. Например, в подразделении, принимающем все документы и пакеты, адресованные в компанию, должен быть специалист, уполномоченный принимать конфиденциальные документы;
● при получении пакетов специалист по конфиденциальному делопроизводству проверяет правильность их адресации, целостность упаковки и оттисков печатей, сверяет номера на пакетах с номерами, указанными в реестре передачи, расписывается в приеме пакетов (с указанием прописью их количества, даты и времени получения). Подпись заверяется специальной печатью, например «Для пакетов»;
● при обнаружении повреждений упаковки, расхождений или несоответствия оттисков печатей наименованию отправителя пакет принимается с составлением акта в произвольной форме в двух экземплярах, в котором перечисляются все обнаруженные несоответствия. Акт подписывается лицом, доставившим пакет, и специалистом, его принимающим, о чем в реестре делается соответствующая запись (например, «Пакет поврежден (залит водой), составлен акт от 13.01.2015»). Один экземпляр акта направляется отправителю пакета, а второй экземпляр акта подшивается в дело;
● все поступившие пакеты с конфиденциальными документами должны быть вскрыты в день их поступления. Проверяется соответствие учетных номеров конфиденциальных документов номерам, указанным на пакете, количество документов в приложениях, их экземпляров и листов с учетными данными о них в сопроводительных письмах;
● при обнаружении расхождений в учетных данных полученных документов, недостаче документов или приложений к ним также составляется акт в произвольной форме в двух экземплярах, в котором указываются обнаруженные несоответствия. Акт подписывается специалистом по конфиденциальному делопроизводству.
Один экземпляр акта вместе с лицевой стороной пакета, в котором получены документы, направляется от- правителю, второй экземпляр акта подшивается в дело;
● ошибочно направленные конфиденциальные документы возвращаются отправителю в новых пакетах за их же номерами и с приложением лицевой стороны пакета отправителя, а в Журнале регистрации входящих конфиденциальных документов проставляются номер реестра и дата отправления;
● поступившие документы должны быть зарегистрированы специалистом по конфиденциальному делопроизводству в Журнале регистрации входящих конфиденциальных документов;
● регистрационный штамп либо отметка от руки (напри- мер, «Вх. № ___, дата, на ___ листах») проставляется в правом нижнем углу первого листа поступившего документа. При наличии приложений к конфиденциальному документу на обороте последнего листа каждого приложения также проставляется штамп либо делается отметка от руки (например, «К вх. №___»);
● неконфиденциальные документы, являющиеся приложениями к конфиденциальным документам, но не под- лежащие совместному хранению, передаются по на- значению (под подпись в сопроводительном письме); ● передавать конфиденциальные документы на исполнение без регистрации запрещено (даже внутренние конфиденциальные документы, например выписки из протоколов, служебные записки).
Порядок обращения с конфиденциальными документами», «Разработка, оформление конфиденциальных документов и учет материальных носителей конфиденциальной информации» и «Регистрация входящих, исходящих, внутренних конфиденциальных документов». В следующей статье мы уделим внимание остальным разделам Инструкции, посвященным составлению номенклатуры дел и ведению дел, формированию конфиденциальных дел, уничтожению конфиденциальных документов, и отдельно поговорим о специфических разделах, касающихся тиражирования конфиденциальных документов, их отправки и снятия грифа конфиденциальности.
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Безопасность информации - защищенность информации от ее нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного ее тиражирования.
Доступность - возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная безопасность (ИБ) - комплекс административно-правовых, организационно-распорядительных и технических мер, направленных на обеспечение конфиденциальности, целостности и санкционированной доступности информации в процессе ее сбора, обработки, передачи и хранения. Информационная система (ИС) обработки информации - организационно- техническая структура, представляющая собой совокупность следующих взаимосвязанных компонентов:
технических средств обработки и передачи данных;
методов и алгоритмов обработки в виде соответствующего программного обеспечения; - баз данных на различных носителях;
персонала и пользователей, объединенных по организационно- структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных.
Конфиденциальность - защита от несанкционированного ознакомления.
Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.
Пользователь - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации. Сеть (локальная сеть, ЛВС, LAN) - группа точек, узлов или других устройств, соединенных коммуникационным набором оборудования, обеспечивающее соединение станций и передачу между ними информации.
Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов с целью преднамеренного или случайного нарушения режима функционирования объекта. Уязвимость - любая характеристика автоматизированной системы, использование которой может привести к реализации угроз. Политика информационной безопасности Политика информационной безопасности лист 5 из 16
Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому ее состоянию). Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. 2. Цели, задачи и основополагающие принципы
Основной целью системы информационной безопасности является защита корпоративной ИС Фонда от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня рисков.
Основными задачами системы информационной безопасности являются:
отнесение информации к категории несекретной, ограниченного распространения, банковской, коммерческой и другим видам тайн, иной конфиденциальной информации, подлежащей защите от неправомерного использования;
прогнозирование и своевременное выявление угроз безопасности информационным ресурсам Фонда, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
создание условий функционирования Фонда с наименьшей вероятностью реализации угроз безопасности информационных ресурсов и нанесения ущерба;
создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявление негативных тенденций в функционировании Фонда, на основе нормативных, правовых, организационных и технических мер и средств обеспечения безопасности;
создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц.
Построение системы обеспечения безопасности информации Фонда и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
законности - соблюдение законодательства по защите информации и законных интересов всех участников информационного обмена;
системности - подход к вопросам организации информационной безопасности должен быть логическим и последовательным: в первую очередь оценка риска информационной безопасности исходя из реальных угроз и уязвимости информационных ресурсов, затем создание комплекса организационных и технических мер и средств защиты, учитывающих специфику Фонда;
Политика информационной безопасности Политика информационной безопасности лист 6 из 16
эффективности - реализуемые в разумно достаточном объеме меры и мероприятия по обеспечению ИБ должны сводить риски к минимуму, при этом адекватность и эффективность защитных мер должна быть оцениваема на регулярной основе;
целесообразности - соблюдение соразмерности затрат на обеспечение защиты информации и потенциальных потерь при реализации угроз;
непрерывности - принцип функционирования системы информационной безопасности, учитывающий, что злоумышленники в любой момент времени ищут возможность обхода защитных мер, прибегая для этого к легальным и нелегальным методам;
взаимодействии и координации - осуществление мер обеспечения информационной безопасности на основе четкой взаимосвязи подразделений службы безопасности, информационных технологий и подразделений-пользователей информационных ресурсов, сторонних специализированных организаций в области защиты информации и обслуживания информационных систем, координации их усилий для достижения поставленных целей, а также взаимодействия с уполномоченными государственными органами.